Átalakul az adatvédelem – minden a GDPR-ról

  • Értesítő a rovat cikkeiről

2018 május 25-től hatályba lép az Európai Unió egységes adatvédelmi rendelete, amelyet magyar viszonylatban kiegészít az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény. Jelentősen szigorodnak a személyes adatok kezelésére vonatkozó elvárások.

Az e területen mutatkozó több mint 20 év látszólagos tétlensége után, 2016 tavaszán az Európai Parlament kihirdette az Általános Adatvédelmi Rendeletet (General Data Protection Regulation – GDPR, 2016/679/EU). A rendelet fő célja az EU-n belüli egységes adatkezelési joggyakorlat megteremtése az adatok szabad áramlása miatt.

Az Általános Adatvédelmi Rendeletet (a továbbiakban: Rendelet) jellegéből fakadóan nem szükséges átültetni a tagállamok jogrendszerébe, de a jelenleg hatályos adatvédelmi törvényeket szükséges hozzá igazítani.

Magyarországon is elindult a jogharmonizációs folyamat, az Igazságügyi Minisztérium 2017. augusztus 29-én a Parlament elé terjesztette az „Előterjesztés az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról” (a továbbiakban: Infotörvény) címmel a törvénytervezetet.

Mikor a Parlament elfogadja a jogszabályt és azt kihirdetik, a hatályba léptetéssel a hivatkozott módosított Infotörvény a Rendelettel együttesen határozzák meg az adatkezelés jogi kereteit.   

Minden személyes adatot kezelő szervezetre, jogi személyre vonatkozik, akik az Európai Unióban, így Magyarországon is élő/tartózkodó személyek adatait kezelik, abban az esetben is, ha ez a tevékenység az Eu-n kívül történik. Az adatkezelési elvárások és folyamatok nagymértékben hasonlítanak a könyvelési szabályokhoz, hiszen a rendszer pontos elszámoltathatóságot követel meg az adatkezelőtől a teljes adatkezelési életciklus alatt. Természetesen továbbra is gondoskodni kell minden adatkezelőnek és feldolgozónak a személyes adatok kiemelt védelméről.

A személyes adatok definíciója értelmében nagyon kitágult a kezelendő adatok köre. Minden adat, amely természetes személyhez köthető, már személyes adatként kezelendő. A teljes megértés kedvéért megemlítek pár példát: a név és lakcím adatok mellett a GPS adatok, IP címek, kamera felvételek, bármilyen weboldalra való bejelentkezés.

A Rendelet értelmében a kiszabható pénzügyi büntetések elérhetik akár a 20 millió EUR- értéket (ez közel 6 milliárd forintnak felel meg) vagy a cég éves, világszintű árbevételének 4%-át. Így az adatkezelés jogszerűsége üzleti kockázati szintre emelkedik.

Elérkeztünk ahhoz a ponthoz, amikor szakmákon átívelő megoldásokban kell gondolkodnunk és meg kell találnunk a közös nyelvet jog, biztonság, informatika és az operáció között.

Garantálni kell a kezelt adatok bizalmasságát, sértetlenségét és rendelkezésre állását és hogy a védett adatokhoz csak az előzetesen arra feljogosított személyek/rendszerek férjenek hozzá. A rendelet nem tesz különbséget a digitális és a papír alapú adatkezelés kapcsán, egyenszilárd elvárásokat vár el mindkét esetben.

Megjelenik a 72 órán belüli incidens bejelentési kötelezettség, amely számos eljárás és rendszer bevezetését követeli meg, ezzel komoly erőfeszítéseket követelve az adatkezelőktől.

Definiálja az Adatvédelmi tisztviselő szerepkört, amit szervezetileg is a mindenkori legfelsőbb vezetéshez köt és gondoskodik a pozíció megfelelő védelméről. 

A Rendelet valós hatásait egy célirányos felkészülési folyamat lépései mentén érthetjük meg:

  • Adatvédelmi tisztviselő - Nevezzük ki a felelős személyt vagy vegyünk igénybe szolgáltatásként, legyen ő a gazdája az adatvédelemnek a szervezetünkben.

  • Üzleti folyamat felmérés – Pontos képet kell lássunk az adatkezelésben résztvevő folyamatainkról, az azokat végző munkatársakról, az adatgazdákról és az adatmozgásokról.

  • Adatvagyon Leltár -  Az előző lépésben azonosított adatok rendszerezése.

  • Személyes adatok azonosítása – A Rendelet csak a személyes adatok kezelésére vonatkozik, ezért erőforrást és költséget takaríthatunk meg, ha szűkítjük a védett adatok körét.

  • Adatosztályozás – Tipizáljuk a kezelt adatokat, érzékenység és típus szerint.

  • Jogi audit – Jogszerű adatkezelési célok és az azokhoz tartozó jogalapok meghatározása.

  • Informatikai audit – Az adatkezelésben résztvevő informatikai eszközök esetében vizsgáljuk meg az elvárt kontrollok teljesülését.

  • Előzetes Adathatás elemzés. Az adatkezelési folyamataink sérülékenységét szükséges preventív módon megvizsgálni. Azonosítani kell minden fenyegetést, amely bizalmasság, sértetlenség és rendelkezésre állás szempontjából hatással lehet az adatokra és a folyamatokra.

  • GAP analízis – Mutassunk rá a Rendelet elvárásai és a valós helyzet közti különbségre.

  • Cselekvési terv – A feltárt hiányosságok felszámolása érdekében definiált feladatok összesítése.
     

    • A magas kockázatú fenyegetések csökkentésére tett erőfeszítéseink során a bekövetkezés esélyeit csökkentjük vagy a károkozási képességet. A kockázatok csökkentése miatt kialakított Védelmi Intézkedések lehetnek adminisztratív, logikai és fizikai eljárások. A 41/2015. (VII. 15.) BM-rendelet védelmi intézkedés katalógusa támpontot nyújthat.
       

    • Meg kell valósítani a biztonság az alapoktól (security by design) elvet. Ez annyit jelent, hogy minden új informatika fejlesztés esetében legalább annyira fontos szempont a biztonság, mint az, hogy jól ellássa az eredeti funkcióját. A régi rendszerek esetében pedig kompenzáló kontrollok kialakításával kell elérnünk a kívánt eredményt.
       

    • Adatalanyként megerősödnek a jogaink:
       

  • hozzáférési jog;

  • helyesbítéshez való jog;

  • törléshez való jog („az elfeledtetéshez való jog”);

  • adathordozhatósághoz való jog.
     

    • 72 órán belül kötelesek leszünk jelenteni az esetleges incidenseinket. Magas kockázatú incidens esetén az érintetteket is tájékoztatni szükséges. Kulcsfontosságú a munkatársak képzése. Tudatosításra és az adatkezelés pontos ismeretére van szükség.
       

    • A Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatása az adatvédelmi tisztviselő vagy további kapcsolattartó személyéről és elérhetőségeiről.
       

  • Végső lépésként folyamattá kell szerveznünk az előző lépéseket, hogy naprakész adatvagyon leltárral rendelkezzünk és az esetleges incidensekre mihamarabb reagálni tudjunk.  
     

Amennyiben bizonytalan, hogy érintett-e társaságuk/szervezetük az új adatvédelmi jogszabályok által előírt kötelezettségek teljesítésében, úgy kattintson a következő kérdőívre »

A cikk szerzője Kancsal Tamás (Selected Solution Management Kft.), a  Magyar Könyvvizsgálói Kamara Oktatási Központjának oktatója.

mkvkok_nagy

  • Értesítő a rovat cikkeiről
Az irányítópulton gyorsan elérhetőek az új funkciók Irányítópult

Az ado.hu új funkciói itt elérhetőek az Ön számára, a megjelenéshez kérjük regisztráljon vagy jelentkezzen be!

Újdonságok

  • építkezés

    Varga Mihály nemzetgazdasági miniszter az InfoRádiónak adott interjújában azt mondta, hogy 2019 után megszűnik a kedvezményes építőipari áfa. 

  • vám

    Az internetes rendelés előtt fontos tájékozódni az adó- és vámjogszabályokról, az esetlegesen fizetendő vámokról és egyéb közterhekről - hívja fel a figyelmet a Nemzeti Adó- és Vámhivatal (NAV) az MTI-hez eljuttatott pénteki közleményében.

  • webshop

    A magyarországi kereskedők az idei fekete pénteken (Black Friday) 25-30 milliárd forint forgalomra, csaknem 1,1 millió vásárlásra számítanak. A webáruházak 62 százalékánál lesz elérhető az akció - derül ki a GKI Digital és az Árukereső.hu közös, online kiskereskedelmi index kutatás-sorozatának idei negyedik felméréséből. 

  • Fotó: shutterstock

    Jövőre várhatóan tovább emelkedik az alanyi adómentesség árbevételi határa, aminek köszönhetően még több mikro- és kisvállalkozás állíthat ki áfamentes számlát, a legtöbbet a katás adózók profitálhatnak a változással. 

  • megbeszélésés, tárgyalás

    A munka törvénykönyve a munkavállalók nagyobb csoportját érintő létszámcsökkentésre a munkaviszony megszüntetésére vonatkozó általános szabályok mellett – illetve azoktól részben eltérően – további kötelezettségeket ró a munkáltatóra. Például köteles tárgyalni az üzemi tanáccsal, igaz, megállapodás hiányában az előírt 15 napos határidő eltelte után a tárgyalások befejezhetőek s az eljárás folytatható.