Mégsem lesz GDPR-katasztrófa Magyarországon

Könyvelőnk szerint ha egy vállalkozó vagy egy vállalkozás világos törvényi szabályozás mentén lát el közfeladatot, az sem menti meg a GDPR-től. A háziorvosok például valami olyasmit olvashattak a Magyar Orvosi Kamara hírlevelében, hogy

Ez remélhetőleg egy elírás, de aztán arra figyelmeztetik őket, hogy adatvédelmi szabályzatot kell készíteni május 25-ei határidővel mindazoknak, akik személyes adatokat kezelnek. A probléma csak az, hogy jelenleg számtalan vállalkozás ajánlgatja ugyan magát, de nem mindig derül ki, hogy mire is vonatkozik az ajánlatuk, és hogy valóban segítenek-e a szabályzat elkészítésében. A megrendelői szerepbe kerülő háziorvos, akinek csak nagyon minimálisan kellene informatikai és adatvédelmi ismeretekkel rendelkeznie az evidenciákon kívül, nem ismeri és érti a problémát, a kihívásokat és bizonyosan nincs ideje arra, hogy megismerje őket. Neki ugyanis nem az adminisztrációval, hanem a betegellátással kellene foglalkoznia. Különösen igaz ez annak a fényében, hogy az adatkezelési kötelezettségei teljesen szabályozottak egyébként, azt törvények alapján végzi és alapvetően az adatok felhasználásának célja az, hogy a beteg a lehető leghatékonyabb ellátást kapja. Az orvos archiválási igénye és az orvosok egymás közötti hatékony kommunikációja mégis csak fontosabbnak tűnik, mint a hipotetikus adatlopási veszélyek, amelyeket a szabályzat és a szigorítás a rendszer alapvetően nyílt volta miatt nem csökkent érdemben. Annál különösebb, hogy a jelentkező cégek, amelyek a vállalkozások adatvédelmi átvilágítását kínálják, kockázatokat tárnak fel, sőt adott esetben adattörlési javaslatokat is tesznek (mondta el egy háziorvos). Egyébként ezeket az egészségügyi adatokat évtizedekig kötelező megőrizni.

Az adatvédelem vállalkozási szinten nyilván nem a könyvelő feladata, de mivel személyes adatokat a könyvelők is nyilvántartanak a bérszámfejtés és biztosítotti adatbejelentéseken keresztül, ezért nekik is kell szabályzatot készíteni a könyvelői tevékenységre vonatkozóan. Ez az egész mindenkit egy kicsit vagy nagyon másképp érint, de hogy pontosan mennyire és miként annak megértése nem hétköznapi feladat.

A nagyobb egészségügyi szolgáltatók (kórházak és egyetemek) is igyekeztek kivárni, remélve, hogy a magyar szabályozás megszületik, illetve létrejön valamiféle konszenzus a szakterületen belül. Ezek a szervezetek persze rendelkeznek akkora szakapparátusokkal, hogy képesek áttekinteni mind a szabályozást, mind a saját adatvédelmi helyzetüket és az ő tapasztalataik segíthetnek a kisebb szakmai szervezetek adatkezelési szabályozásainak megalkotásában.

Könyvelőnk azt javasolta az ügyfeleinek, hogy ne költsenek több százezer forintot olyan szabályzatok megvásárlására, amelyek adott vállalkozásra történő igazítása valószínűleg pont akkora munka, mint egy sorvezető mentén történő megírása egy új, saját szabályzatnak.

Ilyen „sorvezetőből” több is van forgalomban, a MOTESZ (Magyar Orvostársaságok és Egyesületek Szövetsége) például egy kifejezetten értelmes anyagot küldött szét, amely a jogászi, könyvelői és szabályzatírói vénával megáldott vállalkozó orvosok számára komoly segítséget jelenthet. A háziorvosoknak például az EU-s jogszabály alapján nem kell adatvédelmi tisztviselőt foglalkoztatnia vagy megbíznia, hanem "csak" a szabályzatot és nyilvántartását kell kialakítania.

Miután a magyar jogszabályi háttér módosítása még nem történt meg, arra lehet számítani, hogy annak megtörténte után még szükség lesz pontosításokra vagy az is kiderülhet, hogy az egész hajcihő jelentős részének nem volt értelme. De ezek a vállalkozások addigra már a saját szintjükön jelentős összeget költöttek el, lehet, hogy feleslegesen. A munkáról és a stresszről nem is beszélve.

A hatósági ellenőrzés sem tud addig „felépülni” amíg nem tudható pontosan, hogy mi lesz a feladat, a cél. Az ellenőrzések május 26-i elkezdése így nem valószínű, mint ahogy az sem, hogy azoknál a vállalkozásoknál fogják kezdeni, ahol közfeladat ellátása érdekében, hatályos jogszabályok alapján kezelnek személyes adatot. A dolog rendkívüli összetettsége miatt és mert az egész fogalmi és ténybeli bizonytalanságokkal terhelt, felettébb valószínűtlen, hogy rövid távon a szankcionálás, büntetés ötlete felmerülne akárkiben is. Bármennyire fura ugyanis, a Magyar Állam az utóbbi években sokkal „kedvesebb” lett, komolyan veszi a „szolgáltató” szlogent. Azért előrelátóbb persze lehetne, mint a mellékelt ábra mutatja.

Könyvelőnk javaslata egyébként az, hogy érdemes összeírni milyen programokat használ a vállalkozásunk, amelyek személyes adatokat is tartalmaznak. Egyértelműen legyünk tisztában azzal, hogy kitől vásároljuk a programot, milyen gyakran történik a karbantartás, kinek és milyen rendszerességgel és miért továbbítjuk az adatokat (jelen esetben NEAK, ÁNTSZ, esetleg KSH és minden egyéb partner). Itt jogszabály szerint adatszolgáltatás történik ugyan, de biztos, ami biztos. Érdemes kilistázni, hogy ezek a programok milyen személyes adatokat tartalmaznak. Hasonlóan számon kell tartani az egyedi megkereséseket, amikor személyes adatot kell átadnunk hatóságnak (pl. rendőrségnek, stb.). Valamint természetesen minden olyan esetet, ahol a kötelező jogszabályi előírásokon túl személyes adatokat adunk át más személyeknek vagy szervezeteknek.

És természetesen a fenti adatokat is tartsuk nagy biztonságban.

Azt meg csak remélhetjük, hogy a szakmai érdekvédelmi szervezetek egy ilyen komplex ügyben megpróbálnak szakági szintű segítséget nyújtani a tagjaiknak. A nyomai fellelhetőek annak, hogy a hatóságok és az állam már időben igyekezett felvilágosítani az érintetteket arról, hogy mi következik. Mégis sokakat, egyébként jogkövető és gondos embereket is meglepetésként ért a GDPR. Főleg azért, mert a hétköznapi életben az adatvédelem még nem hívószó.

És végül a „nép hangja” a netről: