MSZÉSZ-tájékoztató az adatvédelemről

Ezt állították a meghívott szakértők a Magyar Szállodák és Éttermek Szövetségének e témában január 16-án, a Novotel Budapest Cityben tartott tájékoztatóján.

Az Európai Unió általános adatvédelmi rendelete (GDPR-rendelet) 2016 májusa óta hatályban van, de csak kétéves felkészülési időszak után kell közvetlenül alkalmazni. A rendelet minden olyan szervezetre vonatkozik, amely természetes személyekhez kapcsolódó személyes adatot kezel (a jogi személyek kapcsolattartási adatai, pl. a céges telefonszám nem tartoznak ide), és szigorúbb, mint az eddigi szabályozás.

Bűncselekmény is lehet az adatok nem megfelelő kezelése

Az MSZÉSZ nagyszámú érdeklődőt vonzó rendezvényén dr. Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke kifejtette: a szállodáknak nem célszerű a jelenlegi adatvédelmi szabályzataikra támaszkodniuk és félvállról venniük az új szabályozásra való felkészülést, mivel az általuk gyakran kezelt különleges kategóriába tartozó, magasabb szintű védelmet igénylő adatok (ilyenek pl. a gyógyszállodákban is vezetett egészségügyi adatok vagy a szexuális orientációra utaló adatok) nem megfelelő kezelése akár bűncselekménynek is minősülhet.

A nagyobb szigorúságot jelképezi a bírságok ugrásszerű emelkedése is: míg jelenleg legfeljebb 20 millió forintos bírságot szabhat ki a magyar hatóság, addig május végétől ez akár 20 millió euró vagy az éves árbevétel 4%-a is lehet (a mikro-, kis- és középvállalkozásoknak könnyebbség, hogy a Kúria döntése alapján első ízben nem bírságolhatók). Az adatvédelmi ügyekben valószínűleg továbbra is eljáró Nemzeti Adatvédelmi és Információszabadság Hatóság (a Parlament egyelőre nem hozott döntést az eljáró hatóság kijelöléséről) szakértői stábja pedig hamarosan 40 fővel, mintegy a duplájára bővül.

A kijelölt hatóság jellemzően a magyar tulajdonban lévő adatkezelők ügyében fog eljárni, a külföldi tulajdonban lévő szervezetek ügyeit az adott külföldi hatóságoknak kell majd felajánlani kivizsgálásra.

Nagyon komolyan kell venni az adatvédelmet

Fotó: pixabay.com

A hatóság ellenőrzései többek között arra fognak irányulni, hogy az adatvédelmi dokumentumok megfelelnek-e a GDPR-szabályozásnak; mit tett a szervezet azért, hogy megfeleljenek; milyen adatok kezeléséről van szó, mi az adatkezelés jogalapja; erről milyen tájékoztatást adott az ügyfélnek a szervezet, a tájékoztatás megfelel-e a szabályoknak; az informatikai rendszer adatbiztonsága és az incidens-bejelentési rendszer megfelelő-e.

Az önkéntes alapon, ágazatok által is létrehozható magatartási kódexek jogszabályi erővel bírnak majd és jelentős segítséget nyújthatnak az adatkezelőknek. Péterfalvi Attila emellett javasolja adatvédelmi tisztviselők kijelölését is a szállodákban.

A Nemzeti Adatvédelmi és Információszabadság Hatóság honlapján több, a felkészülést segítő dokumentum, ajánlás található.

Kockázatos a kockás füzet

A szállodáknak a magas bírságok mellett más jogi kockázatokat is mérlegelniük kell a felkészülés során – mondta el előadásában dr. Gally Eszter, a szállodák felkészüléséhez több megoldást kínáló PricewaterhouseCoopers Könyvvizsgáló Kft. irodai tagja. Ilyen pl. a kártérítési felelősség vagy az adatkezeléstől történő eltiltás veszélye, ami az egész működést lehetetlenné teszi.

A szakértő arra is felhívta a figyelmet, hogy már az is adatkezelési műveletnek minősül, ha megkapjuk egy ügyfél személyes adatát, vagy ha régen megszerzett, már elfeledett adatokat őrzünk a raktár mélyén. A marketingcélból történő adatgyűjtés pedig kimondottan nagy kockázatú adatkezelésnek minősül az új szabályozás szerint.

Azt sem szabad elfelejteni, hogy a munkavállalók személyes adatainak a kezelése is a rendelet hatálya alá tartozik. Ez egyébként a szakértő szerint szabályozási szempontból jól kezelhető terület.

Az adatkezelés célját és jogalapját minden egyes adat esetében meg kell határozni. A szállodáknál jogalap lehet pl. a vendéggel kötött szerződés, a hozzájárulás (gyógy- és wellness-szállodákban az egészségügyi adatok kezeléséhez erre lesz szükség), vagy a jogos érdek (elképzelhető, hogy archív adatok esetén erre is lehet hivatkozni).

Kritikus terület a tájékoztatás vagy a határon átnyúló adatmozgások kérdése (pl. szállodaláncoknál) is.

Gyimesi Csaba, a PricewaterhouseCoopers vezető menedzsere szerint az adatkezelési folyamatok feltérképezése során meg kell állapítani, hogy milyen adatokat kezelek, azokhoz ki fér hozzá, hogy rögzítem és hol tárolom az adatokat (problémás lehet pl., ha a wellnessrészlegen egy mindig elöl hagyott kockás füzetben vezetik, hogy melyik vendég milyen kezelést kapott, majd kidobják a szemétbe, ha betelt).

A leggyakoribb, az új szabályozás szerint a hatóságoknak jelentendő adatvédelmi incidens az ügyfél- és munkavállalói adatok eltűnése (pl. pendrive, laptop, mobiltelefon eltűnésekor). Emiatt is érdemes gondolni arra, hogy ezeket az adatokat mindig megfelelő védelemmel lássuk el, titkosítsuk.

Kulcsfontosságú az is, hogy a munkavállalók tudatosak legyenek az adatvédelmi biztonság kapcsán, tehát ismerjék a szabályokat, tudják, mire kell vigyázniuk és odafigyelniük.

Az adatkezelő szervezetek elleni adatvédelmi támadást elkövetők egyébként leggyakrabban a volt és a jelenlegi munkavállalók, akik tudatosan, de nem tudatosan is cselekedhetnek.

A szakértő arra is felhívta a figyelmet, hogy hiába van megfelelő adatkezelési szabályzatunk és magatartási kódexünk, azon is el lehet bukni, ha korszerűtlen az informatikai rendszerünk.

Sokszor a törlés a megoldás

Az adatvédelmi folyamatok átvizsgálása során Bogdan Stanciu, a Bit Soft Magyarország ügyvezetője szerint javasolt kiszűrni a felesleges dolgokat. Így például érdemes feltenni a kérdést, hogy valóban szükség van-e a régi adatokra, vagy akár ki is törölhetjük azokat? Valóban szükség van-e arra, hogy lemásoljuk a vendégek útlevelét? Vagy hogy minden munkafolyamatban megadjuk az ügyfél teljes nevét? Esetleg használhatunk-e fedőneveket?

A szakértő szerint az is fontos, hogy a szoftverszállítóval kötött szerződésben szerepeljenek megfelelő kitételek az adatvédelemmel kapcsolatban, hiszen az adatvédelmi szabályok értelmében nem a szoftverszállítóé, hanem a miénk a felelősség akkor is, ha a szoftver hibája miatt történik visszaélés. A felhőszolgáltatások igénybe vétele esetén ezzel szemben a felhőszolgáltatóra száll át a felelősség egy része.