Ön készen áll az általános adatvédelmi rendeletre?

A középvállalatoknál sok vezető és adatvédelmi felelős számára egyre sürgetőbb az általános adatvédelmi rendelet témája. Az aggodalom indokolt, mivel az idő sürget: 2018. május 25-én hatályba lép az EU általános adatvédelmi rendelete valamennyi tagállamban.

Csak minden ötödik vállalat gondolja úgy, hogy határidőre meg tudja valósítani az új adatvédelmi szabályozásokat. Riasztó számok, mivel aki nem csinálja meg a házi feladatait, az a törvénnyel kockáztat meg konfliktust – azok a vállalatok pedig, akik átengedik magukat a reménynek, hogy a törvénysértéseket nem büntetik meg, óriásit tévednek: Az illetékes felügyeleti szervek jelenleg tömegesen készítik fel az alkalmazottaikat a rendszeres ellenőrzésekre.

 

Kire érvényes az általános adatvédelmi rendelet?

Az általános adatvédelmi rendelet az összes olyan vállalatra vonatkozik, melyek EU-s polgárok személyes adatait gyűjtik össze, dolgozzák fel, ellenőrzik vagy továbbítják. Kivételt jelentő szabályozások kis vállalatokra nézve nincsenek. Aki tehát például egy ügyféladatbázist tart karban, e-maileket küld és számlákat ír, annak a vállalati adatvédelmet 2018-ban megfelelően módosítania kell.

Fontos: Nem elegendő az aktuálisan érvényes adatvédelmi törvény előírásait teljesíteni, mivel az új adatvédelmi szabályozások egyes területeken lényesen szigorúbbak!

 

Mi történik az általános adatvédelmi rendelet megsértése esetén?

Az új általános adatvédelmi rendelet megsértését „hatékonyan, arányosan és elrettentően” büntetik. Ennek megfelelően a jövőben drasztikusan végződnek a büntetések is: Akinek eddig a német adatvédelmi törvény megsértése esetén egy 20 000 000 Forintos maximális büntetéssel kellett számolnia, az 2018 májusától akár 20 millió eurós bírságot kockáztat (vagy akár a teljes éves forgalom négy százalékát). Újdonság ezenkívül az általános adatvédelmi rendeletben a kártérítés fizetése szellemi károk, például személyazonosság-lopás vagy a hírnév károsítása esetén.

 

Mi változik konkrétan az általános adatvédelmi rendeleten keresztül?

Hogy eleget tegyenek az általános adatvédelmi rendelet szabályozásainak, az összes vállalatnak ellenőriznie kellene a munkafolyamatait és az IT rendszereit, hogy azok megfelelnek-e az általános adatvédelmi rendelet követelményeinek az áttekinthetőségre és a dokumentációra vonatkozóan. Lényegében 2018 májusától tíz szempont releváns:

 

  1. A bizonyítási teher megfordítása és számadási kötelezettség

A jövőben minden egyes vállalatnak be kell tudnia bizonyítani, hogy megfelelő technikai és szervezeti intézkedéseket tett és valósított meg az adatbiztonság érdekében. Nem elegendő új folyamatokat bevezetni a személyre vonatkozó adatok feldolgozásához, hanem ellenőrzéseket kell végrehajtani és dokumentálni kell azok eredményeit.

  1. Jogszerűség, célmeghatározás és adatminimalizálás

A vállalatoknak, melyek személyes adatokat tárolnak, meg kell szerezniük a megfelelő személyek beleegyezését. Továbbá egyértelműen meg kell határozni az adatfeldolgozás mindenkori célját és korlátozni kell az elmentett adatok terjedelmét ennek a célnak megfelelően.

  1. Áttekinthetőség és integritás

A vállalatoknak nem csupán azt kell dokumentálniuk, hogy hogyan kerülnek feldolgozásra a személyre vonatkozó adatok, hanem tájékoztatniuk kell a természetes személyeket az adataiknak a feldolgozásával összefüggésben a kockázatokról, előírásokról, garanciákról és jogokról is. A személyre vonatkozó adatok feldolgozásánál az általános adatvédelmi rendelet szerint megfelelő biztonságot kell garantálni az illetéktelen hozzáféréssel és az adatok megsemmisítésével szemben.

  1. Összekapcsolási tilalom

A régi német adatvédelmi törvényből ismert összekapcsolási tilalom az általános adatvédelmi rendeletben szigorúbb lesz: A kiegészítő szolgáltatásokat nem szabad attól függővé tenni, hogy az illető személy beleegyezik-e az adatok feldolgozásába – például nyereményjátékok, amik feltételezik a hírlevél címzett listában való beírást.

  1. Korrekcióhoz való jog, törlés és átvitel

Mindenki aktívan kérheti, hogy a róla tárolt adatok korrigálásra, törlésre vagy egy harmadik félnek átvitelre kerüljenek. Ennél mindig biztosítani kell, hogy ne maradjanak nyomok a rendszerben (linkek vagy duplikátumok).

  1. Adatvédelmi hatásvizsgálat

Ha különösen érzékeny adatok kerülnek feldolgozásra, akkor az általános adatvédelmi rendelet egy úgynevezett adatvédelmi hatásvizsgálatot irányoz elő. Konkrétan az adatvédelmi megbízottnak ellenőriznie kell a kockázatokat az érintett személy személyiségjogaira vonatkozóan és állást kell foglalnia az adatfeldolgozás jogszerűségét illetően. Tipikus esetek például a vallásra, etnikai származásra, politikai nézetre vonatkozó adatok vagy az egészségügyi adatok, csakúgy, mint a fizetőképességre vonatkozó információk vagy a közterületek vitatott videokamerás ellenőrzése.

  1. Mindent egy helyen elv

A vállalatok a jövőben kizárólag annak a tagállamnak az adatvédelmi hatóságával működnek együtt, ahol a vállalat székhelye található.

  1. Bejelentési kötelezettség

Az adatvédelmi rendelet megsértéseit az ismertté válás után 72 órán belül jelenteni kell az illetékes hatóságnak. Amennyiben az esetnek nagy kockázata lehetne az érintett személyek személyiségi jogaira nézve, ezeket a személyeket szintén tájékoztatni kell.

  1. Az adatvédelmi megbízott megerősítése

Az általános adatvédelmi rendelet hatálybalépésével a kötelezettség egy adatvédelmi megbízott kinevezésére első ízben kerül kiterjesztésre egész Európára. Egy nyitózáradékon keresztül a német törvényhozó konkretizálta ezt a kötelezettséget: Egy adatvédelmi megbízott – ahogy már a német adatvédelmi törvényben – csak azoknál a vállalatoknál van előírva, melyeknél legalább tíz személy foglalkozik állandóan az automatizált adatfeldolgozással. Ez a kör azonban kiterjesztésre kerül az összes olyan vállalatra, amelyre vonatkozik az adatvédelmi hatásvizsgálat vagy melyek csak harmadik fél megbízásában dolgoznak fel adatokat (mint például a felhő szolgáltatók). Fontos: Az általános adatvédelmi rendelet szerint az adatvédelmi megbízottnak a jövőben már nem csak tanácsadó és támogató funkciója van, hanem „széles körű ellenőrzési kötelezettségei” személyes felelőséggel!

  1. Technikai adatvédelem

Tény: Az általános adatvédelmi rendelet jogszabályoknak megfelelő megvalósítása olyan IT rendszereket követel meg, melyek támogatják az új adatvédelmi szabályozások betartását. Az általános adatvédelmi rendelet többek között egy külön cikkelyben foglalkozik a „Privacy by Design” és „Privacy by Default” IT koncepciókkal, úgyhogy az adatvédelmet a jövőben már a szoftverfejlesztésben lényegesen jobban figyelembe kell venni, például adatvédelem-barát előzetes beállítások formájában, mint pl. automatikus megőrzési időszakok vagy olyan tulajdonságok, amik megakadályozzák az adatokhoz való illetéktelen hozzáférést.

 

Hogyan kerül hatékonyan megvalósításra az általános adatvédelmi rendelet?

Aszerint, hogy a régi német adatvédelmi törvény eddigi adatvédelmi szabályozásai mennyire jól vannak már a vállalati folyamatokban rögzítve, az általános adatvédelmi rendelet megvalósítása jelentős erőforrásokat köthet le. Alapvetően a megfeleltetés hozzáigazítása három fázisban történik:

 

  • 1. lépés: Projekt előkészítése

A menedzsment elkötelezettsége mellett rendelkezésre kell bocsátani a szükséges erőforrásokat és fel kell építeni a szükséges know-how-t a vállalatnál (vagy külső tanácsadókon keresztül be kell szerezni).

  • 2. lépés: Megvalósítás

Az összes folyamat, amelyben személyre vonatkozó adatok kerülnek gyűjtésre, feldolgozásra és tárolásra, ellenőrzésre kerül az általános adatvédelmi rendelet előírásaira vonatkozóan. Az azonosított gyenge pontokhoz kidolgozásra kerül egy intézkedési terv, amit 2018. május 25-ig meg kell valósítani.

  • 3. lépés: Folyamatos adatvédelem

2018. május 25-től rendszeres ellenőrzéseket, valamint auditokat kell biztosítani.

Ajánlott egy folyamatos tudásátvitelt felépíteni az adatvédelem témájára vonatkozóan. Csak így garantált, hogy az adatvédelem ne csak 2018. május 25-én feleljen meg az általános adatvédelmi rendeletnek, hanem tartósan jogszabályoknak megfelelő maradjon. Még ha a vállalat nagysága nem is ír elő adatvédelmi megbízottat, egy adatvédelmi felelősnek ezért folyamatosan tájékoztatni kellene a jogi változásokról és ellenőriznie kellene, hogy ezeknek milyen következményei vannak a belső folyamatokra vagy a technikai infrastruktúrára.

 

Ajánlott bejegyzések