Gigabírság fenyegeti a hanyag adatkezelőket

2016. október 13. csütörtök - 11:09 / piacesprofit.hu
  •    

Másfél év múlva már itthon is alkalmazni kell az új adatvédelmi szabályokat: a szervezeteknek adatvédelmi felelőst kell kinevezniük, speciális eljárási protokollt kell kidolgozniuk, és 72 órán belül jelenteniük kell az adatvesztéseket. Személyes adat lehet akár egy e-mail cím, IP-cím, de akár GPS koordináta is.

 

nem olyan bonyolult a jogosultságok kezelése

Kép: Pixabay

A tavasszal elfogadott új uniós szabályozás rendkívül szigorúan védi az egyén magánélethez és szenzitív adatainak védelméhez való jogát, jelentősen szélesíti ezek körét, és komoly büntetéseket helyez kilátásba az ezekkel visszaélő szervezeteknek – derül ki a Mazars legfrissebb októberi jelentéséből. A vezető nemzetközi könyvvizsgáló és tanácsadó vállalat a hazai intézményeknek és cégeknek is azt tanácsolja, hogy időben kezdjék meg a felkészülést a 2018-ban hatályba lépő szabályozásra, amely akár új szervezeti egység létrehozását is igényelheti. Többéves előkészítő munka és legalább ennyi alkudozás után április 27-én kihirdették az Európai Parlament és a Tanács személyes adatok kezeléséről, védelméről és az ilyen adatok szabad áramlásáról szóló rendeletét.

„Az elmúlt években a személyes adatokkal történt súlyos visszaélések és a technológia fejlődése megerősítették az uniós vezetőkben és döntéshozó testületekben azt a szándékot, hogy az EU a világ legszigorúbb adatvédelmi keretrendszerét alakítsa ki, és ezzel egyúttal a világ többi részét is rákényszerítse arra, hogy magasabb szinten foglalkozzon az adatvédelem kérdéskörével” – fogalmazott Kiss Dániel, a MAZARS információbiztonsági szakértője.

A többnyire csak GDPR (General Data Protection Regulation) néven emlegetett rendeletet a személyes adatokat kezelő szervezeteknek 2018. május 25-étől valamennyi uniós tagországban kötelezően alkalmaznia kell. A rendelet Magyarországon is automatikusan érvénybe fog lépni, és ezzel hatályát veszíti az eddigi adatvédelmi szabályozás, a törvény az információs önrendelkezési jogról és az információszabadságról.

Már be lehet húzódni az adatvédelmi pajzs alá
Augusztus 1-jétől él a személyes adatok kereskedelmi célú transzatlanti cseréjét szabályozó új keretrendszer, a Privacy Shield. A rendszerben regisztrált amerikai cégeket úgy kell tekinteni, mint amelyek megfelelő szintű védelmet biztosítanak a személyes adatoknak, így részükre ezek az adatok az Európai Unió területéről továbbíthatóak lesznek.

Személyesebb adatok

A számos új követelményt megfogalmazó szabályozás több területen is érdemi változást hoz. Ezek közül az egyik legfontosabb, hogy a rendelet jelentősen kibővíti a személyes adatok körét, így most már személyes adatnak minősül minden olyan azonosított vagy beazonosítható személyre vonatkozó adat, amely az illető privát, szakmai vagy közösségi, társadalmi tevékenységére vonatkozik. Így személyes adat sok más egyéb mellett a név, a születési és egészségügyi adatok, bankszámlaszám, jövedelem, helymeghatározó adat (GPS), e-mail cím, telefonszám (vállalati és magán is), levelezési cím, de akár egy közösségi oldalon található profilra mutató link és az IP cím is.

Fontos előrelépés, hogy amennyiben egy személy adatait hanyagul kezelik, a bizonyítási teher nem az ő felelőssége, hanem az adatkezelő szervé. A szervezetnek kell ugyanis bizonyítania, hogy az általa kezelt és feldolgozott adatokat a becsült kockázatokkal arányosan védte.

Azok az intézmények, amelyek működésük jellegénél fogva nagy tömegben, automatizált módon kezelnek személyes adatokat, mint például a bankok, biztosítók, egészségügyi szolgáltató intézmények, informatikai szolgáltató szervezetek, nem hivatkozhatnak az adatvédelem technikai nehézségeire. Ezen intézményeknek, továbbá a különlegesen érzékeny személyes adatokat (politikai nézet, szakszervezeti tagság, szexuális irányultság stb.) kezelő szervezeteknek szakirányú végzettséggel vagy kompetenciával rendelkező adatvédelmi felelőst kell ugyanis kinevezniük, aki személyében felelős a megfelelő adatvédelmi rendszer működtetéséért és az adatok védelméért. Bár a kisebb szervezeteknek adatvédelmi felelőst nem kötelező kinevezniük, az adatok kockázatokkal arányos védelméért ők is felelősek.

Leejtik a gépet, és fuccs az adatoknak
A vállalatok legfontosabb értékei az adatok. Az üzleti tervekről, ügyfelekről, munkavállalókról és a pénzügyekről szóló információkat megfelelően kell védeni, és elérhetővé tenni, amikor csak szükség van rá. A kérdés, hogy mennyire komoly incidensnek kell történnie ahhoz, hogy rendkívül fontos adatokat veszítsen egy vállalat? A hardveres vagy a szoftveres hibák okozzák a nagyobb problémát?

A szivárgást is jelenteni kell

Egyes intézményeknek a jelenlegi szabályozás szerint is jelentenie kell, ha személyes adatok szivárogtak ki tőlük. A GDPR túlmegy ezen, és átfogó bejelentési kötelezettséget vezet be, így a jövőben minden súlyosabb incidenst 72 órán belül jelenteni kell az adatvédelmi hatóságnak.

Kiss Dániel hozzáfűzte: „Ilyen incidens lehet egy külső hackertámadás, de akár az olyan triviális esetek is, mint egy elveszett laptop, vagy amikor egy sértett volt munkatárs átadja a belső telefonkönyvet egy direktmarketinggel foglalkozó ügynökségnek. Elvileg többet nem fordulhat elő olyan kirívó eset, hogy egy nemzetközi e-mail-szolgáltatótól ellopják több millió felhasználó jelszavát, és erről csupán évekkel később tájékoztatja a közvéleményt.”

Az elmúlt években népszerű téma lett a felejtéshez való jog, azaz hogy a digitális világ mindenhatósága ellenére a kínos információk ne legyenek örökre elérhetőek az interneten. Mindenkinek joga van ahhoz, hogy bizonyos „elévülési idő” után stigmák nélkül folytathassa az életét. A személyes adatokat az egyén hozzájárulásával kezelő szervezettől kérhető lesz ezen adatok törlése. A törlés számos technikai kérdést vet fel, korántsem egyértelmű, és technikailag sem egyszerű feladat az adatokat mindenhonnan eltüntetni. Ezért az olyan szervezeteknek, ahol a kérdés reálisan felmerülhet, speciális eljárásrendet kell kidolgozniuk az adattörlésre.

Még másfél évük van a magyar cégeknek

Hogy az EU nagyon is komolyan veszi az adatvédelem, a privacy kérdéskörét, az abból is látszik, hogy a felsorolt rendelkezések nem ajánlások, hanem szigorúan szankcionált előírások. Az az intézmény vagy vállalat, amely megszegi a szabályokat, elrettentő nagyságrendű büntetésre számíthat. A kiszabható büntetés maximuma ugyanis 20 millió euró vagy a globális éves forgalom 4 százaléka – a kettő közül a magasabb összeg.  Így ha például egy magán-egészségbiztosító úgy selejtezi le a merevlemezeit, hogy azokról a betegekhez köthetően visszafejthetőek a korábban a biztosító által finanszírozott beavatkozások, vagy egy bérszámfejtéssel foglalkozó cég hanyagsága miatt jövedelmekre vonatkozó adatok kerülnek nyilvánosságra, akkor jelentős büntetésre számíthat. Mindössze másfél év múlva már a hazai intézményeknek és cégeknek is ezeket az előírásokat kell alkalmazniuk, ezért a Mazars szakértői azt ajánlják, az érintettek még időben kezdjék meg a felkészülést.

Nem jogszerű a cookie figyelmeztetés a legtöbb oldalon
A webes tartalomszolgáltatók többsége jogsértő módon tárolja és használja a látogatók adatait, sokan szabálytalanul építik fel kampányaikat a közösségi oldalakon is. Ugyan már egyre több weboldalon találkozhatunk felugró ablakkal, amely a cookie-k használatára figyelmezteti a felhasználót, ez azonban még kevés. A 2018 májusában hatályba lépő uniós adatvédelmi rendelet bevezetése után tisztább feltételekre és szigorúbb büntetésekre számíthatnak az érintettek.

Feliratkozom a(z) Jogi kisokos téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor