Hírek

GDPR: bejelentem az incidenst, és fizetek, vagy sunnyogok?

Forrás: piacesprofit.hu

Korlátozni kell a hozzáféréseket az ügyfelek személyes adataihoz a munkatársak körében. Lejárt annak az ideje, amikor mindenki bányászhatott a cégnél mindenféle belső adatbázisban. Az adatfeldolgozó alvállalkozókkal való viszonyt is szerződésben kell szabályozni. Többféle módszerrel is védekezhetünk a nagy bírságok veszélye ellen.

„Ennek a rendeletnek megfelelni nem lehet, vannak jogi anomáliák benne, amiknek nem lehet megfelelni” – mondta Sándor Zsolt András, a Gill & Murry Kft. ügyvezetője a Piac & Profit GDPR – finisben című konferenciáján 2018 áprilisában.

A bírság mértéke

A Magyarországon 2018. május 25-től életbe lépő uniós adatvédelmi irányelv (GDPR)  „a hatóságoknak nagyobb autoritást ad a kezükbe” – vélekedett Czinege Balázs, a Crosssec Solutions Kft kontrollerje, GDPR Managerje. A törvény betartatásáért felelős és a szankcionálást felügyelő adatvédelmi biztosnak, Péterfalvi Attilának „nem lesz meg az a jogosítványa, hogy kétszer figyelmeztet, hanem súlyos adatincidensnél azonnal bírságolnia kell” – mondta Kiss Viktor, a Dr. Risk Kft. ügyvezető igazgatója. „Tervben van, hogy egységesek legyenek a büntetési tételek” – mondta Czinege Balázs. A bírság súlyozása várhatóan a következő szempontok szerint fog történni:

  • Szándékosan, tudatosan követték-e el az adatvédelmi vétséget?
  • Tudja-e bizonyítani, hogy mindent megtett a jogszerű adatkezelésért?

Hatékony megoldás tud lenni, ha tanúsító céghez fordulunk. „Ugyanis ha a vállalkozásunk igazolni tudja tanúsítvánnyal, hogy mindent megtett a törvényi előírások betartása érdekében, akkor nagy valószínűséggel a bírság mértéke a töredékére csökkenhet” – vélekedett Kelemen Viktor, a Bureau Veritas ügyvezetője.

Mi fizetünk az alvállalkozó mulasztásáért is

A sajtó természetesen meglovagolta az elmúlt hónapokban, hogy súlyos adatvédelmi incidensnél a bírság az éves árbevétel 2 százaléka is lehet, s ez a nagy világvállalatoknál óriási összeg.

Ha az alvállalkozó – például egy könyvelő vagy bérszámfejtő cég – kiszivárogtat adatokat, akkor is „az a cég kapja a bírságot, amelynek bedolgozik a gondatlan adatfeldolgozó” – mondta Czinege Balázs.

Dr. Kovács Zoltán Balázs, a Szecskay Ügyvédi Iroda partnere azonban másképp látja ezt. Szerinte „adatfeldolgozókat is fognak bírságolni”. Az adatfeldolgozó nem juthat csak úgy hozzá a személyes adatokhoz, alvállalkozóként „adatfeldolgozási szerződést kell kötnie az adatkezelővel” – mondta dr. Horváth Katalin, a Sár és Társai Ügyvédi Iroda ügyvédje.

Sokféle cég minősül kiszervezett adatfeldolgozónak, például az, amelyik IT-támogatást, a követelésbehajtást, PR-ügynökségi munkát, hírlevélkiküldést, webhostingot vagy könyvelést végez.

Az ügyfél is megbüntethet minket

A céges ügyfelünknek is fizethetünk, ha olyan szerződésünk van vele, hogy követelhet rajtunk kártérítést a személyes adatok kezelésében történt adatvédelmi incidensért. „Nem biztos, hogy onnan jön az első pofon, hogy Péterfalvi kirohan, hanem hogy az ügyfél mit mond, kell-e neki szerződésszegésért kártérítést fizetnünk” – mondta Babos János, a Process Solutions ügyvezető partnere, aki konferencia-előadásában bevallotta, hogy cége már a GDPR életbe lépése előtt is kénytelen volt pénzt fizetni egyik ügyfelének egy ilyen ügyben.

Sok minden számít adatvédelmi incidensnek

Az adatvédelmi incidens lehet külső támadás, belső (szándékolatlan) hiba vagy belső munkatárs rosszindulatú magatartása (szándékos kiszivárogtatás). „Magyarország az EU-országokban utolsó helyen van az IT-biztonság tekintetében. A GDPR minden bizonnyal felhúz minket a középmezőnybe” – adott hangot optimizmusának Kiss Viktor.

Korlátozott jogosultságok és hozzáférések

„Gyakori hiba, hogy túl széles körben adnak hozzáférést adatokhoz, olyan munkatársaknak is, akiknek a munkavégzéséhez azok az adatok nem szükségesek” – mondta dr. Kovács Zoltán Balázs, a Szecskay Ügyvédi Iroda partnere. Az adatvédelmi incidensek kockázatának és előfordulásának csökkentése érdekében mindenképpen célszerű korlátozni a hozzáféréseket. A munkahelyen ne férjen mindenki hozzá mindenhez. „A minimális jogosultságelv alapján kell kiosztani a hozzáféréseket és beléptetéseket – mondta Kuti Anita, a p2m Informatika Kft. információbiztonsági szakértője. – Aki nem CRM-es és értékesítési munkatárs, az ne bányásszon a CRM-rendszerben.”

SSL-tanúsítvány

Azoknál a honlapoknál, melyek rendelkeznek SSL-tanúsítvánnyal, az url link https-sel kezdődik (nem http-vel), s „az adatforgalom és kommunikáció titkosított csatornán keresztül történik – mondta Bende Kata, a ZK Design szakértője. – Jellemzően egyéves a lejárati idő, utána meg kell újítani”. A SSL etalonná válik, s keresőoptimalizálás szempontjából is fontos, hiszen az ezzel nem rendelkező oldalakat 2017 októberétől hátrébb sorolja a Google a keresési találatoknál, aminek „konverziócsökkentő vagy kosárelhagyó hatása is van” – tette hozzá Bende.

Cégvezetői mérlegelés: sunnyogok vagy nem?

Vélhetően sokan magukhoz ragadják majd annak mérlegelését, hogy szükséges-e az adatvédelmi incidenst jelenteni. „Cégvezetőként elvárom, hogy az IT-munkatárs először nekem jelentse, ha adatvédelmi incidens történt, ne a hatóságnak, és én eldöntöm, hogy jelentem-e a hatóságnak vagy nem, és inkább megpróbálok sunnyogni. Ez  üzleti kockázat lesz” – mondta Sándor Zsolt András.