EU GDPR: jelentős változások az adatvédelemben | KPMG Magyarország

Az EU új adatvédelmi rendelete szigorítja a törvényi követelményeket. Önök felkészültek a megfelőség biztosítására?

EU GDPR: jelentős változások az adatvédelemben

A legfontosabb változások az adatvédelmi szabályozás terén

1000

Igazgató

KPMG Tanácsadó Kft.

Kapcsolat

További tartalmak

Az Európai Parlament, a Bizottság és a Tanács megállapodott az Általános Adatvédelmi Rendelet (angolul General Data Protection Regulation, rövidítve GDPR) végleges szövegében. A szabályozás az 1995-től hatályos Adatvédelmi Irányelv helyébe lép. Célja az európai személyek adatainak védelme a modern digitális világban és az erre vonatkozó jogszabályok harmonizálása az EU minden tagállamában.


Hosszas háromoldalú tárgyalások után – három évvel az első javaslattételt követően – az Európai Parlament, a Bizottság és a Tanács megállapodott az Általános Adatvédelmi Rendelet végleges szövegében, amely az Európai Unió hivatalos lapjában 2016. május 5-én került kihirdetésre. Célja az európai személyek adatainak védelme a modern digitális világban és az erre vonatkozó jogszabályok harmonizálása a tagállamokban. A GDPR a több mint 20 éves Adatvédelmi Irányelvet 2018. május 25-én váltja fel. Ettől a naptól közvetlenül alkalmazandó lesz az EU minden tagállamában.


A végleges szövegbe számos jelentős újítás került bele az 1995-ös Irányelvhez képest. Ilyenek például a következők:

Az adatkezelésben érintett személyek hozzájárulásával kapcsolatos követelmények;

  • A személyes adatok elfeledtetéséhez való jog;
  • „Privacy by design”1  elveknek való megfelelés;
  • Adatvédelmi hatásvizsgálat;
  • Adatvédelmi felelős kijelölése;
  • Adattovábbítási korlátozástok EU-n kívüli országokba;
  • Kiértesítés adatvédelmi incidensekről;
  • Kártérítés és bírságok.


Az alábbiakban bemutatjuk a GDPR vállalati szektor számára jelentős változásait és a rendeletben foglalt főbb kötelezettségeket.

1 A „Privacy by design” a beépített és alapértelmezett adatvédelmi elvek alkalmazásának módszertana, melynek lényege, hogy az adatvédelmi szempontokat már a folyamatok, rendszerek, alkalmazások stb. tervezésénél követelményként kell kezelni és be kell építeni az üzleti és informatikai szakértők munkájába.

1. Az érintett fél hozzájárulásával kapcsolatos követelmények

Az érintett hozzájárulása, mint a személyes adat kezelésének jogalapja, nem új fogalom az adatvédelemben. A GDPR azonban szigorúbb követelményeket vezet be a korábbi irányelvhez képest. Amennyiben egy vállalat az ügyfél hozzájárulását kéri személyes adatainak kezeléséhez, a hozzájárulásnak egyértelműnek kell lennie.


Mindez mit jelent a gyakorlatban? Az alábbi táblázat – a teljesség igénye nélkül – bemutat néhány esetet, melynél a korábbi irányelvhez képest szigorodnak a GDPR előírásai azt illetően, hogy a vállalat milyen módon kaphat hozzájárulást az ügyfelektől a személyes adatok kezeléséhez.

 

+
Az ügyfél kipipálja az erre vonatkozó check-boksz-ot A vonatkozó check-boksz előre ki van pipálva
Az ügyfél aláírja az adatkezelésre vonatkozó hozzájárulási nyilatkozatot Az ügyfél hallgatása
Az ügyfél egy online szolgáltatás igénybe vétele során erre vonatkozó technikai beállítást hajt végre Az ügyfél nem cselekvése

 

Tudnivalók:

  • A továbbiakban a nem tevőleges magatartás már nem számít az ügyfél részéről hozzájárulásnak. A vállalatoknak ezért minden papír és digitális alapú adatkezelési felületen meg kell változtatniuk a hozzájárulással kapcsolatos beállításaikat, hogy megfeleljenek az új szabályozásnak.
  • A vállalatoknak továbbá a jogellenes adatkezelés megelőzése érdekében biztosítaniuk kell, hogy a hozzájárulás mechanizmusa szorosan összekapcsolódjon az adatkezelési tevékenységükkel. Az érvényes hozzájárulás nélküli adatkezelés jogszabályba ütköző tevékenységnek minősül.

2. Az adatfeldolgozók új feladatai

A GDPR új szabályozásai közül az adatkezelőket érintő egyik legfontosabb feladat, amely az adatkezelőket és az adatfeldolgozókat egyaránt érinti, olyan szervezeti és technikai megoldások bevezetése, amelyek biztosítják a feldolgozott személyes adatok védelmét.


Míg a korábbi irányelv ezt a feladat kizárólag az adatkezelő felelősségi körébe utalta, és a vonatkozó követelményeket általánosan fogalmazta meg, a GDPR számos konkrét követelményt fogalmaz meg az adatkezelők, illetve adatfeldolgozók közötti szerződések tartalmára vonatkozóan, és új kötelezettségeket ró az adatkezelőkre és adatfeldolgozókra egyaránt.


Tudnivalók:

  • Az adatkezelők és adatfeldolgozók közötti szerződés képezi továbbra is az alapot az adatkezelési tevékenységhez. A GDPR értelmében ennek elő kell írnia a Rendeletben foglalt adatbiztonsági intézkedéseket az adatfeldolgozó számára, többek között a személyes adatok titkosítása, álnevesítése és az üzletfolytonosság terén. Mindezek szükségessé teheti az ilyen szerződések felülvizsgálatát.
  • Az adatfeldolgozóknak fel kell mérniük, hogy megfelelőek-e a jelenleg alkalmazott megoldások az adatfeldolgozás célját és mértékét, az összegyűjtött adatok mennyiségét, az adattárolás időszakát, valamint az adatokhoz való hozzáférést (alapértelmezett adatvédelem) illetően.
     

3. Adatvédelmi incidens jelentése (új)

A GDPR szerint az adatvédelmi incidenseket az észlelésüket követő 72 órán belül be kell jelenteni az a felügyeleti hatóság, Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé.


A személyes adatokat illető incidens bejelentése sok tényezőtől függ:

  1. Pontosan ismeri-e a vállalat, hogy rendszereiben hol tárol személyes adatokat? Hol érheti az adatokat védelmi incidens?
  2. Megfelelő képességekkel rendelkezik-e a vállalat az adatvédelmi incidensek bekövetkezésének észleléséhez? Tisztában van-e azzal, ha adatbetörés történik?
  3. Kialakították azokat a folyamatokat és eljárásokat, melyek segítségével gyorsan tudnak reagálni az adatvédelmi incidensekre?


Tudnivalók:

  • Az adatvédelmi incidensekre reagáló vállalatnak jól átgondolt lépések sorát kell megtennie, amelyek több különböző területen dolgozó ember közreműködését igénylik. Az incidens belejelentés egyike ezeknek lépéseknek. Nagyban lerövidítheti a reakcióidőt egy tényleges adatvédelmi incidens bekövetkezésekor, ha ezeket a válaszlépéseket már előre meghatározzák és tesztelik.
  • Az adatvédelmi incidenseket – azok hatókörétől és a vállalatra gyakorolt hatásától függetlenül – naplózni és dokumentálni kell, hogy a vállalatok visszamenőlegesen is igazolni tudják a GDPR-nak való megfelelést.

4. Adatvédelmi tisztviselő

Az új adatvédelmi rendelet követelményei közül az egyik legtöbbet emlegetett pont az adatvédelmi tisztviselő (Data Protection Officer – DPO) kötelező kijelölése. A GDPR meghatározza, hogy minden egyes vállalatnak, melynek tevékenysége kiterjed személyes adatok nagymértékű, rendszeres és szisztematikus megfigyelésére adatvédelmi tisztviselőt kell kijelölnie. Ugyanez vonatkozik azokra a cégekre is, amelyek nagy számban kezelnek különleges személyes adatokat. Adatkezelők és adatfeldolgozók egyaránt kötelezettek DPO kinevezésére.


Az adatvédelmi tisztviselő szerepét belső alkalmazott vagy szerződéses partner is betöltheti, amennyiben az alkalmazott képesítése, valamint az adatvédelemről szóló jogi szabályozás és az azzal összefüggésben alkalmazott eljárások terén szerzett szakmai tudása arra alkalmassá teszik.


Tudnivalók:

  • Az adatvédelmi tisztviselő független pozíciót tölt majd be, és várhatóan kiterjedt befolyással bír majd egyes üzleti döntésekre is, így kialakítása komoly felelősséget ró a vállalatokra. Az adatvédelmi tisztviselőnek tisztában kell lennie a vállalat üzleti tevékenységével, ezen kívül kiterjedt szakmai tapasztalattal kell rendelkeznie az adatvédelmi követelmények és jogszabályi megfelelőség terén. Így lehet képes arra, hogy a vállalat számára megfelelő szakmai tanácsadási szolgáltatást nyújtson, illetve hogy a vállalatot megfelelően képviselje az adatvédelmi hatóság felé.

5. Kártérítés és bírság 20 millió euróig vagy a vállalkozás globális árbevételének 4%-a

A GDPR bevezetésével bírság és kártérítés kiszabására kell számítania azoknak a vállalatoknak, amelyek nem felelnek meg a rendelet előírásainak.

  • Az adatkezelőkre vagy adatfeldolgozókra vonatkozó rendelkezések megsértéséért maximálisan 10 millió euró vagy a vállalkozás globális árbevétele 2%-ának megfelelő mértékű bírság szabható ki (a kettő közül a magasabb érvényes).
  • Az adatkezelés (pl. hozzájárulás), az adatkezelt ügyfél jogainak, illetve a jóváhagyott adattovábbítási mechanizmusok alapelveinek megsértéséért maximálisan 20 millió euró vagy a vállalkozás globális árbevétele 4%-ának megfelelő mértékű bírság szabható ki (a kettő közül a magasabb érvényes).

Jóllehet e hatalmas bírságok kiszabása valós fenyegetés, rövidtávon nem számítunk ilyen mértékű büntetésekre. Azok a vállalatok, amelyek nagy mennyiségű személyes adatot kezelnek, számíthatnak viszont arra, hogy az adatvédelmi hatóság az elsők között őket keresi fel annak érdekében, hogy megbizonyosodjon a GDPR követelményeinek való megfelelőségről.


Tudnivalók:

  • A bírságfizetési kötelezettség elkerülése fontos annak biztosítása, hogy a vállalat szervezeti szintű működése megfeleljen a GDPR követelményeinek, és rendelkezzen mindazon dokumentációval (pl. adatvédelmi hatásvizsgálat, adatvédelmi incidensek dokumentációja, érintettek hozzájárulása, stb.), amellyel a megfelelőséget a hatóság előtt alá is tudja támasztani.


A magyar vállalatoknak már csak egy év áll rendelkezésükre, hogy szervezeti felépítésükben és működésükben egyaránt megtegyék a szükséges változtatásokat a GDPR-nak való megfelelés érdekében.

Kapcsolat

 

Ajánlatkérés

 

Tovább