Emiatt kaphat a céged hatmilliárdos bírságot
Különösen érzékenyen érintheti az érintett vállalkozásokat a május 25-én hatályba lépő egységes európai adatvédelmi rendelet (GDPR), mivel a bírság akár húszmillió euró, azaz 6,2 milliárd forint is lehet – hívta fel a figyelmet a nemzetközi adótanácsadó és könyvvizsgáló Crowe FST.
Különösen védendő kategóriába helyezi a természetes személyekhez kapcsolódó személyes adatokat a várhatóan május 25-én hatályba lépő egységes európai adatvédelmi rendelet (GDPR), így akár rendkívül súlyos büntetést is kiszabhat a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) azokra a cégekre, amelyek nem teremtik meg a megfelelő szintű biztonsági hátteret. Személyes adatnak számít a név, a születési adatok, a lakcím, a telefonszám és az e-mail cím. (Utóbbi kapcsán ugyanakkor konkrét személyhez nem köthető cím – például „info” kezdetű – nem minősül személyes adatnak.)
„Az eddigi folyamatokhoz képest garantálnia kell az érintett cégnek, hogy illetéktelenek ne férhessenek hozzá a rendszerekhez, valamint azt is, hogy a regisztráltak megfelelő tájékoztatás után adták a hozzájárulásukat az adataik kezeléséhez” – hívta fel a figyelmet Mitrik Kornélia. A Crowe FST bérszámfejtési és expat szolgáltatások igazgatója hozzátette: nagyon fontos, hogy az érintett vállalkozás mindent naplózzon és dokumentáljon, ellenkező esetben akár hatmilliárd forintnyi, vagy az éves árbevételének 4 százalékát is kitevő bírságra számíthat a cég.
Egészségügyi vállalkozások, patikák
A rendelet az egészségügyben érdekelt vállalatokat – köztük több mint 2000 patikát – különösen érzékenyen érintheti, mivel számos alkalmazást kell majd módosítani az elkövetkezendő negyedévben oly módon, hogy az adott páciensnek a jövőben hozzá kell járulnia ahhoz, hogy a privát adataikat felhasználhassa és kezelhesse az adott alkalmazás.
„Az IT fejlesztőknek és informatikusoknak azt is meg kell oldaniuk, hogy az ügyfelek adatai törölhetők legyenek” – hangsúlyozta a Crowe FST szakértője. Mitrik Kornélia szerint a jogszerű és átlátható adatkezelést, és a kezelt adat tulajdonosának hozzájárulását is mindenképpen tudnia kell bizonyítani a cég munkatársainak.
A rendeletet továbbá minden olyan vállalkozásnak is figyelembe kell vennie, amely működtet bármilyen marketing célú adatbázist, mivel csak abban az esetben lehet tárolni személyes adatokat, ha megtörtént a hozzájárulás az illetőtől. Továbbá egy toborzó cég esetében a toborzást követően meg kell semmisíteni a pályázóktól beérkező adatokat, kivéve, ha azok további kezeléséhez a pályázó kifejezetten hozzájárul.
Mivel a személyes adat szinte bármi lehet, ami alapján egy adott személy beazonosítható, így például a nagy irodaházak portáin elkért/tárolt adatok esetében is szükséges lesz az adatvédelmi szabályzat és az érkezők hozzájárulása az adataik – név, személyi igazolványszám, aláírás –tárolásához.