Júl 26

Fokozódó szigor az adatvédelemben

| Címkék: , , , , , ,

Surveillance_blogphoto

forrás: Stocksnap

2018. május 25-én új időszámítás kezdődik az adatvédelemben. Ezen a napon ugyanis hatályba lép a két évtizede megalkotott uniós háttérszabályokon alapuló, de eltérő tagállami szabályozásokat felváltó és az egész Európai Unió területén egységes elveket meghatározó adatvédelmi rendelet. Az alábbiakban azokra a változásokra fókuszálunk, amelyek leginkább hatással lehetnek a vállalkozások mindennapjaira 2018. májusától kezdődően.

Minden bizonnyal a legnagyobb horderejű változás a jelenleg 20 millió Ft-os bírsághatár felemelése: kisebb súlyú jogsértések esetén akár az előző évi árbevétel 2%-ig, míg súlyosabb esetekben – például hozzájárulás hiányában végzett adatkezelés, az érintettek jogainak (tájékoztatás, helyesbítés, törlés elmaradása) megsértése vagy jogosulatlan harmadik országba történő adattovábbítás esetén – a bírság felső határa akár ennek kétszerese, az előző évi árbevétel 4%-a is lehet.

Mivel egyre inkább kitolódik az infokommunikációs eszközök használóinak életkora, az EU úgy ítélte meg, hogy bevezeti a 16 éves korhatárt, amely alatt az adatkezelési hozzájárulás megadásához szülői engedélyre is szükség lesz.

A komolytalan, megalapozatlan, ismétlődő tájékoztatás-kérések megelőzése érdekében az adatkezelők a tájékoztatás megadásával kapcsolatban felmerült költségeik megtérítését kérhetik az érintettektől.

A rendelet lehetővé teszi az adatkezelők számára, hogy széles körben ismert és alkalmazott ikonokkal is kiegészítsék az adatvédelmi tájékoztatójuk szöveges részét. Az alkalmazható ikonok körét az Európai Bizottság a későbbiek folyamán fogja közzétenni. Erről természetesen tájékoztatni fogjuk olvasóinkat.

Az érintettek jogainak védelme érdekében a rendelet az automatizált döntések esetén is kötelezővé teszi az emberi tényező közbeiktatását, ha az érintett ehhez kifejezetten ragaszkodik. Természetesen az emberi beavatkozás csak azt kifejezetten kérő érintettekra vonatkozik, a többiek esetében nincs akadálya annak, hogy továbbra is automatizált döntés hozzanak az ügyükben.

Új alapelvként kerül bevezetésre az ún. beépített adatvédelem (privacy by design), ami azt jelenti, hogy az adatkezelőnek már az adatkezelés tényleges megkezdése előtt – például már a projektelőkészítés időszakában – is figyelemmel kell lennie a rendelet előírásaira, amelyet egy esetleges jogsértés esetén az eljáró Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is figyelembe vesz a jogkövetkezmények megállapítása során.

Fontos újdonság, hogy bár megszűnik a hatóság által vezetett adatvédelmi nyilvántartás, azonban a 250 főnél több alkalmazottat foglalkoztató adatkezelők, valamint a 250 főnél kevesebb személyt foglalkoztató, de ún. különleges adatokat (egészségügyi adatok, biometrikus azonosítók, genetikai adatok stb.) kezelő adatkezelők kötelesek lesznek adatkezeléseikről nyilvántartást vezetni – jelentsően növelve ezzel az adatkezelők adminisztrációs terheit, ugyanis a jelenlegi előírások alapján az adatkezelők csupán az adatvédelmi incidensekről, valamint az adattovábbításhoz kapcsolódóan kötelesek nyilvántartást vezetni.

A jelenleg még hatályos szabályozással ellentétben nem csupán egyes ágazati szereplők (például telekommunikációs szolgáltatók), hanem valamennyi adatkezelő köteles lesz 72 órán belül bejelenteni a NAIH részére az általa kezelt adatokat érintő adatvédelmi incidenst (például adatszivárgás, adatlopás).

A profilalkotást végző, különleges adatokat kezelő, valamint a nyilvános helyeken megfigyelőrendszert működtető adatkezelők részére a tevékenységük kiemelt adatvédelmi kockázatára tekintettel már az adatkezelés megkezdését megelőzően kötelező jelleggel előírják előzetes hatásvizsgálat elkészítését, illetve a NAIH-hal történő konzultációt. Az utóbbi eredményeként a NAIH akár meg is tilthatja az adatkezelést.

A főtevékenység keretében különleges adatokat kezelő, illetve megfigyelőrendszereket működtető adatkezelőket a rendelet kötelezi – munkaviszony vagy megbízás keretében foglakoztatott – független adatvédelmi tisztviselő kinevezésére, akinek feladata a munkáltató/megbízó részére történő tanácsadástól egészen az érintettekkel és a NAIH-hal történő kapcsolattartásig terjed.

A gazdasági élet szereplőinek kritikáira reagálva jelentősen bővül az EU-n és EGT tagállamokon kívüli, ún. harmadik országokba történő adattovábbítás jogalapjainak köre: az adatkezelők ezentúl az Európai Bizottság vagy a NAIH által elfogadott ÁSZF rendelkezések, érdekvédelmi szervezetek által kidolgozott és a NAIH által jóváhagyott magatartási kódexek, valamint a NAIH vagy a NAIH által akkreditált független testület tanúsítványának alkalmazásával, sőt akár a NAIH által megismert és engedélyezett szerződés alapján is eleget tehetnek a rendelet szigorú előírásainak és az általuk kezelt adatokat továbbíhatják harmadik országokban lévő más adatkezelők (például anyavállalalaik) részére.

Az Uniós szinten kiemelten kezelt területekhez (például versenyjog) közelítő mértékű bírságolás lehetőségének megteremtésével az EU egyértelművé tette: az adatvédelem többé már nem marginális kérdés, hanem kiemelt szerepe van a Közösség versenyképességének megteremtésében. Ne kockáztassa a kemény munkával megszerzett bevételeit, inkább előzze meg versenytársait azzal, hogy előre felkészül a változásokra!

Ha úgy érzi, adatkezelési gyakorlatuk, kapcsolódó dokumentumaik nem felelnek meg a rendelet által támasztott kihívásoknak, forduljon hozzánk bizalommal: szakértő csapatunkkal felülvizsgáljuk a meglévő gyakorlatát és javaslatot teszünk annak átalakítására. Ha még nem rendelkezik adatvédelmi szabályzattal, annak kidolgozásában is szívesen állunk rendelkezésére.