Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

Szigorúbban fogja az EU a cégeket

2017. május 08. - ITsec

Szerző: 2016. október 27., Timár Gigi

http://www.piacesprofit.hu/kkv_cegblog/szigorubban-fogja-az-eu-a-cegeket/

2018 májusában lép hatályba az új adatvédelmi rendelet. Talán korainak tűnik most foglalkozni vele, valójában viszont bőven van mire felkészülniük a cégeknek. Súlyosabb szankciók, több adminisztráció jön vele.

Idén tavasszal elfogadta az Európai Parlament az Európai Unió új, általános adatvédelmi rendeletét, amely 2018. május 25-étől válik majd kötelező érvényűvé. A messzinek tűnő dátum miatt talán korainak tűnhet most foglalkozni a kérdéssel, valójában viszont most vagyunk időben.

A 88 oldalas jogszabály meglehetősen általános, a gyakorlat és a hatósági állásfoglalások fogják részletes tartalommal megtölteni. Emellett egy Európai Adatvédelmi Testület jön létre (hasonló most a 29-es munkacsoport, ami a nemzeti adatvédelmi hatóság képviselőiből áll), ők adnak majd ki ajánlásokat, az ő feladatuk lesz a gyakorlati iránymutatások kiadása.

Annyi azonban már most látszik, hogy komoly változásokra és súlyos adminisztrációra kell felkészülniük a cégeknek, a mostaninál fenyegetőbb mértékű bírságok mellett.

Dr. Domonkos Márton adatvédelemmel foglalkozó szakjogász a Direkt Marketing Szövetség által a témában szervezett beszélgetésen azt is hozzátette, ez minden idők leginkább lobbizott jogszabálya az EU történetében, ami jó is és rossz is. Egyrészt azt jelenti, hogy sok szakmai szervezet véleménye benne van, de számos kompromisszumot is tartalmaz az érdekegyeztetések következményeként.

„A rendelet alapcélja, hogy egységes adatvédelmi keretet biztosítson uniós szinten. Erre szükség is volt, hiszen jelenleg egy 1995-ös uniós direktíva alapján dolgozunk, azóta rengeteg minden változott mind technikai, mind üzleti értelemben. Így az akkor előremutatónak számító jogszabály már nem nagyon működik” – hangsúlyozta a szakember.

Addig is mit büntetnek?
A 2015. év mozgalmas volt, az adatvédelemről szóló jogszabály év közben is többször változott. Az adatvédelmi hatóság 2015. évi gyakorlata alapján a 2016-os trendek is kiolvashatók.

Az elfogadott rendelet célja tehát, hogy új, jobban alkalmazható, az egész unióban használható keretszabályozást adjon. Hazai keretek között az Infotörvényt váltja majd fel, hogy az esetleges párhuzamos szabályozást elkerüljük, a magyar jogalkotónak is lesz dolga – hangsúlyozta dr. Domonkos Márton hozzátéve, a magyar jogalkotást ismerve van félelem az ügyben, hogy ez az utolsó pillanatban vagy az után történik majd meg. Az Infotörvény ugyanakkor nem veszíti el teljes mértékben a jelentőségét, hiszen bizonyos területek (például a munkavállalói adatok kezelése vagy a bűnügyi személyes adatok kezelése – erkölcsi bizonyítványhoz pl.) tagállami szabályozás alatt maradnak, így elképzelhető az is, hogy ebben az uniós szabálynál szigorúbb előírásokat vezetnek be – hangsúlyozta a szakember. Jelenleg a több vonatkozó jogszabály ütközik, remélhetőleg amikor a rendelet hatályba lép, ezeket is feloldja majd a jogalkotó.

Lássunk néhány fontos újdonságot, amik indokolttá teszik a másfél éves felkészülési időszakot!

kötelezettségszegési eljárást indított Brüsszel

Kép: PP

Beépített és alapértelmezett adatvédelem

Az új szabály szerint, ha egy terméknek, szolgáltatásnak lehet adatvédelmi vonatkozása, akkor már a fejlesztés során ezzel foglalkozni kell. Például, ha egy reklámkampányt tervezünk, akkor a tervezés során is figyelni kell rá, hogy megvalósuljon a minimális adatkezelés elve. Ez a megközelítés eddig is létezett, de alapelvként nem volt előírva.

Ez komoly adminisztrációs kötelezettséget is jelent, hiszen dokumentálni is kell, hogy az adatvédelmi szempontokat megfelelően figyelembe vették. A jogszabály általánosságát mutatja viszont, hogy arról, hogy ezt hogyan kell megtenni, nincs szó. Egyelőre nem tudjuk, jogásszal kell konzultálni, elemzést készíteni vagy mi más módon bizonyítani az elv figyelembe vételét.

Személyes adat lehet akár egy e-mail cím, IP-cím, de akár GPS koordináta is.

Súlyosabb bírságok

A bírságok tekintetében nagyon szigorú az új rendelet, árbevételhez igazítja a bírságok összegét, ez a mostaninál jelentősen magasabb összegeket jelent. Ez nem véletlen, hiszen kimondott cél, hogy az adatvédelmet a versenyjoghoz hasonló komolyságúvá emeljék – hangsúlyozta a jogász. De a cégek a bírságoknál súlyosabb dolgot is kockáztatnak az adatvédelmi hibákkal, mostanra a fogyasztók elvárásai is nőttek ezen a területen, így a bírságnál súlyosabb következményei is lehetnek egy hibának.

Nem tudni, mi lesz azzal a mostani magyar jogszabállyal, amely szerint a kkv-k első jogsértés esetén nem bírságolhatók adatvédelmi ügyekben (sem). A jogász szerint a kérdés várhatóan az Európai Bíróságnál fog kikötni, tehát jó pár évet várhatunk, mire kiderül, mi lesz.

Már be lehet húzódni az adatvédelmi pajzs alá
Augusztus 1-jétől él a személyes adatok kereskedelmi célú transzatlanti cseréjét szabályozó új keretrendszer, a Privacy Shield. A rendszerben regisztrált amerikai cégeket úgy kell tekinteni, mint amelyek megfelelő szintű védelmet biztosítanak a személyes adatoknak, így részükre ezek az adatok az Európai Unió területéről továbbíthatóak lesznek. Itt találja a részleteket.

Kötelező adatvédelmi felelős

Az adatvédelmi felelős létét a magyar szabály egyelőre csak speciális szektorokban teszi kötelezővé, az új szabály viszont a kezelt adatok érzékenysége alapján határozza meg, mely cégeknél kell létrehozni ilyen pozíciót. Továbbra is igaz marad, hogy ha 250 fő foglalkoztatottnál kevesebb van a cégnél (kkv), akkor nem kötelező, de a jogszabály tesz kivételt az érzékeny adatokat kezelő szervezeteknél, ahol mérettől függetlenül létre kell hozni az adatvédelmi felelős pozíciót. Ráadásul fontos pozícióról van szó – hangsúlyozza dr. Domonkos Márton. A belső adatvédelmi felelős nem szankcionálható a cégen belül, külön erőforrást kell biztosítani a működésére (pl. külső jogászt, továbbképzést, ha igényli stb.), és kötelező elfogadni, amit mond.

Az adatvédelmi felelős kötelességeiről azonban nem ejt szót a jogszabály, az a cég felelősségét szögezi le. Céges belső szabályozással kell majd megoldani, hogy adott esetben az adatvédelmi felelős felelősségre vonható legyen.

Hogy mennyire minősül kockázatosnak egy cég, az függ a kezelt adatok mennyiségétől, milyenségétől – összetetten kell kezelni, de kis cégeknek van mozgástere.

Komolyabb belső szabályozások kellenek

Mivel a jogszabály szerint az adatvédelemért maga a cég felelős, sokkal szigorúbb és jobban átgondolt belső szabályokra is szükség lesz. A személyes adatokkal ugyanis általában a marketing, a HR dolgozik, akiktől nem várható el, hogy ezt a 88 oldalas jogszabályt ismerjék, ezért a cégeknek be kell vezetni olyan szabályozási folyamatokat, amelyek alapján ezek az osztályok eljárhatnak. Check listek kellenek, illetve pontos meghatározása annak, hogy milyen esetekben ne hozzanak saját döntést, hanem kérjék az adatvédelmi felelős segítségét.

Az adatkezelő rendszerek fejlesztőinek is biztosan szüksége lesz speciális oktatásra, illetve az ezzel kapcsolatos szerződésekben is célszerű tisztázni, hogy mi az, amivel foglalkozni kell a fejlesztés során, mi az, amit elvárunk. Ha a cég nem teszi ezt meg, nem kéri a fejlesztőktől, akkor az adatvédelmi hatóság ebbe beleköthet. A cég a felelős, nem a fejlesztő.

uniós jog illusztráció

Kép: Fotolia

Külön engedély profilalkotáshoz

A rendelet bevezeti a profilalkotás fogalmát. A koncepció szerint ha valaki ügyfélprofilt készít marketing- vagy más okokból, arra külön rendelkezések vonatkoznak – az ügyfélprofil készítése minden esetben az érintett személy kifejezett hozzájárulásához kötött! Nem működik majd úgy, mint most, hogy az ÁSZF részévé tesszük. Kivételt csak az jelent, ha a profil készítése kifejezetten kell a szerződés teljesítéséhez, de ez esetben bele kell foglalni a szerződésbe, hogy ügyfélprofil készül majd.

Ez a nem egyszerű szabály sok céget érint majd, a jogász véleménye szerint már az is profilkészítésnek számít, ha ugyanazt a csoportot (pl. a törzsvásárlókat) újra és újra megkeressük egy kérdőívvel. Érdemes előre gondolkodni, sokan nem gondolják végig előre, hogy szükségük lesz ügyfélprofilra, pedig sokkal egyszerűbb, ha eleve belefogalmazzuk a szerződésekbe, és nem utólag kell majd módosítani azokat.

Az ügyfél jogai

Ha az ügyfelek adatait bármilyen módon automatikusan feldolgozzák, az ügyfél jogosult információt kérni, hogy milyen logika szerint történik az adatfeldolgozás. A rendelet nem fejti ki, hogy ennek a tájékoztatásnak mennyire részletesnek kell lennie, pedig ez fontos, mert ezen algoritmusok működése a legtöbb esetben üzleti titok.

Emellett előzetes hatásvizsgálatot kell készíteni az adatkezeléssel kapcsolatban. Ezt most is sokan megteszik, de még nem kötelező, a hatálybalépéstől viszont az lesz. Ez újabb komoly adminisztrációt jelent, lassíthatja az üzleti folyamatokat. Még nincs minta arra, hogy hogy kell kinéznie ennek a dokumentációnak, de meg fogják határozni azt is, hogy milyen adatkezelés esetében kötelező, és mikor nem (ha az adatok érzékenysége nem indokolja). A jogász szerint érdemes már most elkezdeni kidolgozni az erre vonatkozó rendszert, tesztelni, hogy milyen erőforrások kellenek hozzá, mennyi idő.

Fontos alapvetés az is, hogy a rendelet előírja, közérthető és személyre szabott tájékoztatót kell adni a fogyasztóknak az adatkezelésről – tehát például egy gyerekeknek üzemeltetett honlap adatvédelmi tájékoztatójának egészen másmilyennek kell lennie, mint egy általános szövegnek.

Újfajta dokumentáció az adatkezelési nyilvántartás helyett

A belső adatkezelési nyilvántartás is fontos dokumentációs kötelezettség lesz a jogszabály hatálybalépése után. A sokak által utált adatvédelmi nyilvántartás megszűnik, nem kell bejelentkezni a hatósághoz. Helyette házon belül nyilván kell tartani az összes adatkezelést. A magyar cégek előnye, hogy a NAIH szigorúbb az átlagnál, rengeteg dokumentációs kötelezettséget elvár, amit a jogszabály most nem rögzít. Minden típusú adatkezelést nyilván kell majd tartani – az incidenseket, a munkatársak adatait és azt, hogy ezt adott esetben kinek adták tovább (pl. könyvelő, bérszámfejtés), üzleti adatok (pl. ha felhőszolgáltatót használunk, számos érzékeny adatot átadunk!). Itt is kérdés még, hogy ennek pontosan hogyan kell kinéznie. Amíg nincs európai szintű ajánlás, addig a cégeknek kell kitalálni, hogy mi az, ami működhet, hogyan hozható létre olyan belső nyilvántartás, ami még nem bénítja meg a folyamatokat.

Mi lesz a felhővel?

A hatóságok általában már elfogadóbbak a felhőszolgáltatókkal kapcsolatban, és a szolgáltatók is jobban felkészültek adatvédelmi válaszokkal. A felhőszolgáltató jogilag adatfeldolgozónak számít, a rendelet felsorolja az adatfeldolgozói szerződés kötelező elemeit. (Az Infotörvény ilyet nem tartalmaz, NAIH-állásfoglalások voltak, mostantól viszont jogszabályban lesz.) A kötelező elemek között lesz például az utasításadási jog az adott szolgáltató irányába, auditjog a szolgáltató tekintetében – ezek elméletileg elképzelhetőek, de ha belegondolunk, hogy pl. a Google van a másik oldalon, kérdés, hogy mennyire működhetnek valóban.

Valószínűleg minden cégnek muszáj lesz leülnie szakjogásszal, és adatvédelmi auditot végezni. A nehéz, hogy összeszedjék a cégek, hogy milyen adatokat kezelnek, ha ez megvan, onnantól már sokkal könnyebb a dolog – nyugtatta meg végül a kedélyeket a jogász.

Ugyanakkor fontos azt is tudni, hogy milyen célra kezeljük az adott adatokat! A gyakorlat alapján ez utóbbi hiányzik inkább. Sokszor „majd jó lesz valamire” alapon minden lehetséges adatot gyűjtenek a vállalatok, ez a rendelet hatálybalépése után nem fog menni. Ha ezt az ugrást meg tudjuk tenni, a problémák legnagyobb része megoldódna. Ez azonban az üzletet gátolhatja, hiszen üzleti megközelítéssel az adatkezelés célja nyilván változhat, így a jogszabály az üzleti kreativitást gátolhatja.