A törvénymódosítás újdonságként bevezeti az adatvédelmi incidens fogalmát. Ebbe beletartozik minden olyan eset, amikor személyes adatok jogellenes kezelésére vagy feldolgozására kerül sor, így például ha személyes adatokhoz jogosulatlan hozzáférés történik, vagy azokat illetéktelenül megváltoztatják, továbbítják, nyilvánosságra hozzák, vagy törlik.
Aki személyes adatokat kezel a törvény értelmében köteles lesz nyilvántartást vezetni az előforduló adatvédelmi incidensekről. E nyilvántartásnak tartalmaznia kell az incidenssel érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket. Az érintett kérésére pedig a nyilvántartás alapján tájékoztatást kell adnia.
Mi a kötelező szervezeti szabályozás (BCR)?
A törvény módosításával bekerült a jogszabályba az ún. kötelező szervezeti szabályozás fogalma is, amit az uniós jogban BCR-nek szoktak rövidíteni az angol megfelelője alapján (Binding Corporate Rules). A BCR egy olyan belső szabályozás, ami a személyes adatok továbbításának szabályait tartalmazza egy adott cégcsoporton belül.
Az ilyen cégcsoporton belüli, de nemzetközi adattovábbításokat egyszerűsíti a belső szervezeti szabályozás elfogadása. Ha a cégcsoport rendelkezik BCR-rel, akkor a személyes adatok belső továbbítása esetén mellőzhető a külön hozzájárulás beszerzése, ill. a szerződéskötés. A cég kötelező szervezeti szabályozása akkor lesz használható, ha az adatvédelmi hatóság azt megvizsgálta és jóváhagyta.
Magasabb bírságok
Nem elhanyagolható változás, hogy növekedett az adatvédelmi hatóság által az adatvédelmi jogsértések esetén kiszabható bírság is. Az eddigi 10 millió forintos felső határ megduplázódott, így a bírság maximuma 2015. október 1-től 20 millió forint lesz.
Dr. Szabó Gergely ügyvéd Kocsis és Szabó Ügyvédi Iroda
