Szerző: Biztonságportál | Utolsó módosítás: 2018.03.29.
https://biztonsagportal.hu/mi-lesz-igy-a-gdpr-ral.html
Koherenciazavarok miatti jogbizonytalansággal nézhetnek szembe az itthoni vállalatok, amennyiben nem kerül elfogadásra a GDPR végrehajtását biztosító hazai jogszabály.
Az unió teljes területén hatályba lép 2018. május 25-én a Közös Európai Adatvédelmi Rendelet (GDPR), amely kiterjed minden olyan hatóságra, gazdasági társaságra és szervezetre, amely az EU-ban tartózkodó érintett személyes adatait kezeli vagy feldolgozza. Az uniós rendeletet, ami egységesíti a tagállamok, köztük Magyarország adatvédelmi rendelkezéseit, valamint felülírja a nemzeti jogszabályokat, közvetlenül kell alkalmazni, ehhez azonban a helyi adatvédelmi szabályokat az új előírásoknak megfelelően kell módosítani.
Magyarországon ugyanakkor még váratnak magára az uniós szintű rendelet hazai alkalmazásához szükséges jogszabály-módosítások - hívta fel a figyelmet a Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda. A parlament jóváhagyása mellett, a rendelet itthoni alkalmazásához szükség lesz még egy, kétharmados törvényben felállítandó felügyeleti hatóságra, a bíróságon kívüli szankciók megállapítására, a tanúsító szervek akkreditációjára, illetve bizonyos, tagállami jogi koherenciazavarok felszámolására is.
Amennyiben a választások után felálló parlament nem fogadja el a szükséges szabályokat, az Európai Unió által meghatározott határidőig, akkor az uniós jog elsőbbsége érvényesülne Magyarországon. Ebben az esetben az itthon működő vállalatoknak az uniós rendelet elvárásainak kell megfelelniük és nem a hazai törvényi szabályoknak, ami jogbizonytalanságot eredményezhet.
"A GDPR szabályainak megsértése esetén kiszabható bírság mértéke elérheti a 20 millió eurót, vagy a vállalkozáscsoport előző pénzügyi évben elért, teljes világpiaci forgalmának 4 százalékát is. A hazai szabályozás elfogadásának hiányában azonban az adatvédelmi szabályokhoz nem kapcsolódik majd hatósági végrehajtás, vagyis például bírságolásra sem lesz lehetőség. A rendelkezéseket kizárólag bírósági úton lehet majd érvényesíteni" - hangsúlyozta Dr. Liber Ádám, a Baker McKenzie szakértője. Nem lesz egyértelmű például az egészségügyi személyes adatok kezelésével kapcsolatos előírások és a GDPR együttélése, vagy az, hogy kérhető-e erkölcsi bizonyítvány egy munkavállalótól.
A GDPR ugyancsak szigorú előírásokat tartalmaz a beépített és alapértelmezett adatvédelmi elvek alkalmazásáról, biztosítva a vállalatok tevékenysége során kezelt adatok teljes körű védelmét. Az úgynevezett Privacy-by-design és Privacy-by-default adatvédelmi gyakorlat megköveteli, hogy az unió által kijelölt adatvédelmi elveket figyelembe kell venni az adott szervezet működésekor, minden egyes folyamat- és rendszertervezéskor.
"A Privacy-by-design gyakorlati alkalmazásakor a szervezeteknek proaktívan és preventíven kell biztosítaniuk az adatvédelmi követelményeknek való megfelelést, figyelembe kell venni, hogy a megfelelő szintű adatvédelem érvényesüljön alapértelmezés szerint. A tervezés folyamatába beépített, teljes működést támogató adatvédelmi funkciót és kockázatkezelési folyamatokat kell működtetni. A teljes adatkezelési életciklus alatt biztosítani kell az end-to-end biztonsági megoldások alkalmazását (pl. adatgyűjtések, adattovábbítások és tárolások esetén a megfelelő szintű titkosítási megoldások alkalmazása, az életciklus végén lévő személyes adatok anonimizálása.)
Az új szabályozás szerint kiemelten fontos a transzparencia és az átláthatóság - minél nyitottabban történjen a személyes adatok kezelése, valamint a felhasználók magánszférájának védelme - mindez felhasználóbarát módon, a megfelelő funkciók kialakításával. Emiatt a vállalatoknak kiemelt figyelmet kell fordítaniuk nemcsak a fizikai tér és az eszközök elrendezésére, de az IT- és információbiztonságra, valamint az üzleti és támogatói folyamatok megfelelő kezelésére is" - emelte ki Dr. Bereczki Tamás, a Baker McKenzie szakértője.
A Privacy-by-Design elvének gyakorlati érvényesülése az adatvédelmi hatásvizsgálatok elvégzésén keresztül valósul meg. Emiatt a vállalatoknak ügyelniük kell az unió által elfogadott módszertan szerint megvalósított kockázatmenedzsment folyamatok kialakítására és működtetésére, a megfelelő belső kockázatkövetési és jelentési tevékenységekre. A cégeknek ugyancsak kötelességük a szükséges szabályzati keretrendszerek és technikai kontrollok megteremtése, legyen szó az adatvédelmi politikáról, az információbiztonságról, az üzleti szabályzatokról vagy az adatminimalizálás elvének technikai érvényesítéséről.
Amennyiben a választások után felálló parlament nem fogadja el a szükséges szabályokat, az Európai Unió által meghatározott határidőig, akkor az uniós jog elsőbbsége érvényesülne Magyarországon. Ebben az esetben az itthon működő vállalatoknak az uniós rendelet elvárásainak kell megfelelniük és nem a hazai törvényi szabályoknak, ami jogbizonytalanságot eredményezhet.
"A GDPR szabályainak megsértése esetén kiszabható bírság mértéke elérheti a 20 millió eurót, vagy a vállalkozáscsoport előző pénzügyi évben elért, teljes világpiaci forgalmának 4 százalékát is. A hazai szabályozás elfogadásának hiányában azonban az adatvédelmi szabályokhoz nem kapcsolódik majd hatósági végrehajtás, vagyis például bírságolásra sem lesz lehetőség. A rendelkezéseket kizárólag bírósági úton lehet majd érvényesíteni" - hangsúlyozta Dr. Liber Ádám, a Baker McKenzie szakértője. Nem lesz egyértelmű például az egészségügyi személyes adatok kezelésével kapcsolatos előírások és a GDPR együttélése, vagy az, hogy kérhető-e erkölcsi bizonyítvány egy munkavállalótól.
A GDPR ugyancsak szigorú előírásokat tartalmaz a beépített és alapértelmezett adatvédelmi elvek alkalmazásáról, biztosítva a vállalatok tevékenysége során kezelt adatok teljes körű védelmét. Az úgynevezett Privacy-by-design és Privacy-by-default adatvédelmi gyakorlat megköveteli, hogy az unió által kijelölt adatvédelmi elveket figyelembe kell venni az adott szervezet működésekor, minden egyes folyamat- és rendszertervezéskor.
"A Privacy-by-design gyakorlati alkalmazásakor a szervezeteknek proaktívan és preventíven kell biztosítaniuk az adatvédelmi követelményeknek való megfelelést, figyelembe kell venni, hogy a megfelelő szintű adatvédelem érvényesüljön alapértelmezés szerint. A tervezés folyamatába beépített, teljes működést támogató adatvédelmi funkciót és kockázatkezelési folyamatokat kell működtetni. A teljes adatkezelési életciklus alatt biztosítani kell az end-to-end biztonsági megoldások alkalmazását (pl. adatgyűjtések, adattovábbítások és tárolások esetén a megfelelő szintű titkosítási megoldások alkalmazása, az életciklus végén lévő személyes adatok anonimizálása.)
Az új szabályozás szerint kiemelten fontos a transzparencia és az átláthatóság - minél nyitottabban történjen a személyes adatok kezelése, valamint a felhasználók magánszférájának védelme - mindez felhasználóbarát módon, a megfelelő funkciók kialakításával. Emiatt a vállalatoknak kiemelt figyelmet kell fordítaniuk nemcsak a fizikai tér és az eszközök elrendezésére, de az IT- és információbiztonságra, valamint az üzleti és támogatói folyamatok megfelelő kezelésére is" - emelte ki Dr. Bereczki Tamás, a Baker McKenzie szakértője.
A Privacy-by-Design elvének gyakorlati érvényesülése az adatvédelmi hatásvizsgálatok elvégzésén keresztül valósul meg. Emiatt a vállalatoknak ügyelniük kell az unió által elfogadott módszertan szerint megvalósított kockázatmenedzsment folyamatok kialakítására és működtetésére, a megfelelő belső kockázatkövetési és jelentési tevékenységekre. A cégeknek ugyancsak kötelességük a szükséges szabályzati keretrendszerek és technikai kontrollok megteremtése, legyen szó az adatvédelmi politikáról, az információbiztonságról, az üzleti szabályzatokról vagy az adatminimalizálás elvének technikai érvényesítéséről.
