Nézze meg a sporthíreket is
Iratkozzon fel hírlevelünkre Nézze meg a sporthíreket is
Csatlakozzon hozzánk közösségi oldalainkon is!
Az Európai Unió jelenlegi adatvédelmi jogszabálya helyébe lépő új adatvédelmi rendelettervezete nyomán - ha az megközelítőleg a jelenlegi formájában kerül elfogadásra - az adatkezelőknek jelentős szervezeti és dokumentációs változásokat kell bevezetni, és az adatvédelmi hatóságok működési módja is lényeges módosulásokon eshet át - hívták fel a figyelmet a CMS Cameron McKenna LLP Ügyvédi Iroda szakértői a kétrészes elemzés második részében.
Dr. Petrányi Dóra kiemelte: a rendelettervezet - amely megalkotására, miként arról az első részben is szó volt, komoly igény mutatkozik - számos új adatvédelmi alapelvet is rögzít. A "beépített és alapértelmezett adatvédelem" (Privacy by Design) előírása alapján a személyes adatokat kezelő eszközök, szoftverek, alkalmazások gyártóinak magában a termékben kell biztosítaniuk az adatok technikai védelmét, hozzáférhetetlenségét, kezelésük jogszerűségét.
Előzetes "adatvédelmi hatásvizsgálatot" (Data Protection Impact Assesment / Privacy Impact Assesment) kell lefolytatni, ha egy tervezett adatkezelés a rendelettervezet értelmében különleges kockázatot jelentene. Az úgynevezett "elfelejtéshez való jog" ("right to be forgotten") értelmében a felhasználó bármikor kérheti személyes adata internetes linkjének, másolatának vagy másodpéldányának törlését is.
Kérdés, hogy az ilyen kérések hogyan teljesíthetők, különösen online környezetben, vagy mi a teendő, ha ezt a jogot visszaélésszerűen gyakorolják, például egy közszereplő a róla megjelent hátrányos információkat töröltetni akarja az internetről. Az "adathordozhatósághoz való jog" (data portability) alapján az érintettnek joga lesz arra, hogy kérje az adatkezelőtől személyes adatainak elektronikus másolatát, az adatok telefonszám-hordozhatósághoz hasonló "továbbvitelét" egy másik szolgáltatóhoz. Ez az előírás szintén jelentős változásokat igényel a cégek technikai eszközeiben és belső eljárásaiban.
"Adatbiztonsági értesítések" a felhasználóknak
A rendelettervezet általánosságban kötelezővé tenné az adatbiztonsági értesítési kötelezettséget (security breach notification) valamennyi iparágban. Ennek értelmében a személyes adatok biztonságának megsértése (például: hackertámadás, illetéktelen hozzáférés, adatvesztés) esetén az adatkezelők kötelesek értesíteni az illetékes adatvédelmi hatóságot, súlyosabb esetben pedig magukat a felhasználókat is - mutattak rá a CMS Cameron McKenna LLP Ügyvédi Iroda szakértői.
Az előírás követi az adatbiztonsággal kapcsolatos joggyakorlat nemzetközi szintű szigorodását. Nemrég például a LinkedIn-től loptak 6,5 millió ügyféladatot, és Kaliforniában emiatt csoportos per indult a közösségi oldal ellen, Angliában pedig az ottani adatvédelmi hatóság (ICO) szabott ki 250 ezer angol font bírságot a Sony Computer Entertainment Europe Limited-re, mert a megfelelő szoftverfrissítéssel és biztonságosabb jelszóvédelemmel megakadályozhatott volna egy hackertámadást, ahol több millió felhasználójának adata került veszélybe.
Belső adatvédelmi felelőst a legtöbb cégnek?
A rendelettervezet előírná a cégeknek a belső az adatvédelmi felelős kinevezését, ha az adatkezelést hatóság, állami szerv vagy legalább 250 alkalmazottat foglalkoztató vállalkozás végzi, illetve az adatkezelés az érintettek rendszeres és rendszerszerű nyomon követését igényli. A gyakorlatban ugyanakkor nem feltétlenül indokolt, hogy az adatvédelmi felelős kinevezése a munkavállalók számához kötődjön - előfordulhat, hogy nagyszámú személyzettel rendelkező adatkezelő csak alacsony kockázatú adatkezelési tevékenységet folytat, internetes cégek ugyanakkor kevés munkavállalóval is működnek, viszont jelentős mennyiségű adatot kezelnek. Könnyítés, hogy cégcsoporton belül itt is érvényes lehet a "one stop shop".
Az új jogszabályok végrehajtása
Dr. Domokos Márton rámutatott: a rendelettervezet létrehozná az Európai Adatvédelmi Testületet (European Data Protection Board), amely minden tagállam egy adatvédelmi hatóságának vezetőjéből és az európai adatvédelmi biztosból áll. Fő feladatként adatvédelmi tanáccsal látná el a Bizottságot, valamint iránymutatásokat és ajánlásokat dolgozhat ki.
Megmaradnak emellett a tagállami adatvédelmi hatóságok, akik előzetesen értesítik az Európai Adatvédelmi Testületet és a Bizottságot, ha a tagállamukban a személyes adatok EU-n belüli szabad áramlására lényeges hatással járó intézkedést kívánnak elfogadni. Ilyen például az EU-n kívüli országba való adattovábbításhoz szükséges adatvédelmi feltételek engedélyezése, vagy határon átnyúló szolgáltatásnyújtás / felhasználói viselkedés monitoringgal kapcsolatos intézkedések.
A tervezett intézkedést az Európai Adatvédelmi Testület és a Bizottság egyaránt véleményezheti. A Bizottság emellett kötelezheti az érintett hatóságot, hogy a tervezett intézkedést maximum 12 hónapra függessze fel. A felfüggesztés célja, hogy az érintett tagállami adatvédelmi hatóság és az Európai Adatvédelmi Testület álláspontjukat összehangolják; vagy a Bizottság a kérdésben jogszabályt fogadjon el. A különböző tagállami hatóságok közös vizsgálati feladatokat, közös végrehajtási intézkedéseket és közös műveleteket hajthatnak végre. Határon átnyúló együttműködésre már most is van példa: a Google módosított adatvédelmi szabályait az európai adatvédelmi hatóságok a francia hatóság (CNIL) vezetésével vizsgálták.
A rendelettervezet az adatvédelmi hatóságokat emellett széles körű szankcionálási joggal ruházza fel. Ennek értelmében egy adatvédelmi hatóság akár egymillió euróig terjedő, vagy vállalkozás esetén az éves világméretű forgalom legfeljebb 2 százalékát kitevő bírságot is alkalmazhat a jogszabály leglényegesebb előírásainak szándékos vagy gondatlan megszegése esetén. A magas és elrettentő bírságok várhatóan nagyobb adatvédelmi megfeleléshez vezetnek, várható ugyanakkor, hogy a cégek árképzésükbe is belekalkulálják a potenciális bírságok összegét.
Hogyan érdemes felkészülni?
Ami a legfontosabb: ha a rendelettervezet megközelítőleg a jelenlegi formájában elfogadásra kerül, az adatkezelőknek jelentős szervezeti és dokumentációs változásokat kell bevezetni, és az adatvédelmi hatóságok működési módja is lényeges módosulásokon eshet át.
Az adatkezelők számára tehát elengedhetetlen, hogy időben megkezdjék felkészülésüket a rendelettervezetnek való megfelelésre, különös tekintettel a belső eljárások, dokumentációs kötelezettségek bevezetésére, a szükséges szervezeti, szerződéses és technológiai változtatások - például adatkezeléssel járó szerződések módosítása, a szigorúbb hozzájárulási követelmények miatt IT rendszerek cseréje - elvégzésére, az illetékes személyek kinevezésére, a munkavállalók oktatására és egyéb megfelelési (compliance) feladatok teljesítésére. Ennek előkészítését már most érdemes elkezdeni - tanácsolták a CMS Cameron McKenna LLP Ügyvédi Iroda szakértői.
A rendelettervezetet bírálat is éri A teljes képhez hozzátartozik, hogy a rendelettervezet az elkövetkező időszakban várhatóan számos változtatáson esik át - a legkritikusabb pontok: a szabályok EU-n kívüli alkalmazása, a kiterjedt dokumentációs kötelezettség, az elfelejtéshez való jog, az adathordozáshoz való jog, a szigorú bírságok, valamint az adatbiztonsági értesítési eljárások gyakorlati megvalósítása. Ellenzői szerint ugyanakkor egy rendelet nincs tekintettel a tagállami sajátosságokra, és több helyen megengedőbb / szigorúbb adatvédelmi szabályokat tartalmaz, mint a hatályos tagállami szabályozások. A valódi ok azonban vélhetően a tagállami szuverenitás további feladásától való félelem - húzta alá dr. Petrányi Dóra. Több kritikát is megfogalmaztak a rendelettervezettel szemben egyes USA-ban működő szolgáltatók: véleményük szerint a tervezett szabályok betartása ésszerűtlenül nehézkes lehet egy EU-n kívül működő adatkezelőnek, különös tekintettel arra, hogy az EU adatvédelmi szabályai jelentősen és a gyakorlatban nem mindig indokolt mértékben eltérhetnek más országok szabályaitól, vagy az iparági "legjobb gyakorlattól". Egyre gyakoribb, hogy az EU-s szabályok alapján egy-egy világszerte hozzáférhető szolgáltatást az EU valamely tagállamának adatvédelmi hatósága jogellenesnek talál. A Facebook "Friend Finder" - a felhasználó e-mail címlistáját felhasználó - funkcióját például egy német bíróság tartotta a helyi adatvédelmi jogszabályokba ütközőnek, mert a felhasználókat nem tájékoztatták megfelelően erről a funkcióról. A Bizottság mindenesetre elszánt a rendelettervezetben bevezetett koncepciók megvalósítása mellett, az elért előnyök ugyanis még a problémás rendelkezésekben való kompromisszumok mellett is figyelemre méltóak lehetnek: nagyobb jogharmonizáció, a one-stop-shop, adminisztratív terhek (például az adatvédelmi nyilvántartásba való bejelentkezési kötelezettség) eltörlése, az "elszámoltathatóság" és a "beépített és alapértelmezett adatvédelem" nevesítése, és a nemzetközi adattovábbítások részletesebb szabályozása. |
origo.hu
Döntött a romániai magyar botránybíróról az UEFA
metropol.hu
Újra jön a Győzike Show!
borsonline.hu
Szülinapos: hatéves lett Lajos herceg. Tündéri, mivel készült neki Katalin hercegné – Galéria
magyarnemzet.hu
Nagy csapás érte a derbire készülő Liverpoolt
ripost.hu
Házasság első látásra: Csabi reagált a róla és Bogiról elterjedt pletykákra
mandiner.hu
Elájult a román utazóblogger attól, amit Magyarországon látott
magyarnemzet.hu
Ők uralják az internetet, Orbán Viktor az élen
mindmegette.hu
Félreértette a pincér a nő rendelését, volt is meglepetés, amikor megérkezett az étel
origo.hu
Óriási sportélmény és show lesz a kanadai hokiválogatott budapesti meccse - videó
videa.hu
Káposztás kofta, sült szeretetgolyók fűszeres paradicsommártásban -receptvideó (hirdetés)
jatek.hirfm.hu
Nyerő ajándékok. Vigye el őket a Hír FM játékában (hirdetés)
origo.hu
