Győr+
2018.05.20. 10:00

Szigorúbb lesz az adatvédelmi szabályozás május 25-től

Az új, Európai Uniós adatvédelmi rendelet május végi bevezetése kihívás elé állítja a vállalkozásvezetőket. Dr. Erős László adatbiztonsági és adatvédelmi szakjogászt kérdeztük a témáról.

Miért fontos a személyes adataink védelme, és kire vonatkozik a jelenlegi adatvédelmi szabályozás?

A személyes adatok védelméről szóló törvényi szabályozás biztosítja, hogy minden állampolgár információval rendelkezhessen a személyével kapcsolatos adatok nyilvántartásáról, ezen adatok felhasználásáról vagy továbbításáról. Ez a magánjellegű – otthoni – adatkezelésen, valamint az elhunyt személyek adatainak kezelésén kívül minden vállalkozásra kötelező érvényű. Ezen adatok felhasználásáról a munkaadónak a munkavállalók részére tájékoztatási kötelezettsége van, mely az adatok felhasználását és típusát figyelembe véve, lehet egy beleegyező nyilatkozat igénylése vagy egy írásos, a jogorvoslati lehetőség szabályait is tartalmazó tájékoztató lehet. Lényeges, hogy egy vállalkozásnál az adatkezelés, feldolgozás, illetve továbbítás összes fázisáról tájékoztatást kapjon a munkavállaló.

Mit vegyen figyelembe egy vállalkozásvezető, ha meg szeretne felelni a jelenlegi jogszabályi előírásoknak?

A vállalkozás adatvédelmi szabályzatának felépítése összetett folyamat, melyhez szükséges a vállalat adatkezelési protokolljának szakember által történő részletes felmérése, adatvagyonleltár kitöltésével. Ez tartalmazza a munkaügyi adatkezelés, a vállalati kamera- és beléptetőrendszerek, az informatikai rendszerek, valamint a külföldre történő adattovábbítás gyakorlatának vizsgálatát is. Nagyon fontos a cég honlapjának, hírlevél-adatbázisának vagy karrieroldalának az előírás szerinti üzemeltetése, hisz bármely személyes adat igénylésével és tárolásával együtt jár a tájékoztatási, és igény esetén, törlési kötelezettség betartása is, melyet jelenleg még nagyon kevesen vesznek figyelembe.

Ezen vizsgálat lefolytatása után kezdődhet meg a törvényi előírásoknak megfelelő adatbiztonsági és adatvédelmi szabályzat felépítése, ami a vállalkozásvezetők részéről sokszor nagymértékű kompromisszumkészséget igényel, hisz sokan a felmérés során szembesülnek azzal, hogy jelentős változtatást kell végrehajtani a jelenleg alkalmazott adatkezelési gyakorlaton, mivel 250 fő feletti alkalmazotti létszámot foglalkoztató, vagy 250 fő alatti, de szisztematikus adatfeldolgozást, illetve különleges adatkezelést folytató vállalkozásoknál az adatkezelési és továbbítási nyilvántartás vezetése kötelező. Sajnos ki kell jelenteni, hogy a vállalkozások túlnyomó többsége nem készült fel a törvényi előírások betartására.

Május 25-én vezetik be az EU-s adatvédelmi rendeletet. Milyen változás várható, az előzőekben ismertetett, szigorú jogszabályi környezethez képest?

A rendelet egységes adatkezelési szabályokat tartalmaz, mely az összes EU-s tagállamra, valamint az EU-n kívüli székhellyel, de EU-n belüli tevékenységi körrel rendelkező vállalkozásra is vonatkozni fog. Új fogalmakat, így új kötelezettségeket vezet be az adatkezelés terén. Bevezetik az adathordozhatósághoz való jog fogalmát, mely lehetővé teszi az érintett számára, hogy az adatkezelőtől a rendelkezésére bocsátott személyes adatait géppel olvasható formátumban igény esetén megkapja. Kötelezettség lesz az „elfeledtetéshez való jog” biztosítása, mely a nyilvánosságra hozott adatok törlési szabályait határozza meg.

Ez jelentős többletmunkát okozhat a weboldalak üzemeltetőinek, hisz törlési kérelem benyújtása esetén nemcsak az elektronikus adatok másodpéldányai, de az arra mutató linkeket is törölni kell. Új fogalomként jelenik meg a személyes adatok anonimmá tételének módszere „álnevesítés” útján. Így személyes adatainkhoz csak további információ – legtöbb esetben egy azonosításhoz szükséges szoftver vagy jelszó felhasználásával férhetnek hozzá az illetékesek. Sok esetben szükségessé válik az adatvédelmi tisztségviselő személyének meghatározása, aki független személyként fogja irányítani a vállalat adatkezelési folyamatait, és jelentős mennyiségű vagy szenzitív adatok kezelése esetén, bevezeti az érdekmérlegelési tesztet, illetve az adatvédelmi hatásvizsgálat elvégzésének kötelezettségét, mely a vállalkozás adatkezelési mechanizmusának a Nemzeti Adatvédelmi és Információszabadság Hatósággal történő egyeztetését írja elő. Változni fog az adatvédelmi incidens nyilvántartása, és jelentési kötelezettségének szabályozása. Ennek jelentésére jogkövetkezmény nélkül az új szabályozás szerint maximum 72 óráig lesz lehetősége az adatkezelőknek. Az új adatvédelmi rendelet jelentősen növeli a kiszabható adatvédelmi bírság mértékét is, melyet akár húszmillió euró, vagy az előző évben generált teljes pénzügyi forgalom 4 százalékát kitevő büntetéssel is járhat.

Szerző: Koloszár Tamás