Felkészülni, vigyázz, GDPR!

Már csak egy év van az uniós adatvédelmi rendelet bevezetéséig

2017. április 3. hétfő, 14:16 Kiss Boglárka • Adatvédelem, GDPR, NAIH, Péterfalvi Attila
Az Európai Parlament 2016 májusában fogadta el a General Data Protection Regulation (GDPR) nevű szabályozást, amely lényegében az egész unióra kiterjedő, egységes általános adatvédelmi rendelet. Alkalmazni két év múlva, 2018. május 25-től kezdik el. Az addigi türelmi időben a nemzeti hatóságok és a cégek is felkészülhetnek az új körülményekre.

Twitter megosztás
Google+ megosztás
Cikk küldése e-mailben
Cikk nyomtatása

Az Európai Uniónak eddig nem volt kötelező érvényű adatvédelmi rendelte. Egy irányelv volt a mérvadó. Ez számos eltérést megengedett a gyakorlatban, ami a tagországokban egymástól többé-kevésbé különböző adatvédelmi szabályozást eredményezett.

Péterfalvi Attilát, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnökét kérdeztük arról, hogy szerinte milyen változtatásokat jelent GDPR bevezetése?
 

 

Az elnök elmondta, a NAIH legfontosabb dolga most, hogy megalkossa azokat a jogszabályi változásokat, amelyek jövő év május 25-től az adatvédelmi hatóság eljárásait fogják meghatározni, valamint hogy kiépítsen egy incidens bejelentési rendszert. Az új feladatok miatt a meglévő létszám felével kell növelni a szervezet munkatársainak körét.

Az adatkezelők oldaláról a legfontosabb változás, hogy az új technológiák alkalmazása esetén, ahol az érintettek adatainak védelme veszélyben lehet, kötelesek lesznek részletes adatvédelmi hatástanulmányt készíteni. Ilyenek például amikor kockázatos az adatkezelés, akár azért mert különleges adatokat, akár mert tisztán technológiai jellegű adatokat kezelnek, vagy azért mert az állampolgárok tömeges megfigyelése zajlik, például a közterületi kamerákon keresztül.

Újdonság az incidens kezelő rendszer bevezetés is. Cél ugyanis az, hogy az adatkezelők ne csak a jogi szabályokat tartsák be, hanem a technikai biztonságot is a lehető legmagasabb szinten valósítsák meg. A megfelelő adatbiztonság kiépítése azonban jelentős forrásokat igényel. A tűzfalak, szűrőrendszerek telepítése manapság nem olcsó mulatság.  Ez a kis- és középvállalkozások számára nehézséget okozhat.

A nagyvállalatoknál pedig az adatvédelmi tisztviselők munkába állítása jelent majd plusz költséget. Nekik az adatvédelmi felelősökhöz képest egy részletesebb képzésen kell átesniük.

Jövő év májusától kezdve nem lesz elég pusztán megfelelni a Rendelet előírásainak, tudni kell majd igazolni is a megfelelést, adott esetben belső és külső szabályzatok elkészítésével és azok igazolt betartatásával.

A rendelet nagyon súlyos bírságot helyez kilátásba. Globális cégek esetén ez 20 millió euró vagy az éves, globális árbevétel 4%-a. A kettő körül a magasabb összeget kell figyelembe venni. A NAIH elnöke szerint ez egy nagyon jelentős elmozdulás a jelenlegi 20 millió forinthoz képest.

A bírságolás rendszere összetett. A fő szabály szerint a Nemzeti Adatvédelmi és Információszabadság Hatósághoz tartozik, de lesznek esetek amikor más uniós hatóság jár el. Péterfalvi Attila elmondta: minden olyan ügyben, ahol szükséges - még a közhatalmi jellegű adatkezelések esetében is -  egyeztetnek majd a társhatósággal, azért, hogy a rendelet elveit egységesen alkalmazzák. Az elnök szerint az nem lehet, hogy a tagországok között elváljon egymástól a nemzeti joggyakorlat, mint ahogy az sem, hogy eltérjen a bírság kiszabásának módja és mértéke.

Péterfalvi Attila attól tart, hogy ezt az elképzelést megbonthatja a nemzeti bírósági felülvizsgálati rendszer. A bíróságra vonatkozó eljárási szabályok ugyanis teljesen nemzeti hatáskörbe tartoznak. Az a szabályrendszer, ami alapján a bírság kiszabásra került, és amelyek meghatározzák az adatkezelések jogszerűségét az viszont uniós. Véleménye szerint ez majd a bíróságokat is új feladatok elé állítja.

Összeségében tehát elmondhatjuk, hogy a GDPR a felelősséget, a kötelezettségeket, a számon kérhetőségeket, a jogszerűség és a biztonság tanúsítását - lényegében tehát mindent - az adatkezelőkre terhel. Az adatvédelmi hatóság feladata pedig ennek az ellenőrzése.