GDPR – az év betűszava

Az utóbbi egy esztendő legismertebb és leginkább rettegett rövidítése címre a GDPR betűszó joggal pályázhat. Ennek ellenére meglepően sok még a fehér folt a rendelettel kapcsolatban. Most a teljesség igénye nélkül egy rövid áttekintést adunk, mit is jelent ez a bűvös négy betű, ami 2018. május 25-től szinte minden vállalkozás életét jelentősen befolyásolja majd.

Mit jelent a GDPR?

A General Data Protection Regulation (GDPR), az új európai adatvédelmi rendelet, amely jóval több, mint a 2011 óta érvényben lévő info törvény újrabootolása.

A rendelet alkotóinak célja ezzel kapcsolatban az volt, hogy az unió tagállamaiban egységes mederbe terelje a (főként) digitális adatok kezelését. A GDPR követelményeinek teljesítésére való felkészülés határidejét (május 25-én) követően teljes mértékben kiváltja a jelenleg alkalmazott EU direktívát, az Európai Unió területén mindenütt alkalmazandó lesz, anélkül, hogy azt a nemzeti jogszabályokhoz igazítanák. A rendelet teljesítésére való felkészülés határideje május 25-e, azaz ezt követően az érintettek számára már nincs türelmi idő a felkészülésre.

Az új európai adatvédelmi rendelet minden eddiginél szélesebb spektrumú, valamennyi vállalkozást érinti, amely uniós polgárok adatait kezeli. Vagyis mindazon, az unió területén tevékenykedő vállalkozásra vonatkozik, amely valamilyen formában adatkezelést végez. (De azon az unióban székhellyel nem rendelkező vállalkozásokra is érvényes, amelyek az áruikhoz vagy szolgáltatásaikhoz kapcsolódóan az unióban adatkezelést vagy adatfeldolgozást végeznek.)

Mitől más?

A jogszabály érezhetően az ügyfelek, magukról adatot szolgáltató magán- vagy jogi személyek érdekeit védi.

2018. május 25-től még erőteljesebben kerül fókuszba, hogy nem az adatot szolgáltató személynek, hanem az adatkezelőnek kell majd bizonyítania, hogy mindenben megfelel az előírásoknak.

… de mit értünk az adatkezelés alatt?

A rendelet az eddigieknél pontosabban határozza meg az adatkezelés fogalmát. Adatkezelés alatt azon műveletek összességét értjük, amely az adatok begyűjtésétől a felhasználáson, tároláson keresztül egészen az adatok törléséig tart.

A hamarosan életbe lépő szabály egyébként markáns különbséget tesz adatkezelő és adatfeldolgozó között.

Előbbi egyértelműen domináns szerepet játszik a folyamatban, lévén ő jelöli ki az adatkezelés célját és módját, ezzel szembe az adatfeldolgozó csak az utasítások alapján (zömmel technikai jellegű) műveleteket hajt végre a kapott adatokon.

Sütin innen, sütin túl

Ugyan már eddig is voltak a személyes adatok kezelésére vonatkozó jogszabályok (pl. a 2015.IX. 01.-es cookie törvény, amely kimondta, hogy kötelező a weboldal látogatóinak beleegyezése ahhoz, hogy az adott site a látogató gépén sütiket helyezzen el.), a GDPR azonban ennél magasabbra teszi a lécet.

Az érintett hozzájárulása eddig is a személyes adatkezelés alfája és ómegája volt. A GDPR viszont kimondja, hogy az adatkezeléshez való látogatói hozzájárulásnak egyértelműnek kell lennie, sőt, most már az is elvárás, hogy ez a korábbi beleegyezés visszavonható legyen egy weboldalon. Azaz, a látogatónak a hozzájárulásának tevőlegesnek kell lennie – magyarán a „Hozzájárulok” feliratú négyzet előre, az oldal üzemeltetője által történő kipipálása már nem számít tényleges beleegyezésnek, mint ahogy az sem, hogy ha a látogató nem nyilatkozik az adataihoz való hozzáférésről, akkor azt a weboldal automatikusan „igenként” értékeli.

Személyes és különleges

A fentiek mind a személyes, mind pedig a különleges adatokra érvényesek. Előbbiekbe a leggyakrabban használt adataink: név, születési dátum, lakcím stb. tartoznak, míg utóbbiak az etnikai hovatartozást, vallási, világnézeti, politikai, szexuális stb. orientációt fedik.

Hangsúlyosabb lesz a személyes adatok védelme is, ezáltal mind az adatkezelőre és az adatfeldolgozóra nagyobb felelősség hárul. A rendelet – éppen a bizalmas információk érzékeny mivolta miatt – egy sor technikai és szervezeti megoldást vezet be, amellyel garantálható a személyes adatok védelme. Az adatvédelemhez kapcsolódóan természetesen a GDPR érinti az ISO 27001 területét is, erről egy későbbi cikkünkben lesz szó.

Hatóság felügyeli a GDPR betartását

Kötelezettségként jelenik meg május 25-től az adatvédelmi incidensek (pl. banki azonosító kódok illetéktelenekhez kerülése) 72 órán belül történő kötelező bejelentése a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felé is. Ez lesz az a hatóság, amely egyfelől a GDPR-ban rögzített követelmények betartásáért felelős, ennek érdekében ellenőrzéseket hajt végre, és ugyancsak ez a testület lesz az, ami a direktívát figyelmen kívül hagyókat szankcionálhatja. Másfelől a NAIH egyfajta segítőként a jogszabály értelmezésben ad majd tanácsokat a hozzá fordulóknak.

A renitenseknek mélyen a zsebükbe kell nyúlniuk

A GDPR betartását vizsgáló szakembereknek a korábbiakhoz képest jóval vastagabban fog majd a ceruzája.

Számszerűsítve ez azt jelenti, hogy a szabályzatot figyelmen kívül hagyókkal szemben kiróható bírság felső határa 20 millió euró, vagy a kérdéses cég világpiaci árbevételének 4%-a lesz.

A rendeletalkotók viszont nem „vagy-vagy” alapon határozzák meg, hogy kinek, mennyit kell fizetnie: mindig a magasabb összeg jelenti a büntetési tétel viszonyítási alapját.

Üzleti, jogi, IT környezet

A terjedelmi korlátok miatt most csak a GDPR a legfontosabb pontjainak áttekintésére volt lehetőségünk. Ám, mivel a szabályozás kiterjed az üzleti, jogi és IT környezetre is, vagyis lényegében egy vállalkozás minden elemét érinti, érdemes szakember– akár a CertUnion szakértőjének – véleményét kikérni a kérdésben.