GDPR – A megfelelés nem választás kérdése!

Az Európai Unió megváltoztatta az adatvédelemre vonatkozó előírásait. Ez a változtatás mostanra törvényerejű lett és 2018. május 25-től EU szerte hatályba lép. Ezen előírásokat hívjuk Általános Adatvédelmi Rendeletnek (GDPR), amely a kis- és közepes vállalkozásoktól a hatóságok igazgatótanácsáig minden szervezetre vonatkozik.

Iránymutatás adatkezelők, adatfeldolgozók részére a NAIH honlapján:  http://naih.hu/felkeszueles-az-adatvedelmi-rendelet-alkalmazasara.html

Ezen változások mindannyiunk vállalkozását érintik. Az alábbi  útmutató általános betekintést nyújt az új rendeletbe, különös tekintettel arra, hogy mindez hogyan érinti a napi munkamenetet.

Vonatkozik-e vállalkozására a GDPR?
– Előfordult-e hogy Ön vagy munkavállalója céges laptopját magáncélokra, vagy saját laptopját céges célokra használta?
– Egy találkozón vett részt. Megtartja-e az ügyféltől kapott névjegykártyát?
– Van-e Önnek hozzáférése munkavállalói céges telefon hívás listájához?
– Az Ön vállalkozása működik?
Ha bármely feltett kérdésre adott válasza ‘IGEN’ volt, akkor Önre is vonatkozik a GDPR.

Mi is az az EU adatvédelem?
Az EU-ban létező jogi szabályozások a személyes adatok gyűjtésére és feldolgozására. Bárki, aki személyes adatokat gyűjt vagy dolgoz fel, meg kell védje azokat a velük való visszaélés ellen, valamint számos jogi előírásnak kell megfelelnie.

Az új előírások vonatkoznak az elektronikus és a nyomtatott adatokra is?
Igen,
A GDPR az elektronikus adatokra (mint amilyenek az e-mailek és adatbázisok) és a papíralapú adatokra (néhány kivétellel) egyaránt vonatkoznak. Ez azt jelenti, hogy kötelezettségeink vannak a papír alapú iratokra vonatkozóan is – gondoskodnunk kell azok biztonságos tárolásáról és megsemmisítéséről (például egy irat megsemmisítő segítségével) is, ha már nincs rájuk szükségünk.

Milyen bírságot szabhatnak ki vállalkozásomra az előírások megszegéséért?
Az új rendszer szerint bírságokkal sújthatják az előírások megszegőit- a kiszabható legmagasabb bírság vagy maximálisan 20 millió euró, vagy a vállalkozás teljes éves forgalmának 4%-a lehet, amelyik  nagyobb összeg.

Több teendőjük lesz a vállalkozásoknak?
Igen. Az új szabályozás szerint minden szervezetnek több felelőssége és kötelezettsége lesz. Konkrétabban, a vállalkozásoknak olyan műszaki és szervezeti intézkedéseket kell hozniuk, amelyekkel biztosítják az adatok megfelelő feldolgozását. Az elvárt biztonsági  szint megállapításához a feldolgozás során kockázatokat kell figyelembe venni – különösen a véletlen, vagy jogszerűtlen megsemmisítést. Ha a hatóságok azt kérik, meg kell tudnia mutatni azt is, hogy milyen intézkedéseket vezetett be, (dokumentumok-al igazolva). Annak ellenőrzése, hogy kinek küld tovább személyes adatokat, ezen intézkedések fontos része – például azon személyek adatfeldolgozását is ellenőriznie kell, akikkel együtt dolgozik, mint postaszolgálatok, iratmegsemmisítő cégek és munkaerő-kölcsönzők.

Az adatvédelmet kell a tevékenység központjába helyeznem?
Igen. Az adatvédelmet minden egyes folyamatba be kell építeni. A vállalkozásoknak olyan eljárásokat kell bevezetniük, amelyek alapvetően biztosítják, hogy kizárólag azon személyes adatok kerülnek feldolgozásra, amelyek feldolgozása valóban szükséges.

Hozzá kell járulni az adatfeldolgozáshoz?
Igen. Általánosságban elmondható, hogy az adatfeldolgozásnak jogalappal kell rendelkeznie. Amennyiben a hozzájárulás során adják meg, az új előírások szerint önkéntesnek, konkrétnak, tájékoztatáson alapulónak és egyértelműnek kell lennie. A hallgatólagos beleegyezés, az előre bejelölt négyzetek és a nem cselekvés nem lehet a hozzájárulás alapja, ehelyett inkább aktív folyamatot, mint négyzetek kipipálása, kell kidolgozni. Győződjön meg róla, hogy az Ön által kidolgozott folyamatok megfelelnek az összes ilyen előírásnak.

Vannak új jogok is?
Igen.
Számos új jogot vezettek be ideértve a következőket:
– Az adatok töröltetéséhez való jog – lehetővé teszi az egyének számára, hogy személyes adataik törlését kérjék;
– Az adathordozhatósághoz való jog – lehetővé teszi az egyének számára, hogy az általánosan használt formátumban (CSV, Excel, stb) tárolt adatok áthelyezését kérjék; és,
– A tiltakozáshoz való jog – lehetővé teszi az egyének számára, hogy tiltakozzanak az ellen, hogy profilt készítsenek róluk. Ahol személyes adatokat közvetlen marketing célokból dolgozzák fel, ez ellen is tiltakozhat.

Mi a helyzet akkor, ha valaki meg kívánja tekinteni az adatait?
Az érintettek – hozzáférési kérelem benyújtásával – az új rendelet alapján is kérhetik az adataik megtekintését. Ez az eljárás bárki számára lehetővé teszi, hogy gyakorolja a róla tárolt adatokhoz való hozzáférés jogát. Az új szabályozás szerint a hozzáférési kérelemre a beérkezést követő egy hónapon belül válaszolni kell (bár bizonyos körülmények között maximum két további hónappal ez a határidő meghosszabbítható), annak lehetőségét pedig, hogy ezért egy vállalkozás díjat számoljon fel, eltörölték. A hozzáférési kérelmek száma az elmúlt években jelentősen megemelkedett, így annak díjmentessé válásával még nagyobb növekedésre számíthatunk. az e-mailek és különösen a felhő alkalmazások számának növekedésével, a kérelmek jóval költségesebbek lehetnek és kezelésük is összetettebb lesz.
A szervezetek jövőbeli adatvédelmi stratégiájának ezért meghatározó része lesz az olyan megfelelő folyamatok bevezetése, amelyek az ilyen kérelmek feldolgozásával foglalkoznak.

Szükséges, hogy adatvédelmi biztost jelöljek ki?
Elképzelhető. A GDPR szerint bizonyos esetekben adatvédelmi biztost kell kinevezniük, hogy ő foglalkozzon az adatvédelmi előírásoknak való megfeleléssel. Erről a legjobb jogi tanácsot kérni attól függően, hogy vállalkozása hol van és mivel foglalkozik.

A gyakorlatban ez annyit jelent, hogy legyen egy kijelölt emberünk a cégen belül vagy kívül, aki ellenőrzi a GDPR-ban foglaltak betartását, és koordinálja, hogy ki milyen adatokhoz fér hozzá, milyen célból. A tisztviselőnek nem kell felsőfokú végzettséggel rendelkeznie, de szakértői szintű szakmai ismeretekkel kell rendelkeznie az adatvédelem jogi és gyakorlati előírásairól.

Jelentenem kell majd az adatvédelmi incidenst?
Az adatvédelmi incidens fogalma számos helyzetet ölel fel, ideértve a személyes adatok megsemmisülését, elvesztését, változtatását, jogosulatlan közzétételét vagy az azokhoz való jogosulatlan hozzáférését.
Az adatvédelmi incidenst indokolatlan késedelem nélkül és (ahol ez kivitelezhető) legkésőbb az adatvédelmi incidensről való tudomásszerzéstől számított 72 órán belül jelenteni kell az illetékes szabályozó hatóságnak (a jelentésnek tartalmaznia kell hogy milyen intézkedéseket tettek az adatvédelmi incidens enyhítésére). A vállalkozásoknak világos akciótervet és szabályrendszert kell megfogalmazniuk adatvédelmi incidensek kezelésére.
Ha adatvédelmi incidens történik május 25-e után, akkor a jegyzőkönyvbe ezentúl az adatvédelmi incidens jellegét és az adatvédelmi tisztviselő/tájékoztatást nyújtó kapcsolattartó elérhetőségét is írjuk bele.

Mi a helyzet a felelősséggel és az ellentételezéssel?
Általános alapelv, hogy azokat, akiket az új előírások megszegése miatt sérelem ért, néhány kivételtől eltekintve, kompenzáció illeti meg azoktól, akik a kérdéses személyes adatokat ellenőrzik vagy feldolgozzák. Az új adatvédelmi előírások szerint jogsértések, különösen az adatvédelmi incidensek extra kockázata miatt, a vállalkozásoknak mindent meg kell tenniük a potenciális kártérítési igények számának minimalizálására. Mint mindenre erre is köthető biztosítás, de ha kiderül nem voltunk kellően felkészülve az elhárításra akkor a biztosító nem fog fizetni.

Kell-e valamiféle adatvédelmi hatásvizsgálatot végezni?
Igen. Az új előírások szerint ezt Előzetes Adatvédelmi Hatásvizsgálatnak hívják. Ahol az adatfeldolgozási műveletek valószínűsíthetően nagy kockázatot jelentenek a személyek magánszférájára nézve, ott el kell végezni a személyes adatok tervezett feldolgozási műveleteinek hatásvizsgálatát és ezt még a feldolgozás előtt kell megtenni.

Ahol a hatásvizsgálat azt mutatja ki, hogy a kockázatot csökkentő intézkedések hiányában, a feldolgozás magas kockázati tényezőt jelent, ott konzultálni kell az adatvédelmi szabályozó hatósággal (szintén még feldolgozás előtt).

Van-e változás a harmadik országokba történő adatátvitel terén?
A GDPR értelmében az EU tagállamokból harmadik országokba (ide értve az USA-t is) történő adatátvitelre vonatkozó, már meglévő szabályok érvényben maradnak. Ezen szabályok magukban foglalják azt az előírást, hogy az adatátvitel csak akkor kivitelezhető, ha ezen harmadik országok biztosítják a megfelelő védelmi szintet. Ez egy összetett témakör, amellyel szintén foglalkozni kell az új adatvédelmi szabályok kidolgozásakor. Legjobb ezeket egyeztetni jogászokkal.

Forrás: http://fellowes.hu