A május 25-én hatályba lépő egységes európai adatvédelmi rendelet (GDPR) különösen érzékenyen érintheti az érintett vállalkozásokat, mivel a bírság akár 20 millió euró (6,2 milliárd forint) is lehet – hívta fel a figyelmet a nemzetközi adótanácsadó és könyvvizsgáló Crowe FST.

A tervek szerint május 25-én hatályba lépő egységes európai adatvédelmi rendelet (GDPR) különösen védendő kategóriába helyezi a természetes személyekhez kapcsolódó személyes adatokat, így akár rendkívül súlyos büntetést is kiszabhat a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) azoknak a cégeknek, amelyek nem teremtik meg a megfelelő szintű biztonsági hátteret. Személyes adatnak számít a név, a születési adatok, a lakcím, a telefonszám és az e-mail cím. (Utóbbi kapcsán ugyanakkor konkrét személyhez nem köthető cím – pl. „info” kezdetű – nem minősül személyes adatnak.)

Az eddigi folyamatokhoz képest garantálnia kell az érintett cégnek, hogy illetéktelenek ne férhessenek hozzá a rendszerekhez, valamint azt is, hogy a regisztráltak megfelelő tájékoztatás után adták a hozzájárulásukat az adataik kezeléséhez – hívta fel a figyelmet Mitrik Kornélia. Crowe FST bérszámfejtési és expat szolgáltatások igazgatója hozzátette: nagyon fontos, hogy az érintett vállalkozás mindent naplózzon és dokumentáljon, ellenkező esetben akár hatmilliárd forintnyi, vagy az éves árbevételének 4 százalékát is kitevő bírságra számíthat a cég. Az IT fejlesztőknek és informatikusoknak azt is meg kell oldaniuk, hogy az ügyfelek adatai törölhetők legyenek – hangsúlyozta a Crowe FST szakértője. Mitrik Kornélia szerint a jogszerű és átlátható adatkezelést, és a kezelt adat tulajdonosának hozzájárulását is mindenképpen tudnia kell bizonyítani a cég munkatársainak.

A rendeletet továbbá minden olyan vállalkozásnak is figyelembe kell vennie, amely működtet bármilyen marketing célú adatbázist, mivel csak abban az esetben lehet tárolni személyes adatokat, ha megtörtént a hozzájárulás az illetőtől; továbbá egy toborzó cég esetében a toborzást követően meg kell semmisíteni a pályázóktól beérkező adatokat, kivéve, ha azok további kezeléséhez a pályázó kifejezetten hozzájárul.

Mivel a személyes adat szinte bármi lehet, ami alapján egy adott személy beazonosítható, így például a nagy irodaházak portáin elkért/tárolt adatok tekintetében is szükséges lesz az adatvédelmi szabályzat és az érkezők hozzájárulása az adataik (pl. név, személyi igazolványszám, aláírás) tárolásához.

(Napi Turizmus)