Jump to content

Jogbizonytalanságot okoz, hogy nincs hatályos adatvédelmi rendelet

2018. 03. 31. 19:00

Koherenciazavarok miatti jogbizonytalansággal nézhetnek szembe az itthoni vállalatok, ha nem fogadják el az európai adatvédelmi rendeletet, vagyis a GDPR végrehajtását biztosító hazai jogszabályt. A magyarországi cégeknek május végétől a beépített és alapértelmezett adatvédelmi elvek szerint kell eljárniuk, ellenkező esetben húszmillió eurós bírsággal szembesülhetnek.

Az Európai Unió teljes területén hatályba lép 2018. május 25-én a Közös Európai Adatvédelmi Rendelet (GDPR), amely kiterjed minden olyan hatóságra, gazdasági társaságra és szervezetre, amely az EU-ban tartózkodó érintett személyes adatait kezeli vagy feldolgozza. Az uniós rendeletet, amely egységesíti a tagállamok – köztük Magyarország – adatvédelmi rendelkezéseit, valamint felülírja a nemzeti jogszabályokat, közvetlenül kell alkalmazni, ehhez azonban a helyi adatvédelmi szabályokat az új előírásoknak megfelelően kell módosítani.

Magyarországon ugyanakkor még váratnak magára az uniós szintű rendelet hazai alkalmazásához szükséges jogszabály-módosítások – hívja fel a figyelmet a Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda. A parlament jóváhagyása mellett, a rendelet itthoni alkalmazásához szükség lesz még egy, kétharmados törvényben felállítandó felügyeleti hatóságra, a bíróságon kívüli szankciók megállapítására, a tanúsító szervek akkreditációjára, illetve bizonyos, tagállami jogi koherenciazavarok felszámolására is.

Az uniós jogé az elsőbbség

Ha a választások után felálló parlament nem fogadja el a szükséges szabályokat az Európai Unió által meghatározott határidőig, akkor az uniós jog elsőbbsége érvényesülne Magyarországon. Ebben az esetben az itthon működő vállalatoknak az uniós rendelet elvárásainak kell megfelelniük és nem a hazai törvényi szabályoknak, ami jogbizonytalanságot eredményezhet.

„A GDPR szabályainak megsértése esetén kiszabható bírság mértéke elérheti a húszmillió eurót (több mint 6 milliárd forintot), vagy a vállalkozáscsoport előző pénzügyi évben elért, teljes világpiaci forgalmának 4 százalékát is. A hazai szabályozás elfogadásának hiányában azonban az adatvédelmi szabályokhoz nem kapcsolódik majd hatósági végrehajtás, vagyis például bírságolásra sem lesz lehetőség. A rendelkezéseket kizárólag bírósági úton lehet majd érvényesíteni” – hangsúlyozta Liber Ádám, a Baker McKenzie szakértője. Nem lesz egyértelmű például az egészségügyi személyes adatok kezelésével kapcsolatos előírások és a GDPR együttélése, vagy az, hogy kérhető-e erkölcsi bizonyítvány egy munkavállalótól.

A GDPR ugyancsak szigorú előírásokat tartalmaz a beépített és alapértelmezett adatvédelmi elvek alkalmazásáról, biztosítva a vállalatok tevékenysége során kezelt adatok teljes körű védelmét. Az úgynevezett Privacy-by-design és Privacy-by-default adatvédelmi jó gyakorlat megköveteli, hogy az unió által kijelölt adatvédelmi elveket figyelembe kell venni az adott szervezet működésekor, minden egyes fázisainak folyamat- és rendszertervezésekor. 

„A Privacy-by-design gyakorlati alkalmazásakor a szervezeteknek proaktívan és preventíven kell biztosítaniuk az adatvédelmi követelményeknek való megfelelést, figyelembe kell venni, hogy a megfelelő szintű adatvédelem érvényesüljön alapértelmezés szerint. A tervezés folyamatába beépített, teljes működést támogató adatvédelmi funkciót és kockázatkezelési folyamatokat kell működtetni. A teljes adatkezelési életciklus alatt biztosítani kell az end-to-end biztonsági megoldások alkalmazását. Például az adatgyűjtések, adattovábbítások és tárolások esetén a megfelelő szintű titkosítási megoldások alkalmazása, az életciklus végén lévő személyes adatok anonimizálása szükséges.

Transzparencia és az átláthatóság

Az új szabályozás szerint kiemelten fontos a transzparencia és az átláthatóság – minél nyitottabban történjen a személyes adatok kezelése, valamint a felhasználók magánszférájának védelme – mindezt felhasználó barát módon, a megfelelő funkciók kialakításával –  például privacy dashboardok, privacy ikonok alkalmazásával. Emiatt a vállalatoknak kiemelt figyelmet kell fordítaniuk nemcsak a fizikai tér és az eszközök elrendezésére, de az IT- és információ-biztonságra, valamint az üzleti és támogatói folyamatok megfelelő kezelésére” – emelte ki Bereczki Tamás, a Baker McKenzie szakértője.

Kockázatmenedzsment

A Privacy-by-Design elvének gyakorlati érvényesülése az adatvédelmi hatásvizsgálatok elvégzésén keresztül valósul meg. Emiatt a vállalatoknak ügyelniük kell az unió által elfogadott módszertan szerint megvalósított kockázatmenedzsment folyamatok kialakítására és működtetésére, a megfelelő belső kockázatkövetési és jelentési tevékenységekre. A cégeknek ugyancsak kötelességük a szükséges szabályzati keretrendszerek és technikai kontrollok megteremtése, legyen szó az adatvédelmi politikáról, az információbiztonságról, az üzleti szabályzatokról vagy az adatminimalizálás elvének technikai érvényesítéséről.

(Forrás: penzugyguru.co.hu, pr7/Fotó: pixabay.com)