Tudnivalók a GDPR-ről

Miután az Európai Unióban 2018. május 25-én érvénybe lépett a 2016/679-es európai rendelet a magánszemélyek adatforgalmát illető szigorításokkal, a cégek és intézmények bármikor szembesülhetnek az ellenőrzésekkel is.

A szankciók különösen nagyok lehetnek, aktuális lehet az önvizsgálat, megtette-e mindenki az általa kezelt egyéni adatok védelmére a megfelelő lépéseket? A témakör egyik szakértőjével, Daniel Niță kockázatfelmérővel, adatbiztonsági szakértővel frissítjük fel, amit e témakörben tudni kell a GDPR-ről (az adatvédelmi szabályzat angol rövidítése – a General Data Protection Regulation kifejezésből).

A rendelet az előzőleg meglévő előírásokhoz képest sokkal szigorúbban szabályozza az egyén adatainak kezelését, miközben új elemekkel is bővült. Például az azonosító jellegű adatokon kívül (személyi szám, lakcím, telefonszám, e-mail-cím) a gyerekeket illető adatok, a vallási és politikai meggyőződést, az előéletet (priuszt) illető információk fokozott védelmét kéri.

A cégek, intézmények minden új tevékenység, projekt megkezdésekor vagy egy előző tevékenység fejlesztéskor meg kell vizsgálják, azaz hatástanulmányt (Data Privacy Assesment) kell készíteniük arra vonatkozóan, hogy azoknak a személyeknek az adatait, akikkel kapcsolatba kerülnek, a kellő mértékben védik-e, illetve az adatok más módon való felhasználása milyen hatással van az érintettek életére. Például, ha a marketingosztály egy könyvelői programból kivonja az egyének listáját, hogy számukra reklámot küldjön, e hatástanulmány alapján külön kérnie kell a jóváhagyásukat ehhez a nyilvántartáshoz is, feltételezve, hogy a könyvelési programban való szerepléshez is megadták a beleegyezésüket .

Adatvédelmi incidensek esetén az egységek kötelesek az országos hatóságot (ANSPDCP – Autoritatea Națională pentru Supravegherea Datelor cu Caracter) személyesen értesíteni, illetve ezek elkerülésére ajánlatos egy adatvédelmi biztost (Data Privacy Officer – DPO) kinevezni, és annak elérhetőségeit minden egyénnek megadni, akinek bizonyos adatait őrzik.

A vétségek szankciói különösen kemények, egy európai multinacionális nagyvállalat esetén 10–20 millió euróig terjedhet a büntetés, illetve az éves (globális) forgalom 2–4%-a is lehet, a kettő közül a nagyobbat alkalmazzák. Az utóbbi időben éppen ezért tapasztalható, hogy sok ilyen vállalat beszüntette európai tevékenységét vagy áthelyezte székhelyét az unión kívüli országba, mert a szabályzathoz való alkalmazkodás túl nagy költségekkel járhatott számukra. Egy hongkongi cégnek is tiszteletben kell tartania ezt a szabályzatot, ha európai polgároknak értékesít, vagy itt van székhelye munkapontja bejegyezve.

– Tudomásom van róla, hogy az országos hatóság lépéseket tett személyzetének bővítése és képzése érdekében, hogy az ellenőrzéseket el tudja végezni – hivatalból vagy bejelentésre – mondta Daniel Niță. – Nyilván a kezdeti alkalmazási időszakban még nem a büntetésekre helyezik a hangsúlyt, hanem a figyelmeztetésre, illetve annak követésére, hogy mit tett az adatok tárolója vagy feldolgozója azok biztonságáért. Természetesen a súlyos kihágásokat a törvény szerint büntetik.

A hatóság köteles az egyéneknek is választ adni arra, hogy hogyan kezelik az adataikat, de arra is felkészült, hogy a túlbuzgó egyéneket megfékezzék. Például ha valaki megkérdezi, hogyan voltak kezelve az adataim, határon kívülre kijuthattak-e, eltörölték-e a vásárlás után, továbbították-e a Google-nak, hogy az reklámokat küldjön, a hatóság megszabhatja, hogy az első válasz ingyenes, a továbbiaknak azonban fizetni kell érte.

E témakörben további tájékoztatással jövő heti Gazdaság rovatunkban jelentkezünk.