Fontos változások az adatvédelem területén

A Magyarországon jelenleg is hatályban lévő, 2011.évi CXII törvény (Info. törvény) nemzetközi összehasonlításban is szigorú követelményeket támaszt a természetes személyek adatait kezelő szervezetekkel szemben, valamint a Nemzeti Adatvédelmi és Információszabadság Hatóság is kiemelten ellenőrzi az adatkezelőket a törvénynek való megfelelés szempontjából - írja Kiss Dániel, a budapesti Mazars iroda Információ és adatbiztonsági szolgáltatásaiért felelős vezetője.

Mindezek alapján jogos elképzelés, hogy amennyiben egy szervezet saját megítélése szerint már megfelel a jelenleg is hatályos törvénynek, úgy a területet szabályozó új Uniós jogszabály (679/2016 Általános Adatvédelmi Rendelet – GDPR) már számára nem jelent érdemi változást - olvasható a Mazars blogbejegyzésében. Való igaz, hogy ebben az esetben nagy könnyebbség, hogy nem a “nulláról” kell építkezni, mégis mindenki számára hoz újdonságot az új jogszabály, melyre érdemes időben felkészülni. Mik is tehát a legjelentősebb gyakorlati különbségek a meglévő Adatvédelmi törvényhez képest?

Kép: S&T

Nyilvántartási kötelezettség

Első pillantásra fontos könnyítésnek tűnhet, hogy a rendelet hatályba lépését követően megszűnik az adatkezelők kötelező bejelentkezési kötelezettsége az adatvédelmi nyilvántartásba, ugyanakkor 2018. május 25-től minden szervezetnek saját magának kell átlátható formában vezetnie, és szükség esetén a hatóság rendelkezésére bocsátania a személyes adatkezelési tevékenységeinek nyilvántartását.

Az adatkezelési tevékenységek hiánytalan felmérése komoly erőforrásokat igényelhet a szervezet részéről.

Jogalapok változásai

Bár a jogalapok terén sem történnek koncepcionális változások, fontos szigorítás, hogy a hozzájárulás alapján történő adatkezelések feltételeinek szigorítása, hiszen a hozzájárulásnak minden körülmény között önkéntesnek és visszavonhatónak kell lennie, így számos esetben szükséges az adatkezelés újfajta jogalapjának meghatározása (többek között munkavállalók adatainak kezelése területén).

Incidensek kötelező bejelentése

Harmadik legfontosabb különbség az Info. törvény és a Rendelet között, hogy a Rendelet kötelezően előírja a személyes adatokat érintő incidensek kötelező, 72 órán belül történő bejelentését az adatvédelmi hatóság (NAIH) részére, így mindenféleképpen szükséges azon eljárásrendek létrehozása (vagy felülvizsgálata), melyek az incidensek bejelentéséhez szükséges információkat biztosítják (incidensben érintett természetes személyek köre, érintett adatok és adatcsoportok, incidens súlyossága, és megismétlődés elhárítására irányuló erőfeszítések).

Informatikai védelmi képességek erősítése

A kötelező incidens-bejelentési kötelezettség együtt jár azzal a jogalkotói szándékkal, hogy a szervezetek (az incidens-bejelentés reputációs és jogi hatásai miatt), tudatosan csökkentsék az adatvédelmi incidensek bekövetkezésének valószínűségét, valamint egy esetleges incidens során a természetes személyekre vonatkozó kockázatok mértékét.

Kamera van a lakásban, irodában? Akkor ön is adatkezelő
2018 jelentős év lesz az adatvédelem területén, hatályba lép az új európai adatvédelmi rendelet, amely Magyarországon is közvetlenül hatályos és alkalmazandó jogszabály lesz, felváltja a jelenleg hatályos Infotörvényt. A küszöbön álló változás alkalmat biztosíthat arra, hogy elmélyüljön, vagy – jobb később, mint soha alapon – széles körben kialakuljon az adatvédelmi jogi tudatosság.
Adatvédelmi hatásvizsgálat

A rendelet 2018. május 25-től valamennyi a valószínűsíthetően kockázatos új adatkezelési tevékenységekre kötelezően előírja az adatvédelmi hatásvizsgálat elvégzését. Bár ilyet a rendelet szövege szerint a hatályba lépést megelőzően nem kell végezni, a hatásvizsgálat lefolytatására vonatkozó eljárásrendeknek és procedúráknak addigra már rendelkezésre kell állniuk.

Éppen ezért saját magunk, és a hatóság megnyugtatása érdekében célszerű lehet felülvizsgálni informatikai környezetünk zártságát biztosító szervezeti és technikai intézkedések hatékonyságát. Sokat hangoztatott közhely, hogy informatikai rendszerek esetén (sem) beszélhetünk száz százalékos biztonságról, ugyanakkor nem csak a hatóság, de ügyfeleink bizalmának megőrzése céljából is minden elvárhatót meg kell tennünk a ránk bízott személyes adatok védelméért.

Bírságok

Bár a GDPR által kilátásba helyezett 20 millió eurós bírság magyarországi alkalmazására várhatóan nem kerül sor (hiszen a Rendelet célja sem a működő vállalatok ellehetetlenítése), arra mindenféleképpen alkalmas, hogy a cégek a bírságot már nem tudják beépíteni be a felvállalt kockázatok közé. A NAIH a Rendelet hatálybalépésének idejére megnövelt létszámú szakértői gárdával készül.

Kiss Dániel

Véleményvezér

Kísértetszállodát talált Hadházy Ákos

Kísértetszállodát talált Hadházy Ákos 

Különös pénzosztások az idegenforgalmi beruházások körül.
A korrupció rontja a boldogságindexet

A korrupció rontja a boldogságindexet 

Ötvenhatodik helyen a magyarok.
Hadházy Ákos újabb fél méter magas kilátót talált 217 millió forintért

Hadházy Ákos újabb fél méter magas kilátót talált 217 millió forintért 

Lombkoronasétány helyett ezúttal nádkoronasétány épült.
Száguldhatna a forint, ha Orbán Viktor kiegyezne az unióval

Száguldhatna a forint, ha Orbán Viktor kiegyezne az unióval 

A jogállamiság helyreállítása sok pénzt hozna.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo