A tavasszal elfogadott új uniós szabályozás rendkívül szigorúan védi az egyén magánélethez és szenzitív adatainak védelméhez való jogát, jelentősen szélesíti ezek körét, és komoly büntetéseket helyez kilátásba az ezekkel visszaélő szervezeteknek – derül ki a Mazars legfrissebb októberi jelentéséből. A vezető nemzetközi könyvvizsgáló és tanácsadó vállalat a hazai intézményeknek és cégeknek is azt tanácsolja, hogy időben kezdjék meg a felkészülést a 2018-ban hatályba lépő szabályozásra, amely akár új szervezeti egység létrehozását is igényelheti. Többéves előkészítő munka és legalább ennyi alkudozás után április 27-én kihirdették az Európai Parlament és a Tanács személyes adatok kezeléséről, védelméről és az ilyen adatok szabad áramlásáról szóló rendeletét.
„Az elmúlt években a személyes adatokkal történt súlyos visszaélések és a technológia fejlődése megerősítették az uniós vezetőkben és döntéshozó testületekben azt a szándékot, hogy az EU a világ legszigorúbb adatvédelmi keretrendszerét alakítsa ki, és ezzel egyúttal a világ többi részét is rákényszerítse arra, hogy magasabb szinten foglalkozzon az adatvédelem kérdéskörével” – fogalmazott Kiss Dániel, a MAZARS információbiztonsági szakértője.
A többnyire csak GDPR (General Data Protection Regulation) néven emlegetett rendeletet a személyes adatokat kezelő szervezeteknek 2018. május 25-étől valamennyi uniós tagországban kötelezően alkalmaznia kell. A rendelet Magyarországon is automatikusan érvénybe fog lépni, és ezzel hatályát veszíti az eddigi adatvédelmi szabályozás, a törvény az információs önrendelkezési jogról és az információszabadságról.
A számos új követelményt megfogalmazó szabályozás több területen is érdemi változást hoz. Ezek közül az egyik legfontosabb, hogy a rendelet jelentősen kibővíti a személyes adatok körét, így most már személyes adatnak minősül minden olyan azonosított vagy beazonosítható személyre vonatkozó adat, amely az illető privát, szakmai vagy közösségi, társadalmi tevékenységére vonatkozik. Így személyes adat sok más egyéb mellett a név, a születési és egészségügyi adatok, bankszámlaszám, jövedelem, helymeghatározó adat (GPS), e-mail cím, telefonszám (vállalati és magán is), levelezési cím, de akár egy közösségi oldalon található profilra mutató link és az IP cím is.
Fontos előrelépés, hogy amennyiben egy személy adatait hanyagul kezelik, a bizonyítási teher nem az ő felelőssége, hanem az adatkezelő szervé. A szervezetnek kell ugyanis bizonyítania, hogy az általa kezelt és feldolgozott adatokat a becsült kockázatokkal arányosan védte.
Azok az intézmények, amelyek működésük jellegénél fogva nagy tömegben, automatizált módon kezelnek személyes adatokat, mint például a bankok, biztosítók, egészségügyi szolgáltató intézmények, informatikai szolgáltató szervezetek, nem hivatkozhatnak az adatvédelem technikai nehézségeire. Ezen intézményeknek, továbbá a különlegesen érzékeny személyes adatokat (politikai nézet, szakszervezeti tagság, szexuális irányultság stb.) kezelő szervezeteknek szakirányú végzettséggel vagy kompetenciával rendelkező adatvédelmi felelőst kell ugyanis kinevezniük, aki személyében felelős a megfelelő adatvédelmi rendszer működtetéséért és az adatok védelméért. Bár a kisebb szervezeteknek adatvédelmi felelőst nem kötelező kinevezniük, az adatok kockázatokkal arányos védelméért ők is felelősek.
Egyes intézményeknek a jelenlegi szabályozás szerint is jelentenie kell, ha személyes adatok szivárogtak ki tőlük. A GDPR túlmegy ezen, és átfogó bejelentési kötelezettséget vezet be, így a jövőben minden súlyosabb incidenst 72 órán belül jelenteni kell az adatvédelmi hatóságnak.
Kiss Dániel hozzáfűzte: „Ilyen incidens lehet egy külső hackertámadás, de akár az olyan triviális esetek is, mint egy elveszett laptop, vagy amikor egy sértett volt munkatárs átadja a belső telefonkönyvet egy direktmarketinggel foglalkozó ügynökségnek. Elvileg többet nem fordulhat elő olyan kirívó eset, hogy egy nemzetközi e-mail-szolgáltatótól ellopják több millió felhasználó jelszavát, és erről csupán évekkel később tájékoztatja a közvéleményt.”
Az elmúlt években népszerű téma lett a felejtéshez való jog, azaz hogy a digitális világ mindenhatósága ellenére a kínos információk ne legyenek örökre elérhetőek az interneten. Mindenkinek joga van ahhoz, hogy bizonyos „elévülési idő” után stigmák nélkül folytathassa az életét. A személyes adatokat az egyén hozzájárulásával kezelő szervezettől kérhető lesz ezen adatok törlése. A törlés számos technikai kérdést vet fel, korántsem egyértelmű, és technikailag sem egyszerű feladat az adatokat mindenhonnan eltüntetni. Ezért az olyan szervezeteknek, ahol a kérdés reálisan felmerülhet, speciális eljárásrendet kell kidolgozniuk az adattörlésre.
Még másfél évük van a magyar cégeknek
Hogy az EU nagyon is komolyan veszi az adatvédelem, a privacy kérdéskörét, az abból is látszik, hogy a felsorolt rendelkezések nem ajánlások, hanem szigorúan szankcionált előírások. Az az intézmény vagy vállalat, amely megszegi a szabályokat, elrettentő nagyságrendű büntetésre számíthat. A kiszabható büntetés maximuma ugyanis 20 millió euró vagy a globális éves forgalom 4 százaléka – a kettő közül a magasabb összeg. Így ha például egy magán-egészségbiztosító úgy selejtezi le a merevlemezeit, hogy azokról a betegekhez köthetően visszafejthetőek a korábban a biztosító által finanszírozott beavatkozások, vagy egy bérszámfejtéssel foglalkozó cég hanyagsága miatt jövedelmekre vonatkozó adatok kerülnek nyilvánosságra, akkor jelentős büntetésre számíthat. Mindössze másfél év múlva már a hazai intézményeknek és cégeknek is ezeket az előírásokat kell alkalmazniuk, ezért a Mazars szakértői azt ajánlják, az érintettek még időben kezdjék meg a felkészülést.