Súlyos jogsértés esetén akár a KKV-k is birságolhatóak lesznek, ezért nekik is javasolt az új adatvédelmi rendeletben előírtaknak való megfelelés.

A törvényjavaslat szerint a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) lesz felelős a GDPR-ban meghatározott felügyeleti feladatok ellátására.

A NAIH először csak figyelmeztetne

Az előzetes kommunikációval összhangban tehát a NAIH elsősorban figyelmeztetné az adatvédelmi jogszabályoknak nem megfelelően működő adatkezelőket és adatfeldolgozókat. A törvényjavaslat szövegéből ugyan nem következik, hogy a fenti rendelkezés célja a szolidáris eljárás kizárólag KKV-kal szembeni alkalmazásának megalapozása, de ez kiolvasható az előterjesztéshez fűzött indokolásból, valamint az elmúlt napokban a NAIH és a Kormány által megtett nyilatkozatok is ezt erősítik. A gyakorlatban ez azt jelentené, hogy a KKV-k első alkalommal történő jogsértése esetén a NAIH csupán figyelmeztetést és egyéb, a bírságnál enyhébb szankciókat (pl.: bizonyos a jogszabályoknak nem megfelelő adatkezelési tevékenységek megtiltása, az adatvédelmi jogszabályoknak való megfelelésre utasítás, stb.) alkalmazna.

„Az előterjesztésben foglaltak és a kapcsolódó kommunikációk arra engednek következtetni, hogy a nagyvállalatok esetében a NAIH nem feltétlenül fogja követni ezt a gyakorlatot, így vélhetően a NAIH a nagyvállalatok körében fog élni a bírságolás jogával. Hangsúlyoznánk, hogy az előterjesztésben foglaltak nem úgy értelmezendők, hogy a KKV-k mentesülnek a GDPR megfelelés alól, ugyanis súlyos jogsértés esetén nem zárható ki a bírság alkalmazása velük szemben sem. Erre figyelemmel javasolt a KKV-nak is megtenni a GDPR megfeleléshez szükséges lépéseket”

– mondta el dr. Márkus Csaba, a Deloitte adó- és jogi osztályának partnere és a Deloitte GDPR csoportjának vezetője.

Cookie, IP cím, jelszó, mind személyes adat

A tanácsadó cég ismerteti: a rendelet minden olyan adatra kiterjed, amely egy természetes személyt azonosít, illetve amely által egy természetes személy azonosítható. A rendelet alapján személyes adatnak minősülnek az online azonosítók, mint például a jelszavak, a cookie ID-k és az IP címek.

Az új rendelet szerint az adatkezelőnek igazolnia kell, hogy megfelelően kezeli az adatokat: ennek alapja az adatvédelmi nyilvántartás és a belső adatkezelési szabályok megléte.

Ez is érdekelheti:

• Plusz emberekkel erősít a NAIH a GDPR hazai bevezetése miatt

Adatvédelmi tisztviselő és incidens rendszer

• A GDPR életbe lépése után a vállalatok szélesebb körében kell majd adatvédelmi tisztviselőt kinevezni, illetve incidenskezelési rendszert működtetni arra az esetre, ha az adatkezelésbe hiba csúszik, és az adatok biztonsága sérül – mutat rá a tanácsadó cég.
• A kiemelt adatkezelésnek minősülő tevékenység indítása esetén adatvédelmi hatástanulmányt is kell készítenie az alkalmazónak, amit jóvá kell hagyatnia a Nemzeti Adatvédelmi és Információszabadság Hatósággal.
• A KPMG szerint ebbe a körbe esnek az ügyféladatbázisok, térfigyelő kamerák, a munkahelyi teljesítményösztönző rendszerek, a profilalkotásra alkalmas eszközök is.

Durva szankciók

A közösségi jogszabály rendkívül súlyos szankciókat állapít meg a rendelkezéseit megsértő cégekre, a kiróható bírság alapesetben a cég árbevételének 2 százaléka, de kirívóan súlyos adatvédelmi incidenseknél vagy visszaesőknél akár 4 százalék is lehet – írja a KPMG.

• Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke nemrégiben egy konferencián arról beszélt, hogy az Európai Unióban május 25-től alkalmazni kell az új egységes adatvédelmi szabályozást, az Európai Bizottság a nemzeti hatóságoktól státuszjelentést is kér arról, hogyan állnak a GDPR alkalmazásához szükséges felkészüléssel.
• Ha nem születnek meg a szükséges jogszabályok, akkor akár kötelezettségszegési eljárást is indíthatnak az adott ország, illetve országok ellen – jegyezte meg.

A NAIH elnöke szerint 2020-ra évente ezermilliárd euróra becsülik a személyes adatok újrahasznosításának értékét.

Ennek kapcsán megjegyezte: sok szolgáltatás azért ingyenes, mert az emberek a személyes adataikkal fizetnek érte.

Ez is érdekelheti

• Microsoft: A magyar cégek azt sem tudják eszik-e vagy isszák a GDPR-t

Az Európai Unióban május 25-től alkalmazni kell az új egységes adatvédelmi szabályozást

Erre készülve a hatóság plusz negyven embert kért a kormánytól, ami az adatvédelemmel foglalkozó stábjuk nagyjából megduplázását jelenti – mondta a NAIH elnöke.

Péterfalvi Attila kitért arra is, hogy a GDPR hatálybalépése előtt több törvény – köztük kétharmados rendelkezések – módosítására is szükség van. Példaként említette:

Ahhoz, hogy a NAIH május 25. után is adatvédelmi hatóságként tudjon eljárni, a parlament kétharmados többségének meg kell szavaznia a szükséges törvénymódosítást, melyben erre a feladatra kijelölik a hatóságot.

Ez is érdekelheti:

• Microsoft: A magyar cégek azt sem tudják eszik-e vagy isszák a GDPR-t

Státuszjelentést is kell küldeni az EU-nak

A NAIH elnöke azt mondta, az Európai Bizottság a nemzeti hatóságoktól státuszjelentést is kér arról, hogyan állnak a GDPR alkalmazásához szükséges felkészüléssel.

Ha nem születnek meg a szükséges jogszabályok, akkor akár kötelezettségszegési eljárást is indíthatnak az adott ország, illetve országok ellen.

– jegyezte meg.

Kiemelte: a cél, hogy az Európai Unióban egy egységes adatvédelmi gyakorlat jöjjön létre. Ez a gyakorlatban azt jelenti – mondta Péterfalvi Attila -, hogy lesz egy európai adatvédelmi hatóság, s annak működik minden tagországban egy „fiókszervezete„, ez Magyarországon a NAIH.

Az európai adatvédelmi testület  nem csak tanácsadó, véleményező szerv lesz, az állásfoglalásait kötelező lesz betartani

A NAIH elnöke azt mondta: 2020-ra évente ezermilliárd euróra becsülik a személyes adatok újrahasznosításának értékét. Ennek kapcsán megjegyezte:

Sok szolgáltatás azért ingyenes, mert az emberek a személyes adataikkal fizetnek érte.

A Google-nek és a Facebooknak is alkalmaznia kell ezeket a szabályozásokat

Péterfalvi Attila közölte azt is: a NAIH elnökeként már amerikai, kínai felekkel is tárgyalt, hogy tájékozódjon arról, miként készülnek az egységes európai adatkezelés életbelépésre. Ugyanis – mint kiemelte – a GDPR-t május 25-től mindenkinek alkalmaznia kell, aki az Európai Unió területén élők számára nyújt szolgáltatásokat, köztük például a Google vagy a Facebook üzemeltetőinek is. A GDPR hatálybalépésével az adatbiztonság követelménye tehát „nagyon megszigorodik”.

Garantálni kell, hogy illetéktelenek ne tudjanak hozzáférni a rendszerekhez, ne tudjanak adatokat megszerezni. Ehhez fontos, hogy minden naplózva, dokumentálva legyen.

A kormány az egészségügyi adatok kezelésében nem tervez változtatásokat

A Medical Tribune egészségügyi szaklap által szervezett csütörtöki szakmai konferencián a betegek, az orvosok és az egészségipar szempontjából vitatták meg, milyen változásokra kell számítani az adatkezelés, az adatvédelem terén.

• Péterfalvi Attila azt mondta: a hatóságnak nincs információja arról, hogy a kormány vagy az egészségügyért felelős Emberi Erőforrások Minisztériuma milyen változásokat tervez az adatkezelés terén.
• Az egészségügyi adatok kezeléséről a GDPR 9. cikkelye rendelkezik. Ehhez van lehetőség kiegészítő nemzeti jogalkotásra, illetve szektorális törvények módosítására – közölte a NAIH elnöke.

Ez is érdekelheti:

• Kissé hiányos a tudásunk a GDPR bevezetésről a Trend Micro kutatása szerint

Biztosítani kell az állampolgárok ellenőrzési jogát a tárolt adataik felett

A NAIH elnöke ezzel együtt leszögezte: a globalizált, digatalizált adatkezelésnek törvényesnek, etikusnak, tisztességesnek és átláthatónak kell lennie. Péterfalvi Attila külön kiemelte, sokkal nagyobb hangsúlyt kell helyezni az állampolgárok tájékoztatására, biztosítani kell ellenőrzési jogukat, hogy nyomon tudják követni adataik kezelését.

A GDPR-rel összefüggő változásokról, iránymutatásokról a NAIH honlapján külön linken is tájékozódni lehet.