Fontos változások az adatvédelem területén

2017. október 13.

- új adatvédelmi jogszabály és az azzal kapcsolatos kötelezettségek

2018 május 25-től hatályba lép az Európai Unió egységes adatvédelmi rendelete, amelyet magyar viszonylatban kiegészít az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény. Jelentősen szigorodnak a személyes adatok kezelésére vonatkozó elvárások. 

Az e területen mutatkozó több mint 20 év, látszólagos tétlensége után, 2016 tavaszán az Európai Parlament kihirdette az Általános Adatvédelmi Rendeletet (General Data Protection Regulation – GDPR, 2016/679/EU). A rendelet fő célja az EU-n belüli egységes adatkezelési joggyakorlat megteremtése az adatok szabad áramlása miatt. 

Az Általános Adatvédelmi Rendeletet (a továbbiakban: Rendelet) jellegéből fakadóan nem szükséges átültetni a tagállamok jogrendszerébe, de a jelenleg hatályos adatvédelmi törvényeket szükséges hozzá igazítani. Magyarországon is elindult a jogharmonizációs folyamat, az Igazságügyi Minisztérium 2017. augusztus 29-én a Parlament elé terjesztette az „Előterjesztés az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról” (a továbbiakban: Infotörvény) címmel a törvénytervezetet, amely a www.kormany.hu weboldalról letölthető.

Mikor a Parlament elfogadja a jogszabályt és azt kihirdetik, a hatályba léptetéssel a hivatkozott módosított Infotörvény a Rendelettel együttesen határozzák meg az adatkezelés jogi kereteit.   

Minden személyes adatot kezelő szervezetre, jogi személyre vonatkozik, akik az Európai Unióban, így Magyarországon is élő/tartózkodó személyek adatait kezelik, abban az esetben is, ha ez a tevékenység az Eu-n kívül történik. Az adatkezelési elvárások és folyamatok nagymértékben hasonlítanak a könyvelési szabályokhoz, hiszen a rendszer pontos elszámoltathatóságot követel meg az adatkezelőtől a teljes adatkezelési életciklus alatt. Természetesen továbbra is gondoskodni kell minden adatkezelőnek és feldolgozónak a személyes adatok kiemelt védelméről.

A személyes adatok definíciója értelmében nagyon kitágult a kezelendő adatok köre. Minden adat, amely természetes személyhez köthető, már személyes adatként kezelendő. A teljes megértés kedvéért megemlítek pár példát: a név és lakcím adatok mellett a GPS adatok, IP címek, kamera felvételek, bármilyen web oldalakra való bejelentkezés.

A Rendelet értelmében a kiszabható pénzügyi büntetések elérhetik akár a 20 millió EUR- értéket (ez közel 6 milliárd forintnak felel meg) vagy a cég éves, világszintű árbevételének 4%-át. Így az adatkezelés jogszerűsége üzleti kockázati szintre emelkedik.

Elérkeztünk ahhoz a ponthoz, amikor szakmákon átívelő megoldásokban kell gondolkodnunk és meg kell találnunk a közös nyelvet jog, biztonság, informatika és az operáció között 

Garantálni kell a kezelt adatok bizalmasságát, sértetlenségét és rendelkezésre állását és hogy a védett adatokhoz csak az előzetesen arra feljogosított személyek/rendszerek férjenek hozzá. Nem tesz különbséget a digitális és a papír alapú adatkezelés kapcsán, egyenszilárd elvárásokat vár el mindkét esetben.

Megjelenik a 72 órán belüli incidens bejelentési kötelezettség, amely számos eljárás és rendszer bevezetését követeli meg, ezzel komoly erőfeszítéseket követelve az adatkezelőktől.

Definiálja az Adatvédelmi tisztviselő szerepkört, amit szervezetileg is a mindenkori legfelsőbb vezetéshez köt és gondoskodik a pozíció megfelelő védelméről. 

A Rendelet valós hatásait egy célirányos felkészülési folyamat lépései mentén érthetjük meg:

  • Adatvédelmi tisztviselő - Nevezzük ki a felelős személyt vagy vegyünk igénybe szolgáltatásként, legyen ő a gazdája az adatvédelemnek a szervezetünkben.
  • Üzleti folyamat felmérés – Pontos képet kell lássunk az adatkezelésben résztvevő folyamatainkról, az azokat végző munkatársakról, az adatgazdákról és az adatmozgásokról.
  • Adatvagyon Leltár -  Az előző lépésben azonosított adatok rendszerezése.
  • Személyes adatok azonosítása – A Rendelet csak a személyes adatok kezelésére vonatkozik, ezért erőforrást és költséget takaríthatunk meg, ha szűkítjük a védett adatok körét.
  • Adatosztályozás – Tipizáljuk a kezelt adatokat, érzékenység és típus szerint.
  • Jogi audit – Jogszerű adatkezelési célok és az azokhoz tartozó jogalapok meghatározása.
  • Informatikai audit – Az adatkezelésben résztvevő informatikai eszközök esetében vizsgáljuk meg az elvárt kontrollok teljesülését.
  • Előzetes Adathatás elemzés. Az adatkezelési folyamataink sérülékenységét szükséges preventív módon megvizsgálni. Azonosítani kell minden fenyegetést, amely bizalmasság, sértetlenség és rendelkezésre állás szempontjából hatással lehet az adatokra és a folyamatokra.
  • GAP analízis – Mutassunk rá a Rendelet elvárásai és a valós helyzet közti különbségre.
  • Cselekvési terv – A feltárt hiányosságok felszámolása érdekében definiált feladatok összesítése.
    • A magas kockázatú fenyegetések csökkentésére tett erőfeszítéseink során a bekövetkezés esélyeit csökkentjük vagy a károkozási képességet. A kockázatok csökkentése miatt kialakított Védelmi Intézkedések lehetnek adminisztratív, logikai és fizikai eljárások. A 41/2015. (VII. 15.) BM rendelet (https://net.jogtar.hu/jr/gen/hjegy_doc.cgi?docid=a1500041.bm) védelmi intézkedés katalógusa támpontot nyújthat.
    • Meg kell valósítani a biztonság az alapoktól (security by design) elvet. Ez annyit jelent, hogy minden új informatika fejlesztés esetében legalább annyira fontos szempont a biztonság, mint az, hogy jól ellássa az eredeti funkcióját. A régi rendszerek esetében pedig kompenzáló kontrollok kialakításával kell elérnünk a kívánt eredményt.
    • Adatalanyként megerősödnek a jogaink:
      •  hozzáférési jog;
      • helyesbítéshez való jog;
      • törléshez való jog („az elfeledtetéshez való jog”);
      • adathordozhatósághoz való jog.
    • 72 órán belül kötelesek leszünk jelenteni az esetleges incidenseinket. Magas kockázatú incidens esetén az érintetteket is tájékoztatni szükséges. Kulcsfontosságú a munkatársak képzése. Tudatosításra és az adatkezelés pontos ismeretére van szükség.
    • A Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatása az adatvédelmi tisztviselő vagy további kapcsolattartó személyéről és elérhetőségeiről.
  • Végső lépésként folyamattá kell szerveznünk az előző lépéseket, hogy naprakész adatvagyon leltárral rendelkezzünk és az esetleges incidensekre mihamarabb reagálni tudjunk.   

Amennyiben bizonytalan, hogy érintett-e társaságuk/szervezetük az új adatvédelmi jogszabályok által előírt kötelezettségek teljesítésében, úgy kattintson a következő kérdőívre »
 

A cikk szerzője:
Kancsal Tamás

Selected Solution Management Kft.
+36 (20) 33 22 721 
kancsal.tamas@ssm.hu 
a Magyar Könyvvizsgálói Kamara Oktatási Központ Kft. oktatója