EU: szigorodik az adatvédelem

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Érdemes már most felkészülni a 2018-ban hatályba lépő uniós adatvédelmi- és compliance-szabályozásokra.

Az Union Internationale des Avocats (UIA – www.uianet.org), ügyvédi világszervezet október 28-31. között Budapesten tartotta éves kongresszusát két fő tematika mentén: a vállalati compliance/megfelelési rendszer kihívásai és lehetőségei, valamint a legújabb adatvédelmi szabályozás, vállalatokat érintő hatásai és a digitális világ jelentette kihívások.

Jogunk van a saját adatainkhoz!

Az UIA szakértői ismertették, hogy az Európai Parlament idén tavasszal szavazta meg az új adatvédelmi szabályokat, amelyek része az Európai Parlament és a Tanács 2016/679 számú rendelete, valamint az Európai Parlament és a Tanács 2016/680 számú irányelve.

A rendelet célja, hogy az eddiginél jobban megerősítse az állampolgárok jogait adataik védelme felett, az internet-használóknak nagyobb befolyása legyen saját adataik felett. Fontos szempont volt az is, hogy az EU lépést tartson a digitális világgal és ennek megfelelő, minél inkább egységes uniós adatvédelem jöjjön létre. A rendeletet 2018. május 25-től az összes uniós tagországban kötelezően alkalmazni kell, így Magyarországon is. Sőt: a szabályozás az EU-n kívüli tevékenységi hellyel rendelkező adatkezelőkre és adatfeldolgozókra is vonatkozik, ha az általuk végzett adatkezelési tevékenységek:

(a) áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintetteknek történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; vagy

b) az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve, hogy az Unió területén belül tanúsított viselkedésükről van szó.

A rendőrségi és bírósági adatkezelésre vonatkozó irányelv minimumkövetelményeket határoz meg a rendőrségek és bíróságok által történő adatkezelésekre, azért, hogy megvédje a rendőrségi vagy bírósági ügyben részt vevő emberek – tanú, áldozat, tettes – személyes adatait. Célja az uniós bűnüldöző szervek közötti gördülékenyebb adatmegosztás elérése is és ezáltal a terrorizmus hatékonyabb felderítése. Amíg a rendeletet a tagországokban közvetlenül kell alkalmazni, addig az irányelv rendelkezéseit – egyes automatizált adatkezelési rendszerekkel kapcsolatos naplózási kötelezettségek kivételével – minden uniós ország köteles átültetni tagállami jogába legkésőbb 2018. május 6-ig.

 

Az új adatvédelmi rendelet értelmében tehát azoknak a vállalatoknak, amelyek személyes adatokat kezelnek vagy feldolgoznak, a jövőben sokkal szigorúbb elvárásoknak kell megfelelniük az átláthatóság, elszámoltathatóság, illetve a transzparencia jegyében. Mit is jelent ez konkrétan?

• A cégeknek közérthető és kellően kimunkált tájékoztatást kell adniuk az érintetteknek az adatkezelésről/adatfeldolgozásról.

• A rendelet számos új fogalmat vezet be, többek között az álnevesítést és a profilalkotást.

• Főszabály szerint az adatkezelők és az adatfeldolgozók kötelesek lesznek nyilvántartást vezetni az adatkezeléseikről, illetve adatfeldolgozásaikról.

• Az adatkezelők bizonyos esetekben kötelesek lesznek adatvédelmi hatásvizsgálatot végezni az adatkezelés előtt és adott esetben előzetesen konzultálniuk kell a tagállami adatvédelmi hatósággal.

• A rendeletben deklarált módon jelenik meg az „elfeledtetéshez való jog”, amely az érintett személyes adatai törléséhez való jogának egy speciális változata.

• A rendeletben deklarált módon jelenik meg a beépített és az alapértelmezett adatvédelem elve.

• Szabályozták az adathordozhatóságot; az érintett kérelmére úgy kell átadni az adatokat, hogy azt egy másik szolgáltatóhoz átalakítás nélkül át lehessen vinni.

• Főszabály szerint az adatkezelő köteles bejelenteni a tagállami adatvédelmi hatóságnak az adatvédelmi incidenst (pl. hacker támadás, adatok véletlen megsemmisülése), és tájékoztatnia kell az érintetteket az ilyen eseményről, úgyszintén köteles nyilvántartást vezetni az incidensekről; az adatfeldolgozó köteles tájékoztatni az adatkezelőt az incidensről.

• Az adatkezelő és az adatfeldolgozó bizonyos esetekben köteles adatvédelmi tisztviselőt kinevezni.

• A rendelettel bevezetett közigazgatási bírság legfeljebb 20 millió euró, illetve vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összegű lehet, azzal, hogy a kettő közül a magasabb összeget kell kiszabni.

• A rendelet egységes alkalmazásának biztosítása céljából bevezetik a tagállami adatvédelmi hatóságok közötti együttműködési mechanizmust, valamint egy ún. egységességi mechanizmust, és létrehozzák az Európai Adatvédelmi Testületet.

Az UIA jogász-szakértői hangsúlyozták a titkosítás fontosságát is. A mai digitális világban nem árt védekezni a céges vagy kormányzati megfigyelések ellen és a modern technológiát adataink védelme érdekében használni. A gyakorlatban ez azt is jelentheti, hogy az emaileket és üzeneteket kódolva, titkosítva küldjük. Erre napjainkban számtalan megbízható szoftver létezik, többségük fizetős, de találunk ingyenesen hozzáférhetőt is a piacon.

Rendkívül fontos, hogy az adatkezelők és adatfeldolgozók kellő időben kezdjék meg a rendelet jelentette rezsimre való felkészülést annak érdekében, hogy 2018. május 25. napjával megfeleljenek az új követelményeknek.

Harc a pénzmosás ellen

[htmlbox adomozaik]

 

Az UIA kongresszus másik kiemelt fókuszterülete a compliance. A jelenlegi uniós szabályok olyan szigorú feltételeket és adminisztratív kötelezettséget írnak elő a vállalati adattovábbításra, adatvédelemre, amelyek következtében az esetleges adatvédelmi bírságok, a vállalati belső vizsgálatok miatt egy vállalatnak ki kell alakítania ún. megfelelési, azaz compliance rendszerét.

Egy jól működő vállalati compliance rendszer megvédi a céget a versenyjogi bírságoktól, büntetőeljárásoktól, és a munkatársakat is védi például a korrupciós bűncselekmények területén. Minden vállalkozásnak, de különösen a közép- és nagyvállalati kör számára fontos, hogy hatékony és praktikus compliance gyakorlatot alakítson ki. Főleg azokon a területeken elengedhetetlen, ahol a jogszabályoknak való megfelelés hiányát az állam számon kérheti a cégen, például hatósági szankciók alkalmazásával, vagy ott, ahol a hanyag ellenőrzés miatt saját tulajdonosainak vagy munkavállalóinak kárt okozna. Ha egy vállalat nem felel meg a vonatkozó jogszabályi előírásoknak, rendelkezéseknek, nem csupán pénzügyi veszteséget könyvelhet el, de súlyos reputációs veszteséget is elszenvedhet.

A pénzmosás megelőzése az egyik legfontosabb területe a compliance-nek.

2015-ben az Európai Parlament megszavazta a 4. pénzmosás elleni uniós irányelvet (2015/849), azzal a céllal, hogy hatékonyabban fellépjen a pénzmosás, az adóbűncselekmények és a terrorizmus finanszírozásával szemben. A tagországoknak 2017 júniusáig kell átültetniük az irányelvet a jogrendszerükbe.

Ennek értelmében a társaságok, és az egyéb jogi entitások tényleges tulajdonosainak adatait központi uniós adatbázisban kell szerepeltetni, amelyhez a hatóságok hozzáférhetnek. Ezt a hozzáférést a tagállamok csak kivételes körülmények között, eseti alapon korlátozhatják. Ezen kívül a könyvvizsgálóknak, pénzintézeteknek, ügyvédeknek, közjegyzőknek és kaszinóknak továbbra is kötelessége lesz bejelenteni, ha ügyfeleiknél gyanús ügyletre lesznek figyelmesek. A szankciók – amennyiben az érintett kötelezett szolgáltató hitelintézet vagy pénzügyi intézmény –jogi személynél legalább 5 millió euró vagy a legutolsó rendelkezésre álló teljes éves árbevétel 10%-ának megfelelő mértékű maximális pénzbírság lehetnek; természetes személynél legalább 5 millió euró.

Az UIA szakértői felhívták a figyelmet, hogy ügyelni kell arra, hogy a pénzmosással kapcsolatos beavatkozások közben ne sérüljön a személyes adatokat érintő védelem joga.

Kitértek arra is, melyek egy hatékony compliance rendszer felállításának és működésének főbb lépcsőfokai.

• Az adott kkv vagy multinacionális vállalat átvizsgálása,

• Compliance kockázatok azonosítása

• A Compliance „felelősök” felkészítése: jogok és kötelezettségek a munkavégzés során, jelentési kötelezettségek hatóság és menedzsment felé

• A Compliance feladatok cégen belüli munkamegosztása

• Munkavállalókra vonatkozó ellenőrzések (összeférhetetlenség, külső munkavállalás, számlák vonatkozásában)

• Munkaterv meghatározása és rendszeres ellenőrzése.

 

---