Az új európai adatvédelmi szabályozásról

2016. áprilisában került elfogadásra az Európai Parlament és a Tanács (EU) 2016/679 sz. általános adatvédelmi rendelete („Rendelet” / „GDPR”), amely 2018. május 25-től önmagában közvetlenül hatályos és alkalmazandó lesz az EU minden tagállamában, egységes, európai szintű szabályozást teremtve ezzel. A rendkívül szigorú szankciók (akár 20 millió euró vagy a vállalkozás globális árbevétele 4%-ának megfelelő mértékű bírság) miatt érdemes időben felkészülni az új szabályok alkalmazására, és célszerű alaposan megvizsgálni, hogy a vállalkozás jelenlegi gyakorlata megfelel-e az adatvédelmi előírásoknak.

A szabályozás alapelvei – új jogintézmények
A GDPR meghatározza a személyes adatok kezelésének – részben – új elveit, amelyek a jogszerűség, a tisztességes eljárás és átláthatóság, a célhoz kötöttség, az adattakarékosság, a pontosság, a korlátozott tárolhatóság, integritás és bizalmas jelleg (adatbiztonság) és az elszámoltathatóság követelményét jelentik.

A Rendelet egyértelmű célja, hogy növelje az adatkezelők- és feldolgozók elszámoltathatóságát, amelynek keretében az adatkezelők felelősek a Rendeletben rögzített elveknek való megfelelé-sért, továbbá képesnek kell lenniük e megfelelés igazolására.

Az elszámoltathatóság „sarokkövének” tekinti a Rendelet az adatvédelmi tisztviselő intézményét. A GDPR bizonyos szervezetektől – így például állami hatóságoktól vagy olyan szervezetektől, melyeknek főtevékenysége magába foglalja az érintett rendszeres vagy szisztematikus megfigyelését – megköveteli adatvédelmi tisztviselő kijelölését.

Az elszámoltathatóság biztosítására hivatott továbbá az adatvédelmi hatásvizsgálat bevezetése. Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa valószínűsíthetően fokozott kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő hatásvizsgálatot köteles végezni arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Ha van kijelölt adatvédelmi tisztviselő, az adatkezelő az adatvédelmi hatásvizsgálat elvégzésekor az adatvédelmi tisztviselő szakmai tanácsát köteles kikér-ni. Ha az adatvédelmi hatásvizsgálat megerősíti a fokozott kockázat lehetőségét, az adatkezelő köteles konzultálni az adatvédelmi hatósággal.

Jogszerű adatkezelés – a jogalapok változásai
A GDPR tételesen nevesíti azon jogalapokat, amelyek biztosítják a jogszerű adatkezelést. Ezek: az érintett hozzájárulása; szerződéskötés; jogi kötelezettség teljesítése; létfontosságú érdek; közhatalom gyakorlása; jogos érdek érvényesítése, érdekmérlegelés.

A gyermekek személyes adatainak védelmét kiemelten kezeli a Rendelet: a 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg.

Az adatkezelők feladatai – felkészülés a GDPR újításaira
Az átmeneti időszakban fontos, hogy az adatkezelést végző piaci szereplők megfelelően felkészül-jenek a Rendelet újításaira. Ennek körében erősíteniük kell a szervezeten belüli adatvédelmi tudatosságot, el kell végezniük az adatkezelési koncepció felülvizsgálatát, át kell tekinteniük az érintettek jogainak érvényesítésére vonatkozó szabályokat, a tájékoztatási kötelezettségre vonatkozó új szabályokat, az adatkezelésük jogalapját, illetve amennyiben az adatkezelés az érintett hozzájárulásán alapul, úgy el kell végezniük a hozzájárulás feltételeinek felülvizsgálatát. Ezen kívül tovább erősödik a beépített adatvédelem („Privacy by design”) követelménye is.

Az új szabályok értelmében, ha az adatkezelő az adatkezelés során személyes adat jogellenes kezelését vagy feldolgozását észleli (adatvédelmi incidens), köteles azt bejelenteni a felügyeleti hatóság (Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság, NAIH) felé, az észlelésüket követő 72 órán belül.

Szankciók
A GDPR szabályainak érvényesülését szigorú szankciórendszer biztosítja, így ennek megfelelően nagy összegű bírság kiszabására kell számítania azoknak a vállalatoknak, amelyek nem felelnek meg a rendelet előírásainak.

Az adatkezelőkre, adatfeldolgozókra vonatkozó rendelkezések megsértéséért maximálisan 10 millió euró vagy a vállalkozás globális árbevétele 2%-ának megfelelő mértékű bírság szabható ki (a kettő közül a magasabb érvényes), míg az adatkezelés alapelveinek, az érintettek jogainak megsértéséért maximálisan 20 millió euró vagy a vállalkozás globális árbevétele 4%-ának megfelelő mértékű bírság szabható ki (a kettő közül a magasabb érvényes).

A szankciók elkerülése érdekében fontos annak biztosítása, hogy a vállalat szervezeti szintű működése megfeleljen a GDPR követelményeinek és az adatkezelők (adatfeldolgozók) rendelkezzenek mindazon dokumentációval, amellyel a megfelelőséget a hatóság előtt is igazolni tudják.

close
ENEN