Kihívások és lehetőségek a GDPR felkészülés kapcsán

Az EU Általános Adatvédelmi Rendelete (GDPR) 2016. május 24-én lépett hatályba, amely két év felkészülési időszakot követően ténylegesen 2018. május 25-től közvetlenül, minden további tagállami aktus nélkül kötelezően alkalmazandó. A GDPR megalkotásának fő oka a 95/46/EK irányelvben foglalt szabályok tagállamok közötti egységesítése, a szabályok tartalmának modernizálása, valamint a személyes adatok védelmének hatékonyabb biztosítása. Mindezek mellett a GDPR figyelembe veszi és választ ad a digitális trendek - és ezáltal a digitális gazdaság belső piaci fejlődésének – elősegítésére és célja, hogy a jogalkalmazók adminisztrációs terheit csökkentse.

Ma egy személyes adatot kezelő szervezet egyik legfőbb vagyona az adat. A személyes adatot kezelő szervezet adatainak jelentős része személyes adat, amely személyes adat nem csak a személyes adatot kezelő szervezet tulajdona, hanem az adott személyé is, akire vonatkozik.

A megfelelő adatbiztonsági gyakorlatok és adatvédelmi eljárások kialakítása, és a vonatkozó előírásoknak való folyamatos megfelelés biztosítása azonban a személyes adatot kezelő szervezet terheli.

Az adatvédelem tudatosságot igényel minden szereplőtől, amelyet minden ügyfél-, munkavállalói, egyéb harmadik felekhez köthető (pl. beszállító, ügyfél által kötött szerződés nem ügyfél kedvezményezettje) személyes adat kezelése, termékfejlesztés, technológiai folyamat, jelentéstétel, stb. során be kell tartani. Ennek érdekében nem elegendő szabályokat életbe léptetni, technológiai kontrollokat kialakítani, naplózni és tesztelni, magának a vállalati kultúrának is ösztönöznie kell a tudatos adatkezelésre vonatkozó gyakorlat kialakítását és alkalmazását.

Tapasztalatunk szerint a fentiek megvalósítása és így a GDPR-nak való megfelelés is csak úgy lehetséges, ha a személyes adatot kezelő szervezet koordinált adatbiztonsági és adatvédelmi stratégiával rendelkezik, amely lehetővé teszi a szabályozásban bekövetkezett változások szervezeten belüli, illetve tevékenységbe történő átültetését. A GDPR elvárásainak való megfelelés tehát nem csak jogi-compliance feladat és nem szűkíthető le a szabályzatok, nyilatkozatok módosítására, hanem szervezeti szinten összehangolt stratégiát igényel.

Az alábbiakban összefoglalunk a GDPR nyomán bekövetkező néhány lényeges változást.

Elszámoltathatóság, mint "szuper alapelv"

A GDPR az adatkezelés ismert elveit megtartva bevezet egy új alapelvet, amelyet „szuper alapelvként” kezel, ez az „elszámoltathatóság”. Az elszámoltathatóság értelmében az adatkezelők felelőssége, hogy biztosítsák az egyéneknek a személyes adatok megfelelő védelméhez fűződő alapvető jogát a belső szabályok, folyamatok, mechanizmusok kialakítása révén, és ezt mindenkor megfelelőképpen bizonyítani is tudnia kell az adatkezelőnek a hatóság felé. Ennek érdekében az új szabályozás fokozottabb adatvédelmi tudatosságot vár el a személyes adatot kezelő szervezetektől, ami jelentős többletfeladatokat ró a személyes adatot kezelő szervezetekre a hatályos szabályozáshoz képest.

Adatkezelési tevékenységek nyilvántartása

A GDPR már nem követeli meg az adatkezelésnek az adatvédelmi hatósághoz történő bejelentését, azonban elvárja az adatkezelőktől és az adatfeldolgozóktól is, hogy folyamatosan napra kész adatkezelési tevékenység nyilvántartást vezessenek valamennyi adatkezelésről. Ennek érdekében a vállalatoknak tisztában kell lenniük adatkezelési tevékenységeikkel és a hatóság kérésére az elszámoltathatóság alapelvének megfelelően be kell tudniuk mutatni az adatkezelések jogszerűségét a GDPR rendelkezéseinek megfelelően. Ehhez minimálisan szükséges a naprakész adatvagyon leltár, és annak alapos ismerete, hogy milyen adatokat, kik, milyen folyamatokban és hol kezelnek, beleértve az adatkapcsolatokat is és az adatok törlésének mechanizmusát.

Adathordozhatóság

A GDPR új jogosultságként vezeti be az adathordozhatóságot, amelynek célja, hogy tovább erősítse az egyén személyes adatok feletti rendelkezési jogát. Ez alapján az egyénnek joga van ahhoz, hogy a személyes adatait egy adatkezelőtől – ha az adatkezelés jogalapja az érintett hozzájárulása, vagy azokat szerződés keretében bocsátotta rendelkezésre - megszerezze, azokat használja vagy egy másik adatkezelőnek (akár az említett első adatkezelő versenytársának) továbbítsa saját belátása szerint. Ez a jogosultság az adatkezelők számára azt a terhet jelenti, hogy automatizált adatkezelés esetén kötelesek az érintett kérelmére a személyes adatokat tagolt, széles körben használt, géppel olvasható és interoperábilis formátumban átadni, azaz rendelkezniük kell ennek technikai feltételeivel.

Az elfeledtetéshez való jog

A GDPR egyik újítása, hogy a törléshez való jog mellett jogszabályi szintre emeli az „elfeledtetéshez” való jogot. Fontos megemlíteni, hogy eddig is lehetett kérelmezni az adatkezelőtől, hogy személyes adatot távolítson el és tegyen kereshetetlenné. Ezt egyfelől sok esetben az adatkezelők elutasították (pl. közérdeklődésre tekintettel), másfelől a tárolt tartalmak között még a törlés után is elérhető volt. A GDPR az elfeledtetéshez való jog esetében egy olyan új kötelezettséget hoz létre, amely kimondja, hogy amennyiben az adatkezelő nyilvánosságra hozta a személyes adatot kérésre azt oly módon köteles törölni, hogy ezzel párhuzamosan meg kell tennie az ésszerűen elvárható lépéseket annak érdekében, hogy a törölni kért adatot kezelő további adatkezelők is elérhetetlenné tegyék, töröljék az adatokat (beleértve az adatok másodpéldányait, illetve az azokra mutató linkeket).

Beépített adatvédelem

A beépített adatvédelem elve alapján az adatkezelő a technikai és szervezési intézkedések kialakítása során minden esetben köteles a tudomány és a technológia mindenkori állását, a megvalósítás költségeit, az adatkezelés jellegét, hatókörét, körülményeit és céljait figyelembe venni, másrészről pedig köteles minden esetben és folyamatosan tekintettel lenni a személyes adatokkal kapcsolatos kockázatokra, azokat köteles azonosítani, felmérni és a kockázatok minimalizálása érdekében szükséges intézkedéseket megtenni.

A gyakorlatban ez azt jelenti a vállalatok számára, hogy a GDPR-ban meghatározott követelményeket már a személyes adatok kezelésével járó termék- és szolgáltatásfejlesztés során, azaz a fejlesztési ciklusban figyelembe kell venni, így különösen az álnevesítésre, adatminimalizálásra, átláthatóságra és ellenőrzésre vonatkozó előírásokat. Fontos hangsúlyozni, hogy a beépített adatvédelem az adatkezelés teljes életciklusára vonatkozik, azaz informatikai fejlesztések körében pl. a patchekre, updatekre is.

Adatvédelmi hatásvizsgálat

A GDPR értelmében főszabály szerint az adatkezelőnek adatvédelmi hatásvizsgálatot kell végeznie az adatkezelés megkezdése előtt, ha az adatkezelés valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve. A személyes adatkezeléssel járó kockázat többek között akkor tekinthető magasnak, ha az fizikai, vagyoni vagy nem vagyoni károkhoz vezethetnek, különösen, ha személyazonosság-lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérelme, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat, vagy ha az érintettek nem gyakorolhatják jogaikat és szabadságaikat. Az adatvédelmi hatásvizsgálat lényege, hogy az adatkezelő az adatkezelés megkezdése előtt köteles az azzal járó kockázatokat feltárni és a kockázatok mérséklésére irányuló intézkedéseket megtenni.

A GDPR kifejezetten meghatározza, hogy adatvédelmi hatásvizsgálatot kell végezni a következő esetekben:

• természetes személyekre vonatkozó automatizált adatkezelésen alapuló döntéshozatal során (pl. profilalkotás, scoring rendszerek alkalmazása),
• különleges személyes adatok nagy számban történő kezelése, és
• nyilvános helyek nagymértékű, módszeres megfigyelése során.

A fenti eseteken túlmenően a nemzeti adatvédelmi hatóságok jogosultak meghatározni azon adatkezelések körét, amelyek tekintetében kötelező az adatvédelmi hatásvizsgálat elkészítése.

Adatvédelmi incidens bejelentése az adatvédelmi hatóságnak

A jelenleg hatályos hazai adatvédelmi jogszabály, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) jelenleg is előírja a nyilvántartás-vezetési kötelezettséget adatvédelmi incidenssel kapcsolatos intézkedések ellenőrzése, valamint az érintett tájékoztatása céljából. Magyarországon az adatsértési (data breach) incidensek hatóság felé történő bejelentése kizárólag az elektronikus hírközlési szolgáltatók számára volt eddig kötelező.

Fontos változás, hogy a GDPR hatálybalépésével ezt a kötelezettséget valamennyi adatkezelőre kiterjesztette. Az adatvédelmi incidenseket főszabályként az incidensnek az adatkezelő tudomására jutását követő 72 órán belül be kell jelenteni a felügyeleti hatóságnak. Amennyiben az adatvédelmi incidens valószínűsíthetően magas kockázatot jelent a természetes személyek jogaira és szabadságaira nézve abban az esetben az adatkezelő indokolatlan késedelem nélkül köteles az érintetteket is tájékozatni.

Adatvédelmi bírság

A GDPR harmonizálja az adatvédelmi bírság mértékét is, két bírság kategóriát különböztet meg, és egyúttal meghatározza, hogy mely jogsértések melyik kategóriába tartoznak.

A GDPR a súlyosabb jogsértések közé sorolja az adatkezelés elveinek, a hozzájárulás feltételeinek, az érintettek jogainak, valamint a személyes adatok harmadik országba történő továbbítására vonatkozó előírások megsértését. Ezekért a jogsértésekért maximálisan kiszabható bírság mértéke a jelenlegi hazai maximum 20 millió forintról 20 millió euróra emelkedik, vagy személyes adatot kezelő szervezetek esetében a bírság mértéke az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeg lesz azzal, hogy a kettő közül a magasabb összeget kell kiszabni.

Az enyhébb jogsértések közé tartozik az adatminimalizálásra vonatkozó követelmények, a gyermek hozzájárulásának beszerzésére vonatkozó feltételek, az adatkezelőre és az adatfeldolgozóra vonatkozó általános előírások, az adatbiztonsági előírások, az adatvédelmi incidenssel kapcsolatos előírások és az adatvédelmi tisztviselővel kapcsolatos előírások megsértése. Ebben az esetben a bírság maximális mértéke 10 millió euró, vagy személyes adatot kezelő szervezetek esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeg azzal, hogy a kettő közül a magasabb összeget kell kiszabni.
Lényeges változás, hogy a GDPR a bírság kiszabásának lehetőségét kiterjeszti az adatfeldolgozókra is.

Adatvédelmi tisztviselő kijelölése

A GDPR az Infotv. szabályainál szélesebb adatkezelői körben teszi kötelezővé a belső adatvédelmi felelősök kinevezését. Valamennyi adatkezelőknél kötelező adatvédelmi tisztviselő kinevezése, ahol a fő tevékenységek olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé (pl. profilozás), az adatkezelő vagy adatfeldolgozó különleges személyes adatokat kezel. Ez az előírás számos, különböző iparágban működő adatkezelőtől követeli meg adatvédelmi tisztviselő kinevezését. Az adatvédelmi tisztviselői feladatkör főszabályként kiszervezhető.

Nemzeti végrehajtási szabályok

Bár a GDPR egységes szabályozást kíván teremteni valamennyi EU tagállamban, több mint 50 helyen eltérési lehetőséget enged a tagállami szabályozás részére. A multinacionális vállalatok számára várhatóan elég lesz egy nemzeti hatósággal tartani a kapcsolatot a jövőben (one-stop-shop elv), ami könnyítést jelenthet a szervezeteknek.

Hogyan tovább?

A GDPR alkalmazására történő felkészülés első lépése, hogy a vállalat tisztában legyen azzal, hogy milyen adatokat, kik, hol, milyen folyamatok során kezelnek, gyűjtenek. Ezt követően kell felmérni, hogy a változások milyen üzleti, stratégiai, anyagi és technológiai hatással vannak a vállalat működésére, termékfejlesztésére, szolgáltatásnyújtására és üzletmenetére.

A Deloitte megközelítése nem korlátozik a GDPR megfelelés jogi, és/vagy technológiai aspektusaira. Mi stratégiai lehetőségként tekintünk a GDPR-ra, amelynek csak egy vonatkozása egy compliance természetű kötelezettség, amely egyben egy üzleti lehetőség is, hiszen az adatok tisztaságának biztosítása, az integritás védelme, a folyamatok optimalizálása elősegíti a vállalatok hatékonyabb és versenyképesebb működését.

A Deloitte szakértői széles körű szakértelemmel és tapasztalattal rendelkeznek az adatbiztonság és az adatvédelem területén, ismerje meg hogyan segíthetik cégét a GDPR-ra való felkészülésben!