EU Általános Adatvédelmi Rendelet: Ön felkészült rá?

Átírás

1 EU Általános Adatvédelmi Rendelet: Ön felkészült rá?

2

3 Tartalom Mit kell tudnia az Európai Unió új Általános Adatvédelmi Rendeletéről? Felkészültek-e a szervezetek az EU új Általános Adatvédelmi Rendeletének átvételére? Hogyan tud felkészülni az új Általános Adatvédelmi Rendeletre? Hogyan tudunk a felkészülésben segíteni? Korábbi munkáink Elérhetőség

4 Mit kell tudnia az Európai Unió új Általános Adatvédelmi Rendeletéről? A változások mögött elsősorban az alábbi események állnak: A médiában napvilágot látó, egyre több és egyre komolyabb adatvédelmi visszaélésekről szóló beszámolók következtében a személyesadatok kezelésének biztonságaa fogyasztók és a hatóságokfigyelmének középpontjába kerül Az új Európai Uniós Általános Adatvédelmi Rendeletet megelőző Safe Harbor egyezménymegszűnése Az új Európai Uniós Általános Adatvédelmi Rendelet (GDPR) létrejötte, amely mérföldkövetjelent az adatvédelem történetében Az adatvédelem terén korábban sosem látott mértékű és jelentőségűváltozásokra kerül sor. Az Európai Bizottság, a Tanács és a Parla ment több mint három évig tartó, háromoldalú tárgyalások után, december 15-én informális megállapo- dásra jutott az Általános Adatvédelmi Rendelet (General Data Protection Regulation, GDPR) véglegesítése ügyében. A Rendelet jelentős változásokathoz a gazdasági szervezetek működésében. A végleges verziót az Állampolgári Jogi, Bel- és Igazságügyi Bizottság iselfogad ta. A Rendelet a korábbihozképest szigorúbb előírásokat tartalmaz, és az adatvédelmi szabályok megszegését akár az adott társaság globális, évesárbevételének 4 százalékát is elérő mértékben büntetheti. A Rendelet a 95/46/EK Irányelv helyére lép, amely 1995-ösbevezetése óta az európai adatvédelmitörvények alapjának számított. A GDPRhivatalos kihirdetésére 2016-ban került sor, és ezt követően további kon zultációk nélkül május 25-én leszkötelezően alkalmazandó minden EU tagállamban. A Rendelet jelentős változásokat hoz a gazdasági szervezetek számára minden iparágban, a változások között könnyítések és nehezítések, illetve a költ ségeketnövelő és csökkentő változások egy a ránt megtalálhatók. A 28 tagállamban egysé- ges, harmonizált előírásokat bevezető Rendelet megkönnyíti majd a multinacio nális szervezetek számára a jelenlegmeglehetősen összetett és színes adatvédelmi előírások betartását. Az érin tettek jogainak kiterjesztése pél dául a felejtéshez való jog, az adatok hordozhatóságához való jog és az adatvédelmi incidensek kötelező bejelentése a jelenleginél ugyanakkor nagyobb terhet ró a társaságokra. A vállalkozások számá raéppen ezért fontos feladat az aktuálisadatvédelmi programjaik át tekintése, értékelése, és azon lépések (valamint ahozzájuk tartozó kiadások) meghatározása, amelyek megtétele a következő kétév során ahhoz szükséges, hogy az újelőírásoknak gond nélkül meg tudjanakmajd felelni. A szervezeteknek mármost meg kell kezdeniük a felkészülést ahhoz, hogy a 2018 tavaszánkötelezően alkalmazandóúj rendelet átvételére készen álljanak. 2 EU Általános Adatvédelmi Rendelet: Ön felkészült?

5 Az új EU Adatvédelmi Rendelet által bevezetett főbb változások Az éves globális árbevétel 4 százalékát is elérő bírságok Kiterjesztett joghatóság Adatvédelmi tisztségviselő (DPO) Elszámoltathatóság Adatvédelmi hatástanulmány Hozzájárulás Adatvédelmi incidensek kötelező bejelentése Új jogok Adatvédelem figyelembe vétele már a tervezési fázisban Adatfeldolgozók kötelezettségei A GDPR előírások be nem tartása komoly bírságokat vonhat maga után. A hatóságok akár a társaság teljes éves árbevételének 4 százalékát elérő, de legfeljebb eurós bírságot is kiszabhatnak. A Rendelet minden olyan adatkezelőre és adatfeldolgozóra kiterjed, amely az Európai Unióban működik, illetve EU tagállamok személyes adatait kezeli. Minden olyan szervezet köteles adatvédelmi tisztségviselőt kijelölni, amely jelentősmértékű és szisztematikus monitoring tevékenységet végez vagy nagy mennyiségűszemélyes adatot kezel. A társaságnak biztosítania kell a bizonyítható elszámoltathatóság feltételeit: Az adatfeldolgozási eljárások nyomon követésének, ellenőrzésének és értékelésénekgyakorlatát megteremtve A szükséges adatfeldolgozás és a tárolt adatok mennyiségét minimalizálva Az adatfeldolgozási tevékenységekbe megfelelő biztonsági kontrollokat beépítve Az adatfeldolgozási szabályokat, eljárásokat és tevékenységeket dokumentálva, és a dokumentációt kérésre az adatvédelmi hatóságnak bemutatva Minden olyan társaság köteles adatvédelmi hatástanulmányt (PIA) készíteni, amelyjelentős mennyiségű személyes adatot kezel és/vagy az érintettek adatai veszélybenlehetnek. Az adatkezeléshez adott fogyasztói hozzájárulás csak akkor érvényes, ha azt afogyasztó szabad akaratából adta és csak konkrét, specifikus célokra vonatkozik A fogyasztót kötelező tájékoztatni arról, hogy jogosult hozzájárulását bármikorvisszavonni Személyes adatok vagy határon átnyúló adatküldés esetén kifejezett (explicit) hozzájárulás szükséges A szervezetek kötelesek az adatvédelmi hatóságot indokolatlan késedelem nélkül, de legkésőbb 72 órán belül értesíteni az adatvédelmi incidensekről, kivéve, ha az incidens nagy valószínűséggel nem jelent kockázatot az érintettekre nézve Ha az érintettekre nézve az incidens kockázata magas, az érintetteket is értesíteni kell Felejtéshez való jog az érintett jogosult az adatkezelőt bizonyos esetekben a személyes adatok indokolatlan késlekedés nélkül történő törlésére kérni Adatok hordozathatóságához való jog az érintettek kérhetik a szolgáltatójukat, amelynek korábban adataikat megadták, hogy adataikat adja át egy másikszolgáltatónak, feltéve, ha ez technikailag kivitelezhető Profilalkotás tiltásának joga a teljesen automatizált adatfeldolgozással történődöntéshozatalban való részvétel megtagadásának joga A társaságok kötelesek az adatvédelmet az új üzleti folyamatok és rendszerek tervezésébe beépíteni Az adatvédelmi beállítások esetén az alapértelmezett a legszigorúbb beállítás Az adatfeldolgozókra új kötelezettségek vonatkoznak az adatfeldolgozók hatóságilagszabályozott és ellenőrzött szereplőkké válnak. EU Általános Adatvédelmi Rendelet: Ön felkészült? 3

6 Felkészültek-e a szervezetek az EU új Általános Adatvédelmi Rendeletének átvételére? Itt az ideje lépéseket tenni a megfelelés érdekében. Tegye fel magának az alábbi fontos kérdéseket: Kiterjesztett joghatóság Adatvédelmi tisztségviselő Elszámoltat hatóság Incidensek köte lező jelentése A szervezeteknek alig több mint egy év türelmi idő áll rendelkezésükreahhoz, hogy az új rendelet előírásait átvegyék. Adatvédelem atervezés során Az Ön társasága az EU tagországokban személyes adatok feldol gozását végző adatkezelő vagy adatfeldolgozó-e, illetve foglalkozik-e EU állampolgárok személyesadatainak feldolgozásával? Értesíteni tudja-e az adatvédelmihatóságot 72 órán belül, ha adatvédelmi incidens történik? Társasága folytat-e jelentős mér- tékű monitoring tevékenységet (munkavállalói adatokat is ideértve) vagy dolgoz-e fel nagymennyiségű személyes adatot? Az üzleti folyamatok és új rendszerek tervezése során márindulásnál figyelembe veszik-e az adatvédelmi szempontokat? Új jogok Van-e társaságának adatvédelmiprogramja, és alá tudja-e támasztani/bizonyítani, hogy társaságahogyan tesz eleget az EU GDPRelőírásainak? Tudja-e, hogyan fogja biztosíta niaz ügyfelek számára az új jogokat a felejtéséhez való jogot, az adatok hordozhatóságáhozvaló jogot, és a profilalkotástiltásának jogát? 4 EU Általános Adatvédelmi Rendelet: Ön felkészült?

7 A évi közös IAPP-EY éves adatvédelmi jelentés és az EY globális információbiztonsági felmérés eredményei is azt mutatták, hogy a társaságoknak még növelniük kell adatvédelmi ráfordításaikat. Mindkét jelentés azt mutatta, hogy az adatvédelem továbbra sem számít prioritásnak A szervezeteknek nagyobb hangsúlyt kell fektetniük az adatvédelmi előírások betartására, tekintettel a GDPR szigorú szabályaira és az árbevétel 4 százalékát is elérő, komoly bírságokra. 67% Az IAPP-EY éves adatvédelmi jelentés keretében a válaszadók 67%-a mondta, hogy az adatvédelembe történő beruházások fő oka az előírásoknak való megfelelőség biztosítása 63% Az IAPP-EY éves adatvédelmi jelentés keretében a válaszadók 63%-a gondolta úgy, hogy adatvédelmi szempontból társaságuk még csak alacsony-közepes érettségi szinten áll 31% A megkérdezett szervezetek 31%-a tervezi, hogy az adatvédelem terén dolgozó alkalmazottak számát és az adatvédelmi költségvetést növelik a következő évek során Társasága mennyire érett adatvédelmi szempontból? Jövőre az adatvédelemmel foglalkozó munkatársak száma (bal oldali ábra) és az adatvédelmi költségvetés (jobb oldali ábra) várhatóan: Kezdeti szakasz Közepesen Érett Adatvédelmi program átlagos hossza években = 7 Nő Csökken Nem változik Nem tudom Nő Csökken Nem változik Nem tudom Adatvédelmi program prioritások (%, az első két hely alapján) Jogszabályi megfelelőség Adatok védelme támadásokkal szemben Fogyasztói bizalom növelése Piaci hírnév és márka Adatkezelési megfelelőségek Üzleti partnereknek való megfelelés Információ értékének megtartása vagy növelése Munkavállalók bizalmának növelése Forrás: TAPP-EY Annual Privacy Governance Report 2015 EU Általános Adatvédelmi Rendelet: Ön felkészült? 5

8 Hogyan tud felkészülni az új Általános Adatvédelmi Rendeletre? Első lépésként a társaságnak fel kell mérnie és ismernie kell személyes adatkezelési gyakorlatát, így többek közt azt, hogy: milyen személyes adatokat kezel a személyes adatok a szervezeten belül hol találhatók honnan és hová kerülnek az adatok (külső adatkezelők és határon túli transzferek is) hogyan gondoskodnak az adatok biztonságáról Az EY ebben segíti ügyfeleit, az alábbi szolgáltatások révén: Jogi tanácsadás és támogatás Az új EU adatvédelmi rendeletre való hatékony felkészüléshez a szervezeteknek először tisztában kell lenniük azzal, hogy jelenlegmennyiben tesznek eleget az adatvédelmi rendelkezéseknek. Ha már tisztában vannak hiányosságaikkal, a társaságok megfelelően képesek lesznek a személyes adatokkal kapcsolatoskockázatok értékelésére és fontossági sorrendben a szükséges javító intézkedések és lépések kidolgozására. GDPR felkészültségi értékelés Ismerd személyes adataidat Adatvédelmi javító program GDPR 360 fokos értékelés Átfogó, holisztikus program a GDPR megfelelőség biztosítására Adatvédelmi hatástanulmány (PIA) Workshopok és személyes találkozók a fontosabb GDPR hiányosságokmegállapítására A személyes adatok hálózaton belüli helyének meghatározása, feltérképezése, és személyes adatleltár készítése a megfelelő eszközök segítségével. A szervezett adatvédelemszempontjából vett fejlettségének és GDPR megfelelőségének részletesértékelése Új rendszerek vagy projektek adatvédelmi kockázatainak értékelése 6 EU Általános Adatvédelmi Rendelet: Ön felkészült?

9 Mit kap az ügyfél? A rendszerek vagy projektek részletes értékelése, a fő adatkeze lési kockázatok azonosítása, a jogszabályi előírásoknak megfelelőadatkezeléshez szükséges javítóintézkedések. GDPR felkészültségiértékelés GDPR 360 fokos értékelés Ismerd személyes adataidat adatleltár Adatvédelmi hatástanulmány (PIA) Mit kap az ügyfél? Személyes adatok leltára, áttekintés, az elemzett adatok térképe, amelyalapján áttekinthetők a társaságnálhasznált/kezelt személyes adatok. Hogyan történik? Részletes kérdőívek, interjúk ésworkshopok révén felmérjük, hogy a társaság a GDPR előírásait mennyiben teljesíti. Adatvédelmi javító program Jogi tanácsadás és támogatás Mit kap az ügyfél? Stabil és hatékony adatvédelmikeret rendszer kialakítása és megvalósítása, a GDPR hiányosságokelhárítása érdekében. Hogyan történik? Testreszabott adatvédelmi hatás- tanulmány (PIA) sablon készítése. A személyes adatok nem megfelelőfelhasználásából eredő vagy azzalkapcsolatos kockázatok felméréseaz érintettekre nézve, rendszer- és projektgazdákkal készített interjúk, belső folyamatok és dokumentációkáttekintése révén. Hogyan történik? Nemzetközi tapasztalatokkal rendelkező ügyvédek hálózata kínálnaprakész jogi tanácsokat és megoldásokat. Hogyan történik? Workshopok és személyes megbeszélések keretében, az e célra kifejlesztett eszköz (Readiness Assessment tool) használatával áttekintjük, hogy a társaság jelenleg mennyibentesz eleget az új GDPR előírásainak, feltárjuk a hiányosságokat és teendőket. Hogyan történik? A hálózat meghatározott szegmensének vizsgálata, a dokumentumoktartalmának áttekintése, a szervezetben tárolt személyes adatokfeltérképezése érdekében. Mit kap az ügyfél? A társaság GDPR megfelelőségénekcélzott és gyors értékelése, a GDPRkulcselemei szerinti bontásban ábrázolva a társaság felkészültségét. Hogyan történik? Egymással összefüggő tevékenységek programja a személyes adatkezelés szempontjából vett érettségés a GDPR megfelelőség szintjénekjavítása érdekében. Mit kap az ügyfél? A GDPR előírások szempontjábóla társaság érettségének részletes ismertetése, a főbb hiányosságokés kockázatok bemutatása, a javítóintézkedéseket tartalmazó akcióterv. Mit kap az ügyfél? A szervezet igényeihez igazított, testreszabott jogi tanácsadás. EU Általános Adatvédelmi Rendelet: Ön felkészült? 7

10 Hogyan tudunk a felkészülésbensegíteni? Megoldás Áttekintés Tevékenység Időigény GDPR felkészültségi értékelés Adatvédelmi érettség magas szintű értékelése A GDPR új előírásainak való megfelelőség célzottértékelése 1 nap GDPR 360 fokos értékelés Adatvédelmi érettség részletes kiértékelése Kockázatértékelés és érettségi szint kiértékelés az iparági gyakorlatok és az EU Általános Adatvédelmi Rendelete alapján Javaslatok és ütemterv a felzárkózáshoz 2-4 hét, a társaság méretétől ésösszetettségétőlfüggően Megfelelőségielőírások Termék- és folyamatspecifikus kockázatok Kockázatértékelés Adatvédelmi hatástanulmány (PIA) Testreszabottadatvédelmihatástanulmány (PIA) A társaság rendszereinek vagy projektjeinek értékeléseés a fő adatvédelmi kockázatok azonosítása 1-2 hét, az eleme zendő projektvagy rendszer méretétől ésösszetettségétőlfüggően Ismerd szemé- lyes adataidat - adatleltár Személyes adatok leltára Személyes adatok áramlásánakdokumentálása Egy valós példán keresztül a szervezetben tárolt személyes adat vizsgálata hol található, honnan/hová kerülátküldésre, ki fér hozzá stb. Folyamat- vagy rendszerspecifikus személyes adatáramlási modell és dokumentáció 2-12 hét, a tár saság méretétőlés összetettségétől függően 8 EU Általános Adatvédelmi Rendelet: Ön felkészült?

11 Megoldás Áttekintés Tevékenység Időigény Adatvédelemmegerősítésétcélzó program Program kialakítása Program megvalósítása Folyamatos programtámogatás Megfelelőségés monitoringmegoldások Adatvédelmi javító programok megtervezése, létrehozása, és megvalósítása ez tartalmazza többek közt az alábbiakat: Adatvédelmi keretek Személyes adatok kezelésének irányítása és megszer vezése Szabályok és eljárások Képzés és ismeretek Incidenskezelés Külső felek kezelése Kockázatkezelés Eljárások és kontrollok Információbiztonsági kontrollok Kötelező szervezeti szabályozás (BCR) program megfelelőség Folyamatos megfelelőség és monitoring 3-24 hónap, a társaság méretétől ésérettségi szintjétől függően Jogi támogatás Jogi elemzés Jogi dokumentumok készítése Az adatvédelmi törvényeknek való megfelelőség jogielemzése Segítség megfelelőségi programok és szabályzatokkészítésében Meg nem felelőségi esetek kiértékelése és javaslatokjavító intézkedések megtételére Adatkezelő és adatfeldolgozó szerződéstervezetekkészítése Kötelező szervezeti szabályozás (BCR) tervezetekkészítése Eseti alapon alkalmazandó a hatáskörfüggvényében EU Általános Adatvédelmi Rendelet: Ön felkészült? 9

12 Korábbi munkáink Segítségünkkel a társaságok jobban átláthatják, hogy mennyiben felelnek meg az adatvédelmi előírásoknak, és e téren milyen érettségi szinten állnak. Az alábbiakban néhány korábbi átvilágítás eredményéből összeállított példalátható: Képzés és ismeretek Irányítás 5 4 Szabályzatok Jelmagyarázat Jelenlegi érettség Elérni kívánt érettség Raktárkészlet 3 2 Megfelelőség Jelenlegi átlagos kontroll érettség 1 Külső fél általi kezelés Eljárások és kontrollok Kockázatkezelés Incidens kezelés Információ-biztonság SPI/PII adatok az Egyesült Királyságon kívül¹ 10 EU Általános Adatvédelmi Rendelet: Ön felkészült?

13 EY kockázati térkép Kockázat Magas B D A C Sárga pontok 1. Külső fél általi kezelés 2. Képzés és ismeretek 3. Kockázatkezelés 4. Szabályok 5. Adatszivárgás 6. Ügyfelek fair kezelése Szektorok A. Magas kockázat; alacsony érettség B. Magas kockázat; magasabb érettség C. Alacsonyabb kockázat; alacsonyabb érettség D. Alacsonyabb kockázat; magasabb érettség Alacsony 7. Incidens kezelés 4. szint 3. szint 2. szint 1. szint Érettség A következő néhány évben a szervezeteknek számos kihívással kell szembenézniük az új adatvédelmi rendelet kapcsán. Ezért nagyon fontos, hogy tisztában legyenek aktuális helyzetükkel, és azzal, hogy milyen lépéseket kell tenniük a GDPR átvéte lé hez. SPI/PII alkalmazási rendszer szerint¹ Nem megfelelő helyen levő HR adatok¹ Összes dokumentum CRM Ügyfélszolgálat Panaszkezelés Adatraktár Marketing Weboldal Nyilvános Web Server D://inetpub Belső 0 D://EXP D://www ¹ Képek: Raven Exonar EU Általános Adatvédelmi Rendelet: Ön felkészült? 11

14 Elérhetőség Ha a kiadványban szereplő témákkalkapcsolatban további információra van szüksége, munkatársainakszívesen állnak rendelkezésére. Zala Mihály Igazgató, Kibervédelmi Szolgáltatások EY Tanácsadó Kft. mihaly.zala@hu.ey.com Tel.: Dr. Sefer Iván Irodavezető Ügyvéd, Partner, Vámosi-Nagy Ernst&Young Ügyvédi Iroda ivan.sefer@hu.ey.com Tel.:

15 EU Általános Adatvédelmi Rendelet: Készüljön fel, az óra már ketyeg!

16 EY Assurance Tax Transactions Advisory Az EY-ról Az EY a könyvvizsgálat, adó-, tranzakciós és üzleti tanácsadás területén világ szerte az egyik vezető szolgáltató. Szakértelmünk, tapasztalatunk és az általunk nyújtott minőségi szolgáltatások jelentősen hozzájárulnak a tőkepiacok és általában a gazdaság iránti bizalom erősítéséhez. Kiemelkedő vezetőink együtt dolgoznak, hogy érintett partnereink felé tett vállalásainkat teljesítsük. Munkánk során így érdemben hozzájárulunk egy jobban működő világ építéséhez munkatársaink, ügyfeleink és közösségek számára. Az EY név a globális szervezetre, illetve az Ernst & Young Global Limited egy vagy több tagjára utal, amely mind önálló jogi személy. Az angliai székhelyű Ernst & Young Global Limited (company limited by guarantee) nem foglalkozik ügyfelek részére nyújtott szolgáltatásokkal. További információkért kérjük, látogasson el honlapunkra: Ernst & Young Minden jog fenntartva. A jelen anyag célja csak általános tájékoztatás, és nem minősül hivatalos könyvvizsgálói, adó- vagy üzleti tanácsadásnak. Kérjük, keresse fel tanácsadóját, ha specifikus információra van szüksége. ey.com/hu