Vészesen közeledik a GDPR két éves felkészülési határidőnek és az éles üzem kezdetének a határideje, azaz 2018.május. 25. Hogy hol tartanak a magyarországi cégek, arról saját tanulmányában a TMSI Kft gondolkodott, akik elkészítették az ország első GDPR adatkezelési körkép felmérésüket, ami részletesen kitér azokra az adatvédelmi területekre, ahol javulnia kell a cégeknek.
A TMSI Kft. ebben a felmérésben arra kereste a választ, hogy a hazai cégek és szervezetek néhány hónappal a GDPR rendelet alkalmazása előtt mennyire felelnek meg a rendelet elvárásainak.
Hatalmas probléma az adatkezelési nyilatkozat hiánya
A magyarországi infótörvény már évek óta kötelező tartalmi elemként nevezi meg az adatkezelési nyilatkozat- adatvédelmi tájékoztató meglétét a honlapon. Pontosan ugyanolyan fontos tartalmi elem, mint az impresszum. Ehhez képest a felmérésben részt vevő vállalkozások közül
- a multik 7%-ának
- az állami intézmények 40%-ának
- a magyar tulajdonú cégek 53%-ának
nem volt elérhető a honlapjukon ez a tájékoztató. Külön érdekes megemlíteni, hogy mindezt egy olyan piaci szabályozás esetében, ami már most is az egyik legszigorúbb feltételeket támasztja Európában. Sok szakértő szerint a magyar szabályok annyira szigorúak voltak, hogy akik eddig megfeleltek, azoknak csak minimálisan kell dolgozniuk a saját GDPR megfelelőségükön.
Számít az adatkérésre való válaszadási idő – GDPR adatkezelési körkép
A TMSI munkatársai második lépésként tesztelték a kutatásban kiválasztott cégek válaszadási hajlandóságát és idejét, ami a személyes adatkezeléssel kapcsolatos. Az adatkérésre átlagosan 6.3 nap alatt tudtak a cégek reagálni.
A tanulmányból kiderül, hogy az állami intézmények, a magyar tulajdonú cégek illetve a multik esetében hány % nem volt hajlandó a kötelező érvényű adatkérésre reagálni. Márpedig ez pont egy olyan súlyos hiba a cégek részéről, mint a GDPR után már nem követhetnek el, hiszen minden érintetnek joga van a kezelt személyes adatok után információt kérni és azt módosítani.
A teljes GDPR adatvédelmi körkép itt érhető el
A KKV jogosan félnek a GDPR-tól, hiszen nagy általánosságban elmondható, hogy nem foglalkoznak az adatvédelmi biztonsággal
Szakértők megegyeznek abban, az alapvető probléma a KKV-k esetében, hogy az évek óta hatályos magyarországi törvényeknek sem képesek/nem akarnak teljes mértékben megfelelni. Mondhatni félvállról veszik az egész adatvédelmet.
Az elmúlt két-három hónapban viszont a szűkös határidőre reagálva a cégek elkezdtek „felébredni” és aggódni a jövő miatt. Mivel a legtöbb KKV képtelen saját maga felmérni és kivitelezni a GDPR előírásait, ezért keresnek egy szakértőt.
A szakértőkről jelen esetben két dolog mondható el:
- túlterheltek
- nagyon drágák
Nagyon sok vállalkozó ismerősöm számol be arról, hogy GDPR szakértőtől kapott egy 2-3-400 000 forintos árajánlatot, miközben egy aprócska mikrovállalkozást vezet, ami képtelen kitermelni ilyen horderejű összeget egy törvényi megfelelés miatt.
GDPR felkészülési készlet lehet a megoldás a KKV-k 90%-ának?
Sokat gondolkoztam azon, hogy a GDPR-t miért próbálják meg egyéni megoldásként kezelni, miközben a KKV-k 90%-ának elég lenne ugyanaz a konzervtudás?
Az egyértelmű, hogy azért 3-400 000 forint a GDPR felkészítés, mert minden esetben ki kell fizetni a GDPR szakértő idejét és tudását, ahogyan és amint belemerül a konkrét cég egyedi felépítésében, adottságaiban, működésébe.
Viszont a tanulmányt elolvasva találtam meg ezt az In Nuce GDPR konzervcsomagot, ami nem mást ígér, minthogy töredék áron egy komplett nyomtatvány és cselekvési terv csomagot ad át a megrendelőnek, aki ez alapján tökéletesen fel tud készülni a GDPR megfelelésre.
Mi ez?
– Egy olyan dokumentumgyűjtemény, ami jelentős mértékben lecsökkenti a GDPR felkészülésre fordítandó időt és költségeket.
Minden olyan dokumentum szerepel a csomagban, amit az EU rendelet előír?
– A rendelet nem írja, nem írhatja elő a különböző kötelező szabályzatok nevét, struktúráját, hiszen minden érintett szervezet más, méretében üzleti folyamataiban egyaránt. A tartalmi rész a fontos, azaz: kezeli-e az adott szervezet a GDPR rendelet különböző elvárásait. Azt, hogy ezt milyen struktúrában, melyik szabályzatban fogalmazza meg, az nem a rendelet kérdése. Természetesen vannak nevesített dokumentumok is a rendeletben (pl. az adatvédelmi hatásvizsgálat, adatkezelési tevékenységek nyilvántartása, a személyes adatok kezelésére vonatkozó információk és tájékoztatások (adatkezelési nyilatkozat), stb.). Ezekhez adunk mintát. – írja bemutatkozójában a cég
Bónusz cikk: Hogyan írjunk GDPR kompatibilis adatvédelmi tájékoztatót?
Tényleg büntetni fognak a GDPR miatt?
Hatalmas vita folyik ezen, hiszen a GDPR világosan kimondja, hogy innentől kezdve megfordul a bizonyítási eljárás: nem a hatóság bizonyítja, hogy valamit nem csináltál meg, hanem te bizonyítod be, hogy valamit megcsináltál. A valami jelen esetben pedig a személyes adatok maximális védelme. A hatóság innentől kezdve nem figyelmeztethet, hanem egyből bírságolhat.
A GDPR nem egy újabb pénzgyűjtő saláta törvény, amit majd lehet puhítani. Hiszen az alapvető elv a személyes adatok védelme és az online térbe belépő emberek maximális informálása, döntési helyzetbe hozása. A GDPR pontosan arról szól, hogy a látogatóknak minden esetben lehetőségük legyen megismerni az adatkezelés indokát, jogosultságát, feltételeit és a kezelt adatok „miértjeit”. Ráadásul a jövőben is bármikor rendelkezhessenek ezekről az adatokról, utólag módosíthassanak azokon.
A jövőben azok a cégek szereznek versenyelőnyt, akik biztosítják ügyfeleiket a jogszerű és biztonságos adatkezelésükről. Szerintem senki nem szeretné a saját személyes adatait valami kuvaiti hackertámadás során viszontlátni az óceánon túl.
Sok sikert a GDPR felkészülésben!
