A rendeletet 2018. május 25-től kell alkalmazni – mutattak rá a Dessewffy és Dávid, Stadler, Bellák Ügyvédi Társulás szakértői.
Kire vonatkozik? Minden személyes adatot kezelő szervezetre és jogi személyre, akik az EU-ban élő/tartózkodó személyek adatait kezelik, akkor is, ha ez a tevékenység az EU-n kívül történik.
A korábbi szabályozáshoz képest legfontosabb változások
A legfontosabb változások a jelenlegi adatvédelmi szabályozáshoz (95/46/EK irányelv) képest a következők.
Közvetlen hatály az egyes tagállamokban. Az adatkezelők és adatfeldolgozók jobb elszámoltathatósága. Az érintettek erősebb jogosultságai, a nemzeti adatvédelmi hatóságok megerősített végrehajtási hatásköre. Az EU területén kívüli, kiterjesztett joghatóság.
Minden adatkezelőt kötelez a beépített és alapértelmezett adatvédelemre (data protection by design and default).
A rendelet jelentősebb elvárásai
A rendelet rávilágít, hogy olyan online adatok is személyes adatnak minősülhetnek, mint az online azonosítók, eszközazonosítók, cookie ID-k és az IP-címek.
13 év alatti gyermekek semmilyen esetben sem adhatják hozzájárulásukat az online szolgáltatások igénybevételéhez szükséges személyes adataik kezeléséhez (ilyenek például az e-mail vagy a közösségi hálózatok fiókjaihoz szükséges adatok). A 16. életévüket betöltő gyermekek már adhatnak ilyen hozzájárulást, a két korhatár között lévő gyermekek esetében pedig szülői hozzájárulás szükséges.
Nem lesz elég pusztán megfelelni a rendelet előírásainak, hanem igazolni is kell majd a megfelelést, adott esetben belső és külső szabályzatok elkészítésével és azok igazolt betartatásával.
Ennek egy lehetséges módja az adatkezelők és az adatfeldolgozók számára, a már jóváhagyott megatartási kódexek betartása, illetve az azokhoz való csatlakozás, vagy az akkreditált tanúsítok általi minősítés.
Új technológiák alkalmazása esetén, az adatkezelők kötelesek lesznek részletes adatvédelmi hatástanulmányt (Privacy Impact Assessment, PIA) készíteni, amelyben feltérképezik a lehetséges kockázatokat és ezek csökkentésének módjait.
Az adatkezelőknek abban az esetben is kell az előbbi vizsgálat, amennyiben felmerül az érzékeny adatok kezelésének a kérdése.
A hatástanulmány célja, ezen adatok kezelésének megnyugtató módja - ez elsősorban a hozzáférések és adatfolyamok vizsgálata - melyben egy új elemként az etikus hacker bevonásával kell feltárni hogyan és miben kell változtatni - technikai és jogi lehetőségek feltárásával.
Minden adatkezelőnek és adatfeldolgozónak minősülő, közfeladatot ellátó szerv, vagy meghatározott különleges tevékenységet folytató adatkezelő és adatfeldolgozó köteles lesz adatvédelmi tisztviselőt kijelölni – a rendelet által taxatívan felsorolt esetekben.
A szervezeteknek részletes információkat kell nyújtaniuk az érintettek számára személyes adataik kezelésének minden lényeges körülményéről. Ezt az új keretek között megállapított szabályzatok alapján tudják megtenni – hangsúlyozták a Dessewffy és Dávid, Stadler, Bellák Ügyvédi Társulás szakértői.
A teljesen automatizált adatfeldolgozással történő döntéshozatal — ideértve a profilalkotást is —, szűk határok közé lesz szorítva.
Az érintettek kártérítésre lesznek jogosultak azokért a materiális vagy immateriális károkért, melyeket az adatkezelő vagy az adatfeldolgozó okozott. Ennek csökkentésére szolgál a megfelelő jogi szabályozás és így a felelősség csökkentése, melyet biztosítással tovább lehet minimalizálni. Ezek a jogi audit során feltárásra tudnak kerülni.
Mi lehet szabályok be nem tartása esetén a következmény?
A felügyeleti hatóságok (Magyarországon a NAIH) jogosultak bírság kiszabására, amelynek mértéke alapvetően attól függ, hogy a rendelet mely pontját sértették meg.
A mérlegelés során a súlyosbító és enyhítő körülményeket is figyelembe veszik majd. A maximálisan kiszabható bírság a vállalkozás előző évi globális árbevételének a 4 százaléka vagy 20 millió euró. A rendelet több, de nem alapvető fontosságú rendelkezésének megsértése esetén a bírság legkisebb mértéke a vállalkozás előző évi globális árbevételének a 2 százaléka vagy 10 millió euró.
Az adatvédelmi incidensről az adatkezelőknek értesíteniük kell egyfelől a hatóságokat, másfelől az érintetteket. A fentiekből kiolvasható, hogy nagymértékben változtak, szigorodtak az adatkezelési szabályok.
Minden személyes adatot kezelő szervezetnek az alábbi felkészülési lépéseket lenne szükséges megtenni:
Adatvagyon leltárt kell készíteni az elektronikusan és a papír alapon tárolt személyes adatokról. Azonosítani kell az adatok útját: milyen folyamatokban vesznek részt, és mely dolgozók férhetnek hozzájuk.
Szükség esetén csökkenteni kell a kezelt adatok típusát, mennyiségét, tárolási idejét. Jogilag alá kell támasztani az adatok kezelését. Klasszifikálni szükséges az azonosított adatokat.
A jelenlegi rendszereiben érvényesíteni kell az „adatbiztonság az alapoktól" elvet. Adatvédelmi hatásvizsgálatot kell végezni. A kockázatos fenyegetések kezelésére védelmi intézkedéseket kell életbe léptetni, egyeztetni a hatóságokkal és jóváhagyást kérni tőlük.
A további feladatok körébe tartozik az adminisztratív intézkedések során – szabályzatok alkotása, alkalmazottak oktatása stb. Technológiai intézkedésekhez – log gyűjtés, elemzés, DLP, titkosítás, erős azonosítás, felhasználói fiókok kezelése, redundáns infrastruktúra.
Fizikai intézkedések során – beléptetési rendszer, tűzoltó rendszer. Adatvédelmi tisztviselőt kell kinevezni, vagy szolgáltatásként igénybe venni. Tájékoztatni a hatóságokat - a kapcsolattartó elérhetőségeiről, a rendelethez való csatlakozásról, tanúsítói minősítésről.
Fenti feladatokat audittal is alá kell tudni támasztani – ismertették végezetül a szakértők.
(A Dessewffy és Dávid, Stadler, Bellák Ügyvédi Társulás a CEE Attorneys nemzetközi ügyvédi társulás tagja.)