A Rendelet néhány új jogintézményt is bevezetett. Adatvédelmi incidensnek minősül a kezelt adatban történt véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, vagy azokhoz való jogellenes hozzáférés, vagy mindezeknek kizárólag a veszélye. A gyakorlati életben ez jelenthet egy hackertámadást, nem biztonságos hálózaton küldött érzékeny tartalmú levél, téves címzettnek küldött, személyes adatokat tartalmazó anyag vagy a céges laptop elvesztése is. A GDPR további kötelezettséget előíró eleme, hogy az adatkezelő a szerződéses partnerek ilyen irányú tevékenységéért is felelősséggel tartozik. Ezért is kiemelt fontosságú a partneri szerződések felülvizsgálata, különös tekintettel az adatbiztonsági, felelősségi és titoktartási szabályokra.
Teljesség igénye nélkül szükséges – az adott vállalkozás egyedi jellemzői alapján specifikálva – a következő kötelezettséget teljesíteni és dokumentálni:
- adatvédelmi szabályzatot készíteni (kezelt adatok nevesítése, a jogalapok meghatározása, jogalaponkénti bontásban az érintettek jogai, az adatkezelés célja, időtartama, illetve címzettek köre);
- a munkavállalókat, ügyfeleket, beszállítókat mint érintetteket a kezelt adat vonatkozásában a jogaikról tájékoztatni és dokumentálni,
- hírlevél esetén a feliratkozóktól hozzájárulást kell kérni (eddig a NAIH-tól kellett (volna) regisztrációs számot kérni), illetve az adatkezelési szabályzatot számukra megismerhetővé kell tenni (informatikai feladatok részben) elkészíteni, továbbá a leiratkozást egyszerű (linkes) formában biztosítani;
- webáruház esetén a vásárló adatainak kezelésére vonatkozó tájékoztató a honlapon;
- sütik (anonim látogatóazonosítók) használata esetén szintén tájékoztatás és hozzájárulás kérése (e tekintetben szigorúbb lesz a szabályozás)
- Könyvelési, bérszámfejtési szolgáltatás igénybevétele esetén az adatkezelői/adatfeldolgozói szerepek lefektetése, az e célból átadott adatokról történő nyilvántartás vezetése
Néhány további új jogintézményt is létrehozott a Rendelet, mint adatvédelmi hatásvizsgálat vagy adatvédelmi tisztségviselő kinevezése. Ezek azonban többek közt automatizált, ún. profilalkotó adatkezelés esetén kötelező, ez már a vállalkozások kisebb hányadát érinti.
Ugyan a magyar tagállami törvény (Az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CII. Törvény, mint Infotv.) módosítása a Rendelet rendelkezéseinek megfelelően május végéig nagy valószínűséggel nem készül el, a jelenleg hatályos Infotv. kiegészítő jelleggel szabályozza az adatvédelmi témakört. a Rendelet által előírt új kötelezettségek teljesítésének ellenőrzésére a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) rendelkezik hatáskörrel.
Az új adatvédelmi szabályozás teljesen új alapokra helyezi az eddigi jogi előírásokat. Az eddigi hatósági bejelentési kötelezettség megszűnik, helyette a hangsúly a vállalkozás elszámoltathatóságára helyeződik, azaz egy esetleges ellenőrzés során a vállalkozásnak kell az adatkezelési tevékenységének jogszerűségét alátámasztani, mindennek a kötelező szabályzatokkal és folyamatosan frissített nyilvántartásokkal, tájékoztatókkal és hozzájáruló nyilatkozatokkal kell megfelelni.
Hatósági ellenőrzésre a kezdeti időszakban bejelentés alapján lehet számítani, amelyet egy érintett, mint sértett munkavállaló vagy ügyfél közvetlenül a hatóság részére megtehet. Ilyen esetben a NAIH-nak kötelező a vállalkozás adatkezelésének teljeskörű ellenőrzését lefolytatni.
A médiában sokszor olvashatjuk ijesztgetésként a várható büntetési tételekről. Kétségtelen, hogy a GDPR a mulasztás jogkövetkezményeit is szigorította (a büntetés felső tétele számszakilag ugyan nem változott, csak devizanemében, azaz az eddigi 20 millió forint helyett 20 millió Euróra nőtt). A bírság azonban a hatóság egyedi mérlegelési körébe esik, ugyanakkor érdemes az új kötelezettségekre felkészülni, és a fentiek alapján időben eleget tenni.
Még nem készítette el adatvédelmi dokumentációját? Nem tudja pontosan, hogyan kell megfelelni a szabályoknak? Mi segítünk Önnek, forduljunk hozzánk bizalommal!