Sokan felkészültek a GDPR elvárásaira és még mindig legalább annyian vannak, akik nem, vagy csak részlegesen. Az elmúlt két év tapasztalata - Sándor Zsolt a Gill & Murry Kft. vezető adatvédelmi szakértője szerint – az, hogy elsősorban a legtöbben csak a tájékoztatás területén oldották meg a GDPR feladatokat. Az ezen felüli tevekénységek sok esetben nincsenek megoldva vagy hiányosak. Ide tartoznak az adatkezelői és adatfeldolgozói nyilvántartások, a kockázatelemzés, a hatásvizsgálat és az érdek mérlegelések dokumentálása, amit vagy a GDPR rendelet egyértelműen előír vagy a Hatósági gyakorlatból következik.
Mi is sokat változtattunk a felkészítés lépésein, mert nem az az érdekes, hogy 2018 januárjában ki és hogyan értelmezte a GDPR rendeletet, hanem az, hogy az Adatvédelmi Hatóságnak ma milyen a gyakorlata nem csak Magyarországon, hanem szerte egész Európában. A Hatóságok egységes működésre törekszenek, átveszik egymás határozatait és azt alkalmazzák is. A Gill & Murry ezeket folyamatosan nyomonköveti és jelzi ügyfeleinek, ha szükséges változtatni a korábbi szabályozáson.
További hiányterület az alvállalkozók kezelése, túlnyomó többségben csak szerződések mentén kezelik ezt, de sajnos a legtöbben még így sem. A GDPR rendelet értelmében – hívja fel a figyelmet Sándor Zsolt - az Adatkezelő a felelős minden általa alkalmazott alvállalkozóért, adatfeldolgozóért, aki a nevében adatot kezel, azaz valamilyen tevékenységet végez az adatkezelőre bízott személyes adatokkal. Ehhez nem elég szerződést kötni, ennél jóval több kell a biztonsághoz. Az Adatkezelőnek egyrészt alkalmazni kell a saját szabályzatában megfogalmazott szabályokat, továbbá valamilyen módon ellenőrizni, kontrollálni kell az alvállalkozók adatkezelési tevekénységét. Ezt tartjuk az egyik nagy GDPR kockázatnak 2020-ban és talán a következő 2-3 évben.
Komoly probléma továbbá az, hogy az Adatkezelők nem ismerik az általuk kezelt személyes adatokat, nem tudják hol van, és hogy mit kell velük tenni egy Érintetti igény esetén.
Az elmúlt két év tapasztalata az, hogy azoknál a felelősen gondolkodó vállalatoknál, akik elkészítették a GDPR-nak megfelelő Adatvédelmi szabályzatukat, és próbálják alkalmazni is azt, a legnagyobb és legnehezebben megoldható feladatot a GDPR-ral kapcsolatos adminisztráció jelenti, hiszen problémát jelent az informatikai rendszer megfelelősége, a határidők betartása, a megfelelés az érintetti jogoknak, és a bizonyítékok megfelelő tárolása.
Mivel az informatika lényegében már minden vállalkozás legalapvetőbb tartozéka, ezért egyáltalán nem elhanyagolható az a tény, hogy akkor, ha az informatikai rendszerben nem kezelhetők külön a Cél – Jogalap párok, akkor csak egy Cél - Jogalap párt kezelhetünk, mert az az informatikai rendszer csak ezt képes támogatni. Legyünk őszinték, az egy darab Cél-Jogalap pár nem életszerű a legkisebb, működő vállalkozás esetében sem. És sajnos azt látjuk, hogy a legtöbb informatikai rendszer nem képes egynél többet kezelni ebből.
És akkor még nem beszéltünk arról, hogy hogyan hangoljuk össze azt, ha a személyes adatokat több informatikai rendszerben is tároljuk, és arról, hogy hogyan tudunk így eleget tenni az érintetti jogoknak (helyesbítés, korlátozás, végleges törlés, adatkezelési célonkénti működés, tájékoztatás a tárolt adatokról, adatátadás gépi formátumban).
A fentieknek történő megfelelés még egy jól átgondolt folyamatszabályzás mellett is nehézségekbe ütközhet, és komoly (emberi) erőforrás igénye van már néhány ezer kezelt adat esetében is.
Összefoglalva Sándor Zsolttal egyetértettünk abban, hogy Magyarországon a GDPR-ral kapcsolatban jelenleg két nagy feladattal állunk szemben. Az egyik a még el nem készített GDPR felkészítések elkészítése, a másik, nem kisebb feladat a már elkészült szabályzatok alkalmazása és ezek megfelelő informatikai támogatása.