GDPR - akár 6 milliárd forintnyi bírság is kiszabható lesz

A 2018. május 25-én hatályba lépő új európai általános adatvédelmi rendelet (GDPR) minden tagállamra egységesen kiterjedően szabályozza majd az állampolgárok személyes adatai védelmének jogi keretrendszerét, ráadásul kifejezetten nagymértékű bírságokat is kilátásba helyez. Kérdéses ugyanakkor, hogy tényleg minden tekintetben felkészültek-e a hazai cégek az adatvédelmi szabályok változására a saját kiberbiztonságuk, vagy vállalati IT infrastruktúrájuk és belső folyamataik tekintetében.

Mi a legnagyobb probléma a hazai felsőoktatásban?
És a gazdaságban? Mennyit ér egy magyar egyetemi diploma?
Online Klasszis Klub élőben Ádám Zoltánnal, a Corvinusról elbocsátott egyetemi oktatóval

Vegyen részt és kérdezzen Ön is a közgazdásztól!

2024. október 9. 15:30

A részvétel ingyenes, regisztráljon itt!

Az Európai Unió átfogó adatvédelmi reformja bevallottan időtálló és technológia semleges jogi szabályozásra törekedett, ami a digitális környezet és technológiák egyre gyorsuló változása közepette is képes lenne biztosítani, hogy a személyes adatok védelméhez fűződő jog ne sérülhessen. A korábbi, 1995-ös szabályozás, amin a jelenleg hatályos nemzeti törvények alapulnak, még nem nyújtott ilyen egységes, kiszámítható és így az uniós piacokon a vállalkozóknak és az állampolgároknak egyaránt versenysemleges feltételeket biztosító adatvédelmi szabályrendszert.  Az öt hónapon belül életbe lépő szabályozás többek között szigorítja, hogy a vállalat hogyan kaphat hozzájárulást az ügyfelektől a személyes adatok kezeléséhez; meghatározza, hogy az adatvédelmi incidenseket 72 órán belül kötelezően jelenteni kell Magyarországon az Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé; illetve minden vállalatnak, mely személyes adatokat rendszeresen és nagymennyiségben kezel, adatvédelmi tisztviselők kijelölését írja elő.

Kép: SXC

Az új kereskedelmi és marketing technológiák globálisan és alapjaiban változtatták meg azt, hogy kik és miként gyűjtik a személyes adatainkat, azokhoz kik és milyen feltételekkel férnek hozzá, milyen célból használják fel, vagy adják tovább azokat másoknak.  Ez a fajta adatáramlás egyre inkább globális jelleget öltött és a rendszer majdnem minden szereplője arra törekszik, hogy abból valamilyen hasznot húzzon akár anélkül, hogy arról az adatalany bármit sejthetne.  Egyre gyakrabban és meggyőzőbben hallani, hogy "az adat az új olaj", az emberek mindenhol digitális lábnyomot hagynak maguk után: 2020-ra prognosztizáltan 25 milliárd (!) internetre kapcsolt eszközt használunk majd.

Eljárt az idő a szabályozás felett

Mivel a jelenlegi, több, mint két évtizedes jogi szabályozás felett eljárt az idő, az új Rendeletben kellett a jogalkotónak választ adni olyan hétköznapi kihívásokra, mint például az állampolgárok személyes adatainak biztonságos hordozhatósága különböző kereskedelmi szolgáltatók között, vagy a teljes felejtéshez, vagyis a személyes adatok tárolásának megszüntetéséhez való jog, amelynek segítségével hatékonyabban kezelhetők az online adatvédelemi kockázatok.  "Az új Rendelet alapján azt is egyértelmű szabályok fogják meghatározni, hogy az Unión kívüli adatkezelőkre mikor és milyen feltételekkel kell az egységes uniós adatvédelmi szabályokat alkalmazni" – emeli ki Tóth János ügyvéd, a Wolf Theiss budapesti partnere és hozzáteszi: "Különösen ez utóbbiak jelentenek a nemzeti adatvédelmi hatóságok számára kihívásokat, mivel annak következtében, hogy a technológia vívmányaival az adatalanyok mára jellemzően nem helyi, hanem felhő alapú távoli számítógépes platformokat használnak, a személyes adataik szinte követhetetlenül vándorolnak az Unión kívüli kibertérben is."

Ugyanakkor arról kevés szó esik a Rendelet száraz jogi aspektusait magyarázó, a változásokkal fenyegető szakértői megjelenések közepette, hogy az új adatvédelmi szabályozás mit jelent vajon a cégek kiberjelenléte tekintetében. A fő kérdés tehát, hogy vállalti intézkedésekkel a számítástechnikai infrastruktúrák és belső folyamatok felkészíthetők-e arra, hogy az új adatvédelmi szabályok életbe lépése ne jogszabályi kötelezettségként, hanem versenyelőnyként jelenjen meg a cégeknél.

Púp a hátunkon vagy hasznos lesz a GDPR?
Fél év múlva itt az Európai Unió új adatvédelmi rendelete, a GDPR, amelynek célja, hogy az egyes tagállamokban egységesítse az adatvédelmi előírásokat. Az új szabályozás egyik lényeges eleme, hogy nagyobb betekintést biztosít a magánembereknek abba, hogy megfelelően bánnak-e az adataikkal, így például, hogy milyen jogalapon tárolja és használja fel egy vállalkozás azokat. A cégeknek ezzel párhuzamosan fel kell készülniük mind az elektronikusan tárolt, mind pedig a papíralapú adatok átlátható kezelésére, megfelelő tárolására és igazolniuk kell, hogy ezek birtoklására, kezelésére megfelelő jogalapon kerül sor. Ha pedig ez már nem áll fenn, például mert a tárolásra már nincs szükség, akkor gondoskodniuk kell a szakszerű megsemmisítésükről.
1000 dollárért eladnák a céges belépési azonosítót

Persze változatlanul kiemelt szempont marad az adatvédelem általános elvein túl a vállalatok által kezelt személyes adatok biztonsága is.  Kutatások szerint az egyszerű munkavállalók 20%-a hajlandó lenne eladni a céges IT belépési azonosítóit jogosulatlan adathalászoknak és közülük majdnem minden második ezt kevesebb, mint ezer dollárért is megtenné akár.  De ennél sokkal ártatlanabb és persze általánosabb jelenség, hogy az ismeretlen helyről érkező email-eket a munkavállalók 23%-a kritika és ellenőrzés nélkül egyből megnyitja, és 11%-uk még az email-hez csatolt file-al is megteszi ezt. Egy ilyen meggondolatlan kattintással az adott vállalat teljes nemzetközi számítástechnikai rendszere, benne valamennyi személyes adattal kompromittálódhat. "Az elmúlt időszakban a sajtó is beszámolt számos olyan esetről, amikor eminens globális vállalatok, fontos állami intézmények váltak adatlopás vagy zsarolóvírus áldozataivá, ügyfeleik vagy az állampolgárok százezreinek a személyes adatait veszélyeztetve. Arról viszont kevesebb szó esik, hogy az ilyen esetek a kármentés közvetlen költségein túl milyen reputációs és anyagi kitettséget jelentettek az adott cégnek az adatvédelmi hatóságok irányába, amelyek a Rendelet alapján jövőre már akár többmillió eurós közigazgatási bírságot is kiszabhatnak egyetlen jogsértés kapcsán" – mutat rá Tóth János.

Ilyen turbulens viszonyok között elvitathatatlan annak a fontossága, hogy a cégek minden tekintetben felkészülten tekintsenek az új egységes európai adatvédelmi szabályozás elébe és minimálisra csökkentsék annak a kockázatát, hogy az ügyfeleikkel vagy az állami szabályozó hatóságokkal találják magukat szembe elégtelen adatvédelmi felkészültségük miatt. Mindez azért is különösen lényeges, mivel a GDPR életbe lépésével komoly bírság- és kártérítési összegek is meghatározásra kerületek, melyek akár a Rendeletet megsértő cég működését is veszélybe sodorhatják.

Az adatkezelőkre és az adatfeldolgozókra érvényes rendelkezések megsértése esetén maximum 10 millió eurós vagy a cég árbevételének 2%-ával megegyező mértékű bírság szabható ki, melyek közül a magasabb összeg lesz érvényes. Ennek duplája – 20 millió euró, vagy az árbevétel 4%-a – lehet a bírság maximuma, ha az ügyfeleket direktebb módon érintő problémát, például adatkezelési, az adatkezelt ügyfelek jogainak megsértését állapítja meg a hatóság.

Véleményvezér

Magyar Péter szerint már nincs is rezsicsökkentés Magyarországon

Magyar Péter szerint már nincs is rezsicsökkentés Magyarországon 

Magyar Péter és a kormánytagok most Európa színe-java előtt vívnak egymással.
Fotóalbumot készített Hadházy Ákos a magyar kórházi kosztokról, ezt látni kell

Fotóalbumot készített Hadházy Ákos a magyar kórházi kosztokról, ezt látni kell 

Nem finom, de legalább nem is gusztusos.
Véget ért az amerikai dokkmunkások sztrájkja, hatalmas sikert értek el

Véget ért az amerikai dokkmunkások sztrájkja, hatalmas sikert értek el 

A logisztikai költségek tovább nőnek.
Úgy vernek minket a lengyelek, mint szódás a lovát

Úgy vernek minket a lengyelek, mint szódás a lovát 

A folyamatos kormányzati sikerpropaganda mellett csak a számok ne lennének.
Vádat emeltek a new yorki polgármester ellen

Vádat emeltek a new yorki polgármester ellen 

Ingyen utazásokat és hotelszámlákat vizsgálnak.
Az izraeli titkosszolgálat professzionálisan működik Iránban, mind a 180 ballisztikus rakétát leszedték

Az izraeli titkosszolgálat professzionálisan működik Iránban, mind a 180 ballisztikus rakétát leszedték 

Az izraeli miniszterelnök megígérte az irániaknak, hogy hamarosan megszabadítják elnyomóitoktól.


Magyar Brands, Superbrands, Bisnode, Zero CO2 logo