MI AZ A GDPR?
Adatvédelem – GDPR (General Data Protection Regulation)
1. Adatvédelmi és GDPR áttekintés
A személyes adatok védelmének jogi szabályozása Magyarországon jelenleg elsődlegesen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.), továbbá a vonatkozó ágazati törvények adatvédelmi rendelkezési szerint történik. A személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzését és elősegítését a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) végzi.
Az Európai Parlament és a Tanács megalkotta a 2016/679. rendeletet, a GDPR-t (General Data Protection Regulation), amelyet 2018. május 25-től kötelezően alkalmazni kell a tagállamokban. A rendelet közel egységes adatvédelmi szabályozást fog eredményezni az EU teljes területén.
A GDPR szabályozása halad a digitális korral, a kritikusai szerint túl bonyolult és nagyon szigorú. Az erős adatvédelem alkalmazkodik a mai információs technológiákhoz, képes kezelni a felhőszolgáltatásokat, a határokon átnyúló adatkezelést vagy éppen az EU-n kívülre irányuló adattovábbítást.
A GDPR rendelet minden tagországra egységesen érvényes, és újdonság az is, hogy az EU-n kívüli országokban működő cégekre is vonatkozik, ha azok az EU területén tartózkodó magánszemélyek adatait kezelik.
2. Kikre vonatkoznak az adatvédelmi és GDPR változások?
A GDPR minden cégre, állami szervre és nonprofit szervezetre vonatkozik, amelyik az Európai Unió területén tartózkodók személyes adatait kezeli!
A GDPR célja a személyes adatok és a magánszféra védelme.
Központjában az az érintett áll, akit megillet és aki rendelkezhet az információs önrendelkezési jogáról.
Az Ön cége is érintett, amennyiben különösen, de nem kizárólag az alábbi adatfajtákat kezeli:
Az ügyfelei, munkavállalói vagy más személyek
- személyazonosító adatait (név, anyja neve, születési hely, idő, születési név)
- elérhetőségi adatokat (telefonszám, e-mail cím, lakcím, postai értesítési cím, stb.)
- online vagy más azonosítókat (jelszavak, felhasználónevek, TAJ szám, adóazonosító jel, stb.)
- egészségügyi, fizikai, fiziológiai adatokat;
- jövedelemre vonatkozó adatokat;
- természetes személy képmását, a hangját;
- szokásokat, viselkedéseket, véleményeket;
- direkt marketing szolgáltatásokat (hírlevelek, promóciók, személyre szabott ajánlatokat)
- technikai adatokat (IP cím, böngésző típusa, eszköz típusa)
- belépési, kilépési adatokat, stb.
3. Adatvédelemmel és GDPR-rel kapcsolatos bírságok, büntetések
Kilátásba helyezett szankciók adatvédelmi jogsértés esetén:
Bírság
Minden eddiginél szigorúbb pénzbüntetésre lehet számítani, ha az adatkezelés nem felel meg az új előírásoknak.
A bírság maximuma 20 millió euró vagy az előző pénzügyi év teljes világpiaci forgalmának 4 százalékát kitevő összeg. Az éves bevétel esetében egy több országban jelen lévő cégnél, illetve cégcsoportnál úgy is értelmezhető a szabály, hogy az egész cégcsoport éves árbevétele a számítás alapja. Azt is fontos figyelembe venni, hogy a két összeg közül a magasabb megfizetésére kötelezheti a mulasztást elkövető vállalatot, vagy szervet a hatóság, azaz vállalkozások esetében a bírság akár meg is haladhatja a 20 millió eurót. Ez a jelenlegi magyar 20 millió forintos, azaz nagyjából 65 ezer eurós bírságplafonhoz képest nagyságrendileg nagyobb kockázatot jelent.
Bűncselekmény megvalósulása
A hatályos Büntető Törvénykönyv tartalmazza a személyes adattal visszaélés tényállást, amely alapján akár 3 évig terjedő szabadságvesztés is kiszabható.
Kártérítés, sérelem díj
Adatvédelmi jogsértés esetén az érintett kártérítési igénnyel fordulhat az adatkezelővel szemben, továbbá sérelemdíjat is követelhet.
Az adatkezelési tevékenység korlátozása vagy megtiltása
A felügyeleti hatóságot megilleti az a jogosultság, hogy az adatkezelés jogsértő volta esetén a körülmények mérlegelést követően korlátozza, adott esetben megtíltsa az adatkezelési tevékenység folytatását, amely abban az esetben, ha az a főtevékenységhez szorosan kötődik, ellehetetlenítheti a céget.
4. Mit kell tennie egy cégnek a GDPR-ral kapcsolatban?
Audit lépések adatvédelmi szempontból
- Fel kell mérni, hogy a társaságnak hol van a székhelye, a központi ügyintézés helye ahol a működésével összefüggő döntéseket meghozzák, amely egyben a levelezési cím is.
- Fel kell térképezni, hogy mely ország/okban fejti ki tevékenységét a társaság.
- Adatvagyon leltározást kell végezni, vagyis fel kell mérni a társaság által bármilyen célból kezelt személyes adatokat.
- Meg kell vizsgálni, az adatvédelmi jellegű dokumentumokka, szabályzatokkal rendelkezik a társaság. Készült-e adatvédelmi/adatbiztonsági szabályzata, van-e adatkezelési tájékoztatója, rendelkezik-e belső adatvédelmi szabályzattal, amely a belső adatkezelési folyamatokat, mint eljárásrendet rögzíti, készült-e incidenskezelési szabályzata, nyilvántartása, létezik-e adattovábbítási nyilvántartása, összeállítottak-e esetleg belső adatkezelési nyilvántartást, amely kötelező lesz.
- Meg kell győződni arról, hogy a munkavállalókat milyen módon tájékoztatják a személyes adataik kezeléséről.
- Fel kell mérni, hogy igénybe vesz-e a Társaság adatfeldolgozót, aki egy külső személy vagy jogi személy/jogi személyiség nélküli szerv (pl.: tárhely szolgáltató, hírlevél küldő cég, könyvelő, fuvarozó, személyes adatokat tartalmazó adatbázist külsőleg feldolgozó, vagyonvédelmi cég, stb.)
- Meg kell vizsgálni informatikus bevonásával, hogy milyen adatvédelmi informatikai intézkedéseket tesz a Társaság a kezelt személyes adatok védelme érdekében.
Az audit elvégzése után kell elkészíteni a 2018. május 25-től életbe lépő szabályzatokat, amelynek meg kell felelni a hatályban lévő Info törvénynek is.
Szerző: Adeptus Adatvédelmi Kft. és a Verlag Dashöfer Kft.