• Dr. Kollár Gergő jogász, adatvédelmi tanácsadó
  • +36 30 756 3499
  • kollar.gergo@hotmail.com

titokvédelem

információbiztonság

adatvédelem

gdpr

Cégreszabott adatvédelmi tanácsadás,
személyes konzultáció, dokumentumszerkesztés
és ügyféltámogatás

A személyes adatok védelme ma már nem választás kérdése. Az adatvédelmi mechanizmusok megléte nem feltétlenül versenyelőny, ám azok hiánya kétségkívül versenyhátrány.

Az Általános Adatvédelmi Rendelet minden előnye mellett rengeteg általános, nehezen meghatározható fogalmat használ. Ennek következtében számos kérdés merül fel a megfeleléssel kapcsolatban. Napjainkban – 2018. május 25. óta kiemelten – a  versenyképes és magas színvonalú szolgáltatás nyújtása, valamint a piaci pozíció megőrzése érdekében, érdemes ezekkel a kérdésekkel foglalkozni, valamint kialakítani és fenntartani egy rendeletkonform üzlet- és ügyviteli rendet, mellyel a megszigorodott adatvédelmi bírságok is elkerülhetők. Az említett jogértelmezési kihívásokban, szabályozási-szervezési átalakításokban, továbbá a rendelet által megkövetelt dokumentáció kidolgozásával kapcsolatban tudok tanácsot adni, illetve segítséget nyújtani, piaci viszonyokhoz mérten elérhető áron, egyedi vagy tartós megbízási jogviszony keretében.

Az adatvédelemről és a GDPR okozta változásokról röviden:

Az Európai Parlament és a Tanács 2016 áprilisában elfogadta a 2016/679 rendeletet a „természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról”. Ez röviden az Általános Adatvédelmi Rendelet vagy GDPR (General Data Protection Regulation).

  1. májusától a rendelet hatályban van, és 2018. május 25. óta kell alkalmazni.

A személyes adatok védelme már évtizedek óta fontos célkitűzés Európában és Magyarországon. Ezen célnak való megfelelést azonban a korábbi szabályozások nem tudták teljes körűen biztosítani. A továbbra is fennálló jogalkotói törekvést igyekszik megvalósítani a GDPR, mivel a személyes adatokra jelentett fenyegetések száma jelenleg is növekszik. Éppen ezért vezet be a rendelet egy olyan transzparens, a technológiai fejlődés által támasztott kihívásokra is reagáló adatkezelési standardot, amely a védelem szintjét tekintve, messze meghaladja a nem-EGT tagállamokét.

A 2011. évi CXII. törvény által létrehozott Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felügyeleti hatóságként az eddigi szervezeti és eljárási szabályok szerint tovább működik. Azonban a kiszabható bírságok mértéke drasztikusan megnőtt. A legmagasabb bírság összege elérheti a 6.000.000.000. Forintot vagy az előző év világpiaci forgalmának 4%-át.

Miért fontos, illetve miért éri meg az adatvédelemmel foglalkozni?

A NAIH által kiszabható bírság maximumok kétségtelenül ösztönzően hatnak, mégsem erre helyezném a hangsúlyt az adatvédelem szükségességének bemutatásakor. A bírságokkal összefüggésben mindössze a kockázatkezelés egyik alaptételét emelném ki, miszerint a kockázatok kezelése kapcsán feltétlenül mérlegelni kell, hogy az enyhítést célzó intézkedés megtétele vagy annak elmaradása jár hátrányosabb következményekkel. Talán kijelenthető a GDPR szankció rendszere alapján, hogy a jogi megfelelés, valamint az adatkezelő körülményeihez mérten szükséges és a kockázatokkal arányos adatbiztonsági intézkedések megléte nem lehetnek terhesebbek egy esetleges bírság mértékéhez képest.

Jó hír azonban, hogy a technológia és a technika egyre gyorsuló fejlődése új lehetőségeket teremtenek az adatok, vagyis a rögzített információ feldolgozása területén. A GDPR kizárólag a személyes adatok, tehát a természetes személyekkel valamilyen formában kapcsolatba hozható adatok kezelésének és feldolgozásának szabályozottságát várja el, ám ez nem azt jelenti, hogy egyéb területeken nem hasznosíthatók a rendeletnek megfelelő üzletmenet „vívmányai”. A személyes adatokat fenyegető veszélyek ugyanúgy jelen lehetnek üzleti titkok és egyéb a vállalat által bizalmasnak minősített adatok vonatkozásában. Tehát jól átgondolt, az információbiztonság bizonyos elemeit is magába foglaló adatkezelési rendszer egy időben óvja meg az ügyfelek, munkavállalók és más természetes személyek adatait, továbbá a cég üzleti érdekeit.

Kire vonatkozik a GDPR?

A rendelet mindenkire vonatkozik, aki személyes adatokat kezel. Így minden közhatalmi vagy egyéb közfeladatot ellátó szervre, valamint cégre és más magánszervezetre is, ha Európában tevékenységi hellyel rendelkeznek, illetve az EU területén tartózkodó személyek adatait kezelik vagy feldolgozzák.

Mire van szükség a megfeleléshez?

A megfelelés (compliance) elérése valójában egy véget nem érő folyamat, amelyet időszakosan felül kell vizsgálni, ellenőrizni kell, valamint hozzá kell igazítani a változásokhoz és az új elvárásokhoz. Ez elsőre érthető módon indokolatlan tehernek és egy újabb „fiókba süllyeszthető felesleges papírnak” tűnhet. A modern társadalmak trendjei azonban nem ezt jelzik előre (IoT; okos házak, okos autók stb.). Az adatvédelem legalább annyira az életünk szerves részévé fog válni, mint a magánlakás sérthetetlensége az emberek vagy a munkavédelmi előírások betartása a vállalkozások számára.

Az alábbi felsorolásban áttekinthetők röviden és nagyon tömören a megfelelés talán legfontosabb mérföldkövei:

  • adatleltár elkészítése/frissítése
  • adatkezelési jogalapok vizsgálata
  • a működéshez ténylegesen szükséges adatok körének, azok alkalmazási területeinek, a tárolhatóság idejének meghatározása
  • az adatvédelmi tisztviselő (DPO) kijelölésének vizsgálata
  • belső szabályozók kialakítása, a korábbiak felülvizsgálata
  • megfelelő jogosultságkezelés kialakítása (feladatok és felelősségek megosztása)
  • az adatkezelési folyamatok átláthatóvá tétele
  • incidenskezelési eljárásrend létrehozása
  • adatkezelési tájékoztatási rendszer kiépítése
  • panaszkezelési protokoll kialakítása
  • adatvédelmi hatásvizsgálat(ok) (DPIA) elvégzése
  • az adatbiztonság követelményeinek való megfeleltetés (fizikai, adminisztratív és logikai – szoftveres, illetve hardveres – védelem kialakítása)
  • adatvédelmi tudatosságnövelés elősegítése, oktatások és képzések tartásával
  • a megfelelés folyamatos felülvizsgálata

Kiknek ajánlom a szolgáltatásaimat elsősorban?

A szolgáltatásaim már működő vagy induló kis és középvállalkozások, illetve a KKV. határon mozgó nagyobb vállalatok számára bizonyulnak a leghatékonyabbnak. Tehát olyan vállalatok számára, amelyek adatkezelési folyamatai személyes jelenléttel megfelelően áttekinthetők, de ahhoz túl bonyolultak, hogy sablonokkal „házilag” megoldhatók legyenek, ám egy akár több millió forintos költséggel járó auditra nincs szükségük.

A fentieken túl a közszféra építőköveit jelentő települési önkormányzatok adatvédelmi tárgyú megkereséseire is nyitott vagyok.

Megjegyzés: a tanácsadási folyamat gördülékenysége érdekében jelenleg főként Baranya, Tolna és Somogy megyében, valamint adott esetben Budapesten és vonzáskörzetében is vállalok megbízásokat

Hogyan épül fel általános esetben egy tanácsadás?

Az alábbi folyamat nem egy szigorúan követendő séma, ahogy máshol sem az adatvédelem területén sincs tökéletes megoldás. Ön dönti el, hogy a konzultáció milyen formában történjen, irányuljon általános vizsgálódásra, vagy csak szorítkozzon a dokumentáció elkészítéséhez szükséges mértékre. Természetesen az is járható út, ha a konzultáción hallottak alapján saját maga szerkeszti meg azokat.

Telefonos vagy személyes megbeszélést követően egy rövid kérdőívet küldök ki.
A kapott információk alapján egyedi és az Ön vállalkozására szabott árajánlat kerül kialakításra.

      1. Amennyiben a megállapodás létrejön előre egyeztett időpontban „házhoz megyek” és az Ön által megjelölt helyszínen (célszerű a vállalkozás székhelyén vagy olyan telephelyén, amely az adatkezelés központjaként működik), az Ön elvárásainak megfelelő számú konzultációt tartunk. Ezek keretében – egyebek mellett – közösen megvizsgáljuk az adatkezeléssel járó üzleti folyamatokat, azonosítjuk az adatkezelői, adatfeldolgozói és érintetti pozíciókat, továbbá az eddigiek alapján a meglevő vagy tervezett adatbiztonsági intézkedéseket is számba vesszük.
      2. A konzultáció nem egy előadás, hanem interaktív beszélgetés, amit irányított kérdésekkel terelek a megfelelő irányba, annak érdekében, hogy minden lényegesnek ítélt területet áttekinthessünk.

A megállapodásban szereplő dokumentumokat az Ön igényei szerinti terjedelemben és mélységben, egyedileg készítem el, a konzultációs folyamat lezárását követő 2-4 héten belül. A dokumentációt személyesen adom át, amely során részletes tájékoztatást és magyarázatot adok annak egyes elemeivel és felhasználásukkal kapcsolatban. Ilyen dokumentumok például a vállalati belső szabályozók (pl.: adatvédelmi szabályzat), tájékoztató anyagok (pl.: munkavállalói, partner, weboldalas tájékoztató), és nyilvántartások (pl.: adatkezelési, incidens, kérés és panasz).

Az Ön igénye szerint nem kell az egyedi megbízást követően megszakítanunk a kapcsolatot. Hosszútávú rendelkezésre állást és rendszeres tanácsadást vállalok új adatkezelési folyamatok bevezetése, vitás kérdések rendezése vagy esetleges incidensek kezelése esetére.

FONTOS: A tanácsadás során elvégzett konzultáció nem minősül auditnak, a konzultáció lezárásakor nem készül GAP-analízis. A konzultáció alapvető célja a minél pontosabb és a vállalkozás egyedi tulajdonságaira szabott adatvédelmi dokumentáció elkészítése.

Szolgáltatásaim és a díjszabás szempontjai

  • Közreműködés az adatleltár elkészítésében
  • Adatkezelői/adatfeldolgozói minőségek tisztázása
  • Adatvédelmi Tisztviselő szükségességének vizsgálata
  • GDPR kötelezettségek ismertetése
  • Adatkezeléssel járó üzleti/ ügyviteli folyamatok vizsgálata
  • Adatbiztonsági vizsgálat
  • Kockázati tényezőkre való figyelmeztetés
  • Ajánlások a megfelelő működéshez
  • Meglévő dokumentáció (szabályzatok, szerződések, nyilvántartások) átvizsgálása és véleményezése
  • A jogszabályi háttér és a joggyakorlat figyelembevételével kialakított egyedi ügyre létrehozott érvrendszer. Esetlegesen nehezen megítélhető jogkérdések eldöntésére vagy a döntési folyamat dokumentációjára alkalmas.
    • Meglévő tájékoztatók, illetve egyéb nyilvános adatkezelési anyagok vizsgálata, véleményezése a módosításokra tett javaslatokkal.
    • Új tájékoztatók, illetve egyéb nyilvános adatkezelési anyagok létrehozásában való közreműködés
    • A megrendelő szervezetére szabott, a megrendelő igényei szerint kialakított szabályzattervezet, amely nem tartalmaz az informatikai biztonságra előírásokat.
    • A megrendelő szervezetére szabott, a megrendelő igényei szerint kialakított belső szabályzattervezet, amely az informatikai biztonságra is tartalmaz előírásokat.
    • A megrendelő által szabályozni kívánt egyes információbiztonsági, illetve adatvédelmi szempontból fontos  részterületekre vonatkozó előírások megszerkesztése.
    • A rendelet 35. cikk (1) bekezdésében található kötelezettségének eleget tevő vizsgálat lefolytatása azokban az esetekben, amikor az adatkezelés várhatóan nagy kockázattal jár a természetes személyek jogaira és szabadságaira nézve.
    • Felhasználói, illetve adminisztrátori minőségű munkatársak számára tartott oktatás, amely során megismerhetik a kötelezettségeiket a rendeletnek megfelelő gyakorlat kialakításával kapcsolatban.
    • Az Ön gazdasági tevékenységére vagy közfeladatokat ellátó funkcióira, valamint működésének egyéb körülményeire (GDPR 37. cikk (1)) tekintettel Adatvédelmi Tisztviselői (DPO) feladatokat is el tudom látni, külsősként, szolgáltatási szerződés keretében

A fenti szolgáltatások díja egyedileg kerül megállapításra, az árajánlat kialakításakor a következőket veszem figyelembe:

  • az ajánlatkérő szervezet méretét
  • az érintetti kör nagyságát
  • az adatkezelési és feldolgozási folyamatok; számát, összetettségét, jellegét, a természetes személyekre jelentett kockázat mértékét, valamint az alkalmazott technológiát.

Magamról

A Pécsi Tudományegyetem Állam és-Jogtudományi Karán jogászként végeztem, cum laude minősítéssel. Egyetemi éveim alatt gyakornokként egy kereskedelemmel foglalkozó vállalkozásnál dolgoztam, így már akkor tapasztalatot szereztem a cégek működéséről, az üzletvitel rendszerszemléletű felépítettségének fontosságáról, a vállalkozáson belüli és kívüli kapcsolatok szabályozottságának jelentőségéről valamint a jól használt marketing eszközök előnyeiről (és a rosszul használtak hátrányairól).
Ekkor kezdett igazán foglalkoztatni, hogyan lehet rendszerépítéssel és innovatív technológiák (adekvát és jogszerű) alkalmazásával a hatékonyságot és a versenyképességet növelni.

Diplomám megszerzése után egy pécsi ügyvédi irodában helyezkedtem el. Tekintettel arra, hogy jogi területen dolgoztam megismerkedtem a jogalkalmazás alapvető, gyakorlati aspektusaival, továbbá jogi dokumentumok, okiratok szerkesztésével, jogi analízisek elkészítésének különböző módozataival. Az ügyvédi iroda munkatársaként találkoztam az „élő joggal”, vagyis valódi ügyek és ügyfelek sokszínűségével.

Az adatvédelem – valamint tágan értelmezve az információbiztonság – már a tanulmányaim alatt is foglalkoztatott, ám a saját vállalkozás gondolatát, csak az ügyvédi irodában szerzett tapasztalatok és nem utolsó sorban gyakorlati ismeretek megszerzését követően éreztem megvalósíthatónak.

A mélyrehatóbb és szakmaibb tudás megszerzése érdekében Budapesten Adatvédelmi Tisztviselői képesítést szereztem, valamint adatvédelmi tárgyú konferenciákon vettem részt. Független tanácsadóként számos vállalkozásnak teljesítettem tanácsadói szolgáltatást (a teljesség igénye nélkül korábbi ügyfeleim között szerepeltek mezőgazdasági vállalatok, szálláshelyszolgáltatók, kiskereskedések, szaküzletek, ingatlanközvetítői és biztosítási irodák, építési vállalkozások, egészégügyi magánszolgáltatók).

Felmerülhet Önben a kérdés, hogy én miért tartom fontosnak az adatvédelmet? Az adatvédelemmel kapcsolatban a kiindulásipontom, hogy a gazdaságban vagy a munkaerőpiacon betöltött szerepünk (mint adatkezelők) az életünkben csak elenyésző hányadot tesz ki, minden más esetben, mint természetes személyek érintettek vagyunk állami és önkormányzati szervek, valamint vállalatok adatkezeléseiben. Jogosan csak akkor várhatjuk el másoktól, hogy jogszerűen kezeljék személyes adatainkat és ne éljenek velük vissza, ha mi is a saját érdekkörünkben így teszünk. 

Kapcsolatfelvételre és árajánlatkérésre az alábbi elérhetőségeken van lehetőség

Felhívom a figyelmét, hogy üzenetének elküldésével hozzájárulását adja a megkeresésében szereplő személyes adatainak kezeléséhez. Részletesebb tájékoztatást jelen weboldalon található adatkezelési tájékoztatóban talál.

  • +36 30 756 3499
  • kollar.gergo@hotmail.com