Aggódjunk vagy készüljünk? (Adatvédelmi kiskáté I.)

Szerző(k): Dr. Gecser Szilvia | 2017.11.16 | Adatvédelem

Az alábbiakban, valamint a soron következő cikkekben a GDPR bevezetésével járó alapvető tudnivalókat foglaljuk össze részletesen bemutatva az új szabályokat, főbb módosításokat.

Nem egy fórumon találkozhattunk már a GDPR kifejezéssel, vagyis az Általános Adatvédelmi Rendelettel, amely 2018. május 25-ét követően új fejezet nyit az európai adatvédelem területén. Az e naptól kötelezően alkalmazandó jogszabály valamennyi uniós tagországban irányadó lesz, és felváltja a tagországokban jelenleg hatályos szabályozást. Magyarország szerencsés abból a szempontból, hogy jelenleg is egy konzervatívabb, adatalanyokat védő szabályozást követ, azonban a GDPR számos új elvárást is bevezet, melyeknek valamennyi adatkezelő meg kell, hogy feleljen.

A GDPR megalkotásának fő oka elsősorban az adatvédelmi szabályok tagállamok közötti egységesítése volt, de célként fogalmazódott meg a gyakorlatban jelen lévő új IT megoldások lekövetése a szabályozásban, valamint a személyes adatok védelmének hatékonyabb biztosítása.

A GDPR újításainak egy része adminisztratív feladatokat jelent az egyes adatkezelők számára, másik részük pedig szélesíti az érintettek jogait az adatkezelésekkel kapcsolatban. Külön hangsúlyt kap az adatkezelések biztonsága, amelynek elemeit be kell építeni a szervezetek működési folyamataiba már azok tervezésekor is.

A GDPR kapcsán a legnagyobb publicitást a bírság megemelt összege kapta, amely elérheti a 20 millió Eurót is. A bírság valóban magas a jelenlegi 20 millió Forintban maximált összeghez képest, de kellő felkészüléssel, a jelenlegi működés strukturált áttekintésével és néhány új szabályozás bevezetésével elkerülhető. Azon szervezetek, amelyek a hazai szabályozásnak megfelelően végezték adatkezelési tevékenységüket, könnyebb helyzetben vannak, de az adatkezelésre kevésbé nagy hangsúlyt fektető társaságok számára sem lehetetlen a feladat.

A következőkben a bírsággal való riogatás helyett inkább lépésenként bemutatjuk, hogyan kell egy jogkövető szervezetnek, vállalkozásnak a gyakorlatban felkészülnie a jövő évi jogharmonizációs változásokra.

• Első lépés az adott szervezet keretein belül végzett adatkezelések részletes feltérképezése. Ennek során rögzíteni kell, hogy milyen adatokat, milyen célból, tevékenység keretében, milyen felhatalmazás (hozzájárulás vagy jogszabály) alapján és mennyi ideig kezeli a szervezet.
• Ezt követően meg kell határozni azokat az intézkedéseket, amelyek ahhoz szükségesek, hogy az új adatvédelmi előírásoknak megfeleljenek az adatkezelések. Tájékoztatók, belső szabályzatok, szerződések felülvizsgálata, különös tekintettel az adatkezeléshez történő hozzájárulások körülményeire, az érintetti jogokra és az adattovábbítás
• Meg kell vizsgálni, hogy szükség van-e adatvédelmi tisztviselő kinevezésére. Abban az esetben is érdemes lehet tisztviselőt vagy felelős személyt kinevezni, ha a jogszabály alapján nem kötelező, mert e felelős segítségével könnyebben kezelhetővé és ellenőrizhetővé válhatnak az adatkezelési feladatok.
• Amennyiben az adott cég az adatkezelések feltérképezése során olyan adatkezelési műveletet azonosított, amely magas kockázatot jelent az érintettek jogaira nézve (például különleges adatokat kezelnek vagy marketing tevékenységükben profilalkotást alkalmaznak), szükségessé válik az adatvédelmi hatásvizsgálat elvégzése.
• Az adatkezelőknek ki kell alakítaniuk azokat a belső eljárásrendeket, amelyek az adatvédelem mindenkori biztosításához szükségesek. Így különösen gondoskodniuk kell az oktatásáról, az érintettek panaszainak, valamint az adatvédelmi incidensek kezeléséről.
• Gondoskodni kell az adatkezelési nyilvántartás bevezetéséről és naprakészen tartásáról, amely tartalmazza az adatkezelésekkel kapcsolatos valamennyi lényeges információt és intézkedést.
• Felül kell vizsgálni a szervezet működésére vonatkozó adatbiztonsági intézkedéseket és elvégezni a megfelelő módosításokat hozzáigazítva a már elfogadott új eljárásrendekhez és szabályokhoz.

A fenti lépések egyfelől az egyes szervezetek adatkezeléseinek, ügyviteli folyamatainak belső áttekintését, átgondolását igénylik, másfelől azok új jogszabályi környezethez való igazítását, amelynek végrehajtásához adatvédelmi szakértő bevonása nyújthat segítséget.

A blogcikk tájékoztató jelleggel készült, nem minősül egyedi ügyre alkalmazható hivatalos jogi véleménynek vagy jogi állásfoglalásnak. Az Ecovis Hungary Legal a jelen blogcikk egyedi ügyben történő felhasználásáért a jogi felelősségét kizárja.