Akár árbevételük négy százalékára rúgó bírságra is számíthatnak azok a vállalkozások, amelyek nem fordítanak kellő figyelmet ügyfeleik adatainak védelmére. Az adatvédelmi hatóság idén kiemelten vizsgálja az adatalanyok előzetes tájékoztatásával kapcsolatos követelmények betartását.

Az európai-amerikai adatcsere feltételeinek változásai és az új, általános európai adatvédelmi rendelet komoly kihívások elé állítja a nemzetközi vállalatokat. A rendelet változásaira két év alatt kell felkészülni – hangzott el a Kajtár Takács Hegymegi-Barakonyi Baker & McKenzie Ügyvédi Iroda és a Vállalati Jogtanácsosok Európai Egyesülete (ACCE) napokban megrendezett konferenciáján. Az adatvédelmi hatóság szerint 2018-tól a vétkes vállalatok akár a globális árbevételük négy százalékának megfelelő adatvédelmi bírsággal is számolhatnak.

Dr. Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke hangsúlyozta, hogy a hatóság az idei évben kiemelten vizsgálja az adatalanyok előzetes tájékoztatásával kapcsolatos követelményeket, valamint az anonim álláshirdetések kérdését. A NAIH emellett ajánlást készül kiadni a telefonos hangfelvételek rögzítéséről, illetve a közterületi kamerázást érintő kérdésekről. A hatóság vezetője kitért a 2018-ban hatályba lépő új európai adatvédelmi rendeletre, amely egységes adatvédelmi szabályokat rögzít az EU területén. A rendelet adatvédelmi jogsértés esetén az elkövető társaság globális nettó árbevételének 4 százalékában határozza meg a kiszabható adatvédelmi bírság maximumát, amellyel kapcsolatosan Péterfalvi Attila kiemelte, hogy a jövőben várhatóan a jelenlegi többszörösére nő majd a NAIH által kiszabott bírságok összege.

Több mint négy hónap telt azóta, hogy az Európai Bíróság azonnali hatállyal érvénytelennek nyilvánította az Európai Unió és az Egyesült Államok közötti adatcsere feltételeit megkönnyítő „biztonságos kikötő” (Safe Harbor) európai bizottsági határozatot. A bíróság megállapítása szerint a Safe Harbor az amerikai kormányzattal szemben nem nyújtott megfelelő adatvédelmi garanciákat az európai polgárok tömeges, titkos megfigyelése ellen. Az európai adatvédelmi hatóságok 2016. január 31-ig adtak határidőt az Európai Unió és az Egyesült Államok tárgyalói részére, hogy a transzatlanti adattovábbítások rendszerét az érvénytelen Safe Harbor rendszer helyett új alapokra helyezzék.

A transzatlanti adattovábbítások ügyében a hatóság elnöke utalt arra, hogy 2016. február 2-án az Európai Bizottság és az Egyesült Államok között politikai egyezség született a „biztonságos kikötő” rendszert jövőben felváltó „Privacy Shield” keretrendszerről. A megállapodás szövegét az európai adatvédelmi hatóságok nem kapták kézhez, ezért február végéig szabtak határidőt az Európai Bizottság részére, hogy a megállapodás konkrétumaival szolgáljanak.

Péterfalvi Attila úgy látja, hogy az európai adatvédelmi hatóságok olyan általános jogi garanciák nyújtását várják el, amelyek képesek határt szabni az európai polgárok Egyesült Államokba továbbított személyes adatai korlátlan nemzetbiztonsági felhasználásának. Amennyiben az Egyesült Államok ilyen általános vállalásokat nem nyújt, úgy a hatóság elnöke szerint a transzatlanti adattovábbítások egyéb, alternatív megfelelőségi mechanizmusai is megkérdőjelezhetők. Ennek kérdését az európai adatvédelmi hatóságok az Egyesült Államok által nyújtott biztosítékok fényében, februárt követően vizsgálják majd meg.

Figyelembe véve az európai adatvédelmi hatóságok által támasztott szigorú feltételeket, jelenleg még mindig bizonytalan, hogy az Európai Unió és az Egyesült Államok képes-e egy szilárd jogi alapokon nyugvó újabb adattovábbítási keretrendszer létrehozására – jelezte előadásában dr. Liber Ádám ügyvéd, a Kajtár Takács Hegymegi-Barakonyi Baker & McKenzie Ügyvédi Iroda adatvédelmi ügyekre szakosodott szakértője. Az európai adatvédelmi jog tiltja a személyes adatok külföldre történő továbbítását, kivéve, ha a továbbított személyes adatok megfelelő szintű védelme biztosított. Az Egyesült Államok esetében a Privacy Shield bevezetéséig a szükséges adatvédelmi garanciákat többek között adattovábbítási szerződések megkötése biztosíthatja. 

Dr. Liber Ádám szerint az adattovábbítási szerződések megkötése során már most érdemes tekintettel lenni az egységes európai adatvédelmi rendeletre, amelynek az Európai Tanács és az Európai Parlament által jóváhagyott végleges szövegtervezetét 2015 decemberében tették közzé. Az európai általános adatvédelmi rendelet a határokon átnyúlóan működő vállalkozások adminisztratív terheit csökkenti. Ezzel egyidejűleg az európai adatvédelmi hatóságok a jelenleginél jóval erősebb felügyeleti jogosítványokat és szankcionálási lehetőséget kapnak.

Az új szabályok szigorúbb feltételeket és adminisztratív kötelezettséget rögzítenek többek között az adattovábbítás, az adatvédelmi incidensek bejelentése, az adatalanyi hozzájárulás, a szerződéskötés és az adatkezelési tájékoztatók vonatkozásában. A jogszabályi változások és a globális vállalati árbevétel 4 százalékáig terjedő adatvédelmi bírság lehetősége merőben új kockázatértékelést, valamint az adatvédelmi megfelelőség kiemelt prioritásként való kezelését teszi majd szükségessé a vállalati compliance területén – hívta fel a figyelmet dr. Liber Ádám, aki úgy látja, a kétéves felkészülési határidő igen szoros lesz az átálláshoz.

Évről-évre növekszik a több országra kiterjedő vállalati belső vizsgálatok száma. A vizsgálattal érintett személyek adatvédelmi jogai eleve kihívás elé állítják a visszaéléseket felderíteni kívánó szakembereket. A személyes adatok továbbítását korábban számos esetben jogszerűvé tevő Safe Harbor érvénytelenné nyilvánítása pedig az amerikai vállalatok esetén tovább nehezíti a belső vizsgálat során megismert adatok Európából az Egyesült Államokba továbbítását – tette hozzá Dr. Puskás János, a Baker & McKenzie Ügyvédi Iroda compliance és belső vizsgálat szakértője.