Az Országgyűlés módosította az információs önrendelkezési jogról és az információszabadságról szóló törvényt, amelynek következtében fontos változások lesznek az adatvédelem területén. A változások jelentős részben a közérdekű adatokkal kapcsolatosak, de ezúttal néhány olyan módosítást nézünk meg, ami a legtöbb adatkezelő számára érdekes lehet.

Az adatvédelmi incidens

A törvénymódosítás újdonságként bevezeti az adatvédelmi incidens fogalmát. Ebbe beletartozik minden olyan eset, amikor személyes adatok jogellenes kezelésére vagy feldolgozására kerül sor, így például ha személyes adatokhoz jogosulatlan hozzáférés történik, vagy azokat illetéktelenül megváltoztatják, továbbítják, nyilvánosságra hozzák, vagy törlik.

Aki személyes adatokat kezel a törvény értelmében köteles lesz nyilvántartást vezetni az előforduló adatvédelmi incidensekről. E nyilvántartásnak tartalmaznia kell az incidenssel érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket. Az érintett kérésére pedig a nyilvántartás alapján tájékoztatást kell adnia.

Mi a kötelező szervezeti szabályozás (BCR)?

A törvény módosításával bekerült a jogszabályba az ún. kötelező szervezeti szabályozás fogalma is, amit az uniós jogban BCR-nek szoktak rövidíteni az angol megfelelője alapján (Binding Corporate Rules). A BCR egy olyan belső szabályozás, ami a személyes adatok továbbításának szabályait tartalmazza egy adott cégcsoporton belül.

A BCR alkalmazása elsősorban a nemzetközi hátterű cégek és cégcsoportok közötti adattovábbítást könnyíti meg. Jelenleg ugyanis, ha például egy Magyarországon működő cégnek az azonos cégcsoportban működő külföldi céghez (pl. anyacéghez, leánycéghez) kell személyes adatot továbbítania, ehhez legtöbbször az érintett külön hozzájárulása szükséges. Még nehezebb a helyzet, ha például az EU-n kívüli céghez kell az adatot továbbítani, mert ez esetben külön tájékoztatás, és az adatot fogadó céggel való szerződéskötés is szükséges lehet.

Az ilyen cégcsoporton belüli, de nemzetközi adattovábbításokat egyszerűsíti a belső szervezeti szabályozás elfogadása. Ha a cégcsoport rendelkezik BCR-rel, akkor a személyes adatok belső továbbítása esetén mellőzhető a külön hozzájárulás beszerzése, ill. a szerződéskötés. A cég kötelező szervezeti szabályozása akkor lesz használható, ha az adatvédelmi hatóság azt megvizsgálta és jóváhagyta.

Magasabb bírságok

Nem elhanyagolható változás, hogy növekedett az adatvédelmi hatóság által az adatvédelmi jogsértések esetén kiszabható bírság is. Az eddigi 10 millió forintos felső határ megduplázódott, így a bírság maximuma 2015. október 1-től 20 millió forint lesz.

Forrás: Kocsis és Szabó Ügyvédi Iroda
http://kocsisszabougyved.hu/