Szigorú szabályok szerint kell kezelniük ezentúl a vállalatoknak az ügyfelek, a potenciális ügyfelek és az alkalmazottak személyes adatait. A kis- és középvállalkozások tömegei felkészületlenek a változásra.

Május 25-én életbe lép a Közös Európai Adatvédelmi Rendelet (GDPR), amely azt szabályozza, hogy kell a cégeknek kezelniük a magánszemélyek személyes jellegű adatait, beleértve az ügyfeleikét és a munkatársaikét is. A valamennyi uniós tagállamra érvényes jogszabály értelmében személyes adatnak minősül a név, lakcím, e-mail cím, telefonszám, IP cím, személyi szám, igazolvány szám, fénykép, életkor, nemi identitás, vallás, szexuális beállítottság, iskolai végzettség, bér összege, munkahelyi pozíció, egészségi állapot stb.

A GDPR előírja, hogy valamennyi cégnél lennie kell egy adatvédelmi felelősnek, illetve belső adatkezelési szabályokat kell felállítani. A rendeletnek olyan, a vállalatok működését érintő következményei vannak, amelyekre rengeteg cégvezető valószínűleg nem is gondol. Így például május 25-t követően tilos lesz személyes adatokat tárolni olyan számítógépen, amelyhez bárki hozzáférhet, illetve a munkaszerződéseket, sőt az alkalmazottak betegszabadságos papírjait is zár alatt kell majd tartani.

A rendeletnek vannak nehezen értelmezhető kitételei is, mint például az, hogy az adatkezelők szóbeli hozzájárulást kérhetnek az érintettektől személyes adataik kezeléséről, ám az illetékes hatóság felé bizonyítaniuk kell, hogy rendelkeznek ilyen jóváhagyással, ami ez esetben szinte lehetetlen. A szabályozás elképesztően szigorú szankciókat ír elő, amelyek összege a vétkes cég éves árbevételének 2 százalékáig mehet el, súlyos kihágások, illetve visszaesők esetén pedig a 4 százalékot is elérheti a bírság.

„Fölösleges terhet ró a vállalatokra”

Az adatvédelmi szakemberek a szokásos kincstári bölcsességeket puffogtatják az új szabályozás kapcsán, mint például: „ezt jó megcsinálni”, „a GDPR egy jó lehetőség az ügyfelekkel való kapcsolatépítésre” vagy „használják a GDRP-t arra, hogy rendet rakjanak az üzleti folyamatokban és az informatikai rendszerekben”. A valóság ezzel szemben az, hogy a kis- és középvállalkozások tömegei számára az új jogszabály púp a hátukon, a versenyszférában annak szinte kizárólagos haszonélvezői az adatvédelmi cégek.

„A GDPR fölösleges terhet ró a vállalatokra” – véli Páll Tibor, a Csíki Vállalkozók Egyesületének alelnöke, hozzátéve, hogy nehezen érthető ez a szigorított adatvédelem, figyelembe véve, hogy az általános exhibicionizmus korában élünk, amikor az emberek intim információk tömegét osztják meg magukról a közösségi médiában. A vállalkozó szerint a GDPR támadhatóvá teszi a cégeket, ami probléma egy olyan országban, mint Románia, ahol bevett gyakorlat, hogy büntetések címén az állam pénzeket akaszt le a vállalkozásokról.

Páll Tibor cégénél már hozzáláttak a rendelet gyakorlatba ültetéséhez, első lépésként feltettek a honlapra egy részletes adatvédelmi tájékoztatót. „Ez az, amit aztán úgysem olvas el senki, én magam sem szoktam” – mondta a vállalkozó. Egy másik, székelyföldi regionális vállalkozói szervezet elnöke bevallotta, nem is hallott a GDPR-ról, de köszönte szépen az információt, mondván, utána fog nézni a dolognak.

Tarthatatlan a határidő

„A vállalatok 50 százaléka nem lesz GDPR-kész az év végéig, és ez az optimista forgatókönyv. Egyes tanulmányok szerint a cégek 80 százaléka nem fog megfelelni az európai adatvédelmi előírásoknak” – nyilatkozta a közelmúltban Adrian Locusteanu, a Telekom Románia egyik topmenedzsre. A kis- és középvállalkozások tízezrei abban reménykedhetnek, hogy mivel az országos adatvédelmi hatóságnak összesen 50 alkalmazottja van, nem lesz kapacitása, hogy őket vegzálja, valószínűleg csak a nagyvállalatokra száll majd rá. Meg abban, hogy Romániában az adatvédelmet is úgy kezelik majd, mint minden mást: tessék-lássék módon.

A rendelet teljes szövege magyar nyelven itt olvasható. Korábbi összefoglalónk a GDPR lényegesebb előírásairól itt tekinthető meg.