Szigorodik az adatvédelem szabályozása

Az Unió egész területén egységes adatkezelési szabályozás lép életbe 2018-tól, miután tavasszal a Európai Parlament megszavazta az új adatvédelmi rendeletet. Az eddig is szigorúnak számító magyar törvényi háttér tovább fog bonyolódni, a büntetések mértéke is nő, a cégeknek fel kell készülniük, amennyiben európai állampolgárok adatait kívánják kezelni.

Az eddigi uniós szabályozás 1995-ben készült, így ideje volt aktualizálni, hogy igazodjon az azóta végbement technológiai változáshoz. Négyéves tárgyalási folyamatot sikerült végre idén lezárni.

Az Európai Unió által tavasszal elfogadott általános adatvédelmi rendeletének (General Data Protection Regulation, továbbiakban GDPR) célja, hogy az internethasználóknak sokkal nagyobb befolyást biztosítson saját adataik felett, másrészt a digitális korszaknak megfelelő magas szintű és egységes uniós adatvédelem jöjjön létre. A változtatások egyúttal minimumkövetelményeket határoznak meg a rendőrségi és bírósági célú adatfelhasználás területén.

Az új rendelet minden tagországra egységesen érvényes, és újdonság az is, hogy az EU-n kívüli országok cégeire is vonatkozik, ha azok EU-s magánszemélyek vagy cégek adatait kezelik. Ez azt jelenti, hogy ezeknek a cégeknek is szigorú szabályoknak kell megfelelniük, cserébe azonos feltételekkel indulnak az európai piacon.

Tisztességesebb verseny,
nagyobb bizalom

Az adatvédelmi rendelet felelőse, Jan Philipp Albrecht német képviselő a szavazás után elmondta:

– Ez nagy győzelem a fogyasztói jogok és a piaci verseny, valamint az Európai Parlament számára. Innentől a polgárokon múlik, hogy milyen személyes adatokat akarnak magukkal kapcsolatban megosztani. Az egységes uniós szabályozás az üzleti szektor számára is egyértelmű és világos helyzetet teremt. Az új szabályok jogbiztonságot, tisztességesebb versenyt és bizalmat teremtenek.

Az új rendelkezések lényege hat rövid pontban összefoglalható:

1. A személyes adatok törléséhez való jog.

2. Az érintettek világos és egyértelmű hozzájárulása kell a személyes adatok feldolgozása kapcsán.

3. Az adathordozáshoz való jog.

4. Az adatvédelmi incidensről való értesülés joga.

5. A közérthető adatvédelmi magyarázathoz való jog.

6. Erősebb kényszerítőeszközök – közigazgatási bírság.

A Mátrix mélyén

Az általános adatvédelmi rendelet segíti majd az EU-ban a digitális egységes piac élénkítését azáltal, hogy világos és egységes szabályokra alapozva erősíti a felhasználók online szolgáltatásokba vetett bizalmát és a vállalkozások jogbiztonságát. Az eddig érvényben lévő irányelv csak ajánlás volt az országok számára, a cégeknek pluszterhet jelentett, hogy ahány ország, annyi szabályozás, ám ez a rendelet kötelező érvényű minden ország számára. Illetve nem kizárólag az adatkezelőkre, hanem immár az adatkezelők megbízásából eljáró adatfeldolgozókra is számos kötelezettséget ír elő, részletesen szabályozza, hogy mit kell tartalmaznia az adatfeldolgozókkal kötendő szerződéseknek, amely szabályok számos cég szempontjából fontosak, elvégre a legtöbb vállalkozás igénybe vesz valamilyen adatfeldolgozó szolgáltatást.

A GDPR legfontosabb alappillére, hogy az adatkezelő cégektől minél nagyobb fokú átláthatóságot és elszámoltathatóságot követel meg, nagyobb nyomatékot kap, hogy a teljes adatkezelési folyamatnak transzparensnek kell lennie. A felhasználók szempontjából új szabályozás, hogy a tájékoztatást egyszerű és közérthető formában, könnyen hozzáférhetően kell tálalni. Az egyéneknek egyértelmű hozzájárulást kell adniuk a személyes adatok kezeléséhez, 16 éven aluli gyerekek esetében a szülőtől is. Minden felhasználónak joga lesz a személyes adatok helyesbítéséhez, tárolásának megszüntetéséhez, a „feledéshez” és törléséhez való joggal, ha már nem kívánja használni az adott szolgáltatást. Az érintettek rendelkeznek az adatkezelés kifogásolásához való joggal, többek között a személyes adatok „profilalkotás” céljából történő felhasználására vonatkozóan.

Az adathordozhatóság eddig egyáltalán nem volt szabályozva. Ezentúl olyan formában kell majd átadni az adatokat, hogy azt egy másik szolgáltatóhoz mindenféle átalakítgatás nélkül át lehessen vinni. A rendelet tartalmazza az értesülés jogát adatvédelmi incidenseknél, azaz, ha hekkertámadás, adatkiszivárogtatás vagy más, a felhasználót érintő biztonsági esemény következik be, ezekről a cégeknek ezentúl be kell majd számolniuk, illetve mindig értesíteniük kell az őket felügyelő adatvédelmi hatóságot is.

Mivel az új rendelet nem tud minden egyes adatvédelmi kérdésre felkészülni, az Európai Bizottság az adatvédelmi hatóságokkal együttműködve meghatározza a rendeletben szereplő rendelkezések gyakorlati alkalmazásához szükséges irányelveket, hogy valamennyi tagállam egyenlő módon implementálhassa őket. Itthon ez a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) feladata lesz.

Bár a magyar szabályozás európai mércével mérve is nagyon részletes és szigorú, a következő két évben elsősorban az „Infotörvény” jelentős átalakításon fog átesni. Ennek egyik sarkalatos pontja, hogy a szabálysértő cégek szankcionálására a bírságok egy háromszintű rendszerét hagyták jóvá, amelyben a nemzeti adatvédelmi hatóságok a bírság mértékét a törvénysértő magatartás természetétől tennék függővé. A maximális kiszabható büntetés mértékét a rendelet a cégek globális árbevételének 4 százalékában határozta meg, ami jelentősen magasabb a Magyarországon jelenleg kiszabható maximális bírságnál, bár a NAIH által kiszabható bírságösszeg az Országgyűlés júliusi döntése nyomán 10 millió forintról 20 millió forintra emelkedett.

Határon túl

A GDPR tehát EU-n kívüli cégek európai tevékenységére is vonatkozik, viszont nem globális, így cégekkel, országokkal további megállapodások szükségesek. Az egyik ilyen legnagyobb egyezmény az EU–USA adatvédelmi pajzsa, amely erőteljesebb védelmet biztosít a transzatlanti adatáramlásoknak.

Az Egyesült Államokkal nyáron született adatvédelmi együttműködés, célja, hogy megvédje minden olyan uniós polgár alapvető jogait, akinek a személyes adatait az Egyesült Államokba továbbították, valamint egyértelmű jogi helyzetet teremt azoknak a vállalkozásoknak a számára, amelyek igénybe veszik a transzatlanti adattovábbításokat. Adatokat kezelő vállalatokra vonatkozó szigorú kötelezettségek alapján az új megállapodás szerint az Egyesült Államok Kereskedelmi Minisztériuma rendszeres frissítéseket és felülvizsgálatokat végez a résztvevő vállalatok tekintetében, annak érdekében, hogy azok betartsák az általuk vállalt szabályokat.

Ez az adatvédelmi pajzs tehát egy különmegállapodás GDPR-en kívül egy unión kívüli országgal. Ehhez hasonló együttműködésekre még számíthatunk a jövőben, valószínűleg számos változás várható az uniós törvényi szabályozásban is az alapján, hogy az egyes uniós országok miként tudják implementálni a rendeletet, azonban az, hogy 2018-tól az Unió területén egységes adatkezelési, adatvédelmi szabályozás lép életbe, az már nem kétséges. //

Mit tegyen a cége az átálláshoz?

Az ICO, Nagy-Britania független adatvédelemért felelős testülete 11 pontban foglalta össze, hogy miként készülhetnek fel a vállalkozások az új rendeletre:

1. Győződjön meg róla, hogy döntéshozók és a cég szakemberei tisztában vannak azzal, hogy a szabályozás a GDPR értelmében változni fog.

2. Dokumentálja a birtokában a személyes adatokat, hogy honnan származnak, és kivel osztja meg azokat. Szükséges lehet egy információs audit a szervezet egészére vagy az egyes üzleti területekre.

3. Vizsgálja felül jelenlegi adatkezelésre, nyilvántartásra, védelemre vonatkozó irányelveit, és ha szükséges, akkor a GDPR alapján módosítsa.

5. Aktualizálja eljárásait, és tervezze meg, hogyan fogja kezelni a kérvényeket az új ütemezés szerint, és hogyan nyújt további tájékoztatást.

6. Nézze át az adatfeldolgozások különböző típusait, határozza meg végrehajtásuk jogalapját, és dokumentálja azt.

7. Vizsgálja felül, hogyan igényli, szerzi meg és jegyzi fel a beleegyezéseket, és hogy kell-e változtatásokat tennie.

8. Gondolkodjon el azon, hogy milyen új rendszerek segítségével tudja megállapítani az egyes felhasználók életkorát, gyerekek esetében miként tudja megszerezni az adatkezeléshez szükséges szülői engedélyt.

9. Győződjön meg róla, hogy minden szükséges védelmi rendszerrel rendelkezik, illetve készüljön fel arra, ha sérülnek a személyes adatokhoz fűződő jogok, akkor azt tudja jelenteni az illetékes hatóságok felé, illetve készüljön az esetek kivizsgálására is.

10. Jelöljön ki egy dedikált személyt, aki felelős az adatvédelemért.

11. Nemzetközi cég esetében nézzen utána, hogy melyik helyi hatóság alá tartozik szervezete.