Business

38_www.thedrum.com.jpg
Forrás: ITB
2018 elejétől kötelező

Adatok európai védelemben

Áprilisban fogadta el az EU a General Data Protection Regulationt, vagyis az Általános Adatvédelmi Rendeletet. Két év türelmi idő után, 2018 elején válik kötelezővé minden EU tagország számára. Az új adatvédelmi szabályozás többek között hozzájáruláshoz köti az adatok felhasználását, adatvédelmi felelős alkalmazását írja elő, és kemény büntetéseket hoz.

Nem kapkodták el, alaposan előkészítették az egész EU területére (sőt, még azon kívül is) érvényes Általános Adatvédelmi Rendeletet. A rendeletet 2016 áprilisában fogadta el az EU, és 2018 elejétől válik kötelezővé; az adatok gyűjtésével, tárolásával, feldolgozásával foglalkozó vállalatok érintettek benne. (Mivel ez nem direktíva, így ezt az adott államok törvényhozó testületeinek már nem kell elfogadniuk.)

Domokos Márton, Ormai és Társai CMS Cameron McKenna LLP Ügyvédi Iroda
Domokos Márton, Ormai és Társai CMS Cameron McKenna LLP Ügyvédi Iroda
„Az EU új adatvédelmi rendelete jóval komplexebb és átfogóbb, mint a jelenleg hatályos magyar adatvédelmi törvény (infotörvény)” – állítja Domokos Márton ügyvéd, az Ormai és Társai CMS Cameron McKenna LLP Ügyvédi Iroda szenior munkatársa. Elmondása szerint az infotörvény csak egy általános keretszabályozást biztosít – az adatvédelmi megfelelés részleteit az elmúlt években a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) alakította ki, ajánlások, tájékoztatók és konkrét ügyekben született határozatok formájában. A NAIH ennek során sok esetben jóval részletesebb és az infotörvénynél néha szigorúbb szabályokat alakított ki a magyarországi cégek számára, és így az EU-rendelet számos kérdésben már nem éri őket felkészületlenül. Összességében azonban az EU-rendeletnek való megfelelésre való felkészülés így is jelentős időt és erőforrást igényel, nagyon sok belső eljárást kell módosítani az új szabályok miatt.

 

Óriási bírság, hatásvizsgálat és jelentési kötelezettség

Az ügyvéd, kérdésünkre válaszolva, a törvény három fontos újdonságát emelte ki. Nagymértékben növekedett az adatvédelmi hatóság által kiszabható bírság összege: súlyosabb jogsértés esetén a maximális összeg akár 20 millió euró is lehet, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 százalékát kitevő összeg. (A kettő közül a magasabbat kell kiszabni.)

Ha egy új technológia bevezetése valószínűsíthetően magas adatvédelmi kockázattal jár, akkor az adatkezelést megelőzően hatásvizsgálatot kell végezni. Ilyen eset például, ha egy szolgáltatás nyújtása során felhasználói profilokat alkotnának marketingcélból, vagy ha egy e-ehealth megoldás nagyszámú egészségügyi adatot kezel. Ha az adatvédelmi hatásvizsgálat szerint az adatkezelési műveletek magas kockázattal járnak, amelyet a cég nem képes megfelelő intézkedésekkel mérsékelni, előzetesen konzultálni kell az adatvédelmi hatósággal.

További újdonság – folytatta Domokos Márton –, hogy adatvédelmi incidensek esetén – például, ha egy cég adattároló rendszerét hackertámadás éri, és felhasználói adatokat lopnak el, vagy ha a cég egy munkatársa elveszít egy pendrive-ot, amin fontos ügyféladatok vannak – kötelező értesíteni az adatvédelmi hatóságot, és egyes esetekben a felhasználókat is, hogy minél előbb meg tudják tenni a szükséges kockázatmérséklő intézkedéseket (például jelszavak megváltoztatása).

 

Területen kívüli hatályú a rendelet

A rendelet szerint a több országban működő vállalkozásnak nem kell minden országban külön-külön együttműködnie az adatvédelmi hatósággal, csak abban az országban kell ezt megtennie, ahol a székhelye található. A székhely szerinti hatóság koordinálja a határon átívelő ügyeket is. Az új előírás kifejezetten területen kívüli hatályú, vagyis ott is és azokra is érvényes, akik az EU területén kívüli EU-lakosok adatait kezelik.

Domokos Márton ügyvéd szerint a rendelet a korábbinál részletesebben szabályozza az egyes EU-tagországok adatvédelmi hatóságainak együttműködését és közös eljárásait. Erre ugyanakkor már a mostani gyakorlatban is akad példa: nemrég például a francia, a belga, a spanyol, a holland és a hamburgi adatvédelmi hatóság közös munkacsoport keretében vizsgálták a Facebook adatkezelési gyakorlatait (pl. cookie-k használata), és a belga hatóság napi negyedmillió euró összegű bírság kiszabásával fenyegette a társaságot. Az adatvédelmi hatóságok határon átnyúló gyakorlatát az Európai Bíróság is támogatja ítéleteivel. Egy tavalyi ítélete alapján például a Google-t kötelezték arra, hogy ne tegyen elérhetővé keresőmotorján keresztül már nem hatályos információkat. (Egy spanyol magánszeméllyel szembeni banki végrehajtásról szóló, több mint 10 éves adatról van szó – a felejtés joga címszó alatt foglalkozott a sajtó a témával.) A Google amerikai cég, és a keresőmotort az USA-ból üzemelteti, az eljárást azonban ebben az esetben spanyolországi leányvállalatával szemben folytatták le – mondta az ügyvéd.

 

Adatvédelmi felelős kell

Alig szoktuk meg, hogy az informatikai vezető mellett kiberbiztonsági tisztségviselők is megjelentek a modern vállalat szervezeti felépítésében, a rendelet hatályba lépése után az adatvédelmi felelős lesz az új tisztség a vállalatoknál. Ez az a pont, amely miatt a rendeletet többen bírálták, mondván, plusz adminisztratív és személyzeti terheket ró a cégekre. A gyakorlatban (és kisebb cégeknél) a rendszergazda, az IT-vezető felelősségéhez csaphatják hozzá az új titulussal járó feladatokat.

Támogatott felkészülés

Az új adatvédelmi rendelet alapvetően nem követeli meg új, eddig nem ismert biztonsági elemek bevezetését – mondja Solymos Ákos, a Quadron tanácsadási szolgáltatások vezetője. A rendelet elvárásai már régóta ismertek a nemzetközileg is elterjedt IT-biztonsági szabványokból. Az érdemi változás ezeknek a szabályoknak a körülményektől függetlenül kötelező és teljes körű alkalmazásában van. Eddig ugyanis a közismert sztenderdek kockázatarányosságot vártak el, azaz alacsony kockázat esetén nem kellett minden egyes elemet bevezetni. Innentől kezdve a kötelező érvény és a magas büntetés kikényszeríti ezek megvalósítását. A felkészülés támogatását a Quadron stratégiai fontosságúnak tekinti, amire szolgáltatáscsomagot is készít.

A biztonsági incidensek jelentési kötelezettsége tovább erősíti a cégek magasabb szintű biztonságra vonatkozó igényét. Az Amerikai Egyesült Államokban ez már többéves gyakorlat, ebben a tekintetben Európa egyfajta hátrányból fog felzárkózni. Az viszont némileg aggasztó, hogy ott a jelentett eseményekben egyre kevesebb az információ az káresemények mértékéről, újabban inkább csak azok tényét teszik közzé, a részletekről hallgatnak – fejezte be Solymos Ákos.

 

És ha már a bírálatoknál tartunk, akkor egy másik neuralgikus pontot is meg kell említenünk. A rendeletet azért is támadták, mert a munkavállalók adataival nem foglalkozik megfelelően. Domokos Márton ügyvéd szerint a legnagyobb mennyiségű személyes adatot ma valóban a közösségi oldalak és felhőszolgáltatók dolgozzák fel, így a rendelet hatását leginkább az ő tevékenységük fényében értékeljük. A munkahelyi adatkezelésekkel kapcsolatos szabályozási gyakorlatban az egyes EU-tagállamok között komoly eltéréseket látunk – ennek okai a tagállamok eltérő emberi jogi és kulturális gyökereiben keresendő. Magyarországon például a rossz történelmi tapasztalatok miatt a korábbi adatvédelmi biztos sokáig nem támogatta a nyugati országokban – a szabályszerűen működő munkahelyeken minden további nélkül –elfogadott visszaélés-bejelentési (whistleblowing) rendszereket. Jó hír, hogy az ezzel kapcsolatos gyakorlat is folyamatosan változik és harmonizálódik. A rendelet valóban lehetővé teszi, hogy a tagállamok külön szabályokat alkossanak a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelésére: például munkaerő-felvétel, munkahelyi egyenlőség és sokszínűség, vagy egészségvédelem céljából. Az Európai Bizottságot azonban értesíteni kell ezekről a szabályozásokról, így a bizottságnak megvan a lehetősége, hogy az uniós gyakorlattal és értékekkel ellentétes szabályok ellen felszólaljon.

 

Adatok gyűjtése

A magyar előírások eléggé szigorúak a személyes adatok gyűjtésével, tárolásával, feldolgozásával kapcsolatban; ezen a téren az EU-rendeletet megelőztük és a vállalatok megszokhatták a szigorú szabályokat. Nemcsak a személyes, hanem a céges adatokra is ez az opt-in megközelítés érvényes, azaz az adat tulajdonosának kell engedélyeznie az adatok bármilyen nemű gyűjtését, felhasználását. Az adat tulajdonosának hozzájárulását az adatot kezelő vállalatnak el kell mentenie és könnyen hozzáférhető formában tárolnia kell, hogy kérésre be tudja azt mutatni – ezt a magas kiszabható bírság miatt érdemes mindenképp megtenni. A rendelet bevezeti az adatminimalizáció elvét, vagyis hogy minimálisra kell csökkenteni a begyűjtött, tárolt és felhasznált adatok körét. Például ha egy adott cél elérése érdekében nem releváns a születési dátum, akkor azt ne kérjük el – ezt úgy sem szeretik megadni az ügyfelek.

 

Ésszerű ideig

A rendelet szerint az adatokat ésszerű ideig lehet tárolni, ha már nem használjuk azokat, akkor törölni kell. Hogy mit jelent az ésszerű, azt a vállalkozás jellege határozza meg. Az új előírások szerint a hozzájárulásokat is frissíteni, kezelni kell. Ezt úgy érhetjük el a gyakorlatban, hogy időnként – félévenként, évenként – kiküldünk egy e-mailt, amelyben adatfrissítést kérünk, vagy rákérdezünk, szeretne-e továbbra is e-maileket kapni tőlünk. Ha nemleges a válasz, az adatokat töröljük.