Ungarn: Ab Mai 2018 gelten neue Spielregeln im Datenschutzrecht
Mit der neuen Datenschutzgrundverordnung (DSGVO) wird eine europaweite einheitliche Datenschutzregelung eingeführt, welche sich besonders auf einen besseren Schutz personenbezogener Daten sowie auf freien Datenverkehr konzentriert. Die neue DSGVO bringt sowohl Erleichterungen als auch neue Erschwernisse für Unternehmen: Mit der Abschaffung einer allgemeinen Meldepflicht werden bürokratische Hürden abgebaut, jedoch werden Unternehmen mit neuen Transparenz- und Informationspflichten konfrontiert. So müssen Unternehmen insbesondere:
• Datenschutz-Folgeabschätzungen durchführen, d.h. ihre Datenverarbeitung einer Prüfung hinsichtlich einer Vereinbarkeit mit der Verordnung unterziehen
• Verzeichnisse von Verarbeitungstätigkeiten erstellen
• verschärfte Meldepflichten für Datenpannen beachten
• datenschutzfreundliche Voreinstellung von Endgeräten vornehmen
• prüfen, ob die Einstellung eines Datenschutzbeauftragten erforderlich ist. Dieser ist für jedes Unternehmen zu bestellen, welches besonders schutzwürdige Daten wie z.B. Gesundheitsdaten, Daten bzgl. politischer Meinungen usw. verarbeitet.
Dadurch entsteht eine neue Art der Rechenschaftspflicht. D.h. Unternehmen müssen in der Lage sein, selber nachweisen zu können, dass Sie den Anforderungen der DSGVO genügen.
Bei mangelhafter Umsetzung drohen Unternehmen verschärfte Ahndungen von Verstößen mit Bußgeldern. Die maximale Höhe der Bußgelder kann 20 Mio. EUR (6,2 Mrd. HUF) oder 4 % des Vorjahresumsatzes erreichen.
Der konzerninterne Datenaustausch wird durch die DSGVO erleichtert. Laut der DSGVO kann ein berechtigtes Interesse darin bestehen, für interne Verwaltungszwecke personenbezogenen Daten innerhalb eines Konzerns zu übermitteln. Für den Datenaustausch in Drittstaaten gelten jedoch weiterhin Einschränkungen. Die Einführung von Binding Corporate Rules (BCR) kann dafür eine Lösung bieten.
Checkliste für Ihr Unternehmen:
• Durchführung eines Compliance-Audits, insbesondere:
• Analyse der bestehenden Datenflüsse (vor allem konzerninterner Datenaustausch und in Drittstaaten)
• Identifizierung bestehender Rechtsgrundlagen und Maßnahmen zur Herstellung eines angemessenen Datenschutzniveaus
• Installation geeigneter technischer und organisatorischer Maßnahmen, um die Einhaltung der Vorschriften zu gewährleisten
• Prüfung der Verträge mit Datenverarbeitern
• Prüfung, ob die Betroffenen ausreichend und in verständlicher Form informiert wurden
• Abwägung der Einführung einer Verhaltensrichtlinie (“Code of Conduct”) für Mitarbeiter.
Quelle: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27 April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)