Fontos változások az adatvédelem területén

- új adatvédelmi jogszabály és az azzal kapcsolatos kötelezettségek

2018 május 25-től hatályba lép az Európai Unió egységes adatvédelmi rendelete, amelyet magyar viszonylatban kiegészít az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény. Jelentősen szigorodnak a személyes adatok kezelésére vonatkozó elvárások. 

Az e területen mutatkozó több mint 20 év, látszólagos tétlensége után, 2016 tavaszán az Európai Parlament kihirdette az Általános Adatvédelmi Rendeletet (General Data Protection Regulation – GDPR, 2016/679/EU). A rendelet fő célja az EU-n belüli egységes adatkezelési joggyakorlat megteremtése az adatok szabad áramlása miatt. 

Az Általános Adatvédelmi Rendeletet (a továbbiakban: Rendelet) jellegéből fakadóan nem szükséges átültetni a tagállamok jogrendszerébe, de a jelenleg hatályos adatvédelmi törvényeket szükséges hozzá igazítani. Magyarországon is elindult a jogharmonizációs folyamat, az Igazságügyi Minisztérium 2017. augusztus 29-én a Parlament elé terjesztette az „Előterjesztés az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról” (a továbbiakban: Infotörvény) címmel a törvénytervezetet, amely a www.kormany.hu weboldalról letölthető.

Mikor a Parlament elfogadja a jogszabályt és azt kihirdetik, a hatályba léptetéssel a hivatkozott módosított Infotörvény a Rendelettel együttesen határozzák meg az adatkezelés jogi kereteit.   

Minden személyes adatot kezelő szervezetre, jogi személyre vonatkozik, akik az Európai Unióban, így Magyarországon is élő/tartózkodó személyek adatait kezelik, abban az esetben is, ha ez a tevékenység az Eu-n kívül történik. Az adatkezelési elvárások és folyamatok nagymértékben hasonlítanak a könyvelési szabályokhoz, hiszen a rendszer pontos elszámoltathatóságot követel meg az adatkezelőtől a teljes adatkezelési életciklus alatt. Természetesen továbbra is gondoskodni kell minden adatkezelőnek és feldolgozónak a személyes adatok kiemelt védelméről.

A személyes adatok definíciója értelmében nagyon kitágult a kezelendő adatok köre. Minden adat, amely természetes személyhez köthető, már személyes adatként kezelendő. A teljes megértés kedvéért megemlítek pár példát: a név és lakcím adatok mellett a GPS adatok, IP címek, kamera felvételek, bármilyen web oldalakra való bejelentkezés.

A Rendelet értelmében a kiszabható pénzügyi büntetések elérhetik akár a 20 millió EUR- értéket (ez közel 6 milliárd forintnak felel meg) vagy a cég éves, világszintű árbevételének 4%-át. Így az adatkezelés jogszerűsége üzleti kockázati szintre emelkedik.

Elérkeztünk ahhoz a ponthoz, amikor szakmákon átívelő megoldásokban kell gondolkodnunk és meg kell találnunk a közös nyelvet jog, biztonság, informatika és az operáció között 

Garantálni kell a kezelt adatok bizalmasságát, sértetlenségét és rendelkezésre állását és hogy a védett adatokhoz csak az előzetesen arra feljogosított személyek/rendszerek férjenek hozzá. Nem tesz különbséget a digitális és a papír alapú adatkezelés kapcsán, egyenszilárd elvárásokat vár el mindkét esetben.

Megjelenik a 72 órán belüli incidens bejelentési kötelezettség, amely számos eljárás és rendszer bevezetését követeli meg, ezzel komoly erőfeszítéseket követelve az adatkezelőktől.

Definiálja az Adatvédelmi tisztviselő szerepkört, amit szervezetileg is a mindenkori legfelsőbb vezetéshez köt és gondoskodik a pozíció megfelelő védelméről. 

A Rendelet valós hatásait egy célirányos felkészülési folyamat lépései mentén érthetjük meg:

Amennyiben bizonytalan, hogy érintett-e társaságuk/szervezetük az új adatvédelmi jogszabályok által előírt kötelezettségek teljesítésében, úgy kattintson a következő kérdőívre »
 

A cikk szerzője:
Kancsal Tamás

Selected Solution Management Kft.
+36 (20) 33 22 721 
kancsal.tamas@ssm.hu 
a Magyar Könyvvizsgálói Kamara Oktatási Központ Kft. oktatója