A cégeknek jobban kell védeniük a személyes adatokat

A cégek döntően még nem készültek fel arra, hogy megfeleljenek a jövő májusban életbe lépő általános adatvédelmi rendelet (General Data Protection Regulation, GDPR) előírásainak – mondta Zala Mihály, az EY Kibervédelmi Szolgáltatások igazgatója egy keddi sajtóbeszélgetésen. Az új jogszabály fókuszában a személyes adatok kezelése, védelme áll. Ezt tehát minden vállalkozásnak – a három főt és a kétszázezer alkalmazottat foglalkoztatónak is – garantálnia kell.

A kisebb cégeknél, vagyis ahol kevesebb adat védelmét kell biztosítani, ez kisebb feladvány lesz. A nagyobb cégek felkészülése azonban hónapokat, akár egy fél évet is igénybe vehet, vagyis ha valamely vállalkozás 2017 februárjában kezdi el a jogi, műszaki felkészülést, akkor a májusi határidőre biztos nem tud eleget tenni az elvárásoknak. A vállalkozások túlnyomó többsége kénytelen lesz igénybe venni valamilyen külső segítséget az átálláshoz, vagyis a jogszabályi megfelelés pénzbe fog kerülni, de a befektetés a kiszabható bírság összegénél várhatón kevesebb lesz. Márpedig a vállalkozások súlyos bírságra számíthatnak, ennek mértéke a társaság teljes éves árbevételének négy százaléka, legfeljebb húszmillió euró.

A Nemzeti Adatvédelmi és Információszabadság Hatóság ugyanis vizsgálatot folytathat a cégeknél, és ha ennek során kiderülnek a hiányosságok, akkor a vállalkozások megbírságolhatóak, de egy adatvédelmi incidens kapcsán is fény derülhet a mulasztásra, és ilyenkor is büntetést kaphatnak a cégek. Az új jogszabály alapján például minden adatvédelmi incidenst jelenteni kell a hatóságnak, és az uniós rendelet alapján mindenkinek, például a webes áruházakat üzemeltetőknek fel kell kínálniuk azt a lehetőséget, hogy az ügyfél töröltethesse a náluk keletkezett adatokat. A jogszabály tehát minden cégre vonatkozik, a webáruházakat üzemeltetőkön át a bankokon keresztül a biztonsági cégekig – ez utóbbiak köréből is kiemelkednek a beléptetőrendszereket működtetők, hisz egyre nagyobb hangsúlyt kap a sportbiztonság.