Május 25-től az Európai Unió minden országában alkalmazni kell az általános adatvédelmi rendeletet (GDPR), amelynek alapján a tagállami adatvédelmi hatóságok eddig nem látott összegű bírságokat szabhatnak ki. A bírság maximális összege 20 millió euró, de egy multinacionális vállalat esetén ennél nagyobb összeggel is számolhatnak, miután a cég teljes éves világpiaci forgalmának legfeljebb 4 százalékára is rúghat a büntetés. Azt viszont az Európai Unió adatvédelmi munkacsoportjának iránymutatása alapján sem lehet prognosztizálni, hogy egy-egy jogsértés esetén milyen összegű bírságot szabhatnak ki.
Az új rendelet a családi vállalkozásoktól kezdve a legnagyobb multinacionális cégekig mindenkire kiterjed, hiszen valamilyen szinten minden vállalkozás kezel személyes adatokat (például vannak munkavállalói, ügyfelei, szerződéses partnerei stb.). Ráadásul Kovács Zoltán Balázs, a Szecskay Ügyvédi Iroda ügyvédje szerint nyártól megnövekedett számú ellenőrzésre és komolyabb bírságokra lehet számítani.
Hogyan bukhat le egy vállalat?
Május 25-e után számolni kell azzal, hogy megnövekszik az adatvédelmi hatósághoz tett bejelentések száma. Könnyen megeshet, hogy egy volt munkavállaló, üzleti partner, egy ügyfél vagy versenytárs bejelentést tesz a hatóságnál jogsértés gyanújával, amelyet követően a hatóság eljárást indít.
Az Európai Bíróság korábban kialakított gyakorlata alapján a bírság maximumának százalékos mértéke nem a konkrét jogsértő vállalkozás, hanem az adott vállalatcsoport előző pénzügyi évének teljes árbevételére vetítendő. Mindez azt jelenti, hogy a büntetés maximális összege egy multinacionális cég esetében akár meg is haladhatja a 20 millió eurót (500 millió euró előző évi világpiaci forgalom fölött már ez a helyzet).
Mit ellenőriznek?
A hatóság eljárásának pontos szabályait az Országgyűlésnek május 25-e előtt el kell fogadnia. A jogalkotónak a jelenlegi szabályok módosításakor többek között ki kell jelölnie a hatóságot, amely a rendeletben foglaltak ellenőrzéséért felel. Bár ez a mai napig nem történt meg, a személyes adatok kezelését végzők számára mégis ajánlott a felkészülés, hiszen a nyártól a hatóság eddig nem látott szigorral élhet a jogsértőkkel szemben.
A rendelet szerint az eljárás során a hatóság tájékoztatást kérhet a személyes adatok kezeléséről, hozzáférést kérhet a személyes adatokhoz, az adatkezelő, illetve adatfeldolgozó helyiségeihez és eszközeihez, továbbá dokumentumok átadására hívhat fel. Az, hogy pontosan milyen információk és dokumentumok nyújtására hív fel a hatóság, elsősorban az eljárás tárgyát képező kérdésektől függ - derül ki a Szecskay Ügyvédi Iroda közleményéből.
Amennyiben például egy állítólagos adatvédelmi incidenst jelentenek be a hatósághoz - azaz ha egy személyes adatokat tartalmazó emailt tévedésből olyan személynek is elküldtek, akinek nem lett kellett volna, vagy egy vállalkozás ügyféladatait tartalmazó adatbázisát illetéktelenek feltörik, vagy egy munkavállaló elveszti a munkavégzéshez használt laptopját -, akkor a hatóság az incidenssel érintett adatkezelőnél rá fog kérdezni többek között arra, hogy történt-e a bejelentésben foglaltak szerinti incidens.
Arra a kérdésre is választ kell tudni adnia a cégnek, hogy milyen intézkedéseket tett az adatkezelő az adatvédelmi incidens következményeinek enyhítésére, illetve tájékoztatta-e az érintetteket az incidensről és, ha nem, miért nem. A hatóság minden bizonnyal elkéri az adatvédelmi incidensekről kötelezően vezetendő nyilvántartást is, illetve az incidensszabályzatot, továbbá megvizsgálná, hogy az adatkezelő megtette-e a megfelelő technikai és szervezési intézkedéseket az incidens megelőzése érdekében, ha pedig az bekövetkezett, akkor alkalmazott-e egy előre kialakított megfelelő incidenskezelési rendszert.
Képünk forrása: Shutterstock