2019.03.20.
Érdekes, mennyire nem tartjuk számon, kik és milyen személyes adatainkat kezelik, tárolják. Szinte már fel sem tűnik, ha egy weboldalon regisztrálni kell, illetve bele sem gondolunk, hogy egy űrlap kitöltésekor melyik adatunkat miért is adjuk meg. Az sem meglepő, hogy a GDPR betűszó beépült ugyan a közbeszédbe és gyakori hivatkozási alappá vált, de jóformán csak azok ismerik tartalmát és rendelkezéseit, holott alapvetően mindannyiunkat érint.
Mi is az a GDPR?
2016-ban lépett életbe az Európai Unió új adatvédelmi rendelete, a GDPR (General Data Protection Regulation - Általános Adatvédelmi Rendelet), amit egy kétéves türelmi idő után 2018. május 25-én kezdtek el alkalmazni. A teljes szöveg itt (https://www.gdpr.info.hu/gdpr-rendelet-szovege) olvasható el magyar nyelven.
A rendelkezés egyik fő célja az eddig széttagolt adatvédelmi szabályozás egységesítése, ezért mindes EU-s tagországban, így Magyarországon is közvetlenül érvényes. Másik fontos célkitűzés az uniós állampolgárok adatainak védelme volt, a GDPR újítása, hogy az EU-n kívüli országok cégeire is vonatkozik, ha azok EU-s magánszemélyek vagy cégek adatait kezelik. Újdonság az is, hogy egyablakos lesz a rendszer, tehát egyetlen – a központi ügyintézés helye szerinti – adatvédelmi hatóság jár majd el a határon átnyúló ügyekben, nem országonként más-más hivatal.
A rendelet szerint személyes adat az az információ, amely alapján egy személy beazonosítható közvetlenül az adat tartalma alapján, vagy közvetett módon az adatot más adattal kiegészítve. Ebbe beleértendő többek között a nevünk, lakcímünk, TB- és adószámunk, személyi igazolványunk száma, email címünk. Külön kategóriát és kiemelt védelmet élveznek az olyan érzékeny adatok, amik vallási, világnézeti vagy politikai meggyőződésünkre irányulnak.
A GDPR értelmében az adatokat csak célhoz kötötten és csak az ahhoz a célhoz szükséges mértékben, módon és ideig lehet gyűjteni, kezelni és megőrizni. A cégek tehát csak azt gyűjthetik majd be, amire tényleg szükségük van a kínált szolgáltatás teljesítéséhez, és ha ez megtörtént, az adatokat törölniük kell.
Mit jelent a GDPR a magánszemélyeknek?
A GDPR új jogokat ad a magánszemélyek kezébe, és pontosítja, illetve szabályozza a korábbi lehetőségeket saját személyes adataik kezelésével kapcsolatban.
Az előzetes tájékozódáshoz való jog értelmében például az ügyfél érthető és részletes tájékoztatást várhat el az adatok bekérőjétől arról, hogy mi az adatkezelés célja, hogyan kezelik az adatait, illetve kik férhetnek hozzá azokhoz.
A GDPR kiemelten biztosítja a hozzáféréshez való jogot, amelynek értelmében az ügyfélnek jogában áll az adott szervezet által tárolt személyes adatait és azok kezelésével kapcsolatos információkat megismerni, kikérni és ellenőrizni. A tájékoztatásért egy átlagos adatigénylés során az adatkezelő nem számolhat fel külön díjat.
A rendelet biztosítja a magánszemélynek az adatkezelés korlátozásához való jogot is. Ennek értelmében az ügyfél bizonyos esetekben megszabhatja, ki és milyen körülmények között férhet hozzá személyes adataihoz, vagyis korlátozhatja azok felhasználását.
A GDPR bevezetése úgy pontosította a helyesbítéshez való jogot, hogy az érintett kérésére az adat kezelőjének indokolatlan késedelem nélkül kell helyesbíteni a kérelmezőre vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.
A törléshez való jog értelmében pedig a magánszemély kérésére az adatkezelő indokolatlan késedelem nélkül törölni köteles az ügyfélre vonatkozó személyes adatokat, amennyiben a személyes adatokra már nincs szükség abból a célból, amiért azokat gyűjtötték; a személyes adatokat jogellenesen kezelték; az érintett visszavonja az adatkezelés alapját képező hozzájárulást (és az adatkezelésnek nincs más jogalapja); esetleg az érintett tiltakozik az adatainak kezelése ellen és nincs elsőbbséget élvező jogszerű ok az adatkezelésre.
Ha bármilyen problémát tapasztal egy magánszemély és azt jelzi, az adatkezelőnek 25 napja van arra, hogy elbírálja a kérdést és választ adjon rá. Amennyiben a személyiségi jog sérülése ezek után is fennáll, akkor az ügyfelet sérelemdíj illeti meg.
Mit jelent a GDPR az adatok kezelőinek?
Kik is tárolhatják, illetve kezelhetik személyes adatainkat? Egyfelől különböző központi államigazgatási szervek (például a helyi kormányhivatal, a NAV vagy az OEP). Másfelől cégek egész sora: az internetszolgáltatónk; a bank, ahol folyószámlánkat vezetjük; a légitársaság, akikkel tavaly nyáron utaztunk; az üzletlánc, akiknek a nyereményjátékára regisztráltunk…
Cél a gyorsan fejlődő digitális gazdaságba vetett bizalom erősítése, amit az új jogszabályok szigorú bírságokkal igyekeznek megteremteni, garantálni: a bírói gyakorlat az idő rövidsége miatt még nem forrhatott ki, de a bírság akár 20 millió euró vagy az éves árbevétel 4%-a is lehet.
A GDPR szabályozza és szankcionálja azokat az eseteket is, amikor hackertámadás következtében ellopják személyes adatainkat az adatkezelő rendszeréből, esetleg rendszerhiba miatt megsemmisülnek. Magánszemélyként elvárhatjuk a minél körültekintőbb adattárolást és a kockázati tényezők minél alaposabb kiiktatását. Nagyobb lett tehát az adatkezelők felelőssége: a rendelet életbe lépése előtti két év türelmi időt elsősorban az erre való felkészülésre és a rendszerek biztonságosabbá tételére szánták a jogalkotók.
Azoknak a szervezeteknek, amelyek közfeladatot látnak el, különösen érzékeny személyes adatokat kezelnek vagy jellegükből adódóan „rendszeres és szisztematikus, nagymértékű” megfigyelést folytatnak, külön tisztségviselőt is ki kell nevezniük.
Az átvilágítást az új szabályokra készülve mindenkinek le kellett folytatnia. Azokat az adatvédelmi incidenseket, amelyek valószínűsíthetően kockázattal járnak a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek be kell jelenteni az illetékes felügyeleti hatóságnak. Az Infotörvény alapján ez eddig csak az állami szervekre vonatkozott, a GDPR azonban ezt kiterjesztette a vállalati szférára is.
Szükség lehet adatvédelmi hatásvizsgálatra is, de ezt nem minden cégnek és nem kizárólag a GDPR bevezetése előtt kell(ett) elvégezni. Ha például egy vállalat egy új technológiával járó folyamat bevezetésekor adatbiztonsági aspektusból előzetesen kockázatokkal lehet számolni, akkor mindig hatásvizsgálatot kell készíteni arról, mik a rizikófaktorok és miképp mérsékelhetőek.
Összegzés
A GDPR tehát az egyik oldalról mindenkit érint, hiszen ilyen-olyan személyes adatait mindenkinek kezeli valamilyen szervezet. A másik oldalról pedig minden olyan cégre, intézményre vonatkozik, amely személyes adatot gyűjt, kezel, tárol, dolgoz fel vagy használ.
Látható, hogy ami a magánszemélyeknek többletjog, az a személyes adataikat gyűjtő, kezelő, tároló szerveknek és cégeknek alapvetően többletmunka és többletfelelősség. Az adatkezelőknek nem elég megfelelni a szabályoknak, hanem ezt bizonyítaniuk is kell tudni: ez nyilván költséges, bürokratikus és bonyolult számukra. A rendelet bevezetése előtti állapothoz képest ugyanis biztonságosabb, szabályozottabb és könnyebben számon kérhető adatkezelést kell garantálni.