2017. december. 18. hétfõ - Auguszta napja van
Banner
Banner
Banner
Ezért akár hatmilliárd forintnyi bírság is kiszabható

Ezért akár hatmilliárd forintnyi bírság is kiszabható

2017. november 22. 16:45

A jövő május 25-én hatályba lépő új európai általános adatvédelmi rendelet (GDPR) minden tagállamra egységesen kiterjedően szabályozza majd az állampolgárok személyes adatai védelmének jogi keretrendszerét. S kifejezetten nagymértékű bírságokat is kilátásba helyez.

Az Európai Unió átfogó adatvédelmi reformja bevallottan időtálló és technológia semleges jogi szabályozásra törekedett, ami a digitális környezet és technológiák egyre gyorsuló változása közepette is képes lenne biztosítani, hogy a személyes adatok védelméhez fűződő jog ne sérülhessen. A korábbi, 1995-ös szabályozás, amelyen a jelenleg hatályos nemzeti törvények alapulnak, még nem nyújtott ilyen egységes, kiszámítható és így az uniós piacokon a vállalkozóknak és az állampolgároknak egyaránt versenysemleges feltételeket biztosító adatvédelmi szabályrendszert.

Az öt hónapon belül életbe lépő szabályozás többek között szigorítja, hogy a vállalat hogyan kaphat hozzájárulást az ügyfelektől a személyes adatok kezeléséhez; meghatározza, hogy az adatvédelmi incidenseket 72 órán belül kötelezően jelenteni kell Magyarországon az Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé; illetve minden vállalatnak, mely személyes adatokat rendszeresen és nagymennyiségben kezel, adatvédelmi tisztviselők kijelölését írja elő.

Globális adatáramlás

Az új kereskedelmi és marketing technológiák globálisan és alapjaiban változtatták meg azt, hogy kik és miként gyűjtik a személyes adatainkat, azokhoz kik és milyen feltételekkel férnek hozzá, milyen célból használják fel, vagy adják tovább azokat másoknak. Ez a fajta adatáramlás egyre inkább globális jelleget öltött és a rendszer majdnem minden szereplője arra törekszik, hogy abból valamilyen hasznot húzzon akár anélkül, hogy arról az adatalany bármit sejthetne. Egyre gyakrabban és meggyőzőbben hallani, hogy „az adat az új olaj”, az emberek mindenhol digitális lábnyomot hagynak maguk után: 2020-ra prognosztizáltan 25 milliárd (!) internetre kapcsolt eszközt használunk majd.

Mivel a jelenlegi, több, mint két évtizedes jogi szabályozás felett eljárt az idő, az új rendeletben kellett a jogalkotónak választ adni olyan hétköznapi kihívásokra, mint például az állampolgárok személyes adatainak biztonságos hordozhatósága különböző kereskedelmi szolgáltatók között, vagy a teljes felejtéshez, vagyis a személyes adatok tárolásának megszüntetéséhez való jog, amelynek segítségével hatékonyabban kezelhetők az online adatvédelemi kockázatok.  

„Az új Rendelet alapján azt is egyértelmű szabályok fogják meghatározni, hogy az unión kívüli adatkezelőkre mikor és milyen feltételekkel kell az egységes uniós adatvédelmi szabályokat alkalmazni” – emeli ki Tóth János ügyvéd, a Wolf Theiss budapesti partnere. Hozzátette: különösen ez utóbbiak jelentenek a nemzeti adatvédelmi hatóságok számára kihívásokat, mivel annak következtében, hogy a technológia vívmányaival az adatalanyok mára jellemzően nem helyi, hanem felhő alapú távoli számítógépes platformokat használnak, a személyes adataik szinte követhetetlenül vándorolnak az unión kívüli kibertérben is.

A vállalatok által kezelt személyes adatok biztonsága

Ugyanakkor arról kevés szó esik a rendelet száraz jogi aspektusait magyarázó, a változásokkal fenyegető szakértői megjelenések közepette, hogy az új adatvédelmi szabályozás mit jelent vajon a cégek kiberjelenléte tekintetében. A fő kérdés tehát, hogy vállalati intézkedésekkel a számítástechnikai infrastruktúrák és belső folyamatok felkészíthetők-e arra, hogy az új adatvédelmi szabályok életbe lépése ne jogszabályi kötelezettségként, hanem versenyelőnyként jelenjen meg a cégeknél.

Persze változatlanul kiemelt szempont marad az adatvédelem általános elvein túl a vállalatok által kezelt személyes adatok biztonsága is. Kutatások szerint az egyszerű munkavállalók húsz százaléka hajlandó lenne eladni a céges IT belépési azonosítóit jogosulatlan adathalászoknak és közülük majdnem minden második ezt kevesebb, mint ezer dollárért is megtenné akár.  Ám ennél sokkal ártatlanabb és persze általánosabb jelenség, hogy az ismeretlen helyről érkező email-eket a munkavállalók 23 százaléka kritika és ellenőrzés nélkül egyből megnyitja, és 11 százalékuk még az email-hez csatolt file-al is megteszi ezt. Egy ilyen meggondolatlan kattintással az adott vállalat teljes nemzetközi számítástechnikai rendszere, benne valamennyi személyes adattal kompromittálódhat.

„Az elmúlt időszakban a sajtó is beszámolt számos olyan esetről, amikor eminens globális vállalatok, fontos állami intézmények váltak adatlopás vagy zsarolóvírus áldozataivá, ügyfeleik vagy az állampolgárok százezreinek a személyes adatait veszélyeztetve. Arról viszont kevesebb szó esik, hogy az ilyen esetek a kármentés közvetlen költségein túl milyen reputációs és anyagi kitettséget jelentettek az adott cégnek az adatvédelmi hatóságok irányába, amelyek a rendelet alapján jövőre már akár többmillió eurós közigazgatási bírságot is kiszabhatnak egyetlen jogsértés kapcsán” – mutat rá Tóth János.

Minimálisra csökkentett kockázat

Ilyen turbulens viszonyok között elvitathatatlan annak a fontossága, hogy a cégek minden tekintetben felkészülten tekintsenek az új egységes európai adatvédelmi szabályozás elébe és minimálisra csökkentsék annak a kockázatát, hogy az ügyfeleikkel vagy az állami szabályozó hatóságokkal találják magukat szembe elégtelen adatvédelmi felkészültségük miatt. Mindez azért is különösen lényeges, mivel a GDPR életbe lépésével komoly bírság- és kártérítési összegek is meghatározásra kerületek, melyek akár a rendeletet megsértő cég működését is veszélybe sodorhatják.

Az adatkezelőkre és az adatfeldolgozókra érvényes rendelkezések megsértése esetén maximum tízmillió eurós vagy a cég árbevételének két százalékával megegyező mértékű bírság szabható ki, melyek közül a magasabb összeg lesz érvényes. Ennek duplája – húszmillió euró, vagy az árbevétel négy százaléka – lehet a bírság maximuma, ha az ügyfeleket direktebb módon érintő problémát, például adatkezelési, az adatkezelt ügyfelek jogainak megsértését állapítja meg a hatóság.

Hunyor Erna Szofia
Forrás: Pr7/Wolf Theiss 

Partneroldalak