hirdetés
hirdetés
hirdetés

GDPR

Ne hagyd az önéletrajzokat az asztalodon!

Nem csak biztonságot, valódi adatvédelmet hoz a GDPR, hanem akár súlyos büntetést is, ha nem tartod be! Uniós adatvédelmi kisokos hr-eseknek, pár percben! 

Ahogy sok adatot, az állásra jelentkezők önéletrajzait is szabályozottabban érdemes kezelni, ha nem akarunk beleszaladni egy kellemetlen büntetésbe. Hiszen minden személyes adatot – így az önéletrajzokban lévőket is – érinti a GDPR, az új unós adatvédelmi rendelet, amely soha nem látott mértékben szabályozza a személyes adatok kezelésének módját az unióban. A rendelkezés már hatályban van, de  május 25-ig tart még a bevezetésére adott türelmi időszak, vagyis eddig maradt idő felkészülni. Tudva azt, hogy a személyes adatok kezelésének szabályozása nem minden cégnél volt eddig fókuszban, jelentős mennyiségű munkát adhat mindez például a hr-osztályoknak, ahol jellemzően nagy mennyiségben kezelnek személyes adatokat. Legalábbis akkor, ha szeretnének megfelelni az új előírásoknak...

Eddig elnézték, most büntetés járhat

Bár az adatkezelés rendje eddig is szabályozva volt, az ellenőrzés és főleg a szankcionálás kevésbé volt “határozott”. Májustól az eddigi gyakorlathoz képest számonkérhetőbbek lesznek a hibák, adatkezelési incidensek. Vagyis forintosítható veszteséget, büntetést kockáztat az a vállalat, amelyik nem gondolja át az új törvény szellemében a személyes adatok kezelésének gyakorlatát.

Pontosan mihez kell hozzájárulni?

A GDPR kimondja „az érintett hozzájárulása” szükséges, hogy adatainak kezelésére felhatalmazza a vállalatot. Ez eddig is így volt, azonban a törvény pontosította, hogy mit jelent „az érintett hozzájárulása”: ez pedig „az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”. Azaz nincs többé lehetőség általános adatkezelési felhatalmazásra a munkaszerződésekben, munkaügyi rendszerekben vagy lábjegyzetszerű, egymondatos belegyező nyilatkozatokra a hr-portálokon az adatkezelés kapcsán. A tájékoztatásnak egy adott adatfajta kezelésének konkrét módját kell leírnia. A korábbi “Hozzájárulok adataim munkaszerződés adminisztrációja keretében szükséges kezeléséhez” mondatot fel kell, váltsa például egy ehhez hasonló hosszabb, tételes leírás, például “Hozzájárulok személyes adataim kezeléséhez a következő célokra: bérszámfejtéshez szükséges adataim adatfeldolgozóhoz továbbításához és használatához (ha külső cég végzi a bérszámfejtést)”.

Jelenteni kell a hackertámadásokat

Újdonság, hogy amennyiben bármilyen adatvédelmi incidens történik egy vállalatnál, mind a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH), mind az érintetteket tájékoztatni kell. Ilyen incidens lehet például egy laptop vagy merevlemez eltulajdonítása, amelyen személyes adatok vagy például önéletrajzok voltak, súlyosabb esetben például egy hackertámadás, amelyben a munkavállalói adatbázis is érintve lehetett. Ezért a hr-adatokat tartalmazó digitális állományok kezelésének és tárolásának módját érdemes biztonságosabbá és átláthatóbbá tenni. A törvény szerint bejelentendő és akár szankcionálható adatvédelmi incidensek a következőek:

  • az adatok véletlen vagy jogellenes törlése, megsemmisülése,
  • az adatok véletlen vagy jogellenes elhagyása adathordozón,
  • az adatok véletlen vagy jogellenes módosítása,
  • az adatok jogosulatlan továbbítása,
  • az adatok jogosulatlan közzététele,
  • az adatokhoz történő jogosulatlan hozzáférés.

Szabadulj a papírtól, ha jót akarsz

Az új törvény alapján az is szankcionálható, ha a hozzáférési jogok szabályozatlanságára vezethető vissza egy adatvédelmi incidens, ugyanis a GDPR előírja, hogy “a cég alkalmazottai csak a számukra szükséges adatokhoz kell hozzáférjenek”. A rendelkezés a papíron tárolt adatokra is vonatkoznak, így könnyen belátható, hogy érdemes a digitalizáció felé fordulni, hiszen az adatok szabályozott kezelése papírdokumentumok esetén nehezebben, míg digitális környezetben könnyebben kontrollálható (pl. szervereken, fájlokhoz való hozzáférési jogosultságok szabályozásával; dokumentumok jelszavas levédésével).

Akár 20 millió eurós bírságok

Egy adatvédelmi incidens után a legsúlyosabb esetben a bírság akár a 20 millió eurót is elérheti. Bár nyilván az extrém büntetés nem lesz mindennapos, azonban arra lehet számítani, hogy egy-egy, eddig a vállalat berkein belül adatvédelmi baki – például adatok nyilvánosságra kerülése vagy törlődése – nagyobb eséllyel hozhat magával bírságot, mint eddig. A vállalati IT-rendszereket éppen ezért már most érdemes lehet felkészíteni, hogy biztonságosabban működjenek. Fontos biztosítani a helyreállíthatóságot, például a szerverek, merevlemezek rendszeres biztonsági mentésével vagy redundáns kialakítással, esetleg virtualizációval. A mobil adathordozók esetén pedig a titkosításra érdemes jobban figyelni, például kóddal nyitható pendrive-ot, erősen jelszavazott notebookot használni, valamint az asztali számítógép esetén javasolt a merevlemez titkosítása. Tökéletes biztonság nincs, de a tapasztalatink azt mutatják, hogy sok esetben a legalapvetőbb digitális védelmi intézkedéseket sem teszik meg a vállalatok. Ezen pedig érdemes lesz változtatni, legalábbis akkor, ha nem szeretnének kellemetlen helyzetbe kerülni május után sem…

 

 

Somkuti András , Docler Csoport elnök, NETLOCK ügyvezető
a szerző cikkei

hirdetés

Címkék

IRATKOZZON FEL
HÍRLEVELÜNKRE!

KÖVESSEN MINKET A FACEBOOKON!

hirdetés
ÉRDEKES HÍRE VAN? KÜLDJE EL NEKÜNK!
hirdetés

Célja, hogy díjazza a Magyarországon futó, munkáltatói tevékenységhez kötődő különféle kampányokat, kommunikációs aktivitásokat. Pontszerzés a Pr Toplistán! Nevezési határidő: augusztus 31.

Ismét HR konferencia: ez alkalommal a kékgalléros kihívásokat vesszük górcső alá. Save the date: szeptember 20.

Tervezzük meg együtt a munkavállalód élményét! Időpont: szeptember 28.

Coaching eszközök a gyakorlatban hr-eseknek, coaching szemléletű vezetőknek és coachoknak. Időpont: október 11., 09.00 - 16.00

Részletes program hamarosan! 2018. november 15.

hirdetés