A GDPR kapcsán a TMSI Kft. készített egy átfogó és részletes felmérést, melyben a hazai cégek GDPR felkészültségi állapotát vizsgálták meg.

Az EU GDPR néven ismert rendelete a személyes adatok védelméről, igen sok publicitást kapott az elmúlt időkben. Konferenciákon ismertetik, újságcikkek szólnak róla naponta és a hatóság is igen aktív.

Ugyanakkor nincsenek megbízható adatok a hazai állapotokról, nincs mivel összevetni a saját szervezetünk állapotát, felkészültségét, megfelelési szintjét. Bár többek között a 2011. évi CXII. törvény („Infotörvény”) is már elég régóta szabályozza a személyes adatok kezelését, még mindig vannak hiányosságok, fehér foltok.

A TMSI Kft., mint az „in nuce” GDPR felkészítő csomag alkotója most egy mintavételes felmérést készített a magyarországi cégek és szervezetek felkészültségi szintjének egy vonzatáról, mégpedig az egyik legkockázatosabb területről, az ügyfélkommunikációról.

Mind az Infotörvény, mind a GDPR rendelet szerint az érintettnek joga van információt kapni az adatait kezelő szervezetektől, többek között az általuk kezelt személyes adatokról, azok felhasználási céljáról és módjáról, a helyesbítési, törlési és jogorvoslati lehetőségeiről.

A TMSI Kft. ennek folyamatnak a jelenlegi hazai gyakorlatára volt kíváncsi, néhány hónappal a GDPR rendelet alkalmazása előtt.

Több mint száz különböző méretĹą és tulajdonú céget kerestek meg magánszemélyként adatkéréssel az elmúlt három hónap alatt, és a tapasztalataikat összegezték egy elemzésben.

A legfontosabb megállapítások:

• kötelező adatkezelési nyilatkozat a szervezetek közel egy harmadánál nem elérhető. Ráadásul ezek zömmel magyar tulajdonú cégek és állami intézmények.
• azon cégek aránya, akiknél nincs adatkezelési nyilatkozat a honlapon és nem is reagáltak a megkeresésre (azaz, az adatkezelési elveket és törvényeket teljesen semmibe vevők) közel 10%!
• az adatkérő hitelesítését (verifikációt) a válaszoló adatkezelők mindössze 14,3%-a végezte el. Azok aránya, akik érdemi hitelesítés nélkül is kiadtak személyes adatokat több mint 11% volt.

Talán a legfontosabb tanulság, hogy a válaszadóknak közel 85%-a pontatlan (hiányos, felületes, nemleges, stb.) választ adott az adatkérésre. Ez utóbbiak közül néhány példa:

• „Cégünk a birtokába jutott adatokat bizalmasan kezeli, azokat kizárólag a megrendelések teljesítéséhez, illetve e-mail-ben történő hírlevél küldéshez használja fel.”
• “Az Ön által megadott adatokat tároljuk”
• “A nevét és címét kezeljük”
• “…kapcsolatos adatokkal rendelkezünk. Ezek helyben vannak tárolva, törlésre nem kerülhetnek.”
• “…Telefonszáma, lakcíme, illetve születési dátumát Kolléganőink időpontfelvétel miatt, illetve adategyeztetés céljából kérik el.”

A pontatlan válaszok oka többek között a nem megfelelő belső kommunikáció, hiszen a válaszok 73%-a az ügyfélszolgálattól érkezett, nem pedig szakértőktől (adatvédelmi felelős, jogi vagy compliance iroda).

Egy ilyen, vagy hasonló rossz válasz május 25. után már nagyon sokba kerülhet. A felmérés tanulsága szerint érdemes lenne a felkészülés során erre a területre jóval nagyobb figyelmet fordítani.