Európai Unió;adatvédelem;GDPR;

2018-01-03 06:20:00

Uniós adatvédelem - Új előírás, hiányos jogszabályok

Uniószerte kihívást jelent a cégeknek az új adatvédelmi előírásoknak való megfelelés. Itthon még számos jogszabály hiányzik.

Nem mondhatók éppen optimistának a vállalkozások az Európai Unió új adatvédelmi rendelete, a GDPR (General Data Protection Regulation) kapcsán. A Deloitte felmérése szerint az EU-ban működő vállalkozások mindössze 15 százaléka véli úgy, hogy maradéktalanul fel tud készülni a május 25-i határidőig, amikortól kötelező lesz alkalmazni az új előírásokat. A vállalkozások kétharmada már nem is törekszik erre: 62 százalékuk arra készül, hogy egy olyan szintet érjen el, ami ha nem is felel meg mindenben az elvárásoknak, egy esetleges vizsgálat során már védhető helyzetet biztosít. Minden negyedik cég ennél is rosszabb eredményre számít. A hazai cégek pesszimizmusa különösen érthető, hiszen belső szabályokat kell módosítani, informatikai rendszereket kell átalakítani, úgy, hogy csupán az uniós rendeletet ismerik, az ennek alapján átdolgozott hazai jogszabályok megalkotásával azonban vészes késésben van a kormány és a törvényhozás - derül ki a jogászvilag.hu, illetve a lexology.com portálokon megjelent írásokból. A téma szakértői egyenesen egy vakrandi időpontjaként említik a május 25-i dátumot, ameddig minden jogszabálynak meg kellene születnie, sőt a cégeknek már az ágazatokra vonatkozó adatvédelmi előírásokat is be kellene építeniük szabályzataikba. A kormányportálon azonban se híre, se hamva még a tervezeteknek sem, így legkorábban márciusban születhet valamiféle tűzoltásjelleggel összehozott salátatörvény.

Az új szabályozás célja a személyes adatok és a magánszféra védelme, ezért az egész EU-ban egységes, szigorú követelményeket ír elő a személyes adatok kezelésére és tárolására, hatálya pedig kiterjed minden, az unió területén működő cégre és vállalkozásra. A magyar szabályozásban vélhetően nem lesznek drasztikus változások, hiszen az infótörvény eddig is a legszigorúbbak közé tartozott az unióban. Gondot jelent az is, hogy a vállalkozások egy része a jelenlegi előírásokkal sincsen tisztában.

Az új szabályok alkalmazásáig kevesebb mint 5 hónap maradt, holott a felkészüléshez még optimális esetben is 6-8 hónapra volna szükség. A Deloitte tapasztalatai szerint a több százezer, vagy még több ügyféllel rendelkező közmű- és távközlési szolgáltatók, pénzintézetek esetében a felkészülés akár 12 hónapot is igénybe vehet. A hazai cégek általában jogi, vagy informatikai projektként tekintenek erre, pedig jóval összetettebb feladatról van szó. Márkus Csaba, a Deloitte adó- és jogi osztályának partnere rámutatott: a legtöbb cégnél megdöbbennek azon, hogy az új előírások a vállalati funkciók milyen széles körét érintik. Az információbiztonság és a jog mellett a GDPR befolyásolja az üzemeltetést, de még az olyan külső szereplőkkel való kapcsolatot is, mint az őrző-védő szolgáltatás, vagy a takarítás.

A szükséges változtatások komoly informatikai fejlesztéseket is igényelhetnek. A felejtéshez való jog, vagyis az ügyfélről tárolt minden személyes adat törlésének megfelelés például ilyen terület lehet. Ráadásul a megkérdezett társaságok 64 százalékának ugyanakkor becslése sincs arra vonatkozóan: a jövőben ez mekkora feladatot jelent számára.

Egy másik ilyen elvárás az adattakarékosság elve. A kérdés itt az, hogyan tudja alátámasztani egy társaság, hogy az adatok ténylegesen szükségesek arra a célra, amire kérte a hozzájárulást az ügyfelétől. Kivált, hogy olykor cégen belül is küzdeni kell azért, hogy bizonyos információkat tényleg csak azok kapjanak meg, akik érdemi munkát végeznek velük. Sok vállalatnál ezért a gondolkodásmódot is át kell formálni – jegyezte meg Márkus Csaba. Hozzátette: egy esetleges vizsgálat során a cégeknek kell bizonyítaniuk, hogy mindenben megfeleltek a GDPR előírásainak. Ha ez nem sikerül, komoly büntetésre számíthatnak, aminek felső határa 20 millió euró, vagy az előző éves globális árbevétel 4 százaléka lehet.

Persze úgy nehéz felkészülni, ha nem ismerjük a szabályokat. Márpedig az RSM novemberi európai felmérése szerint a középvállalatok csaknem harmada nincs is tisztában azokkal az uniós előírásokkal, amelyeknek alig öt hónap múlva meg kellene felelnie. A társaságok több mint fele a szabályozást túl bonyolultnak tartja a kis- és középvállalkozások számára. Négy cégvezetőből egy úgy látja: egyáltalán nem ismeri a szabályozás részleteit, és azt sem, mindez milyen feladatokat ró cégére, miben kell változtatniuk rendszereiken, adatkezelésükben.

Szűcs Bálint, ügyvéd, az RSM Legal partnere szerint a magyar középvállalatok körében is nagyon kevés az a cég, amelyik nyugodt szívvel várhatja a közelgő május 25-i határidőt. Fontos ugyanakkor megérteni a szabályozást és elkezdeni a felkészülést, mert a személyes adatok védelme érdekében a cég működésének teljes átvilágítására szükség van, ez pedig nem egy egyszerűen kipipálható feladat. A GDPR-rendelet alapján alkalmazható bírság összege viszont valóban fenyegető nagyságú, amely érzékenyen érintheti a cégeket.

Költséges az átállás
Jelentős azon társaságok aránya, ahol csökkentik a kiadásokat az adatvédelmi szabályozás miatt. Az European Business Awards pályázatra jelentkező cégek körében végzett felmérés szerint emiatt csúszik a cégek 23 százalékánál az innováció, az új termékek bevezetése, 22 százaléknál a nemzetközi terjeszkedési tervekből vettek vissza.
A felkészülést már megkezdő cégek csaknem felel úgy látja, az előírások miatt növekednek a költségei. A Deloitte kutatása viszont arra is rámutatott, hogy bár a GDPR-ra való felkészülés jelentős ráfordításokat igényel, előnyökkel is járhat. A megkérdezett társaságok 61 százaléka számít arra, hogy a személyes adatok kezelésének új szintre emelése üzleti előnyöket hoz majd.