MÁR CSAK

2018. MÁJUS 25-TŐL AZ ÚJ ADATVÉDELMI RENDELET SZERINT A MAXIMÁLIS KIRÓHATÓ BÜNTETÉS 20.000.000 EURO VAGY AZ ÉVI TELJES ÉRTÉKESÍTÉS 4%-A.

MI AZ A GDPR?

Az Európai Unió Hivatalos Lapjában 2016. május 5-én megjelent az új uniós adatvédelmi szabályozás, a GDPR (General Data Protection Regulation) teljes és végleges szövege, amelynek rendelkezéseit ténylegesen 2018. május 25-től kell majd – minden tagállamban, közvetlenül – alkalmazni, és ekkortól lesznek csak érvényesíthetők a szövegében foglalt szankciók. A kétéves „türelmi idő” fele azonban már eltelt, megkezdődött a 365 napos visszaszámlálás…


ÖN FELKÉSZÜLT?

A rendelet fő alapelvének, az elszámoltathatóságnak való megfelelés. A cégeknek 2018. május 25-tudatosabban kell az adatkezelési tevékenységeiket végezniük: annak kezdeti pillanatától egészen az adatok törléséig minden műveletet úgy kell megvalósítani, hogy az a rendeletnek a hatóság felé is igazolható módon megfeleljen.
A funkciót az új szisztéma szerint az adatvédelmi tisztviselő tölti be. Ilyet akkor kötelező kijelölni, ha közfeladatot ellátó szerv végzi az adatkezelést, ha a cég fő tevékenysége az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszi szükségessé, vagy ha különleges kategóriájú, illetve bűncselekménnyel kapcsolatos az adatkezelés. Az elszámoltathatóság alapelve miatt az adatvédelmi tisztviselő kinevezése erősen ajánlott.
Az adatkezelő még 2018. május 25 előtt át kell, hogy tekintse mind a saját, mind szerződéses partnerei működését abból a szempontból, hogy minden szempontból megfelelnek-e az új rendeletnek.
A rendelet megszünteti (NAIH) adatvédelmi nyilvántartásba való bejelentési kötelezettséget (az adatvédelmi nyilvántartási szám kérését). Ehelyett azt írja elő, hogy az adatkezelők és adatfeldolgozók belső adatkezelési nyilvántartást hozzanak létre és vezessenek írásban, akár elektronikus formában. Kérésre ezt a nyilvántartást az illetékes hatóság rendelkezésére kell bocsátani. (Kivételek a 250 főnél kevesebb foglalkoztatotti létszámmal működő szervezetek. Kivétel a kivétel alól, ha „az adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetőleg kockázattal jár”, ha „nem alkalmi jellegű” (rendszeres), vagy ha különleges adatokat vagy „büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatokat érint”.)
Ha valószínű, hogy az adatkezelési, akár pusztán informatikai műveletek magas kockázattal járnak a természetes személyek jogaira nézve, akkor a forrásának, jellegének, egyediségének és súlyosságának felmérésére az adatkezelő adatvédelmi hatásvizsgálatot kell, hogy végezzen, amelynek során ki kell, hogy kérje az adatvédelmi tisztviselő tanácsát. Ha az adatkezelő nem képes a költségkeretének megfelelő intézkedésekkel mérsékelni a kockázatot, akkor még az adatkezelési tevékenység megkezdése előtt konzultálnia kell a felügyelei hatósággal. Különös kockázatot jelenthet pl. az automatikus döntéshozatal, a profilalkotás vagy a bűncselekménnyel kapcsolatos személyes adat kezelése.
A megfelelőségi átvilágítás mellett a személyes adatok kezelésével kapcsolatos belső szabályzatok, tájékoztatók és hozzájáruló nyilatkozatok átalakítását is jelenti abból a célból, hogy azok az új rendelet követelményeinek megfeleljenek.
Adatvédelmi incidens a biztonság olyan sérülése, amelynek az eredménye a továbbított tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés. Az adatkezelő az incidens tudomására jutásától számított 72 órán belül köteles lehetőség szerint az illetékes felügyeleti hatóságnál ezt jelenteni, valamit az éritetteket indokolatlan késedelem nélkül tájékoztatni. A bejelentésnek/tájékoztatásnak tartalmaznia kell az incidens jellegét, az érintettek és az adatok kategóriáit és hozzávetőleges számát, az adatvédelmi tisztviselő (vagy felelős kapcsolattartó) nevét és elérhetőségeit, valamint a valószínűsíthető következményeket. A teljes tervnek ezeken felül tartalmaznia kell az esetleges hátrányos következmények enyhítését szolgáló kötelező és lehetséges intézkedéseket. (Kevésbé kockázatos esetekben a rendelet mentesít a bejelentési kötelezettség alól.)
Megfelelőségi átvilágítás azért, hogy kiderüljön, az adatkezelő – a rendeletben foglalt kötelezettségeinek megfelelően – megfelelő technikai és szervezési intézkedéseket hajt-e végre annak érdekében, hogy a személyes adatok és az azokat tartalmazó nyilvántartások (adatbázisok) kapcsán az adatbiztonságot garantálja – különösen az adatvédelmi incidensek (a kezelt személyes adatok véletlen vagy jogellenes megsemmisítése, elvesztése, megváltoztatása, jogosulatlan közlése vagy az azokhoz való jogosulatlan hozzáférés) megelőzésének érdekében.
Az ilyen (pl. IT-szolgálatásra, bérszámfejtési szolgáltatásra stb. kötött) szerződések megfelelőségi átvilágítása. Az adatfeldolgozási szerződések kötelező tartalmát, valamint az adatfeldolgozók felelősségét és feladatait a rendelet pontosan meghatározza. Ha a beszállító partner a személyes adatok kezelése során önállóan jár el (pl. a kapcsolattartók adatai), akkor (közvetlen) adatkezelői felelősség terheli.

FAQ

Az európai DM-szövetség, a FEDMA már 2016. júniusában publikált egy gyors első értelmezést a szöveggel kapcsolatban, amelyek szakfordításával a DIMSZ Adatvédelmi és adatbiztonsági tagozata is hamarosan elkészült. A nyár során pedig várta a tagságtól érkező kérdéseket, amelyeket kiválogatva, megválaszolva és megszerkesztve kiadta saját „kérdezz-felelek” kiadványát is, immár sokkal gyakorlatiasabb tartalommal.

A DIMSZ a FEDMA tagjaként már az új adatvédelmi rendelet előkészítésének időszakában is figyelemmel kísérte a szabályozás várható alakulását, és a magyar piacra és jogi környezetre vonatkozó tájékoztatással segítette az európai szervezet munkáját mind az előzetes lobbitevékenységben, mint a hatályba lépést közvetlenül megelőző értelmezési munkafolyamat során. 2016 nyarán tagjaink és az érdeklődők számára magyar nyelven is elérhetővé tettük a FEDMA által összeállított, gyakran felmerülő kérdésekre válaszoló kiadványt.

Dokumentum letöltése
Mivel a hazai környezet mind piaci, mind jogi tekintetben kissé eltér az EU általános viszonyaitól, úgy éreztük, hasznos lehet, ha mindezen felül arra kérjük a tagságunkat, hogy fogalmazzák meg, milyen kérdések azok, amikre úgy érzik, még mindig nem kaptak választ. Ezekre alapozva hoztuk létre saját kiadványunkat, amelyben a felmerülő kérdésekre a CMS Cameron McKenna LLP budapesti irodájának szenior tanácsadója, Adatvédelmi és adatbiztonsági tagozatunk vezetője, Domokos Márton válaszolt.

Dokumentum letöltése