A GDPR alkalmazása egy multinacionális vállalatnál
Elmentve itt :
| Szerző: | |
|---|---|
| További közreműködők: | |
| Dokumentumtípus: | Diplomadolgozat |
| Kulcsszavak: | adatkezelés adatvédelem GDPR (General Data Protection Regulation) multinacionális vállalatok vállalati elemzés |
| Online Access: | http://dolgozattar.uni-bge.hu/29946 |
| Kivonat: | Lengyel-Szekeres Szilvia Zsófia Szinopszis: A GDPR ALKALMAZÁSA EGY MULTINACIONÁLIS VÁLLALATNÁL Az általános adatvédelmi rendelet (angolul: General Data Protection Regulation, röviden: GDPR) 2016. május 24-én került kihirdetésre az Európai Unió Hivatalos Lapjában és 2018. május 25-étől alkalmazandó. Mivel az egész integrációra kiterjedő széleskörű jogi aktusról van szó, ami a korábbi adatvédelmi szabályozásokat kívánja felülmúlni és pótolni azok hiányosságait, ezért feltételezhető, hogy a rendeletnek való megfelelés nehézségekbe ütközik az adatkezelők részéről. Ezt az is bizonyítja, hogy egy online nyilvántartás alapján a GDPR alkalmazásának kezdetétől 2020. november 11-éig a hatóságok 436 esetben szabtak ki bírságot és/vagy büntetést (CMS Legal Services EEIG, 2020). A rendelet alkalmazását tovább nehezíti a számos országban jelenlévő vállalatok esetén, hogy az összes céges szabályzatot, irányelvet és folyamatot egységes keretbe kell foglalni és mindezt úgy, hogy az összes országot lefedje és az ott érvényben lévő jogszabályoknak és rendelteknek megfeleljen. A diplomadolgozat kutatásának célkitűzése egy adott multinacionális vállalat GDPR megfelelésének vizsgálata volt az által, hogy értékelésre és elemzésre került, hogy a rendelet elméleti követelményei hogyan kerülnek megvalósításra a gyakorlatban a vállalat technikai és szervezési intézkedésein keresztül. A diplomadolgozat keretében az 1. fejezetben az adatvédelmi szabályozások evolúcióját vizsgáltam a GDPR-t megelőzően és ezzel került megalapozásra a téma szakirodalmi háttere. A második fejezetben az általános adatvédelmi rendelet megalkotásának folyamata és a dokumentum tartalma került értékelésre. A harmadik fejezet tartalmazza a kutatást, mely során azt vizsgáltam, hogy milyen nehézségekbe ütközik a rendelet átültetése a gyakorlatba és hogy biztosítani tudja-e a vizsgált vállalat az elvárt védelmi szintet. Első lépésként értékeltem a rendeletre való felkészülés folyamatát, majd az adatvédelemmel kapcsolatos feladatköröket, szerveket és az adatvédelmi tisztviselőt mutattam be. Végezetül pedig az adatvédelmi elvek mentén vizsgáltam a technikai és szervezeti intézkedéseket, bizonyításként pedig a HR osztályon szerzett tapasztalatokat és ismeretek alkalmaztam. A kutatás eredményeit négy fő kategóriába osztottam: a rendeletnek való megfelelés járulékos terhei, a megfelelést biztosító technikai és szervezési intézkedések, ezek hiányosságai és a megfelelés nehézségei. A megfelelés kapcsán az anyagi és adminisztrációs teher a legszignifikánsabb, mivel a felkészülés és az adatvédelmi garanciák biztosítása jelentős költséggel jár; továbbá, az adatvédelmi feladatok dokumentációja sok részfolyamatból álló és részletes adminisztrációt igényel. A vizsgálat vállalat a rendeletnek való megfelelést a jól kidolgozott vállalati struktúrával, a céges szabályzatokkal és nyilvántartásokkal, a folyamatos ellenőrzéssel és felülvizsgálattal és a résztvevők közötti együttműködéssel biztosítja. Annak ellenére, hogy összességében úgy állapítottam meg, hogy a vállalat megfelel a rendelet szabályozásainak, néhány területen beazonosítottam fejlesztendő elemeket. Egyrészt, szerintem minden adatkezelésben érintett folyamatra el kellene végezni az adatvédelmi hatásvizsgálatot országra és folyamatokra lebontva. Másrészt, javaslom, hogy az adatvédelmi nyilatkozat legyen elérhető több nyelven is, nem csak angolul. Harmadrészt, hiányolom az adatmegőrzési szabályzat közzétételét. Valamint, véleményem szerint az adatvédelmi nyilatkozatnak részletesebbnek kellene lennie, például a célok meghatározása esetében. Felismertem továbbá több rendelet adta nehézséget is. Először is a teljes körű tájékoztatás nehezen összeegyeztethető annak tömörségével. Ezzel kapcsolatos az is, hogy a multinacionális vállalatoknak olyan szabályrendszert és kapcsolódó dokumentumokat kell kialakítani, ami a cég minden telephelyére érvényes, tehát a GDPR-t össze kell hangolni a többi ország szabályozásával és egy harmonizált szabályzatot kell tudniuk kiadni. Így az adatvédelmi feladatköröket ellátók szakmai tudásának is globálisnak kell lennie. Továbbá, a vizsgált vállalat esetében limitált kapacitás és a vállalat nagysága miatt sok feladat több körben is delegálásra került, ami egyrészt jó, mivel azt feltételezi, hogy többször kerül ellenőrzésre a folyamat, de kockázatos is lehet, hogyha abból indulunk ki, hogy a felmérések és ellenőrzések, mint például a hatásvizsgálat vagy az adatkezelő kontrollja az adatfeldolgozó felett, a mások által megadott információkra hagyatkozik. Szintén a vállalat nagyságához kapcsolódik, hogy az országhatárokon túl együttműködő csapatok, a számos adatkezelő és adatkezelést végző szolgáltató miatt komoly erőfeszítésekkel jár az egyes adatalanyokhoz tartozó összes adat lokalizálása, kinyerése és ezek anonimizálása, kezelésük korlátozása vagy esetleges törlésük. További kutatások tárgyát képezhetné például a megoldások feltérképezése az említett nehézségekre. Érdemes lenne még olyan vizsgálatokat elvégezni, ahol az adatkezelő és az adatfeldolgozó közötti viszony kerül kifejtésre. Illetve, érdekes téma lehet egy vállalatot, mint az ügyfél által megbízott adatfeldolgozót vizsgálni. HR oldaláról pedig meg lehetne vizsgálni mélyebben a munkaügyi és bérszámfejtési területeket az adatvédelem vonatkozásában úgy, hogy a magyarországi jogi aktusokra kerül a hangsúly. |
|---|