Jogunk van a saját adatainkhoz
Az UIA szakértői ismertették, hogy az Európai Parlament idén tavasszal szavazta meg az új adatvédelmi szabályokat. A rendelet célja, hogy az eddiginél jobban megerősítse az állampolgárok jogait adataik védelme felett, az internet-használóknak nagyobb befolyása legyen saját adataik felett. Fontos szempont volt az is, hogy az EU lépést tartson a digitális világgal és ennek megfelelő, minél inkább egységes uniós adatvédelem jöjjön létre.
A rendeletet 2018. május 25-től az összes uniós tagországban kötelezően alkalmazni kell, így Magyarországon is.
A szabályozás az EU-n kívüli tevékenységi hellyel rendelkező adatkezelőkre és adatfeldolgozókra is vonatkozik, ha az általuk végzett adatkezelési tevékenységek áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintetteknek történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; vagy az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve, hogy az Unió területén belül tanúsított viselkedésükről van szó.
[extracode type=”ad” id=”in_post_trendextra” data=”99″]
A rendőrségi és bírósági adatkezelésre vonatkozó irányelv minimumkövetelményeket határoz meg a rendőrségek és bíróságok által történő adatkezelésekre, azért, hogy megvédje a rendőrségi vagy bírósági ügyben részt vevő emberek – tanú, áldozat, tettes – személyes adatait. Célja az uniós bűnüldöző szervek közötti gördülékenyebb adatmegosztás elérése is és ezáltal a terrorizmus hatékonyabb felderítése.
Amíg a rendeletet a tagországokban közvetlenül kell alkalmazni, addig az irányelv rendelkezéseit – egyes automatizált adatkezelési rendszerekkel kapcsolatos naplózási kötelezettségek kivételével – minden uniós ország köteles átültetni tagállami jogába legkésőbb 2018. május 6-ig.
Mit jelent ez a cégeknek?
Az új adatvédelmi rendelet értelmében tehát azoknak a vállalatoknak, amelyek személyes adatokat kezelnek vagy feldolgoznak, a jövőben sokkal szigorúbb elvárásoknak kell megfelelniük az átláthatóság, elszámoltathatóság, illetve a transzparencia jegyében. A rendelet egységes alkalmazásának biztosítása céljából bevezetik a tagállami adatvédelmi hatóságok közötti együttműködési mechanizmust, valamint egy ún. egységességi mechanizmust, és létrehozzák az Európai Adatvédelmi Testületet.
A cégeknek közérthető és kellően kimunkált tájékoztatást kell adniuk az érintetteknek az adatkezelésről illetve adatfeldolgozásról. Főszabály szerint kötelesek lesznek nyilvántartást vezetni az adatkezeléseikről, illetve adatfeldolgozásaikról. A rendelet számos új fogalmat vezet be, többek között az álnevesítést és a profilalkotást.
[extracode type=”ad” id=”in_post”]
Az adatkezelők bizonyos esetekben kötelesek lesznek adatvédelmi hatásvizsgálatot végezni az adatkezelés előtt és adott esetben előzetesen konzultálniuk kell a tagállami adatvédelmi hatósággal. A rendeletben megjelenik az „elfeledtetéshez való jog”, amely az érintett személyes adatai törléséhez való jogának egy speciális változata. Deklarált módon jelenik meg a beépített és az alapértelmezett adatvédelem elve is. Szabályozták az adathordozhatóságot; az érintett kérelmére úgy kell átadni az adatokat, hogy azt egy másik szolgáltatóhoz átalakítás nélkül át lehessen vinni.
Főszabály szerint az adatkezelő köteles bejelenteni a tagállami adatvédelmi hatóságnak az adatvédelmi incidenst (pl. hacker támadás, adatok véletlen megsemmisülése), és tájékoztatnia kell az érintetteket az ilyen eseményről, úgyszintén köteles nyilvántartást vezetni az incidensekről; az adatfeldolgozó köteles tájékoztatni az adatkezelőt az incidensről. A cégek bizonyos esetekben kötelesek adatvédelmi tisztviselőt kinevezni.
A rendelettel bevezetett közigazgatási bírság legfeljebb 20 millió euró, illetve vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 százalékát kitevő összegű lehet, azzal, hogy a kettő közül a magasabb összeget kell kiszabni.
Titkosításra fel
Az UIA jogász-szakértői hangsúlyozták a titkosítás fontosságát is. A mai digitális világban nem árt védekezni a céges vagy kormányzati megfigyelések ellen és a modern technológiát adataink védelme érdekében használni. A gyakorlatban ez azt is jelentheti, hogy az emaileket és üzeneteket kódolva, titkosítva küldjük. Erre napjainkban számtalan megbízható szoftver létezik, többségük fizetős, de találunk ingyenesen hozzáférhetőt is a piacon.
Rendkívül fontos, hogy az adatkezelők és adatfeldolgozók kellő időben kezdjék meg a rendelet jelentette rezsimre való felkészülést annak érdekében, hogy 2018. május 25. napjával megfeleljenek az új követelményeknek.
Kell a megfelelési rendszer
Az UIA kongresszus másik kiemelt fókuszterülete a compliance volt. A jelenlegi uniós szabályok olyan szigorú feltételeket és adminisztratív kötelezettséget írnak elő a vállalati adattovábbításra, adatvédelemre, amelyek következtében az esetleges adatvédelmi bírságok, a vállalati belső vizsgálatok miatt egy vállalatnak ki kell alakítania ún. megfelelési, azaz compliance rendszerét.
Egy jól működő vállalati compliance rendszer megvédi a céget a versenyjogi bírságoktól, büntetőeljárásoktól, és a munkatársakat is védi például a korrupciós bűncselekmények területén.
A hatékony compliance rendszer felállításának és működésének főbb lépcsőfokai:
– az adott kkv vagy multinacionális vállalat átvizsgálása
– compliance kockázatok azonosítása
– a Compliance „felelősök” felkészítése: jogok és kötelezettségek a munkavégzés során, jelentési kötelezettségek hatóság és menedzsment felé
– a Compliance feladatok cégen belüli munkamegosztása
– munkavállalókra vonatkozó ellenőrzések (összeférhetetlenség, külső munkavállalás, számlák vonatkozásában)
– munkaterv meghatározása és rendszeres ellenőrzése
Minden vállalkozásnak, de különösen a közép- és nagyvállalati kör számára fontos, hogy hatékony és praktikus compliance gyakorlatot alakítson ki. Főleg azokon a területeken elengedhetetlen, ahol a jogszabályoknak való megfelelés hiányát az állam számon kérheti a cégen, például hatósági szankciók alkalmazásával, vagy ott, ahol a hanyag ellenőrzés miatt saját tulajdonosainak vagy munkavállalóinak kárt okozna.
Ha egy vállalat nem felel meg a vonatkozó jogszabályi előírásoknak, rendelkezéseknek, nem csupán pénzügyi veszteséget könyvelhet el, de súlyos reputációs veszteséget is elszenvedhet.
Pénzmosás ellen
A pénzmosás megelőzése az egyik legfontosabb területe a compliance-nek. 2015-ben az Európai Parlament megszavazta a 4. pénzmosás elleni uniós irányelvet, azzal a céllal, hogy hatékonyabban fellépjen a pénzmosás, az adóbűncselekmények és a terrorizmus finanszírozásával szemben. A tagországoknak 2017 júniusáig kell átültetniük az irányelvet a jogrendszerükbe.
Ennek értelmében a társaságok, és az egyéb jogi entitások tényleges tulajdonosainak adatait központi uniós adatbázisban kell szerepeltetni, amelyhez a hatóságok hozzáférhetnek. Ezt a hozzáférést a tagállamok csak kivételes körülmények között, eseti alapon korlátozhatják. Ezen kívül a könyvvizsgálóknak, pénzintézeteknek, ügyvédeknek, közjegyzőknek és kaszinóknak továbbra is kötelessége lesz bejelenteni, ha ügyfeleiknél gyanús ügyletre lesznek figyelmesek.
A szankciók – amennyiben az érintett kötelezett szolgáltató hitelintézet vagy pénzügyi intézmény –jogi személynél legalább 5 millió euró vagy a legutolsó rendelkezésre álló teljes éves árbevétel 10 százalékának megfelelő mértékű maximális pénzbírság lehetnek; természetes személynél legalább 5 millió euró.
Az UIA szakértői felhívták a figyelmet, hogy ügyelni kell arra, hogy a pénzmosással kapcsolatos beavatkozások közben ne sérüljön a személyes adatokat érintő védelem joga.
