2018. május 25. ‒ ez az a határidő, amelytől az Európai Unió minden tagállamában működő minden szervezet számára hatályba lép a GDPR, vagyis az Európai Unió Adatvédelmi Rendelete, amely ettől a naptól közvetlenül alkalmazandó lesz az EU minden tagállamában, tehát külön helyi harmonizációra nem lesz szükség.
Olvasva a különböző cikkeket, keresgélve az interneten, és látva a különbséget a magyar és más EU tagállamok aktivitása között feltételezhetően a magyar szervezetek, és vállalkozások most is, mint általában már komoly késésben vannak a GDPR megfelelőséggel kapcsolatos munka megtervezésében, és a szükséges lépések megtételében.
Pedig...
Ha a szervezet nem tudja biztosítani azt, hogy üzletpolitikájának és napi gyakorlatának sarokköve a jó adatvédelem legyen, akkor olyan események bekövetkezésére hagy teret a szervezetben, amelyek károsíthatják a jó hírnevét, de akár az üzleti eredményességét is. A GDPR-ben megfogalmazott szabályozás azonban nem csak fenyegetéseket jelenthet, hanem lehetőségeket is nyújt: amennyiben megfelelően hajtja végre a szervezet az adatvédelmi feladatait, ez tényleges üzleti hasznot is eredményezhet számára.
A GDPR bevezetésével bírság és kártérítés kiszabására kell számítania azoknak a vállalatoknak, amelyek nem felelnek meg a rendelet előírásainak ‒ kártérítés és bírság 20 millió euróig vagy a vállalkozás globális árbevételének 4%-áig vethető ki.
Az adatkezelőkre vagy adatfeldolgozókra vonatkozó rendelkezések megsértéséért maximálisan 10 millió euró vagy a vállalkozás globális árbevétel 2%-ának megfelelő mértékű bírság szabható ki (a kettő közül a magasabb érvényes).
Az adatkezelés (pl. hozzájárulás), az adatkezelt ügyfél jogainak, illetve a jóváhagyott adattovábbítási mechanizmusok alapelveinek megsértéséért maximálisan 20 millió euró vagy a vállalkozás globális árbevétele 4%-ának megfelelő mértékű bírság szabható ki (a kettő közül a magasabb érvényes).
Jóllehet e hatalmas bírságok kiszabása valós fenyegetés, rövid távon nem számítunk ilyen mértékű büntetésekre. Azok a vállalatok, amelyek nagy mennyiségű személyes adatot kezelnek, számíthatnak viszont arra, hogy az adatvédelmi hatóság az elsők között fogja felkeresni őket annak érdekében, hogy megbizonyosodjon a GDPR követelményeinek való megfelelőségről.
Annak érdekében, hogy egy esetleges bírság kivetését elkerülje, elengedhetetlenül fontos annak biztosítása, hogy a vállalat szervezeti szintű működése megfeleljen a GDPR követelményeinek, és rendelkezzen mindazon dokumentációval (pl. adatvédelmi hatásvizsgálat, adatvédelmi incidensek dokumentációja, érintettek hozzájárulása stb.), amellyel a megfelelőséget a hatóság előtt alá is tudja támasztani.
A következő hetekben minisorozatunkban kicsit részletesebben foglalkozunk az új rendelet hatásaival, például:
- Hogyan érinti az adatvédelmi reform a polgárok jogait?
- Milyen előnyökkel jár az uniós adatvédelmi reform a vállalkozások számára Európában?
- Hogyan fogja az uniós adatvédelmi reform egyszerűsíteni a meglévő szabályokat?
- Hogyan fogja az uniós adatvédelmi reform megkönnyíteni a nemzetközi együttműködést?
- Hogyan fogja az GDPR reformja az új technológiai fejleményekhez igazítani az adatvédelmi szabályokat?
- Hogyan érinti az adatvédelmi reform a közösségi hálózatokat?
- Az uniós adatvédelmi reform és a nagy adathalmazok (Big Data)