Adatvédelem – GDPR (General Data Protection Regulation)

 1. Adatvédelmi és GDPR áttekintés

 

A személyes adatok védelmének jogi szabályozása Magyarországon jelenleg elsődlegesen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.), továbbá a vonatkozó ágazati törvények adatvédelmi rendelkezési szerint történik. A személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzését és elősegítését a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) végzi.

 

Az Európai Parlament és a Tanács megalkotta a 2016/679. rendeletet, a GDPR-t (General Data Protection Regulation), amelyet 2018. május 25-től kötelezően alkalmazni kell a tagállamokban. A rendelet közel egységes adatvédelmi szabályozást fog eredményezni az EU teljes területén.

 

A GDPR szabályozása halad a digitális korral, a kritikusai szerint túl bonyolult és nagyon szigorú. Az  erős adatvédelem alkalmazkodik a mai információs technológiákhoz, képes kezelni a felhőszolgáltatásokat, a határokon átnyúló adatkezelést vagy éppen az EU-n kívülre irányuló adattovábbítást.

A GDPR rendelet minden tagországra egységesen érvényes, és újdonság az is, hogy az EU-n kívüli országokban működő  cégekre is vonatkozik, ha azok az EU területén tartózkodó magánszemélyek adatait kezelik.

 

2. Kikre vonatkoznak az adatvédelmi és GDPR változások?

 

A GDPR minden cégre, állami szervre és nonprofit szervezetre vonatkozik, amelyik az Európai Unió területén tartózkodók személyes adatait kezeli!

A GDPR célja a személyes adatok és a magánszféra védelme.

Központjában az az érintett áll, akit megillet és aki rendelkezhet az információs önrendelkezési jogáról.

Az  Ön cége is érintett, amennyiben különösen, de nem kizárólag az alábbi adatfajtákat kezeli:

Az ügyfelei, munkavállalói vagy más személyek

• személyazonosító adatait (név, anyja neve, születési hely, idő, születési név)
• elérhetőségi adatokat (telefonszám, e-mail cím, lakcím, postai értesítési cím, stb.)
• online vagy más azonosítókat (jelszavak, felhasználónevek, TAJ szám, adóazonosító jel, stb.)
• egészségügyi, fizikai, fiziológiai adatokat;
• jövedelemre vonatkozó adatokat;
• természetes személy képmását, a hangját;
• szokásokat, viselkedéseket, véleményeket;
• direkt marketing szolgáltatásokat (hírlevelek, promóciók, személyre szabott ajánlatokat)
• technikai adatokat (IP cím, böngésző típusa, eszköz típusa)
• belépési, kilépési adatokat, stb.

 

3. Adatvédelemmel és GDPR-rel kapcsolatos bírságok, büntetések

 

Kilátásba helyezett szankciók adatvédelmi jogsértés esetén:

Bírság

Minden eddiginél szigorúbb pénzbüntetésre lehet számítani, ha az adatkezelés nem felel meg az új előírásoknak.

A bírság maximuma 20 millió euró vagy az előző pénzügyi év teljes világpiaci forgalmának 4 százalékát kitevő összeg. Az éves bevétel esetében egy több országban jelen lévő cégnél, illetve cégcsoportnál úgy is értelmezhető a szabály, hogy az egész cégcsoport éves árbevétele a számítás alapja. Azt is fontos figyelembe venni, hogy a két összeg közül a magasabb megfizetésére kötelezheti a mulasztást elkövető vállalatot, vagy szervet a hatóság, azaz vállalkozások esetében a bírság akár meg is haladhatja a 20 millió eurót. Ez a jelenlegi magyar 20 millió forintos, azaz nagyjából 65 ezer eurós bírságplafonhoz képest nagyságrendileg nagyobb kockázatot jelent.

  

Bűncselekmény megvalósulása

A hatályos Büntető Törvénykönyv tartalmazza a személyes adattal visszaélés tényállást, amely alapján akár 3 évig terjedő szabadságvesztés is kiszabható.

 

Kártérítés, sérelem díj

Adatvédelmi jogsértés esetén az érintett kártérítési igénnyel fordulhat az adatkezelővel szemben, továbbá sérelemdíjat is követelhet.

 

Az adatkezelési tevékenység korlátozása vagy megtiltása

A felügyeleti hatóságot megilleti az a jogosultság, hogy az adatkezelés jogsértő volta esetén a körülmények mérlegelést követően korlátozza, adott esetben megtíltsa az adatkezelési tevékenység folytatását, amely abban az esetben, ha az a főtevékenységhez szorosan kötődik, ellehetetlenítheti a céget.

 

4. Mit kell tennie egy cégnek a GDPR-ral kapcsolatban?

 

Audit lépések adatvédelmi szempontból

• Fel kell mérni, hogy a társaságnak hol van a székhelye, a központi ügyintézés helye ahol a működésével összefüggő döntéseket meghozzák, amely egyben a levelezési cím is.
• Fel kell térképezni, hogy mely ország/okban fejti ki tevékenységét a társaság.
• Adatvagyon leltározást kell végezni, vagyis fel kell mérni a társaság által bármilyen célból kezelt személyes adatokat.
• Meg kell vizsgálni, az adatvédelmi jellegű dokumentumokka, szabályzatokkal rendelkezik a társaság. Készült-e adatvédelmi/adatbiztonsági szabályzata, van-e adatkezelési tájékoztatója, rendelkezik-e belső adatvédelmi szabályzattal, amely a belső adatkezelési folyamatokat, mint eljárásrendet rögzíti, készült-e incidenskezelési szabályzata, nyilvántartása, létezik-e adattovábbítási nyilvántartása, összeállítottak-e esetleg belső adatkezelési nyilvántartást, amely kötelező lesz.
• Meg kell győződni arról, hogy a munkavállalókat milyen módon tájékoztatják a személyes adataik kezeléséről.
• Fel kell mérni, hogy igénybe vesz-e a Társaság adatfeldolgozót, aki egy külső személy vagy jogi személy/jogi személyiség nélküli szerv (pl.: tárhely szolgáltató, hírlevél küldő cég, könyvelő, fuvarozó, személyes adatokat tartalmazó adatbázist külsőleg feldolgozó, vagyonvédelmi cég, stb.)
• Meg kell vizsgálni informatikus bevonásával, hogy milyen adatvédelmi informatikai intézkedéseket tesz a Társaság a kezelt személyes adatok védelme érdekében.

 

Az audit elvégzése után kell elkészíteni a 2018. május 25-től életbe lépő szabályzatokat, amelynek meg kell felelni a hatályban lévő Info törvénynek is.

 

Szerző:  Adeptus Adatvédelmi Kft. és a Verlag Dashöfer Kft.