EU Általános Adatvédelmi Rendelet: Ön felkészült rá?

Átírás

1 EU Általános Adatvédelmi Rendelet: Ön felkészült rá?

2

3 Tartalom Mit kell tudnia az Európai Unió új Általános Adatvédelmi Rendeletéről? Felkészültek-e a szervezetek az EU új Általános Adatvédelmi Rendeletének átvételére? Hogyan tud felkészülni az új Általános Adatvédelmi Rendeletre? Hogyan tudunk a felkészülésben segíteni? Korábbi munkáink Elérhetőség

4 Mit kell tudnia az Európai Unió új Általános Adatvédelmi Rendeletéről? Az adatvédelem terén korábban sosem látott mértékű és jelentőségű változásokra kerül sor. A változások mögött elsősorban az alábbi események állnak: A médiában napvilágot látó, egyre több és egyre komolyabb adatvédelmi visszaélésekről szóló beszámolók következtében a személyes adatok kezelésének biztonsága a fogyasztók és a hatóságok figyelmének középpontjába kerül Az új Európai Uniós Általános Adatvédelmi Rendeletet megelőző Safe Harbor egyezmény megszűnése Az új Európai Uniós Általános Adatvédelmi Rendelet (GDPR) létrejötte, amely mérföldkövet jelent az adatvédelem történetében Az Európai Bizottság, a Tanács és a Parla ment több mint három évig tartó, háromoldalú tárgyalások után, december 15-én informális megállapodásra jutott az Általános Adatvédelmi Rendelet (General Data Protection Regulation, GDPR) véglegesítése ügyében. A Rendelet jelentős változásokat hoz a gazdasági szervezetek működésében. A végleges verziót az Állampolgári Jogi, Bel- és Igazságügyi Bizottság is elfogad ta. A Rendelet a korábbihoz képest szigorúbb előírásokat tartalmaz, és az adatvédelmi szabályok megszegését akár az adott társaság globális, éves árbevételének 4 százalékát is elérő mértékben büntetheti. A Rendelet a 95/46/EK Irányelv helyére lép, amely 1995-ös bevezetése óta az európai adatvédelmi törvények alapjának számított. A GDPR hivatalos kihirdetésére 2016-ban került sor, és ezt követően további kon zultációk nélkül május 25-én lesz kötelezően alkalmazandó minden EU tagállamban. A Rendelet jelentős változásokat hoz a gazdasági szervezetek számára minden iparágban, a változások között könnyítések és nehezítések, illetve a költ ségeket növelő és csökkentő változások egy a ránt megtalálhatók. A 28 tagállamban egységes, harmonizált előírásokat bevezető Rendelet megkönnyíti majd a multinacio nális szervezetek számára a jelenleg meglehetősen összetett és színes adatvédelmi előírások betartását. Az érin tettek jogainak kiterjesztése pél dául a felejtéshez való jog, az adatok hordozhatóságához való jog és az adatvédelmi incidensek kötelező bejelentése a jelenleginél ugyanakkor nagyobb terhet ró a társaságokra. A vállalkozások számá ra éppen ezért fontos feladat az aktuális adatvédelmi programjaik át tekintése, értékelése, és azon lépések (valamint a hozzájuk tartozó kiadások) meghatározása, amelyek megtétele a következő két év során ahhoz szükséges, hogy az új előírásoknak gond nélkül meg tudjanak majd felelni. A szervezeteknek már most meg kell kezdeniük a felkészülést ahhoz, hogy a 2018 tavaszán kötelezően alkalmazandó új rendelet átvételére készen álljanak. 2 EU Általános Adatvédelmi Rendelet: Ön felkészült?

5 Az új EU Adatvédelmi Rendelet által bevezetett főbb változások Az éves globális árbevétel 4 százalékát is elérő bírságok Kiterjesztett joghatóság Adatvédelmi tisztségviselő (DPO) Elszámoltathatóság Adatvédelmi hatástanulmány Hozzájárulás Adatvédelmi incidensek kötelező bejelentése Új jogok Adatvédelem figyelembe vétele már a tervezési fázisban Adatfeldolgozók kötelezettségei A GDPR előírások be nem tartása komoly bírságokat vonhat maga után. A hatóságok akár a társaság teljes éves árbevételének 4 százalékát elérő, de legfeljebb eurós bírságot is kiszabhatnak. A Rendelet minden olyan adatkezelőre és adatfeldolgozóra kiterjed, amely az Európai Unióban működik, illetve EU tagállamok személyes adatait kezeli. Minden olyan szervezet köteles adatvédelmi tisztségviselőt kijelölni, amely jelentős mértékű és szisztematikus monitoring tevékenységet végez vagy nagy mennyiségű személyes adatot kezel. A társaságnak biztosítania kell a bizonyítható elszámoltathatóság feltételeit: Az adatfeldolgozási eljárások nyomon követésének, ellenőrzésének és értékelésének gyakorlatát megteremtve A szükséges adatfeldolgozás és a tárolt adatok mennyiségét minimalizálva Az adatfeldolgozási tevékenységekbe megfelelő biztonsági kontrollokat beépítve Az adatfeldolgozási szabályokat, eljárásokat és tevékenységeket dokumentálva, és a dokumentációt kérésre az adatvédelmi hatóságnak bemutatva Minden olyan társaság köteles adatvédelmi hatástanulmányt (PIA) készíteni, amely jelentős mennyiségű személyes adatot kezel és/vagy az érintettek adatai veszélyben lehetnek. Az adatkezeléshez adott fogyasztói hozzájárulás csak akkor érvényes, ha azt a fogyasztó szabad akaratából adta és csak konkrét, specifikus célokra vonatkozik A fogyasztót kötelező tájékoztatni arról, hogy jogosult hozzájárulását bármikor visszavonni Személyes adatok vagy határon átnyúló adatküldés esetén kifejezett (explicit) hozzájárulás szükséges A szervezetek kötelesek az adatvédelmi hatóságot indokolatlan késedelem nélkül, de legkésőbb 72 órán belül értesíteni az adatvédelmi incidensekről, kivéve, ha az incidens nagy valószínűséggel nem jelent kockázatot az érintettekre nézve Ha az érintettekre nézve az incidens kockázata magas, az érintetteket is értesíteni kell Felejtéshez való jog az érintett jogosult az adatkezelőt bizonyos esetekben a személyes adatok indokolatlan késlekedés nélkül történő törlésére kérni Adatok hordozathatóságához való jog az érintettek kérhetik a szolgáltatójukat, amelynek korábban adataikat megadták, hogy adataikat adja át egy másik szolgáltatónak, feltéve, ha ez technikailag kivitelezhető Profilalkotás tiltásának joga a teljesen automatizált adatfeldolgozással történő döntéshozatalban való részvétel megtagadásának joga A társaságok kötelesek az adatvédelmet az új üzleti folyamatok és rendszerek tervezésébe beépíteni Az adatvédelmi beállítások esetén az alapértelmezett a legszigorúbb beállítás Az adatfeldolgozókra új kötelezettségek vonatkoznak az adatfeldolgozók hatóságilag szabályozott és ellenőrzött szereplőkké válnak. EU Általános Adatvédelmi Rendelet: Ön felkészült? 3

6 Felkészültek-e a szervezetek az EU új Általános Adatvédelmi Rendeletének átvételére? A szervezeteknek alig több mint egy év türelmi idő áll rendelkezésükre ahhoz, hogy az új rendelet előírásait átvegyék. Itt az ideje lépéseket tenni a megfelelés érdekében. Tegye fel magának az alábbi fontos kérdéseket: Kiterjesztett joghatóság Az Ön társasága az EU tagországokban személyes adatok feldol gozását végző adatkezelő vagy adatfeldolgozó-e, illetve foglalkozik-e EU állampolgárok személyes adatainak feldolgozásával? Adatvédelmi tisztségviselő Társasága folytat-e jelentős mértékű monitoring tevékenységet (munkavállalói adatokat is ide értve) vagy dolgoz-e fel nagy mennyiségű személyes adatot? Elszámoltat hatóság Van-e társaságának adatvédelmi programja, és alá tudja-e támasztani/bizonyítani, hogy társasága hogyan tesz eleget az EU GDPR előírásainak? Incidensek köte lező jelentése Értesíteni tudja-e az adatvédelmi hatóságot 72 órán belül, ha adatvédelmi incidens történik? Adatvédelem a tervezés során Az üzleti folyamatok és új rendszerek tervezése során már indulásnál figyelembe veszik-e az adatvédelmi szempontokat? Új jogok Tudja-e, hogyan fogja biztosíta ni az ügyfelek számára az új jogokat a felejtéséhez való jogot, az adatok hordozhatóságához való jogot, és a profilalkotás tiltásának jogát? 4 EU Általános Adatvédelmi Rendelet: Ön felkészült?

7 A évi közös IAPP-EY éves adatvédelmi jelentés és az EY globális információbiztonsági felmérés eredményei is azt mutatták, hogy a társaságoknak még növelniük kell adatvédelmi ráfordításaikat. Mindkét jelentés azt mutatta, hogy az adatvédelem továbbra sem számít prioritásnak A szervezeteknek nagyobb hangsúlyt kell fektetniük az adatvédelmi előírások betartására, tekintettel a GDPR szigorú szabályaira és az árbevétel 4 százalékát is elérő, komoly bírságokra. 67% Az IAPP-EY éves adatvédelmi jelentés keretében a válaszadók 67%-a mondta, hogy az adatvédelembe történő beruházások fő oka az előírásoknak való megfelelőség biztosítása 63% Az IAPP-EY éves adatvédelmi jelentés keretében a válaszadók 63%-a gondolta úgy, hogy adatvédelmi szempontból társaságuk még csak alacsony-közepes érettségi szinten áll 31% A megkérdezett szervezetek 31%-a tervezi, hogy az adatvédelem terén dolgozó alkalmazottak számát és az adatvédelmi költségvetést növelik a következő évek során Társasága mennyire érett adatvédelmi szempontból? Jövőre az adatvédelemmel foglalkozó munkatársak száma (bal oldali ábra) és az adatvédelmi költségvetés (jobb oldali ábra) várhatóan: Kezdeti szakasz Közepesen Érett Adatvédelmi program átlagos hossza években = 7 Nő Csökken Nem változik Nem tudom Nő Csökken Nem változik Nem tudom Adatvédelmi program prioritások (%, az első két hely alapján) Jogszabályi megfelelőség Adatok védelme támadásokkal szemben Fogyasztói bizalom növelése Piaci hírnév és márka Adatkezelési megfelelőségek Üzleti partnereknek való megfelelés Információ értékének megtartása vagy növelése Munkavállalók bizalmának növelése Forrás: TAPP-EY Annual Privacy Governance Report 2015 EU Általános Adatvédelmi Rendelet: Ön felkészült? 5

8 Hogyan tud felkészülni az új Általános Adatvédelmi Rendeletre? Az új EU adatvédelmi rendeletre való hatékony felkészüléshez a szervezeteknek először tisztában kell lenniük azzal, hogy jelenleg mennyiben tesznek eleget az adatvédelmi rendelkezéseknek. Első lépésként a társaságnak fel kell mérnie és ismernie kell személyes adatkezelési gyakorlatát, így többek közt azt, hogy: milyen személyes adatokat kezel a személyes adatok a szervezeten belül hol találhatók honnan és hová kerülnek az adatok (külső adatkezelők és határon túli transzferek is) hogyan gondoskodnak az adatok biztonságáról Ha már tisztában vannak hiányosságaikkal, a társaságok megfelelően képesek lesznek a személyes adatokkal kapcsolatos kockázatok értékelésére és fontossági sorrendben a szükséges javító intézkedések és lépések kidolgozására. Az EY ebben segíti ügyfeleit, az alábbi szolgáltatások révén: Jogi tanácsadás és támogatás GDPR felkészültségi értékelés Workshopok és személyes találkozók a fontosabb GDPR hiányosságok megállapítására Ismerd személyes adataidat Adatvédelmi javító program GDPR 360 fokos értékelés A szervezett adatvédelem szempontjából vett fejlettségének és GDPR megfelelőségének részletes értékelése Adatvédelmi hatástanulmány (PIA) A személyes adatok hálózaton belüli helyének meghatározása, feltérképezése, és személyes adatleltár készítése a megfelelő eszközök segítségével. Átfogó, holisztikus program a GDPR megfelelőség biztosítására Új rendszerek vagy projektek adatvédelmi kockázatainak értékelése 6 EU Általános Adatvédelmi Rendelet: Ön felkészült?

9 GDPR felkészültségi értékelés GDPR 360 fokos értékelés Adatvédelmi hatástanulmány (PIA) Hogyan történik? Workshopok és személyes megbeszélések keretében, az e célra kifejlesztett eszköz (Readiness Assessment tool) használatával áttekintjük, hogy a társaság jelenleg mennyiben tesz eleget az új GDPR előírásainak, feltárjuk a hiányosságokat és teendőket. Hogyan történik? Részletes kérdőívek, interjúk és workshopok révén felmérjük, hogy a társaság a GDPR előírásait mennyiben teljesíti. Hogyan történik? Testreszabott adatvédelmi hatástanulmány (PIA) sablon készítése. A személyes adatok nem megfelelő felhasználásából eredő vagy azzal kapcsolatos kockázatok felmérése az érintettekre nézve, rendszer- és projektgazdákkal készített interjúk, belső folyamatok és dokumentációk áttekintése révén. Mit kap az ügyfél? A társaság GDPR megfelelőségének célzott és gyors értékelése, a GDPR kulcselemei szerinti bontásban ábrázolva a társaság felkészültségét. Mit kap az ügyfél? A GDPR előírások szempontjából a társaság érettségének részletes ismertetése, a főbb hiányosságok és kockázatok bemutatása, a javító intézkedéseket tartalmazó akcióterv. Mit kap az ügyfél? A rendszerek vagy projektek részletes értékelése, a fő adatkeze lési kockázatok azonosítása, a jogszabályi előírásoknak megfelelő adatkezeléshez szükséges javító intézkedések. Ismerd személyes adataidat adatleltár Adatvédelmi javító program Jogi tanácsadás és támogatás Hogyan történik? A hálózat meghatározott szegmensének vizsgálata, a dokumentumok tartalmának áttekintése, a szervezetben tárolt személyes adatok feltérképezése érdekében. Hogyan történik? Egymással összefüggő tevékenységek programja a személyes adatkezelés szempontjából vett érettség és a GDPR megfelelőség szintjének javítása érdekében. Hogyan történik? Nemzetközi tapasztalatokkal rendelkező ügyvédek hálózata kínál naprakész jogi tanácsokat és megoldásokat. Mit kap az ügyfél? Személyes adatok leltára, áttekintés, az elemzett adatok térképe, amely alapján áttekinthetők a társaságnál használt/kezelt személyes adatok. Mit kap az ügyfél? Stabil és hatékony adatvédelmi keret rendszer kialakítása és megvalósítása, a GDPR hiányosságok elhárítása érdekében. Mit kap az ügyfél? A szervezet igényeihez igazított, testreszabott jogi tanácsadás. EU Általános Adatvédelmi Rendelet: Ön felkészült? 7

10 Hogyan tudunk a felkészülésben segíteni? Megoldás Áttekintés Tevékenység Időigény GDPR felkészültségi értékelés Adatvédelmi érettség magas szintű értékelése A GDPR új előírásainak való megfelelőség célzott értékelése 1 nap GDPR 360 fokos értékelés Adatvédelmi érettség részletes kiértékelése Kockázatértékelés és érettségi szint kiértékelés az iparági gyakorlatok és az EU Általános Adatvédelmi Rendelete alapján Javaslatok és ütemterv a felzárkózáshoz 2-4 hét, a társaság méretétől és összetettségétől függően Megfelelőségi előírások Termék- és folyamatspecifikus kockázatok Kockázatértékelés Adatvédelmi hatástanulmány (PIA) Testreszabott adatvédelmi hatástanulmány (PIA) A társaság rendszereinek vagy projektjeinek értékelése és a fő adatvédelmi kockázatok azonosítása 1-2 hét, az eleme zendő projekt vagy rendszer méretétől és összetettségétől függően Ismerd személyes adataidat - adatleltár Személyes adatok leltára Személyes adatok áramlásának dokumentálása Egy valós példán keresztül a szervezetben tárolt személyes adat vizsgálata hol található, honnan/hová kerül átküldésre, ki fér hozzá stb. Folyamat- vagy rendszerspecifikus személyes adatáramlási modell és dokumentáció 2-12 hét, a tár saság méretétől és összetettségétől függően 8 EU Általános Adatvédelmi Rendelet: Ön felkészült?

11 Megoldás Áttekintés Tevékenység Időigény Adatvédelem megerősítését célzó program Program kialakítása Program megvalósítása Megfelelőség és monitoring megoldások Folyamatos programtámogatás Adatvédelmi javító programok megtervezése, létrehozása, és megvalósítása ez tartalmazza többek közt az alábbiakat: Adatvédelmi keretek Személyes adatok kezelésének irányítása és megszer vezése Szabályok és eljárások Képzés és ismeretek Incidenskezelés Külső felek kezelése Kockázatkezelés Eljárások és kontrollok Információbiztonsági kontrollok Kötelező szervezeti szabályozás (BCR) program megfelelőség Folyamatos megfelelőség és monitoring 3-24 hónap, a társaság méretétől és érettségi szintjétől függően Jogi támogatás Jogi elemzés Jogi dokumentumok készítése Az adatvédelmi törvényeknek való megfelelőség jogi elemzése Segítség megfelelőségi programok és szabályzatok készítésében Meg nem felelőségi esetek kiértékelése és javaslatok javító intézkedések megtételére Adatkezelő és adatfeldolgozó szerződéstervezetek készítése Kötelező szervezeti szabályozás (BCR) tervezetek készítése Eseti alapon alkalmazandó a hatáskör függvényében EU Általános Adatvédelmi Rendelet: Ön felkészült? 9

12 Korábbi munkáink Segítségünkkel a társaságok jobban átláthatják, hogy mennyiben felelnek meg az adatvédelmi előírásoknak, és e téren milyen érettségi szinten állnak. Az alábbiakban néhány korábbi átvilágítás eredményéből összeállított példa látható: Képzés és ismeretek Irányítás 5 4 Szabályzatok Jelmagyarázat Jelenlegi érettség Elérni kívánt érettség Raktárkészlet 3 2 Megfelelőség Jelenlegi átlagos kontroll érettség 1 Külső fél általi kezelés Eljárások és kontrollok Kockázatkezelés Incidens kezelés Információ-biztonság SPI/PII adatok az Egyesült Királyságon kívül¹ 10 EU Általános Adatvédelmi Rendelet: Ön felkészült?

13 EY kockázati térkép Kockázat Magas B D A C Sárga pontok 1. Külső fél általi kezelés 2. Képzés és ismeretek 3. Kockázatkezelés 4. Szabályok 5. Adatszivárgás 6. Ügyfelek fair kezelése Szektorok A. Magas kockázat; alacsony érettség B. Magas kockázat; magasabb érettség C. Alacsonyabb kockázat; alacsonyabb érettség D. Alacsonyabb kockázat; magasabb érettség Alacsony 7. Incidens kezelés 4. szint 3. szint 2. szint 1. szint Érettség A következő néhány évben a szervezeteknek számos kihívással kell szembenézniük az új adatvédelmi rendelet kapcsán. Ezért nagyon fontos, hogy tisztában legyenek aktuális helyzetükkel, és azzal, hogy milyen lépéseket kell tenniük a GDPR átvéte lé hez. SPI/PII alkalmazási rendszer szerint¹ Nem megfelelő helyen levő HR adatok¹ Összes dokumentum CRM Ügyfélszolgálat Panaszkezelés Adatraktár Marketing Weboldal Nyilvános Web Server D://inetpub Belső 0 D://EXP D://www ¹ Képek: Raven Exonar EU Általános Adatvédelmi Rendelet: Ön felkészült? 11

14 Elérhetőség Ha a kiadványban szereplő témákkal kapcsolatban további információra van szüksége, munkatársainak szívesen állnak rendelkezésére. Zala Mihály Igazgató, Kibervédelmi Szolgáltatások EY Tanácsadó Kft. mihaly.zala@hu.ey.com Tel.: Dr. Sefer Iván Irodavezető Ügyvéd, Partner, Vámosi-Nagy Ernst&Young Ügyvédi Iroda ivan.sefer@hu.ey.com Tel.:

15 EU Általános Adatvédelmi Rendelet: Készüljön fel, az óra már ketyeg!

16 EY Assurance Tax Transactions Advisory Az EY-ról Az EY a könyvvizsgálat, adó-, tranzakciós és üzleti tanácsadás területén világ szerte az egyik vezető szolgáltató. Szakértelmünk, tapasztalatunk és az általunk nyújtott minőségi szolgáltatások jelentősen hozzájárulnak a tőkepiacok és általában a gazdaság iránti bizalom erősítéséhez. Kiemelkedő vezetőink együtt dolgoznak, hogy érintett partnereink felé tett vállalásainkat teljesítsük. Munkánk során így érdemben hozzájárulunk egy jobban működő világ építéséhez munkatársaink, ügyfeleink és közösségek számára. Az EY név a globális szervezetre, illetve az Ernst & Young Global Limited egy vagy több tagjára utal, amely mind önálló jogi személy. Az angliai székhelyű Ernst & Young Global Limited (company limited by guarantee) nem foglalkozik ügyfelek részére nyújtott szolgáltatásokkal. További információkért kérjük, látogasson el honlapunkra: Ernst & Young Minden jog fenntartva. A jelen anyag célja csak általános tájékoztatás, és nem minősül hivatalos könyvvizsgálói, adó- vagy üzleti tanácsadásnak. Kérjük, keresse fel tanácsadóját, ha specifikus információra van szüksége. ey.com/hu