Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
2018 május 25-től hatályba lép az Európai Unió egységes adatvédelmi rendelete, amelyet magyar viszonylatban kiegészít az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény. Jelentősen szigorodnak a személyes adatok kezelésére vonatkozó elvárások.
Az e területen mutatkozó több mint 20 év látszólagos tétlensége után, 2016 tavaszán az Európai Parlament kihirdette az Általános Adatvédelmi Rendeletet (General Data Protection Regulation – GDPR, 2016/679/EU). A rendelet fő célja az EU-n belüli egységes adatkezelési joggyakorlat megteremtése az adatok szabad áramlása miatt.
Az Általános Adatvédelmi Rendeletet (a továbbiakban: Rendelet) jellegéből fakadóan nem szükséges átültetni a tagállamok jogrendszerébe, de a jelenleg hatályos adatvédelmi törvényeket szükséges hozzá igazítani.
Magyarországon is elindult a jogharmonizációs folyamat, az Igazságügyi Minisztérium 2017. augusztus 29-én a Parlament elé terjesztette az „Előterjesztés az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról” (a továbbiakban: Infotörvény) címmel a törvénytervezetet.
Mikor a Parlament elfogadja a jogszabályt és azt kihirdetik, a hatályba léptetéssel a hivatkozott módosított Infotörvény a Rendelettel együttesen határozzák meg az adatkezelés jogi kereteit.
Minden személyes adatot kezelő szervezetre, jogi személyre vonatkozik, akik az Európai Unióban, így Magyarországon is élő/tartózkodó személyek adatait kezelik, abban az esetben is, ha ez a tevékenység az Eu-n kívül történik. Az adatkezelési elvárások és folyamatok nagymértékben hasonlítanak a könyvelési szabályokhoz, hiszen a rendszer pontos elszámoltathatóságot követel meg az adatkezelőtől a teljes adatkezelési életciklus alatt. Természetesen továbbra is gondoskodni kell minden adatkezelőnek és feldolgozónak a személyes adatok kiemelt védelméről.
A személyes adatok definíciója értelmében nagyon kitágult a kezelendő adatok köre. Minden adat, amely természetes személyhez köthető, már személyes adatként kezelendő. A teljes megértés kedvéért megemlítek pár példát: a név és lakcím adatok mellett a GPS adatok, IP címek, kamera felvételek, bármilyen weboldalra való bejelentkezés.
A Rendelet értelmében a kiszabható pénzügyi büntetések elérhetik akár a 20 millió EUR- értéket (ez közel 6 milliárd forintnak felel meg) vagy a cég éves, világszintű árbevételének 4%-át. Így az adatkezelés jogszerűsége üzleti kockázati szintre emelkedik.
Elérkeztünk ahhoz a ponthoz, amikor szakmákon átívelő megoldásokban kell gondolkodnunk és meg kell találnunk a közös nyelvet jog, biztonság, informatika és az operáció között.
Garantálni kell a kezelt adatok bizalmasságát, sértetlenségét és rendelkezésre állását és hogy a védett adatokhoz csak az előzetesen arra feljogosított személyek/rendszerek férjenek hozzá. A rendelet nem tesz különbséget a digitális és a papír alapú adatkezelés kapcsán, egyenszilárd elvárásokat vár el mindkét esetben.
Megjelenik a 72 órán belüli incidens bejelentési kötelezettség, amely számos eljárás és rendszer bevezetését követeli meg, ezzel komoly erőfeszítéseket követelve az adatkezelőktől.
Definiálja az Adatvédelmi tisztviselő szerepkört, amit szervezetileg is a mindenkori legfelsőbb vezetéshez köt és gondoskodik a pozíció megfelelő védelméről.
A Rendelet valós hatásait egy célirányos felkészülési folyamat lépései mentén érthetjük meg:
Adatvédelmi tisztviselő – Nevezzük ki a felelős személyt vagy vegyünk igénybe szolgáltatásként, legyen ő a gazdája az adatvédelemnek a szervezetünkben.
Üzleti folyamat felmérés – Pontos képet kell lássunk az adatkezelésben résztvevő folyamatainkról, az azokat végző munkatársakról, az adatgazdákról és az adatmozgásokról.
Adatvagyon Leltár – Az előző lépésben azonosított adatok rendszerezése.
Személyes adatok azonosítása – A Rendelet csak a személyes adatok kezelésére vonatkozik, ezért erőforrást és költséget takaríthatunk meg, ha szűkítjük a védett adatok körét.
Adatosztályozás – Tipizáljuk a kezelt adatokat, érzékenység és típus szerint.
Jogi audit – Jogszerű adatkezelési célok és az azokhoz tartozó jogalapok meghatározása.
Informatikai audit – Az adatkezelésben résztvevő informatikai eszközök esetében vizsgáljuk meg az elvárt kontrollok teljesülését.
Előzetes Adathatás elemzés. Az adatkezelési folyamataink sérülékenységét szükséges preventív módon megvizsgálni. Azonosítani kell minden fenyegetést, amely bizalmasság, sértetlenség és rendelkezésre állás szempontjából hatással lehet az adatokra és a folyamatokra.
GAP analízis – Mutassunk rá a Rendelet elvárásai és a valós helyzet közti különbségre.
Cselekvési terv – A feltárt hiányosságok felszámolása érdekében definiált feladatok összesítése.
A magas kockázatú fenyegetések csökkentésére tett erőfeszítéseink során a bekövetkezés esélyeit csökkentjük vagy a károkozási képességet. A kockázatok csökkentése miatt kialakított Védelmi Intézkedések lehetnek adminisztratív, logikai és fizikai eljárások. A 41/2015. (VII. 15.) BM-rendelet védelmi intézkedés katalógusa támpontot nyújthat.
Meg kell valósítani a biztonság az alapoktól (security by design) elvet. Ez annyit jelent, hogy minden új informatika fejlesztés esetében legalább annyira fontos szempont a biztonság, mint az, hogy jól ellássa az eredeti funkcióját. A régi rendszerek esetében pedig kompenzáló kontrollok kialakításával kell elérnünk a kívánt eredményt.
Adatalanyként megerősödnek a jogaink:
hozzáférési jog;
helyesbítéshez való jog;
törléshez való jog („az elfeledtetéshez való jog”);
adathordozhatósághoz való jog.
72 órán belül kötelesek leszünk jelenteni az esetleges incidenseinket. Magas kockázatú incidens esetén az érintetteket is tájékoztatni szükséges. Kulcsfontosságú a munkatársak képzése. Tudatosításra és az adatkezelés pontos ismeretére van szükség.
A Nemzeti Adatvédelmi és Információszabadság Hatóság tájékoztatása az adatvédelmi tisztviselő vagy további kapcsolattartó személyéről és elérhetőségeiről.
Végső lépésként folyamattá kell szerveznünk az előző lépéseket, hogy naprakész adatvagyon leltárral rendelkezzünk és az esetleges incidensekre mihamarabb reagálni tudjunk.
Amennyiben bizonytalan, hogy érintett-e társaságuk/szervezetük az új adatvédelmi jogszabályok által előírt kötelezettségek teljesítésében, úgy kattintson a következő kérdőívre »
A cikk szerzője Kancsal Tamás (Selected Solution Management Kft.), a Magyar Könyvvizsgálói Kamara Oktatási Központjának oktatója.
