A legkülönfélébb dokumentumok, igazolványok másolását a GDPR-szabályszegések állatorvosi lovának is nevezhetnénk. Ahogy tapasztaljuk, talán nincs is olyan cég, vállalkozás, ahol elsősorban az új dolgozók belépése kapcsán az adminisztrátor ne szaladna előszeretettel egyből a fénymásolóhoz. Pedig a GDPR alapján ez az esetek többségben tilos! Mutatjuk, hogy az automatikus másolás miért probléma, illetve, hogy mi lehet a jó megoldás.
Két és félszeresére nőtt az új magyar GDPR-bírságrekord! A 250 millió forintos büntetést a Budapest Bankra szabta ki NAIH. Egyben ez az első ítélet, amelyet érzelmeket is tesztelő, viselkedésalapú mesterséges intelligencia jogszerűtlen felhasználása miatt hozott meg a hatóság.
A bevezetése óta eltelt négy év, a Dunát rekesztő mennyiségű információ, a hatalmas bírságok nyilvánossága okán egyre jobban csodálkozunk rajta, de még mindig hallunk olyan GDPR félreértésekről, amelyek indokolttá teszik, hogy az öt leggyakoribbat újra csokorba gyűjtsük – és gyorsan eloszlassuk. (Korábban készítettünk már egy részletesebb cikket is e témakörben, ezúttal főként az ismételt figyelemfelhívás és a rövid, gyakorlati magyarázat a célunk.) Se megszokásból, se kényelemből Ön – se a cége – ne dőljön be ezeknek, vagy ezek miatt; sőt, higgye el, az adatvédelmi megfeleltetés okán alaposan újra feltérképezett és -értékelt teljes vállalati folyamat az egész üzletmenetre jótékony hatást gyakorol majd!
Blogunk legutóbbi GDPR-minisorozatát folytatva az adatvédelmi hatásvizsgálat, illetve incidens témakörei után most egy mindkettőhöz szorosan kapcsolódó területet járunk részletesebben is körbe, ez pedig az érdekmérlegelési teszt. És azért érdemes vele kiemelten foglalkozni, mert a hatósági vizsgálatok egyik első dokumentuma, sőt, a bírságok kiszabásánál is kulcsszerepet játszhat a helyes kivitelezése, netán a hiánya.
A GDPR-megfelelés során számos hétköznapi nehézségbe botlanak az adatkezelők; ezek közül is talán a legnagyobb és leggyakoribb kihívás a tökéletes megfelelés az adattárolási, főként -törlési előírásoknak. Nem csoda, ha a legtöbb hiányosságra is itt bukkan az ellenőrző hatóság – amit a bírságok is pontosan visszaigazolnak. Az alábbiakban a törlés szabályos és szakszerű menetével kapcsolatos kötelezettségeket, teendőket járjuk körbe bővebben is.
Bár az európai adatvédelmi rendelet – ma már mindenki(?) kívülről fújja: GDPR – éppen egy olimpiai ciklust ért meg, mégsem gondolnánk, hogy már minden egyes vállalkozás sportot űzne az alkalmazásából. A többség persze szabálykövető, sőt, már azt is belátta, hogy maga a megfeleltetési folyamat is számos járulékos haszonnal járhat a cég számára. Most elsősorban azokhoz szólunk, akik még csak a rajtvonalnál sorakoznak – hogy ha már így kezdtük, sportos hasonlattal kerekítsük is ki a bevezetőt.
Előző blogcikkünkben az adatvédelmi incidensekkel foglalkoztunk bővebben; most, mondhatjuk a sor végéről egy nagy ugrással a legelejére kanyarodunk vissza. Azt tekintjük át, hogy még az adatkezelés megkezdése előtt miért lehet szükség adatvédelmi hatásvizsgálatra, egyáltalán mi fán terem, milyen szempontok alapján kell elvégezni, és hogyan kapcsolódik hozzá az érdekmérlegelési teszt kötelezettsége.
Adatvédelmi incidens a legjobb szándék és a legnagyobb odafigyelés mellett is előfordulhat. Lehetséges, hogy adatkezelőként mi magunk hibázunk, de válhatunk akár véletlen adatvesztés vagy kimondottan szándékos támadás, jogosulatlan felhasználás áldozatává is. Bármilyen adatvédelmi incidensről beszéljünk is, az esetleges veszélyelhárítás után a következő fontos lépés, hogy a kockázat függvényében mielőbb értesítsük erről a hatóságot is. Az alábbiakban rövid jogismertetés mellett konkrét példákon mutatjuk be, mikor szükséges, és mikor nélkülözhető a NAIH tájékoztatása.
Akár gyártunk, akár értékesítünk egy terméket, akár szolgáltatóként keressük ügyfeleink kegyeit, ma már szinte biztos, hogy ezt weblapunkon is hírül adjuk. Mi több, szeretnénk őket többször is visszacsábítani, információinkat, ajánlatainkat célzottan, akár névre szólóan is eljuttatni hozzájuk. Ennek érdekében követőket, feliratkozókat gyűjtünk, hír- és DM-leveleket küldünk. Nagyon gyakran megfeledkezve mindennek a jogszerű menetéről – miközben eredetileg maga a GDPR-rendelet is éppen e terület, a kéretlen reklámok már zavaró elburjánzásának visszaszorítása, szabályozása érdekében is született meg. Alábbi 5 tanácsunk megfogadásával ön is jelesre vizsgázhat internetes adatvédelemből – de ha mégis maradnának további kérdései, szakavatott kollégáink személyesen is készséggel segítenek a paragrafusok közötti eligazodásban.
Az Általános Adatvédelmi Rendelet (GDPR) alkalmazása során az egyik leggyakrabban érintett terület a cookie kezelés, mely bár nem újdonság – a rendelet 2018-as megjelenésekor a felugró sütitájékoztatók a legszembetűnőbb változást hozták a weboldalakon – tapasztalataink szerint sok esetben még mindig helytelenül alkalmazzák. Egyik, a témával foglalkozó korábban megjelent kiadványunkat most megújítottuk, és továbbra is díjmentesen kínáljuk az érdeklődők számára!
