Magyarország: 2018 májusától új adatvédelmi követelményeknek kell megfelelni
Az új adatvédelmi rendelettel (Rendelet) egy egységes, európai szintű szabályozás lép életbe, mely elsődlegesen a személyes adatok védelmére és ezek szabad áramlására összpontosít. Az új Rendelet a cégek és egyéb szervezetek számára egyszerre jelent könnyebbséget és plusz terheket. Az általános bejelentési kötelezettség eltörlésével csökkennek a bürokratikus akadályok, ugyanakkor az adatkezelőknek új átláthatósági és információ-szolgáltatási kötelezettségeknek kell megfelelniük.
Mindezekre tekintettel a cégek különösképpen az alábbiakra kötelesek:
• Adatvédelmi hatásvizsgálatokat végezni, azaz ellenőrizni tevékenységük összeegyeztethetőségét a Rendelettel;
• adatkezelési tevékenységeikről nyilvántartást vezetni;
• kiemelt figyelemmel lenni az adatvédelmi incidensek bejelentésére;
• a használt eszközökön az adatvédelmet biztosító alapbeállítások foganatosítása;
• megvizsgálni, hogy szükséges-e adatvédelmi tisztviselő kinevezése. Ilyen személy alkalmazása minden olyan cégnél szükséges, amely különleges adatokat, mint például egészségügyi adatokat, politikai véleményre utaló adatokat stb. kezel.
A fentiekre tekintettel a Rendelet egy új típusú kötelezettséget vezet be, az ún. „elszámoltathatóságot”. Ennek alapján a cégeknek képesnek kell lenniük annak tényleges igazolására, hogy adatkezeléssel kapcsolatos tevékenységük a Rendelet követelményeinek maradéktalanul megfelel.
Hiányos megfelelés esetén a cégeket szigorúbb pénzbírságok fenyegetik. Ennek maximuma 20 millió EUR (6,2 Mrd. Ft) vagy éves globális forgalmuk 4 %-a lehet.
A vállalatcsoporton belüli adatáramlást viszont megkönnyítheti a Rendelet. A Rendelet adott esetben elismeri a jogos érdekre való hivatkozást személyes adatoknak adminisztratív célból történő továbbítására a vállalatcsoporton belül. A harmadik országokba történő adattovábbítás azonban továbbra is korlátozások alá esik. Erre jelenthet megoldást a kötelező erejű vállalati szabályok (BCR) bevezetése.
Ellenőrző lista cége számára:
• Compliance-audit foganatosítása, különösen:
• fennálló adatáramlások elemzése (elsődlegesen vállalatcsoporton belüli és harmadik országokba történő adattovábbítás tekintetében);
• alkalmazott jogalapok tisztázása, valamint megfelelő szintű adatvédelemhez szükséges intézkedések bevezetése;
• megfelelő technikai és szervezeti intézkedések foganatosítása a Rendelet előírásainak betartására;
• adatfeldolgozókkal fennálló szerződések ellenőrzése;
• adatvédelmi tájékoztatók felülvizsgálata, különösen arra vonatkozóan, hogy az érintetteket elégséges módon és érthetően tájékoztatták-e;
• alkalmazottak számára magatartási kódex bevezetésének mérlegelése.
Forrás: Az európai parlament és a tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)