EU-S ADATVÉDELMI RENDELET – A VISSZASZÁMLÁLÁS MEGKEZDŐDÖTT

28 March 2017

Feltételezem, hogy az adatvédelem szó nem igazán hoz lázba, sőt ami még ennél is rosszabb, már most abbahagynád a cikkünk olvasását. Mégis megéri 5 percet szánni az Európai Adatvédelmi Rendelet (Rendelet) 5 legfontosabb hatásáról szóló cikkünk elolvasására. A Rendelet csak 2018 májusában fog hatályba lépni, ami azt jelenti, hogy most még elegendő idő van az új adatvédelmi szabályokra való felkészülésre.

Kiterjesztett hatály

Az “EU Rendelet” kifejezésből az ember arra következtetne, hogy azt csak az Unióban letelepedett cégekre kell alkalmazni. Súlyos tévedés, ugyanis a Rendeletet ez Európai Unió területén kívüli szervezetekre is alkalmazni kell, amennyiben ezek EU-s állampolgároknak vagy az EU területén élő személyeknek kínálnak árukat vagy szolgáltatásokat. Ez azt jelenti, hogy egy kínai cégre is alkalmazni kell a Rendeletet, ha magyarországi fogyasztókat is megcéloz.

Hogy emeljük a tétet, nemcsak a Rendelet területi, hanem a személyi hatálya is sokkal szélesebb lett. A jelenlegi szabályok szerint az adatvédelemért kizárólag az adatkezelő (aki az adatok felett rendelkezik) felelős. A Rendelet ezen annyiban változtat, hogy az adatvédelemért immáron az adatfeldolgozó (aki az adatkezelő utasítása alapján kezeli az adatot) is felelőssé tehető.

A felelősség nagy része azonban továbbra is az adatkezelőt terheli. A Rendelet ugyanis az adatkezelő kötelezettségévé teszi, hogy olyan adatfeldolgozót válasszon, aki megfelelő biztosítékot nyújt arra, hogy az adatkezelést a Rendelettel összhangban végzi.

Súlyosabb szankciók

A Rendelet legijesztőbb újítása az adatvédelmi jogsértések miatt kilátásba helyezett szankciók, amelyre talán még a legelfoglaltabb ügyvezetők és cégtulajdonosok is felkapják a fejüket.

Magyarországon adatvédelmi jogsértés esetén a Nemzeti Adatvédelmi és Információszabadság Hatóság maximum 20 millió forintos bírságot szabhat ki. A kis-és középvállalkozásokkal szemben első jogsértés esetén pedig nem szabhat ki bírságot a hatóság.

Szerencsére azért a Rendelet sem változtat meg mindent, a bírság felső határa továbbra is 20 millió lesz. Csakhogy Euróban, és nem Forintban. Vagy, amennyiben az magasabb, akkor a bírság a társaság éves világpiaci forgalmának 4%-ának megfelelő összeg. Tehát csak óvatosan a nagy üzleti sikerekkel, ha az adatvédelmet elhanyagolod. Jelenleg egyébként még nem egyértelmű, hogy a kkv-kkal szemben az első jogsértés esetén tanúsítandó „türelem” továbbra is alkalmazandó lesz-e vagy sem.

A bírság összegének eldöntésénél a hatóság többek között a jogsértés természetét, súlyát és időtartamát fogja figyelembe venni. A Rendelet a tagállamokra bízza a további szankciók meghatározását.

Csak egyszerűen

Adatkezelőként az egyik legfontosabb kötelezettséged lesz az érintettek tájékoztatása az adatvédelemmel kapcsolatos jogaikról.

Jó hír az egyszerűség híveinek és rossz hír a jogi zsargont kedvelő ügyvédeknek: a Rendelet kifejezetten előírja, hogy az érintettek tájékoztatásának tömör és közérthető formában kell megtörténnie. Emellett a tájékoztatásnak átláthatónak és könnyen hozzáférhetőnek kell lenni.

Az adatkezelőnek továbbá aktívan elő kell segíteniük az érintettek adatvédelemmel kapcsolatos joggyakorlását. Ez magában foglalja azt is, hogy az adatkezelő az érintett minden a Rendelet által biztosított joga (pl. helyesbítéshez való jog, törléshez való jog) gyakorlására irányuló kérelmét köteles teljesíteni. A kérelem teljesítését az adatkezelő csak akkor tagadhatja meg, ha bizonyítja, hogy nem áll módjában azonosítani az érintettet.

Adatvédelmi tisztviselő

A belső adatvédelmi felelős a magyar gazdasági szereplők számára ismerősen csenghet. Jelenleg adatvédelmi felelőst csak bizonyos ágazatokban, például pénzügyi szervezeteknél, elektronikus hírközlési vagy közüzemi szolgáltatóknál kell alkalmazni. A kkv-k pedig tevékenységüktől függetlenül mentesülnek a belső adatvédelmi felelős alkalmazása alól.

A Rendelet ezen a téren is változást hoz. Mind az adatkezelőknek, mind az adatfeldolgozóknak kötelező lesz ugyanis adatvédelmi tisztviselőt (felelőst) kinevezni, ha tevékenységük az érintettek szisztematikus, nagymértékű megfigyelését teszi szükségessé vagy pedig különleges adatokat (pl. egészségi állapotra vonatkozó adat) kezelnek. A kkv-knak továbbra sem kell adatvédelmi tisztviselőt kinevezniük, kivéve, ha érzékeny adatokat kezelnek.

Az adatvédelmi tisztviselőnek megfelelő szakértelemmel kell rendelkeznie és vagy munkaviszonyban vagy tartós megbízási jogviszonyban kell állnia az adatkezelővel / feldolgozóval.

Nyilvántartás és hatásvizsgálat

Az adatkezelők újabb kötelezettsége, hogy kötelesek nyilvántartást vezetni az adatkezelési műveletekről. A nyilvántartásban fel kell tüntetni azt is, hogy kinek továbbítják az adatokat. Így például, ha munkáltatóként átküldöd az ügyvédednek a munkavállaló adatait azért, hogy elkészítse a munkaszerződést vagy a könyvelődnek azért, hogy elvégezze a bérszámfejtést, mindezt rögzíteni kell a nyilvántartásban.

A kkv-k megint csak mentességet kaptak a nyilvántartás vezetése alól, kivéve, ha rendszeresen végeznek adatkezelési műveleteket vagy érzékeny adatokat kezelnek.

További újítása a Rendeletnek az ún. adatvédelmi hatásvizsgálat. Ha az adatkezelés magas kockázattal járhat az érintettek jogaira nézve, akkor az adatkezelő köteles az adatkezelést megelőzően hatásvizsgálatot végezni arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Egy szó mint száz, az Adatvédelmi Rendelet jelentős változáskat hoz, ezért érdemes már most felülvizsgálni a folyamatokat és szabályzatokat abból a szempontból, hogy megfelelnek-e a Rendelet előírásainak. Legközelebbi cikkünkben hasznos tippekkel készülünk azért, hogy adatvédelmi szempontból már felkészült lehess, amikor a Rendelet jövő évben hatályba lép.