MAZARS: 2018-tól gigabírság a hanyag adatkezelőknek

2016. október 12., Budapest – A tavasszal elfogadott új uniós szabályozás rendkívül szigorúan védi az egyén magánélethez és szenzitív adatainak védelméhez való jogát, jelentősen szélesíti ezek körét, és komoly büntetéseket helyez kilátásba az ezekkel visszaélő szervezeteknek – derül ki a Mazars legfrissebb októberi jelentéséből. A vezető nemzetközi könyvvizsgáló és tanácsadó vállalat a hazai intézményeknek és cégeknek is azt tanácsolja, hogy időben kezdjék meg a felkészülést a 2018-ban hatályba lépő szabályozásra, amely akár új szervezeti egység létrehozását is igényelheti.

Többéves előkészítő munka és legalább ennyi alkudozás után április 27-én kihirdetésre került az Európai Parlament és a Tanács (EU) 2016/679-es, a személyes adatok kezeléséről, védelméről és az ilyen adatok szabad áramlásáról szóló rendelete – áll a MAZARS legfrissebb összefoglalójában. 

„Az elmúlt években a személyes adatokkal történt súlyos visszaélések és a technológia fejlődése megerősítették az uniós vezetőkben és döntéshozó testületekben azt a szándékot, hogy az EU a világ legszigorúbb adatvédelmi keretrendszerét alakítsa ki, és ezzel egyúttal a világ többi részét is rákényszerítse arra, hogy magasabb szinten foglalkozzon az adatvédelem kérdéskörével” – fogalmazott Kiss Dániel, a MAZARS információbiztonsági szakértője.

A többnyire csak GDPR (General Data Protection Regulation) néven emlegetett rendeletet a személyes adatokat kezelő szervezeteknek 2018. május 25-étől valamennyi uniós tagországban kötelezően alkalmaznia kell. A rendelet Magyarországon is automatikusan érvénybe fog lépni, és ezzel hatályát veszíti az eddigi adatvédelmi szabályozás, a 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról.

Személyesebb adatok

A számos új követelményt megfogalmazó szabályozás több területen is érdemi változást hoz.  Ezek közül az egyik legfontosabb, hogy rendelet jelentősen kibővíti a személyes adatok körét, így most már személyes adatnak minősül minden olyan azonosított, vagy beazonosítható személyre vonatkozó adat, amely az illető privát, szakmai vagy közösségi, társadalmi tevékenységére vonatkozik. Így személyes adat sok más egyéb mellett a név, a születési és egészségügyi adatok, bankszámlaszám, jövedelem, helymeghatározó adat (GPS), e-mail cím, telefonszám (vállalati és magán is), levelezési cím, de akár egy közösségi oldalon található profilra mutató link és az IP cím is.

Fontos előrelépés, hogy amennyiben egy személy adatait hanyagul kezelik, a bizonyítási teher nem az ő felelőssége, hanem az adatkezelő szervé. A szervezetnek kell ugyanis bizonyítania, hogy az általa kezelt és feldolgozott adatokat a becsült kockázatokkal arányosan védte.

Azok az intézmények, melyek működésük jellegénél fogva nagy tömegben, automatizált módon kezelnek személyes adatokat, mint például a bankok, biztosítók, egészségügyi szolgáltató intézmények, informatikai szolgáltató szervezetek, nem hivatkozhatnak az adatvédelem technikai nehézségeire. Ezen intézményeknek, továbbá a különlegesen érzékeny személyes adatokat (politikai nézet, szakszervezeti tagság, szexuális irányultság stb.) kezelő szervezeteknek szakirányú végzettséggel vagy kompetenciával rendelkező adatvédelmi felelőst kell ugyanis kinevezniük, aki személyében felelős a megfelelő adatvédelmi rendszer működtetéséért és az adatok védelméért. Bár a kisebb szervezeteknek adatvédelmi felelőst nem kötelező kinevezniük, az adatok kockázatokkal arányos védelméért ők is felelősek.

Egyes intézményeknek a jelenlegi szabályozás szerint is jelentenie kell, ha személyes adatok szivárogtak ki tőlük. A GDPR túlmegy ezen és átfogó bejelentési kötelezettséget vezet be, így a jövőben minden súlyosabb incidenst 72 órán belül jelenteni kell az adatvédelmi hatóságnak.

Kiss Dániel hozzáfűzte: „Ilyen incidens lehet egy külső hackertámadás, de akár az olyan triviális esetek is, mint egy elveszett laptop, vagy amikor egy sértett volt munkatárs átadja a belső telefonkönyvet egy direktmarketinggel foglalkozó ügynökségnek. Elvileg többet nem fordulhat elő olyan kirívó eset, hogy egy nemzetközi email-szolgáltatótól ellopják több millió felhasználó jelszavát, és erről csupán évekkel később tájékoztatja a közvéleményt.”

Az elmúlt években népszerű téma lett a felejtéshez való jog, azaz, hogy a digitális világ mindenhatósága ellenére a kínos információk ne legyenek örökre elérhetőek az interneten. Mindenkinek joga van ahhoz, hogy bizonyos „elévülési idő” után stigmák nélkül folytathassa az életét. A személyes adatokat az egyén hozzájárulásával kezelő szervezettől kérhető lesz ezen adatok törlése. A törlés számos technikai kérdést vet fel, korántsem egyértelmű és technikailag sem egyszerű feladat az adatokat mindenhonnan eltűntetni. Ezért az olyan szervezeteknek, ahol a kérdés reálisan felmerülhet, speciális eljárásrendet kell kidolgozniuk az adattörlésre.

 

Hogy az EU nagyon is komolyan veszi az adatvédelem, a privacy kérdéskörét, az abból is látszik, hogy a felsorolt rendelkezések nem ajánlások, hanem szigorúan szankcionált előírások. Az az intézmény vagy vállalat, amely megszegi a szabályokat, elrettentő nagyságrendű büntetésre számíthat.

A kiszabható büntetés maximuma ugyanis 20 millió euró, vagy a globális éves forgalom 4 százaléka – a kettő közül a magasabb összeg.  Így ha például egy magán egészségbiztosító úgy selejtezi le a merevlemezeit, hogy azokról a betegekhez köthetően visszafejthetőek a korábban a biztosító által finanszírozott beavatkozások, vagy egy bérszámfejtéssel foglalkozó cég hanyagsága miatt jövedelmekre vonatkozó adatok kerülnek nyilvánosságra, akkor jelentős büntetésre számíthat.

Mindössze másfél év múlva már a hazai intézményeknek és cégeknek is ezeket az előírásokat kell alkalmazniuk, ezért a Mazars szakértői azt ajánlják, az érintettek még időben kezdjék meg a felkészülést.