2018.01.26., péntek
5 perc

Bár már 2016 májusa óta hatályban van az Európai Parlament és a Tanács új adatvédelmi rendelete, a GDPR, mely az Európai Unió adatvédelmét hivatott egységesíteni, hivatalosan csak 2018. május 25-től kell kötelezően alkalmazni. Egész Európában.

A GDPR (General Data Protection Regulation) halad a digitális korral és alkalmazásai számos változást hoznak majd az eddigi szabályokhoz képest. 

Miért volt szükség új szabályozásra?
A rendelet megalkotását az indokolta, hogy szükségessé vált egy olyan jogi alap, mely úgy biztosít erős adatvédelmet az unióban, hogy közben jobban alkalmazkodik a mai információs technológiákhoz, kezeli a felhőszolgáltatásokat vagy éppen a határokon átnyúló adatkezelést, adattovábbítást. Továbbá olyan cégeket is szabályoz, melyek bár EU-n kívüliek, de uniós magánszemélyek vagy cégek adatait kezelik. 
 
A GDPR minél nagyobb fokú átláthatóságot és elszámoltathatóságot követel meg az adatkezelő cégektől és nagy büntetést kockáztat az, aki nem felel meg az új előírásoknak.
 
A rendelet kimondja, hogy az érintett hozzájárulása szükséges, hogy kezelhessük adatait - bár ez eddig is így volt, viszont ez mostantól “az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”.
 
Ki számít Adatkezelőnek és ki Adatfeldolgozónak? 
Adatkezelő az a személy, aki a személyes adatok felvételét, gyűjtését, tárolását, továbbítását, módosítását vagy egyéb célokra történő felhasználását végzi. 
Adatfeldolgozó az a személy, aki az adatkezelő megbízásából és nevében személyes adatokkal dolgozik. Különbség az, hogy amíg az adatkezelő meghatározza az adatkezelés célját, addig az adatfeldolgozó csak az adatkezelő utasításai alapján végez (főleg technikai) műveleteket az adatokon. Adatfeldolgozó például a tárhelyszolgáltató. 
 
Mi lesz a NAIH-val? 
A NAIH, azaz a Nemzeti Adatvédelm és Információszabadság Hatóság, mely a személyes adatok védelmének biztosításért felel, mostantól a GDPR betartatásáért lesz felelős, ellenőrzéseket folytat le, valamint szankcionálhatja az adatvédelmi szabályok megsértőit.
Változás továbbá, hogy az egyes adatkezeléseket nem kell már bejelenteni, viszont az ún. adatvédelmi incidensek, vagyis jogsértések esetén az adatkezelőnek bejelentési kötelezettsége keletkezik a NAIH felé. 
 
A GDPR kapcsán sokan felteszik azt a kérdést is, hogy ki az az adatvédelmi tisztségviselő és kinek kell mostantól adatvédelmi tisztségviselőt alkalmaznia?
Az adatvédelmi tisztviselő az a személy, aki az ellenőrzéseket véghezviszi, elkészíti az adatvédelmi hatásvizsgálatot, illetve közvetítői szerepkört tölt be a felügyelő hatóságok, az érintettek és a szervezeti egységek irányába. Nem szükséges minden cégnek külön tisztviselőt alkalmaznia, csak a rendeletben meghatározott esetekben. (Közhatalmi szerveknél, az adatalanyok nagymértékű megfigyelése esetén (pl. vagyonvédelem), illetve különleges személyes adatok megfigyelése esetén (pl. kórház).)
Az adatvédelmi tisztviselő alkalmazott, vagy külső megbízott is lehet, a lényeg a felelősség és a szakértelem. 
 
Mi történik, ha adatkezelőként figyelmen kívül hagyod a GDPR-t? 
Szinte biztosan komoly bírságnak teszed ki magadat vagy a cégedet.
A bírság maximális mértéke 20 millió euró vagy az előző év világpiaci árbevételének 4%-a. A kettő közül a magasabb jelenti a felső határt. A “kisebb” összegű bírság inkább az adminisztratív kötelezettségek megsérétéséért jár, míg a magasabb bírságot a súlyosabb jogsértésekért - az adatkezelés elveinke megsértése (nincs vagy nem megfelelő jogalap), az érintett jogainak sérelme, vagy a felügyeleti hatóság intézkedéseivel való “ellenszegülés” -  szabják ki. 
 
Milyen, az átlagfelhasználó számára is érzékelhető elemei vannak a GDPR-nek? 
  • A tájékoztatást egyszerű és közérthető formában, könnyen hozzáférhetően kell megadni. 
  • Az adatkezeléshez világos hozzájárulás szükséges, ráadásul 16 éven aluliak esetében a szülőtől is! 
  • Minden felhasználónak joga lesz töröltetni személyes adatait, ha már nem kívánja az adott szolgáltatást igénybe venni.
  • A magánszemély kérhet tájékoztatást arról, hogy történik-e rá vonatkozó adatkezelés, ha igen, akkor mely adatait kezelik.
  • Ha az adott céget hekkertámadás, vagy egyéb személyes adatokkal kapcsolatos jogsértés éri, az érintettet tájékoztatnia kell, kivéve akkor, ha ez a “támadás” nem okoz nagy sérelmet az érintett számára. - ezt nem tudom máshogy megfogalmazni
  • A cégek elsősorban csak olyan témájú üzeneteket küldhetnek az oldalak látogatóinak, melyeket ők korábban kértek - például egy feliratkozási módszerrel. (Magánszemélyek számára kizárólag előzetes hozzájárulás alapján jogszerű direkt marketing célú üzeneteket küldeni. Ilyen például, ha kipipál egy erre vonatkozó négyzetet.)
  • Az érintettnek biztosítani kell a leiratkozás lehetőségét (jól látható módon).
Hogyan készülj fel a GDPR-ra?
  • Biztosítsd a cégen belüli szakmai felkészültséget az új jogszabálynak való megfeleléshez.
  • Tarts felülvizsgálatot: tekintsd át az adatkezelésed célját, koncepcióját, és minden alkalommal kövesd, és rögzítsd az adatok sorsát, változásait.
  • Tájékoztasd az érintetteket megfelelően: kétség esetén minden esetben az adatkezelőnek kell bizonyítania, hogy a művelethez az érintett hozzájárult .
  • Tekintsd át a tájékoztatási kötelezettségre vonatkozó új szabályokat, teljesítési határidőket.
  • Amennyiben az adatkezelés hozzájáruláson alapul, vizsgáld meg az adatkezelés folyamatát a hozzájáruláson alapuló adatkezelés rendelet szerinti kritériumait illetően.
  • Amennyiben a cég gyermekek személyes adatait is kezeli, fordíts kiemelt figyelmet a gyermekek adatkezelésére vonatkozó szabályokra.
  • Az új szabályok értelmében a személyes adat jogellenes kezelése vagy feldolgozása esetén az adatkezelőnek bejelentési kötelezettsége keletkezik a felügyelő hatóság (NAIH) felé.
  • Bizonyos esetekben az adatkezelőnek az adatkezelést megelőzően adatvédelmi hatásvizsgálatot kell lefolytatni. Ez egy olyan eljárás, melynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja.
  • Ha cégednek adatvédelmi tisztviselőt kell kijelölnie, válassz szakmailag rátermett jelöltet! 
  • Vedd komolyan az adatvédelmet és szánj időt a megismerésére!
  • Keress egy olyan jogi szakembert, akinek komoly, legalább 5-6 éves adatvédelmi jogászi múltja van és referenciákkal is rendelkezik.
Összességében elmondható, hogy a GDPR megerősíti a személyes adatait megadó személyek jogainak biztonságát és növeli a fogyasztói bizalmat, azonban adatkezelői oldalról a felkészülés plusz energiát és költségeket igényel.