Adatvédelem felsőfokon

Bodor Tünde 2018.12.12 • 00:21 0

Miután sorozatunk előző részeiben tisztáztuk az Európai Unió 2018. május 25-től érvényes adatvédelmi rendeletének alapfogalmait és azokat a területeket, ahol alkalmazni szükséges, lássunk néhány szokványos hibát, amelyek a cégek gyakran elkövetnek a személyes adatokkal kapcsolatban.

Azt hiszik, rájuk nem vonatkozik az adatvédelmi rendelet (a továbbiakban GDPR)

A GDPR előírásai minden cégre vonatkoznak, attól függetlenül, hol vannak bejegyezve, amennyiben 250-nél több alkalmazottjuk van, és uniós polgárok adatait kezelik. A 250-nél kevesebb személyt foglalkoztató cégekre is vonatkozik, egyes megszorításokkal.

Nálam minden rendben

Meglehet, hogy magas fokú biztonsági stratégiája van. A GDPR viszont egy sor új jellemzőt vezet be, többletjogokat a magánszemélyekre vonatkozóan, bejelentési kötelezettséget adatvédelmi incidens esetén, nehezebben megszerezhető beleegyezést az adatkezelést illetően és sok mást. Újra át kell gondolnia teljes stratégiáját az új rendelet tükrében, hogy biztos lehessen a biztonságot illetően.

A rendelet csak egy újabb akadály, nem lehetőség

Bár érthető, ha a cégek fölösleges tehernek érzik a GDPR-t, van néhány szempont, amely miatt érdemes pozitívan viszonyulni. Felfoghatja úgy is, mintha rendet kellene tennie a házában. Tudni fogja, melyek az érzékeny adatok, hol vannak, ki fér hozzájuk, ki ismeri a rendszert. Így elkerülheti az adatvédelmi incidenseket, és a munkafolyamatok felgyorsulnak. Ha a rendeletet akadályként tálalja, a személyzet sem lelkesedik majd azért, hogy teljesítse a feltételeket.

Az érzékeny adatok elavult értelmezése

A rendelet korábbi tudásunkra apellálva fogalmaz az érzékeny adatokról. Egyes új érzékeny adatok is vannak: biometrikus adatok (mint az ujjlenyomat, arcmás, írisz képe, bioritmus, járáskép) genetikai adatok, politikai/vallási nézetek, IP-cím, szexuális irányultság, szakszervezethez tartozás, vagy bármi egyéb adat, amely alapján azonosítható a személy.

Hirdetés

Nem értik, milyen adatokat szabad tárolni és mit nem

Ha a rendeletben előírt módon gyűjtötte be a magánszemélyek adatat, minden további nélkül feldolgozhatja azokat. Ha azonban nem így történt, meg kell szerezni e személyek explicit jóváhagyását, és ezt a hatóságoknak is bizonyítani kell.

Nem alkalmaznak adatbiztost (ahol szükséges) (DPO-t)

A rendelethez való alkalmazkodás csapatmunkát kíván. Mégis szükséges, hogy valaki vállalja a felelősséget a rutinintézkedések alkalmazásáért. A DPO felel a rendelet naprakész alkalmazásáért, az alkalmazottak képzéséért e témában, és felel a személyzet kérdéseire.

Nem fedik le a különböző adattípusokat

Alapvetően háromféle adatot különböztetünk meg: strukturált, nem strukturált és web-adatok. Utóbbi kettő azonosítása nehezebb: különböző netes bejegyzések, fényképek, IP-címek, földrajzi helyek tartoznak ide. Ha az operátor nem tudja őket beazonosítani, kicsi az esélye, hogy a rendeletnek eleget tegyen. (Például ha csak részlegesen alkalmazza a GDPR előírásait, feldolgoz nevet, lakcímet, telefonszámot, e-mail- és IP-címet, közben pedig kamerával figyel meg egy bizonyos helységet. Védi az előzőekben felsorolt adatokat, de nem a videofelvételt és a IP-címet, amit a regisztrációs űrlapból vagy a cookie-beállításokból nyer)

Nem kérnek segítséget

A rendelet előírásainak tiszteletben tartása nem könnyű, de megsértésük komoly büntetéseket vonhat maga után. Ne habozzon egy tanácsadót megkeresni, hosszú távon megtérülhet a pillanatnyi többletkiadás. Ráadásul fel kell ismerni a rossz tanácsot és a rosszul megkötött szerződéseket is.

Nem tartják tiszteletben a „korlátolt célokra alkalmazás” elvét

Mint már említettük, a cégeknek biztosaknak kell lenniük a tekintetben, hogy a begyűjtött adatokat egy konkrét, explicit és törvényes cél érdekében dolgozzák fel, és csak a megengedett módon. Erről és a gyűjtés okáról a hatóságoknak is el kell számolniuk.

A rendeletet úgy kezelik, mint egyszeri kötelességet

Fontos az összképet látni. Az adatvédelem egy folyamat, folytonos kötelesség. A stratégiáját, a procedúrákat időnként frissíteni kell.

Nem törlik előírásszerűen az adatokat

Legtöbben nem törlik a begyűjtött adatmennyiségből a fölösleges, redundáns elemeket, hanem azokat archiválják arra az esetre, ha netalán később is szükség lenne rájuk. Ezektől pedig meg kell szabadulni a különböző szervezeteknek.

Nem tarthatjuk tiszteletben az adatvédelmi rendeletet, ha nem tudjuk, milyen jogokat garantál azon személyeknek, akiknek az adatait valaki begyűjti, kezeli. Ezért ezen jogok összegzésével zárjuk ezt a fejezetet, a későbbiekben pedig, ha még szükséges, részletezzük őket. Olvasóink e témában feltett kérdésekkel is fordulhatnak szerkesztőségünkhöz, vagy közvetlenül az adatvédelmi szakemberhez.