Hétpecsét Információbiztonsági Egyesület

Kemény világ jön

2018. május 25-től válik kötelező érvényűvé az Európai Unió új, általános adatvédelmi rendelete. Szakértők szerint bármilyen messzinek is tűnik, épp időben vagyunk a felkészüléshez. A 88 oldalas jogszabály az egész unióban használható keretszabályozást biztosít. Meglehetősen általános, tényleges tartalommal majd a gyakorlat és a hatósági állásfoglalások töltik meg, ráadásul – mondja dr. Domonkos Márton, a CMS ügyvédi iroda adatvédelemmel foglalkozó szakjogásza – ez az EU történetében minden idők leginkább lobbizott jogszabálya. Sok szakmai szervezet véleményét ötvözi – ez jó –, de az érdekegyeztetések következményeként számos kompromisszumot is tartalmaz. Minden esetre komoly változásokra és súlyos adminisztrációra kell felkészülniük a cégeknek.

A rendelet hazai viszonylatban a 2011. évi CXII. törvényt az információs önrendelkezési jogról és az információszabadságról (Infótörvény) váltja fel. Bizonyos területek viszont – például a munkavállalói adatok kezelése vagy a bűnügyi személyes adatok kezelése az erkölcsi bizonyítványhoz – tagállami szabályozás alatt maradnak, így Domonkos Márton szerint elképzelhető az is, hogy ebben az uniós szabálynál szigorúbb előírásokat vezet be a magyar jogalkotó. Ma több vonatkozó rendelkezés ütközik az új rendelettel, remélhetőleg amire hatályba lép, ezeket is feloldja majd a jogalkotó.

Beépített és alapértelmezett adatvédelem

A vállalatoknak szigorúbb átláthatósági követelményeknek kell megfelelniük, szigorodnak a tájékoztatási kötelezettséggel kapcsolatos eljárások: az adatkezelőknek a jelenleginél egyértelműbben kell majd közölniük azt, hogy milyen céllal, milyen jogi alapon és hogyan kezelik a személyes adatokat – hangsúlyozza blogbejegyzésében Kozma Zoltán, a Dla Piper szakértője.

2018 májusától csak a szolgáltatás nyújtása szempontjából elengedhetetlen adatokat kezelhetik a cégek, vagyis vége a „kérdezzük meg az anyja nevét is, valamire csak jó lesz” korszaknak. A gondolkodásmód megváltoztatásának szükségessége mellett ez komoly adminisztrációs kötelezettséget is jelent, hiszen dokumentálni is kell, hogy az adatvédelmi szempontokat megfelelően vették-e figyelembe. A jogszabály általánosságát mutatja, hogy a hogyanról nincs benne szó.

Az ügyfélprofil készítése pedig minden esetben az érintett személy kifejezett hozzájárulásához lesz kötve, azaz az uniós rendelet hatályba lépését követően ezt a cégek nem építhetik be az ÁSZF-be, kivéve, ha a profilkészítés a teljesítés feltétele. Ilyenkor a profilkészítés tényét az iratokba kell foglalni. A jogász véleménye szerint már az is profilkészítésnek számít, ha ugyanazt a csoportot (pl. a törzsvásárlókat) újra és újra megkeressük egy kérdőívvel. Éppen ezért egyszerűbb, ha eleve belefogalmazzuk a szerződésekbe, és nem utólag kell módosítani azokat. Az ügyfélnek joga lesz, hogy az automatikus adatfeldolgozás logikájáról információt kérjen, csakhogy ezen algoritmusok működése sok esetben üzleti titok.

Emellett előzetes hatásvizsgálatot kell készíteni az adatkezeléssel kapcsolatban. Ezt most is sokan megteszik, másfél év múlva viszont már kötelező lesz. Ez nemcsak komoly adminisztrációs teher, hanem az üzleti folyamatokat is lassíthatja.

A fogyasztó tájékoztatása is megújul: közérthetően és személyre szabottan kell tájékoztatni, például egy gyerekeknek szóló honlap adatvédelmi tájékoztatójának egészen másmilyennek kell lennie, mint egy általános oldalénak.

Az adatvédelemmel kapcsolatos bírság is jelentősen nő: a cégek előző évi árbevételének kettő – négy százaléka lesz, mert az a cél, hogy az adatvédelmet a versenyjoghoz hasonló komolyságúvá emeljék. A jelenlegi magyar jogszabályok szerint a kkv-k az első jogsértés esetén adatvédelmi ügyekben (sem) bírságolhatók. Kérdés, a könnyítés marad-e. Domonkos Márton szerint az ügy várhatóan az Európai Bíróságnál köt ki, tehát jó pár évet várhatunk a válaszra.

Kötelező adatvédelmi felelős

Az adatvédelmi felelős létét a magyar szabály egyelőre csak speciális szektorokban teszi kötelezővé, az új rendelet viszont a kezelt adatok érzékenysége alapján határozza meg, mely cégeknél kell létrehozni ilyen pozíciót. A 250 főnél kevesebbet foglalkoztató vállalatoknál alapvetően továbbra sem lesz ilyen kötelezettség, kivéve a kockázatosnak minősített, érzékeny adatokat kezelő szervezeteket.

Az adatvédelmi felelősnek kiemelt szerepe lesz: a cégen belül nem szankcionálható, kérésére külön erőforrást – külső jogászt, továbbképzést – kell biztosítani és az ajánlásai nagyjából kötelező érvényűek. Az adatvédelmi felelős kötelességeiről ugyanakkor nem ejt szót a jogszabály. Céges belső szabályozással kell majd megoldani, hogy adott esetben felelősségre vonható legyen.

Sokkal szigorúbb és jobban átgondolt belső szabályokra is szükség lesz. Csak ezekkel lehetséges ugyanis, hogy a személyes adatokat leggyakrabban kezelő marketing és HR osztályok napi gyakorlata a szabályoknak megfelelő legyen. A cég és nem a szoftverfejlesztő lesz felelős azért is, hogy az általuk használt adatkezelő rendszerek megfeleljenek a szabályoknak. Szakértők szerint az adatokat kezelő munkatársaknak, osztályoknak szükségük lesz pontos teendő- és ellenőrzőlistákra és azt is rögzíteni kell majd, hogy milyen esetekben nem hozhatnak döntést az adatvédelmi felelős nélkül.

Megszűnik viszont a sokak által utált adatvédelmi nyilvántartás. Az adatvédelmi hatósághoz való bejelentkezés helyett házon belül fogják a cégek nyilvántartani az adatkezeléssel kapcsolatos ügyeket beleértve az incidenseket, a munkatársak adatait, azt, hogy ezeket kinek adták tovább (pl. könyvelő, bérszámfejtés) és az üzleti kapcsolatban – például felhőszolgáltatónak – átadott adatokat. Amíg a dokumentáció rendszerére nincs európai szintű ajánlás, addig a cégeknek kell kitalálni, hogy mi az, ami működhet, hogyan hozható létre olyan belső nyilvántartás, ami még nem bénítja meg a folyamatokat. Érdemes már most kidolgozni a rendszert, tesztelni, hogy milyen erőforrások és mennyi idő kell hozzá.

És mi lesz a felhővel?

A rendelet nem kizárólag az adatkezelőkre, hanem immár az adatkezelők megbízásából eljáró adatfeldolgozókra – jogilag a felhőszolgáltatók is adatfeldolgozónak számítanak – is számos kötelezettséget ír elő, részletesen szabályozza, hogy mit kell tartalmaznia a velük kötendő szerződéseknek – teszi hozzá Kozma Zoltán. A szerződés kötelező elemei között lesz például, hogy a cég utasíthatja a szolgáltatót, illetve auditjoga is lesz. Elméletileg mindez elképzelhető, kérdés, a gyakorlatban hogy működik, ha például a Google áll a másik oldalon.

A változások mértéke és bonyolultsága miatt a cégeknek érdemes még a jogszabály hatályba lépése előtt elvégeztetni az adatvédelmi auditot. Az első és legfontosabb feladat azonban a kezelt adatok és a felhasználási célok összegyűjtése. A tudatosság számos jogi kockázat kezelését megoldaná, ugyanakkor szakemberek szerint az üzleti kreativitásnak gátja lehet.

A cikk

GDPR

Megtekintés: 936