Farkas Tamás: mindössze három hónapjuk maradt a vállalatoknak a felkészülésre

A BMKIK által szervezett rendezvényen a május 25-től alkalmazandó új uniós adatvédelmi rendeletről, a GDPR-ről (General Data Protection Regulation) számolt be a szakember.

– A rendelet előírása közvetlenül alkalmazandó, nem igényli a törvénybe iktatást (Infotv.) és minden olyan céget érint – a családi vagy kis- és középvállalkozásoktól kezdve a multinacionális nagyvállalatokig –, amely személyes, vagy különleges adatot kezel. Az érintett vállalkozások képviselőinek már csak három hónapjuk van felkészülniük mind az elektronikusan tárolt, mind a papíralapú adatok átlátható kezelésére, azok megfelelő tárolására, a kockázatok elemzésére (hatásvizsgálat) és annak igazolására, hogy az adatok birtoklására, kezelésére megfelelő jogalapjuk van – mondta el a szakjogász.

Az új szabályozás hangsúlyt ad az „elfeledtetéshez”, azaz a törléshez való jognak, előírja egy esetleges adatvédelmi incidens bejelentésének határidejét (72 óra), megsokszorozza a bírság összegét. Súlyos esetben a pénzbüntetés felső határa 20 millió euróra rúghat, vagy az előző pénzügyi év teljes világpiaci forgalmának 4 százalékát érheti el (a kettő közül a nagyobb). Összehasonlításképpen a jelenleg hatályos Infotv. szerint 20 millió forint, azaz nagyjából 63 ezer euró a kiszabható legmagasabb bírság.

A szakjogász elmondta, Magyarország az elsők között volt, aki 1992-ben törvénnyel szabályozta az adatvédelmet. A műszaki fejlődés miatt nőtt a kezelt adatok mennyisége és a magánszemélyeket érintő hatások mértéke is. A GDPR ezért erősíti az érintettek jogait és komoly biztonsági követelményeket állít az adatkezelők elé.

A rendelet szerint előzetesen kell részletesen tájékoztatni az érintetteket az adatkezelés lényeges körülményeiről: az adatkezelőről, az adatkezelés jogalapjáról, céljáról, az adatok megőrzési idejéről, a jogairól, jogorvoslati lehetőségekről, az adatkezelésben közreműködő vállalkozásokról, az adattovábbítás címzettjeiről. Új elem, hogy súlyos adatvédelmi incidens esetén jelezni kell a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé, kritikus helyzetben az érintett felé is az eset részleteit, káros hatásait és a szükséges biztonsági intézkedéseket.

A szakértő szerint az a vállalkozás, ami még nem kezdett el a felkészüléssel foglalkozni, az már az utolsó pillanatban jár, ugyanis a GDPR elfogadásakor biztosított kétéves felkészülési időből már csak néhány hónap van hátra. Azoknak az adatkezelők viszont, akik már jelenleg is megfelelnek az Infotv. törvény elvárásainak, az adatkezelési gyakorlatuk felülvizsgálatát javasolja a szakember.

Dr. Farkas Tamás szakjogász ismertette az új rendelet részleteit. Fotó: BMKIK