Két ellentétes hozzáállással találkozom folyamatosan a neten a témával kapcsolatban:
- 5 ügyvéd, 3 jogász több millió forint kell a felkészülésre és még így is megbüntethetnek vagy
- A „majd lesz valami, maximum kirakok ide, meg oda 1-2 pipát, az egész egy nagy lufi”
Valószínűleg az igazság a kettő között félúton van. A Te legfontosabb dolog most az, hogy ebből a szabályrengetegből kiderítsd, hogy mik vonatkoznak rád és mik nem.
1 héttel ezelőtt részt vettünk a BKIK rendezvényén, ahol 2 órában a Security.hu vezetője és munkatársai egy egészen jó összefoglalót tartottak a GDPR-ről.
Összefoglalva: ha nem speciális dologgal foglalkozol, ahol érzékeny adatokat kezelsz (pl.: egészségügyi adatok, igazságügyi adatok, nemzetiségi, faji, etnikai, politikai hovatartozás, stb… bővebben a letölthető PDF-ben olvashatsz majd erről) akkor is lesz bőven dolgod május 25-ig (pl.: részletes adatkezelési tájékoztató megírása, feliratkozási folyamatok átalakítása, stb…).
Amit még fontos kiemelnem az az, hogy minden felelősség a Tiéd, az adatkezelőé.
Két fogalmat tisztázok itt:
Adatkezelő: az aki az adatokat kezeli és foglalkozik vele. Ez vagy te. Te kéred el a személyes adatokat, te kezeled azokat, te használod fel és a tiéd a felelősség, hogy ez a lehető legbiztonságosabb helyen legyen.
Adatfeldolgozó: mindenki, akihez tőled, mint adatkezelőhöz bármilyen formában eljut adat, akár manuálisan, akár háttérben automatikusan, akár képben, hangban, bármiben. Az aki a technikai hátteret biztosítja neked, vagy egyéb részfeladatot végez. Például: SalesAutopilot, Mailchimp, Webgalamb, Google Drive, könyvelő, stb…
Vissza a felelősségre: tehát minden felelősség rád hárul mint adatkezelő.
Mondok egy példát: van egy 1000 fős címlistád, ezt valakinél tárolod azaz az adatfeldolgozónál.
Az adatfeldolgozó szerverét támadás éri, az 1000 fős címlistáddal visszaélnek, kikerül 3. félnek egy listában, névvel, e-mail címmel, telefonszámmal.
Ez esetben is téged fognak elővenni és rád lesz kiszabva a sok milliós bírság, hiába nem a te hibád.
Majd maximum te próbálhatod meg behajtani az adatfeldolgozónál a bírságot, de a legtöbb adatfeldolgozó ÁSZF vagy jogi dokumentumaiban több helyen és több pontban is kitérnek arra, hogy nem vállalnak semmi ilyesmi dolog esetén felelősséget, pláne nem akkor ha konkrét támadás éri őket.
Szóval jól kell megválasztanod, hogy ki a te adatfeldolgozód.
Ha még egy előbb említett esetben is téged fognak elővenni, akkor már mondanom se kell, hogy ennél kisebb „bakinál” is egyértelműen te vagy a felelős, ha pl. egy 1000 fős exportált fájlt szeretnél elküldeni (vagy valamely alkalmazottad) a munkatársadnak vagy a kiviteleződnek és azt véletlenül félreküldöd (vagy egy kollégád küldi félre) mondjuk egy vásárlódnak és nem jelszavazod le a fájlt (azaz hozzáfér az adatokhoz).
Pontokban összeszedtem még fontos információkat
1. Csak olyan adatot kérj el, ami szükséges az éppen adott cél teljesüléséhez!
2. Mindig szólj előre, ott és akkor, az adatmegadás pillanatában, mindenki számára érthető nyelven, hogy:
• mire és hogyan fogod felhasználni,
• meddig fogod tárolni,
• kinek fogod továbbítani az adatokat (ha továbbítod).
3. Ha valaki kéri, azonnal töröld az adatbázisodból, vagy küldd el neki, hogy milyen adatokat tárolsz róla.
4. Írd le az adatkezeléseidet valami nyilvános helyre, ahol bárki megnézheti, majd úgy is csináld, ahogy leírtad (adatkezelési tájékoztató).
5. Saját érdekedben gondoskodj róla, hogy a fentieket később be is tudd bizonyítani.
6. Nézz (vagy kérdezz) utána az alábbi fogalmaknak:
• személyes adat
• érzékeny adat
• DPO
• DPIA
• profilalkotás
• automatikus döntéshozatal
7. Egyszerűen monitorizálható legyen az adatkezelési folyamatod, hogyha adatvédelmi ellenőrzésre kerül sor a cégednél, akkor a fiókból kihúzva vagy a gépden / felhőben tartott dokumentumot azonnal át tudj adni a NAIH-nak.
8. Mielőtt bármit lépsz vagy kérdezel, olvasd el ezt az összefoglalót!
Végezetül: szeretném kiemelni, ahogy az előadáson is elhangzott többször, hogy hivatalos/aktuális magyar törvény vagy szabályozás még nem született.