Komoly változások jönnek az adatvédelemben - Óriási bírságok a láthatáron

Komoly változások jönnek az EU-ban az adatvédelem, személyes adatok kezelése terén, a szabályok be nem tartásáért pedig súlyos bírságokat kaphatnak vállalatok. Emellett a kormányok is egyre nagyobb érdeklődést mutatnak az állampolgárok adatai iránt. Mit jelentenek az új szabályok a gyakorlatban és mit lehet tenni a saját adataink védelméért?
Szabó Zsuzsanna, 2016. október 30. vasárnap, 13:05
Fotó: Reuters

Az Európai Parlament idén tavasszal szavazta meg az új adatvédelmi szabályokat. Az új adatvédelmi rendelet értelmében azoknak a vállalatoknak, amelyek személyes adatokat kezelnek vagy feldolgoznak, a jövőben sokkal szigorúbb elvárásoknak kell megfelelniük az átláthatóság, elszámoltathatóság, illetve a transzparencia jegyében.

A rendelet célja, hogy az eddiginél jobban megerősítse az állampolgárok jogait adataik védelme felett, az internethasználóknak nagyobb befolyása legyen saját adataik felett, de fontos szempont volt az is, hogy az EU lépést tartson a digitális világgal és ennek megfelelően egy egységes uniós adatvédelem jöjjön létre - mutattak rá az UIA (Union Internationale des Avocats) ügyvédi világszervezet szakértői a hétvégi budapesti kongresszusuk előtt.

A rendeletet 2018. május 25-től az összes uniós tagországban kötelezően alkalmazni kell, így Magyarországon is. A szabályozás az EU-n kívüli tevékenységi hellyel rendelkező adatkezelőkre és adatfeldolgozókra is vonatkozik, ha az általuk végzett adatkezelési tevékenységek:

  • áruk vagy szolgáltatások unióban tartózkodóknak történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; vagy
  • az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve, hogy az unió területén belül tanúsított viselkedésükről van szó.

A rendőrségi és bírósági adatkezelésre vonatkozó irányelv minimumkövetelményeket határoz meg a rendőrségek és bíróságok által történő adatkezelésekre, azért, hogy megvédje a rendőrségi vagy bírósági ügyben részt vevő emberek - tanú, áldozat, tettes - személyes adatait. Célja az uniós bűnüldöző szervek közötti gördülékenyebb adatmegosztás elérése is és ezáltal a terrorizmus hatékonyabb felderítése. Amíg a rendeletet a tagországokban közvetlenül kell alkalmazni, addig az irányelv rendelkezéseit - egyes automatizált adatkezelési rendszerekkel kapcsolatos naplózási kötelezettségek kivételével - minden uniós ország köteles átültetni tagállami jogába legkésőbb 2018. május 6-ig.

Joga van a személyes adatok törléséhez!

Az új szabályozás értelmében a cégeknek közérthető és kellően kimunkált tájékoztatást kell adniuk az érintetteknek az adatkezelésről/adatfeldolgozásról - mutatott rá Marc Gallardo, az UIA adatvédelemért felelős csoportjának spanyolországi koordinátora a szervezet budapesti kongresszusa előtti sajtótájékoztatón. A rendelet számos új fogalmat vezet be, többek között az álnevesítést és a profilalkotást - tette hozzá.

Főszabály szerint az adatkezelők és az adatfeldolgozók kötelesek lesznek nyilvántartást vezetni az adatkezeléseikről, adatfeldolgozásaikról, illetve az adatkezelők bizonyos esetekben kötelesek lesznek adatvédelmi hatásvizsgálatot végezni az adatkezelés előtt, és adott esetben előzetesen konzultálniuk kell a tagállami adatvédelmi hatósággal.

A szakember kiemelte: a rendeletben deklarált módon jelenik meg az "elfeledtetéshez való jog", amely az érintett személyes adatai törléséhez való jogának egy speciális változata, valamint a beépített és az alapértelmezett adatvédelem elve.

Szabályozták az adathordozhatóságot, ami azt jelenti, hogy az érintett kérelmére úgy kell átadni az adatokat, hogy azt egy másik szolgáltatóhoz átalakítás nélkül át lehessen vinni - tette hozzá.

Tájékoztatni kell az érintetteket a hackertámadásról is

Az új rendelet főszabálya szerint az adatkezelő köteles bejelenteni a tagállami adatvédelmi hatóságnak az adatvédelmi incidenst (például hacker támadás, adatok véletlen megsemmisülése), és tájékoztatnia kell az érintetteket az ilyen eseményről - az ügyfeleket/felhasználókat is. Emellett az adatkezelő köteles nyilvántartást vezetni az incidensekről, az adatfeldolgozó pedig köteles tájékoztatni az adatkezelőt az incidensről. Az adatkezelő és az adatfeldolgozó bizonyos esetekben köteles adatvédelmi tisztviselőt is kinevezni - hívják fel a figyelmet a UIA szakértői.

Súlyos bírságok lesznek

A rendelettel bevezetett közigazgatási bírság legfeljebb 20 millió euró, illetve vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 százalékát kitevő összegű lehet, a kettő közül pedig a magasabb összeget kell kiszabni - mondta Gallardo.

A szakember szerint a rendelet harmonizálja az EU-n belüli adatvédelmi szabályozásokat és az egységes alkalmazásának biztosítása céljából bevezetik a tagállami adatvédelmi hatóságok közötti együttműködési mechanizmust, valamint egy úgynevezett egységességi mechanizmust, és létrehozzák az Európai Adatvédelmi Testületet. Mindez az EU-n belül működő, több országban valamilyen tevékenységet folytató vállalatoknak a szakember szerint nagy könnyebbséget fog jelenteni.

Titkosítson!

Az UIA jogász-szakértői hangsúlyozták a titkosítás fontosságát is. Korábban arra nem volt példa, hogy magánvállalatok - mint például a Google, Facebook stb. - hatalmas mennyiségű magánadatok felett rendelkezzenek, illetve kezeljék őket, mint manapság - emelte ki Alain Grosjean, az adatvédelemmel és személyes adatokkal foglalkozó csoport luxemburgi koordinátora. Emellett kormányok és titkosszolgálatok is egyre több olyan ember adatai iránt is érdeklődnek, akik semmilyen bűncselekményt nem követtek el - tette hozzá, ami szerinte komoly kérdéseket vet fel.

A szakértők a fentiek miatt a titkosítás, az emailek és üzenetek kódolásának, valamint a tudatosabb internethasználat fontosságára is felhívták a figyelmet.

Arra az esetre ugyanakkor, amikor maga az uniós tagállam fogad el olyan törvényt, amely tiltaná a titkosítást, úgy tűnik, még nincs megfelelő válasz. Az uniós irányelv ugyanis lehetőséget biztosít a tagállamnak, hogy ezt az irányelvet hogyan használja, illetve lesznek olyan dolgok, amelyeket a tagállamok saját maguk szabályozhatnak - mondta el a Napi.hu kérdésére Gallardo. Vagyis a szakember szerint inkább csak reménykedni lehet abban, hogy a tagállamoknál nem az lesz a gyakorlat, hogy az uniós adatvédelmi irányelvet megkerüljék.

Budapest Alapelvek a menekültekért
A Budapesten október 28-31. között megrendezett kongresszus ideje alatt az UIA közgyűlése varhatóan elfogadja az úgynevezett menekülteket érintő alapvető elveket, más néven a Budapest Alapelveket, amely Jean-Jacques Uetwiller UIA elnök kezdeményezése annak érdekében, hogy az ügyvédek hatékonyabban hozzájáruljanak a jelenlegi migrációs krízis mielőbbi megoldásához. Az Alapelv a menekülteket és a menedékkérőket érintő jogokat, valamint az egyes országok kötelezettségeit, az ügyvédeket tömörítő szervezetek felelősségét foglalja össze. Ezen kívül számos ajánlást fogalmaz meg, többek között a menedékkérők elhelyezésére vonatkozóan, valamint az ügyvédek menekültjogi továbbképzését illetően. Az Alapelv kötelező érvényű lesz az UIA tagok számára, a szervezet a jövőben azon fog dolgozni, hogy a legfontosabb nemzeti és nemzetközi ügyvédi szervezetek is csatlakozzanak hozzá. A szervezetnek jelenleg mintegy kétezer jogász egyénileg és több mint 200 ügyvédi kamara, szervezet és szövetség a tagja a világ több mint 110 országából.

Így kell majd harcolni a pénzmosás ellen

Az UIA kongresszus másik kiemelt fókuszterülete a compliance, azaz a vállalati megfelelési rendszer kialakítása. A jelenlegi uniós szabályok olyan szigorú feltételeket és adminisztratív kötelezettséget írnak elő a vállalati (főleg közép- és nagyvállalati kör) adattovábbításra, adatvédelemre, amelyek következtében az esetleges adatvédelmi bírságok, a vállalati belső vizsgálatok miatt egy vállalatnak ki kell alakítania az úgynevezett compliance rendszerét.

Ennek egyik legfontosabb területe a pénzmosás megelőzése. Az Európai Parlament 2015-ben szavazta meg a 4. pénzmosás elleni uniós irányelvet a pénzmosás, az adóbűncselekmények és a terrorizmus finanszírozásával szembeni hatékonyabb fellépés érdekében, amelyet a tagországoknak 2017 júniusáig kell átültetniük a jogrendszerükbe.

Ennek értelmében a társaságok, és az egyéb jogi entitások tényleges tulajdonosainak adatait központi uniós adatbázisban kell szerepeltetni, amelyhez a hatóságok hozzáférhetnek, és amelyhez a hozzáférést a tagállamok csak kivételes körülmények között, eseti alapon korlátozhatnak. Ezen kívül a könyvvizsgálóknak, pénzintézeteknek, ügyvédeknek, közjegyzőknek és kaszinóknak továbbra is kötelessége lesz bejelenteni, ha ügyfeleiknél gyanús ügyletre lesznek figyelmesek.

Borsos bírságok

A szankciók jogi személynél - amennyiben az érintett kötelezett szolgáltató hitelintézet vagy pénzügyi intézmény - legalább 5 millió euró vagy a legutolsó rendelkezésre álló teljes éves árbevétel 10 százalékának megfelelő mértékű maximális pénzbírság, természetes személynél legalább 5 millió euró lehet.

HOZZÁSZÓLÁSOK