A GDPR (General Data Protection Regulation) az Európai Unió új Adatvédelmi Rendelete, amely 2016. májusában lépett hatályba, azonban 2 év felkészülési időt hagytak. Az idő hamarosan lejár és 2018.május 25-től valamennyi tagállamban kötelezően alkalmazni kell.

A technológia folyamatosan fejlődik és az eddig érvényben lévő, már 20 éves irányelv felett bizony eljárt az idő. Szükség van egy olyan adatvédelmi jogszabályra, amely alkalmazkodik a mai kor elvárásaihoz, illetve az online környezethez, így megerősítve a magánszemélyek bizalmát az online szolgáltatások használatában. Fontos volt továbbá, hogy az Európai Unió területén az uniós polgároknak a személyes adatainak és magánéletének védelmét egyszerűsítse, egységesítse.

Számos esetben lehet hallani cégvezetőktől, hogy mi túl kis cég vagyunk, vagy mi olyan területen tevékenykedünk, hogy ránk biztosan nem vonatkozik a Rendelet. Akkor miért is foglalkozzak vele?

Tekintsük át, mikor elkerülhetetlen, hogy egy cég foglalkozzon az adatvédelemmel:

Megnézve a területi alkalmazhatóságot láthatjuk, hogy a GDPR hatálya kiterjed minden olyan vállalkozásra, akik személyes adatot kezelnek az EU-ban működő tevékenységük keretén belül.  A törvény az EU-n kívül is hatályos lesz, minden olyan magánszervezet esetében, akik terméket vagy szolgáltatást nyújtanak Európai Unióban élő magánszemélyek számára, vagy figyelemmel kísérik az Unión belüli viselkedéseket.

KKV-kra is vonatkozik?

Igen, ők is adatkezelőnek minősülnek, így ennek értelmében a Rendeletre nekik is kell készülni és be kell tartani az előírásokat. Az elmúlt években végzett kutatások kimutatták, hogy ezeknek a vállalkozásoknak az adatvédelmi tudatossága alacsony, valamint sokuk nem is tudja feltétlenül finanszírozni az új Adatvédelmi Rendeletnek való megfelelőség biztosítását. A Rendelet ezért könnyítéseket fogalmazott meg a 250 főnél kevesebb főt foglalkoztató vállalkozások számára, az adatkezelési tevékenységek nyilvántartását illetően, ennek következtében meghatározott feltételek fennállása esetén nem kell adatkezelési tevékenységeiket nyilvántartani, illetve kiemelésre kerül, hogy a magatartási kódexekre és az adatvédelmi tanúsítványokra vonatkozó szabályok alkalmazása során figyelembe kell venni a KKV-k sajátos igényeit.

„Nem kezelek személyes ügyfél adatokat, akkor is kell készülnöm?”

Amennyiben vannak munkavállalók a cégnél, akkor készülni kell. A munkavállalói személyes adatok kezelése egyébként is, mindig érzékeny terület, így a GDPR alkalmazásával érdemes lesz felülvizsgálni a munkahelyi adatkezelési gyakorlatot. Újítás továbbá a jogcímek kibővítése, amely annyit jelent a személyes adatok a munkáltató jogos érdeke alapján kezelhetőek, nem csak a munkavállalók hozzájárulása alapján. Eddig elegendő volt például a munkavállalót tájékoztatni a munkahelyi kameráról, mint ellenőrzési eszközről, a Rendelet szerint a munkáltatóknak 2018. májusától a munkáltatóknak el kell végezniük az érdekmérlegelési tesztet, melyben részletesen le kell írni és dokumentálni, hogy miért van szükség a kamerás megfigyelésre.

A Rendelet újdonságai következtében, a felhasználók sokkal nagyobb kontrollt kapnak a saját személyes adataik fölött. A változások többek között a hozzájárulási nyilatkozatokra, a hozzáférési és tájékoztatási kötelezettségekre vonatkoznak, amelyek a jogi megfelelés mellett az informatikával szemben is komoly elvárásokat támasztanak. Ez jelentheti egyes esetekben a rendszerek átstruktúrálását is, így érdemes pár hónappal kalkulálni a módosítások megvalósítására.

Hozzájárulás

Adatvédelmi törvény jelenleg is tartalmazza azt a szabályt, miszerint bizonyos adatok kezelése csak úgy lehetséges, ha ahhoz a természetes személy előzetesen hozzájárul. A GDPR ezt azonban szigorúbban fogja kezelni. Eszerint a hozzájárulásnak minden körülmény között önkéntesnek és bármikor visszavonhatónak kell lennie, így újfajta jogalap meghatározása szükséges lehet egyes esetekben. Nem szabályos a „hallgatás  = beleegyezés” forma, illetve az előre kipipált „hozzájárulok” felirat sem május 25-től.

Álnevesítés, mint jó megoldás?

A Rendelet tartalmaz egy új fogalmat is, amely az álnévhasználatra vonatkozik. Az „álnevesítés” a személyes adatok olyan módon történő kezelése, hogy amennyiben további információt nem használnak fel, nem megállapítható, hogy az a bizonyos személyes adat, konkrétan mely természetes személyre vonatkozik. Ennek alapfeltétele, hogy a beazonosításhoz szükséges további információkat külön tárolják, és technikai és szervezési intézkedések megtételével biztosítsák, hogy ezt a személyes adatot nem lehet azonosított vagy azonosítható természetes személyekhez kapcsolni.  Az álnevesítés használata nagy segítség lehet a rendeletnek való megfelelésben.

A felejtés joga

Eddig is kérhettük az adatkezelőtől érintettként az adataink helyesbítését, törlését, illetve tájékoztatást a rólunk tárolt adatokról, amikor ezt szükségesnek gondoltuk. Azonban a GDPR hatálybalépésével kérelmezhető minden adat másodpéldányának, másolatának, valamint a rájuk mutató hivatkozásoknak a törlése. Ez pedig eredményezi a teljes körű felejtést a személyes adatok vonatkozásában.  Azonban azt fontos tisztázni, hogy nem abszolút jogról van szó, hiszen vannak korlátok, mint például az adatkezelésre vonatkozó egyéb érvényes jogcímek, illetve az adatkezelő technológiai lehetőségei.

Elszámoltathatóság elve

A GDPR „szuper alapelveként” is emlegetett elszámoltathatóság elve szerint az adatkezelés jogszerűsége nem elegendő, olyannak is kell látszania. Ez annyit jelent majd, hogy ha a felügyeleti hatóság kéri, akkor az adatkezelőnek bizonyítania kell, hogy tevékenysége megfelel az új Adatvédelmi Rendeletnek. Röviden ezentúl nem az ellenőrző hatóságnak kell bizonyítani az adatkezelő gyakorlatának szabálytalanságát, a bizonyítási teher megfordul.

Adatvédelmi incidens

Szintén sok vállalatnál fejlesztésre szorulnak a belső információs és védelmi rendszerek. Ez azért szükséges mert a Rendelet számos rendelkezést tartalmaz az adatvédelmi incidenseket érintően.

A GDPR előírja, hogy amint az adatkezelő tudomására jut az adatvédelmi incidens azt indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelenteni köteles az illetékes felügyeleti hatóságnál, kivéve, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

De mit is értünk adatvédelmi incidens alatt?

A rendelet értelmében a biztonság olyan sérülését értjük, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi. Amennyiben nem megfelelő és kellő idejű az intézkedés, abban az esetben fizikai, vagyoni vagy nem vagyoni károkat okozhat a természetes személyeknek. A rendelet értelmében, amikor az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek tájékoztatnia kell az érintett személyt minden indokolatlan késedelem nélkül az adatvédelmi incidensről.

Ebben az esetben nagy valószínűséggel egy esetleges NAIH ellenőrzés alkalmával komoly bírságra számíthat a céged.

Ez az éves forgalom 4%-át is jelentheti, vagy maximum 20 millió eurót attól függően, hogy melyik a nagyobb. A bírság mértékét számos tényező befolyásolja majd, mint például a jogsértés súlya, mértéke, gondtalanságból vagy szándékosan elkövetett cselekvésből származik, vagy azért, mert pusztán nem tudott róla.

Magyarországon tagállami hatáskörben marad a betartás ellenőrzése, így a Nemzeti Adatvédelmi és Információbiztonsági Hatóság (NAIH) ellenőrzi és vizsgálja ki a kötelezően bejelentendő incidenseket. De talán még bírságnál is nagyobb kockázatokat jelentenek majd a kártérítési keresetek, amelyekkel a természetes személyek élhetnek.

És ne feledd: minél többet teszel a megfelelőséged érdekében, annál kisebb büntetésre számíthatsz!

Érdemes látni, hogy azért a GDPR nem az ördögtől van és nem úgy kell rátekinteni, mint egy indokolatlanul szigorú, kötelező jogszabályra. A Rendelet igyekszik garantálni az adatvédelem területén egy kiszámíthatóságot, illetve egy hosszú távú fejlődést. Nem csak arról van szó, hogy informatikai, valamint jogi oldalról kötelezően át kell vizsgálni a céget és ez egy nagy teher. Lehet úgy  tekinteni rá, mint egy olyan központilag irányított megoldásra, amely a gazdálkodó szervezetek működését és szellemiségét megreformálja.

Azok az adatkezelők, akik elkezdik a felkészülést és változtatnak az esetleges folyamatokon, növelik mind dolgozóik, mind ügyfeleik bizalmát.

Azt is látni kell, hogy ez egy folyamatos megfelelés, egy olyan út, amely bizony kiadásokkal is jár. Egy minden területre kiterjedő átvizsgálás önállóan nem egyszerű feladat, ezért ajánlott komplex szolgáltatásokat (jogi, informatikai) nyújtó szakértői csapat segítségét kérni.

A GDPR-Okosan weboldal segítséget nyújt a felkészülés rögös útján, akár egyedül, akár szakértői segítséggel szeretnél felkészülni. Ebben segítségedre lesznek például az ügyvédek által kidolgozott nyilatkozatok, illetve szerződés minták és útmutatók.

Amennyiben biztos kezekben szeretnéd tudni a felkészülést, választhatsz Villámdiagnosztika, Mélydiagnosztika, Jogi Villámdiagnosztika csomagjaink közül is, amelyekkel konkrét iránymutatást, illetve megoldást nyújtunk.

Rám is vonatkozik a rendelet?

Néhány cégvezető bizonytalan abban, hogy rá is vonatkozik-e a rendelet. Ha te is szeretnél tisztábban látni ezzel kapcsolatban, akkor töltsd ki a 6 kérdéses gyorstesztünket, amely segíteni fog ebben.

TOVÁBB

Hogyan kezdjem a felkészülést?

Amennyiben a leírásból látod, hogy rátok is vonatkozik a rendelet; dönthetsz úgy, hogy a meglévő anyagok alapján egyedül kezded el a felkészülést, vagy akár segítséget is kérhetsz munkatársainktól!

TOVÁBB