Az EU GDPR néven ismert rendelete a személyes adatok kezeléséről, igen sok publicitást kapott az elmúlt időkben. Konferenciákon ismertetik, újságcikkek szólnak róla naponta és a hatóság is igen aktív. Ugyanakkor kevés felmérés készült a hazai állapotokról, (és ami van, az nem túl biztató!) nincs mivel összevetni a saját szervezetünk állapotát, felkészültségét, megfelelési szintjét. Bár többek között a 2011. évi CXII. Törvény („Infotörvény”) is már elég régóta szabályozza a személyes adatok kezelését, még mindig vannak hiányosságok, fehér foltok.

Legalábbis erre utal annak a mintavételes felmérésnek az eredménye, amelyet a TMSI Kft. készített a magyarországi cégek és szervezetek felkészültségi szintjének egy vonzatáról, mégpedig az egyik legkockázatosabb területről, az ügyfélkommunikációról.

Mind az Infotörvény, mind a GDPR rendelet szerint az érintettnek joga van információt kapni az adatait kezelő szervezetektől, többek között az általuk kezelt személyes adatokról, azok felhasználási céljáról és módjáról, a helyesbítési, törlési és jogorvoslati lehetőségeiről.

Több mint száz különböző méretű és tulajdonú céget kerestek meg magánszemélyként adatkéréssel az elmúlt három hónap alatt, és az ebből fakadó tapasztalataikat összegeztük az alábbi elemzésben. Kötelező adatkezelési nyilatkozat a szervezetek honlapjainak közel egy harmadánál nem elérhető.

Ráadásul ezek zömmel magyar tulajdonú cégek és állami intézmények. Azon cégek aránya, akiknél nincs adatkezelési nyilatkozat a honlapon és nem is reagáltak a megkeresésre (azaz, az adatkezelési elveket és törvényeket teljesen semmibe vevők) közel 10 százalék!

Az adatkérő hitelesítését (verifikációt) a válaszoló adatkezelők mindössze 14,3 százaléka végezte el. Azok aránya, akik érdemi hitelesítés nélkül is kiadtak személyes adatokat több mint 11 százalék volt. Talán a legfontosabb tanulság, hogy a válaszadóknak közel 85 százaléka pontatlan választ adott az adatkérésre.

A pontatlanságok oka többek között a nem megfelelő belső kommunikáció, hiszen a válaszok 73 százaléka az ügyfélszolgálattól érkezett, akik tapasztalataink szerint nem feltétlenül rendelkeztek a megfelelő képzettséggel a helyes válaszadáshoz.

A GDPR rendelet alkalmazásával, 2018 május 25. után, az ilyen pontatlanságok jóval költségesebbek lehetnek, főleg ahogyan a felhasználók tudatossága is növekszik. Egy helytelen, felületes, vagy rossz válasz a jelzett határidő után már nagyon sokba kerülhet.

A felmérés tanulsága szerint érdemes lenne a felkészülés során erre a területre jóval nagyobb figyelmet fordítani.

Amiről az adatkezelőknek információt kell nyújtania („ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik”):

• az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
• az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
• a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
• … az adatkezelő vagy harmadik fél jogos érdekei;
• adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
• adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat.
• a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
• az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
• …a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
• a felügyeleti hatósághoz címzett panasz benyújtásának jogáról; arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
• ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és … minden releváns kiegészítő információról.

Válaszolási hajlandóság

Az adatok bekérése után az első szempont a válaszadás gyorsasága volt, azaz hogy (az automata válaszrendszereket leszámítva), ki mennyi időn belül reagált érdemben az adatkérésre:

A válaszolók átlagos válaszideje 6.3 nap volt.

 

Hitelesítés

Az adatkérés után talán a legfontosabb lépés az adatkérő hitelességének megállapítása, az-e akinek mondja magát, kiadhatók-e számára jogszerűen a kezelt személyes adatok. Ezt a verifikációt a válaszoló adatkezelők mindössze 14,3%-a végezte el. Azok aránya, akik érdemi hitelesítés nélkül is kiadtak személyes adatokat több mint 11% volt. Ahol kértek további adatokat a hitelesítéshez, általában ott sem volt túl szigorú az ellenőrzés, egy-egy további e-mail cím, vagy lakáscím után adott esetben hozzá lehetett jutni az adatokhoz. Ugyanakkor a válaszadók több mint 6%-a postai úton küldte a válaszát, és ami további érdekesség: ezen cégek mindegyike a pontos választ adók köréből került ki.

A teljes felmérés innen letölthető!