Súlyosabb szankciók, több adminisztráció várható az adatvédelem területén. A 2018 májusában hatályba lépő új adatvédelmi rendelet alapján bőven van mire felkészülniük a cégeknek! Most sorra vesszük a főbb szabályokat és a legfontosabb újításokat.
Az új adatvédelmi rendelet célja, hogy új, jobban alkalmazható, az egész unióban használható keretszabályozást adjon. Magyarországon az információs önrendelkezési jogról és az információszabadságról szóló 2011 évi CXII törvényt (továbbiakban: Infotörvény) váltja majd fel. Az Infotörvény ugyanakkor nem veszíti el teljes mértékben a jelentőségét, hiszen bizonyos területek (például a munkavállalói adatok kezelése vagy a bűnügyi személyes adatok kezelése – erkölcsi bizonyítványhoz pl.) tagállami szabályozás alatt maradnak, így elképzelhető az is, hogy ebben az uniós szabálynál szigorúbb előírásokat vezetnek be. Jelenleg több vonatkozó jogszabály is ellentétes az Infotörvénnyel. Az új adatvédelmi rendelet hatályba lépésével az ellenmondásokat is fel kívánja oldani a jogalkotó.
Az új rendelet szerint, ha egy terméknek, szolgáltatásnak lehet adatvédelmi vonatkozása, akkor már a fejlesztés során ezzel foglalkozni kell. Ez a szabály komoly adminisztrációs kötelezettséget is jelent, hiszen dokumentálni kell, hogy az adatvédelmi szempontokat megfelelően figyelembe vették. A jogszabály általánosságát mutatja, hogy arról, hogy ezt hogyan kell megtenni, nincs benne szó.
A bírságok tekintetében nagyon szigorú az új szabályozás. Az árbevételhez igazítja a bírságok összegét, ez a jelenleginél jelentősen magasabb büntetéseket jelent majd. Egyenlőre nem tudni, mi lesz azzal a jelenleg hatályos szabállyal, amely szerint a kkv-k első jogsértés esetén nem bírságolhatók adatvédelmi ügyekben.
Az adatvédelmi felelős létét a magyar szabályozás egyelőre csak speciális szektorokban teszi kötelezővé, az új rendelet viszont e tekintetben a kezelt adatok érzékenysége alapján tesz különbséget a cégek között. Amennyiben 250 fő foglalkoztatottnál kevesebb van a cégnél (kkv), akkor továbbra sem lesz kötelező adatvédelmi felelőst kinevezni, de a rendelet tesz kivételt: az érzékeny adatokat kezelő szervezeteknél mérettől függetlenül létre kell hozni az adatvédelmi felelősi pozíciót. Az adatvédelmi felelős kötelezettségeiről a rendelet nem ejt szót, csupán a cég felelősségét szögezi le. Céges belső szabályozással kell tehát majd megoldani, hogy adott esetben az adatvédelmi felelős felelősségre vonható legyen.
Mivel az új jogszabály szerint az adatvédelemért maga a cég felelős, sokkal szigorúbb és jobban átgondolt belső adatvédelmi szabályokra lesz szükség, amelyek alapján a személyes adatokkal jellemzően dolgozó marketing és humán erőforrás osztályok eljárhatnak.
A rendelet bevezeti a profilalkotás fogalmát. A jelenlegi szabályozás szerint ha egy cég ügyfélprofilt készít marketing célból vagy egyéb okból, az érintett hozzájárulását elegendő az általános szerződési feltételek (ÁSZF) között feltüntetni. Kivételt csak az jelent, ha a profil készítése kifejezetten kell a szerződés teljesítéséhez, de ez esetben is elegendő a szerződésbe belefoglalni, hogy ügyfélprofil készül majd. Az új szabályozásban az ügyfélprofil készítésére külön rendelkezések vonatkoznak, az minden esetben az érintett személy kifejezett hozzájárulásához lesz kötve!
Amennyiben egy cég ügyfelei adatait bármilyen módon automatikusan feldolgozza, köteles lesz az ügyfelet tájékoztatni arról, hogy milyen logika szerint történik az adatfeldolgozás. A rendelet nem fejti ki, hogy ennek a tájékoztatásnak mennyire kell részletesnek lennie, pedig ezen algoritmusok működése a legtöbb esetben az üzleti titok körébe esik.
A rendelet rögzíti, hogy adatkezeléssel kapcsolatban mely esetekben kell előzetes hatásvizsgálatot készíteni. Ez a jelenleg hatályos szabályok szerint egyetlen esetben sem kötelező, ennek ellenére azért sok cég elkészíti. Az előzetes hatásvizsgálat készítése újabb komoly adminisztrációs tesz majd a cégek vállára, így lassíthatja az üzleti folyamatokat. Arra vonatkozóan, hogy mit kell tartalmaznia a dokumentációnak egyenlőre nincs minta.
A új rendelet rögzíti, hogy a fogyasztókat közérthetően és személyre szabottan kell tájékoztatni az adatkezelésről. Ez a rendelkezés például egy gyerekek számára üzemeltetett honlap adatvédelmi tájékoztatójával szemben egészen más követelményeket jelent mint egy autóalkatrészeket áruló webshop adatvédelmi tájékoztatójával szemben. Nem célszerű az általános formulák használata.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) szigorúbb más országok hatóságainál, a magyar cégeknek a hatóság felé jelenleg igen jelentős dokumentációs kötelezettségük van. Ezen kötelezettségeket az új jogszabály nem rögzíti. A sokak által nem kedvelt adatvédelmi nyilvántartás megszűnik, nem kell bejelentkezni a hatósághoz. Helyette házon belül nyilván kell tartani valamennyi adatkezelést. A belső adatkezelési nyilvántartás fontos dokumentációs kötelezettség lesz az új jogszabály hatálybalépését követően. Minden típusú adatkezelést nyilván kell majd tartani – az incidenseket, a munkatársak adatait és azt, hogy az adatokat adott esetben kinek adták tovább (pl. könyvelő, bérszámfejtés), valamint az üzleti adatokat. A belső adatkezelési nyilvántartásra vonatkozóan még nincsenek pontosított követelmények. Amíg nincs európai szintű ajánlás, addig a cégeknek kell kidolgozni, hogyan hozható létre olyan nyilvántartás, ami még nem bénítja meg a belső folyamataikat.
A hatóságok manapság már elfogadóbbak az un. felhőszolgáltatókkal kapcsolatban (ha felhőszolgáltatót használ valaki, számos érzékeny adatot átad!), és a szolgáltatók is jobban felkészültek adatvédelmi válaszokkal. Az Infotörvény a felhőszolgáltatókra vonatkozóan nem tartalmaz szabályozást, azokra jelenleg a NAIH állásfoglalásai vonatkoznak. Az új rendelet a szabályozás körébe vonja ezen típúsú szolgáltatókat. A jogszabály alapján a felhőszolgáltató jogilag adatfeldolgozónak számít, a rendelet pedig felsorolja az adatfeldolgozói szerződés kötelező elemeit. A kötelező elemek között szerepel például az utasításadási jog az adott szolgáltató irányába, a szolgáltatóra vonatkozó auditjog.
Az adatkezelés céljának meghatározása – a cégek jelenleg szokásos gyakorlata alapján – számos esetben hiányzik. Sokszor minden lehetséges adatot gyájtogetnek a vállalatok, „majd jó lesz valamire” alapon. Erre a jövőben nem lesz lehetőség, az új rendelet ugyanis szigorú követelményeket ír elő az adatkezelés céljának meghatározásával kapcsolatban.