GDPR és ami mögötte van
Akár 20 millió eurós bírság? Sűrűsödő adatvédelmi hatósági vizsgálatok? Soha nem látott szigor az adatvédelemben? Az időben kapcsoló, és a felkészülést nem az utolsó percekre hagyó cégeket és HR vezetőket hónapok óta
Akár 20 millió eurós bírság? Sűrűsödő adatvédelmi hatósági vizsgálatok? Soha nem látott szigor az adatvédelemben? Az időben kapcsoló, és a felkészülést nem az utolsó percekre hagyó cégeket és HR vezetőket hónapok óta tartja lázban az Európai Unió mától kötelezően alkalmazandó Általános Adatvédelmi Rendelete (General Data Protection Regulation - GDPR). A következő pár bejegyzésünkben HR szemszögből ismertetjük a GDPR-ral kapcsolatos legfontosabb tudnivalókat. Mielőtt azonban az egyes részletszabályokra térnénk, szenteljünk néhány sort a GDPR voltaképpeni céljának is.
A bírságon túl – egységes szabályozás
Bár a magas bírságok kiszabásának lehetősége kétségtelenül jót tett a GDPR ismertségének, a rendelet meghozatala mögött húzódó jogalkotói szándék túlmutat ezeken a kedélyek borzolására alkalmas rendelkezéseken. A GDPR megalkotásával az EU az adatvédelmet a kiemelt figyelmet kapó területek közé emelte, és a közelmúlt adatvédelmi botrányait fényében aligha lehet többé kétséges, hogy ott is van a helye.
A mostanáig még tagállami szinten sok eltérést mutató adatvédelmi szabályozás helyett az új rendelet egységes alapelveket és szabályokat határoz meg, amelyek mától közvetlenül alkalmazandóak lesznek az egyes tagállamokban. Az egységes adatvédelmi szabályozás célja kettős: egyszerűbb igényérvényesítési lehetőség és kiszámíthatóság az EU-s magánszemélyeknek, egységes feltételek, és ezáltal nagyobb jogbiztonság a cégek számára.
Fontos továbbá azt is kiemelni, hogy a GDPR-t az EU-n kívüli országokban honos vállalatokra is alkalmazni kell, amennyiben azok EU-s magánszemélyek adatait kezelik.
Passzivitás vagy reaktivitás? Proaktivitás!
A cégekkel szemben elvárás, hogy az adatvédelem és az adatbiztonság szempontrendszere beépüljön azok mindennapi működésébe (ez az ún. „Privacy by Design”). Ennek megfelelően az új adatvédelmi rezsim körüli felhajtást a cégek nem tudhatják le annyival, hogy átpörgetik és felülvizsgálják a már meglévő adatkezelési szokásaikat és belső szabályzataikat. Ez a GDPR-ra való felkészülésnek csupán a szükséges, de nem elégséges feltétele. Már az egyes tevékenységek (pl. valamilyen új termék, szolgáltatás bevezetése) tervezésekor, és utána a teljes megvalósítás során figyelemmel kell lenni az adatvédelemre, és annak nem csak a jogi, hanem legalább annyira technikai, informatikai szempontjaira is.
Bírság: 20 millió – nem forint, euró
Mi sem jelezhetné jobban, hogy az adatvédelem a kiemelt területek közé emelkedik a GDPR hatályba lépésével, mint hogy jelentősen emelkedik a bírságmaximum. A plafon jelenleg 20 millió forint, míg a GDPR alapján 20 millió euró lesz vagy a világméretű forgalom 4 %-a. A kettő közül a nagyobb összeg lesz alkalmazandó.
Az egyes jogsértések esetén kiszabható bírságok tényleges összegéről a hatóságok az egész EU-ban egységes szempontok alapján döntenek majd. A döntés során figyelembe veszik a jogsértés szándékos vagy gondatlan jellegét, súlyát és időtartamát, a jogsértéssel érintett magánszemélyek számát, a bírságolandó cég által elkövetett korábbi jogsértéseket, a hatósággal való együttműködést (vagy éppen annak hiányát), a jogsértő által tanúsított kárenyhítést, illetve a bírsággal sújtandó cég adatvédelmi hátterét (azaz, hogy mennyi energiát fordított a megfelelő technikai és szervezési intézkedések megvalósítására).
Nagy a készülődés
A GDPR lehetőséget ad arra, hogy az adatkezelést végző cégeken a jelenleginél adatvédelmi szempontból sokkal transzparensebb működés lehessen számonkérhető. A tagállami hatóságok látványos készülődése is arra enged következtetni, hogy az adatvédelem kiemelt területté történő előléptetése nem ragad majd meg a – világos, vagy kevésbé világos – jogszabályi deklarációk szintjén, hanem az egyes tagállamok a rendelet betartatása és végrehajtása érdekében várhatóan komolyan fel is fognak majd lépni.
Készülődjünk hát mi is! A következő hetekben mi is sorra vesszük a GDPR-ral kapcsolatos, HR szempontból legfontosabb kérdéseket és teendőket.
Addig se feledjük azonban: a GDPR-ra való alapos felkészüléssel nem csak a magas bírságok előzhetőek meg. Biztosra vehetjük, hogy az adatvédelem területén az üzleti partnerek, ügyfelek és a munkavállalók is egyre naprakészebb ismeretekkel rendelkeznek majd, ezért azok a cégek, akik a működésük során a gyakorlatban is kellő figyelmet szentelnek ennek a kérdéskörnek, versenyelőnyt kovácsolhatnak az adatvédelemből, és nem csak a tevékenységük piacán, hanem a munkaerőpiacon is.
Kötetlen stílusban munkajogról, HR-eseknek Oláh Zsófia, ügyvéd évek óta látja el munkajogi tanácsokkal cégek HR-eseit komplex projektjeik és mindennapi problémáik kapcsán. Zsófia az új generációs OPL Ügyvédi Irodánál dolgozik.
