Ma lépett életbe a GDPR, vagyis az Európai Unió Általános Adatvédelmi Rendelete, amely új világot hoz az adatkezelésben az egész unión belül, sőt, az olyan cégek is érintettek, akik uniós állampolgárok adatait kezelik. Bár a kkv-k a bírság alól felmentést kapnak Magyarországon, ez nem jelenti sem azt, hogy minden adatkezelőre ne vonatkozna már mostantól a rendelet, sem azt, hogy a kkv-k megúsznák a megfelelést. Mi pedig készüljünk fel az új világra, amikor el kell majd olvasnunk, és értelmeznünk is kell, hogy mit tesznek a cégek - a Google, a Facebook és társaik - az adatainkkal. Összeszedtük a legfontosabb részleteket a GDPR-ról.

Az európai adatvédelmi reformnak három eleme van: a kötelezően alkalmazandó GDPR rendelet, az ún. büntetős irányelv, amelyet a nemzeti jogba kell átültetni, illetve az e-privacy rendelet. Utóbbi egy szektorális adatkezelést - a telekommunikációst - szabályozza rendeleti formában, így ez is kötelezően alkalmazandó.

Az egyik fő cél, hogy az Európai Unióban egy egységes adatvédelmi gyakorlat jöjjön létre. Ez azt jelenti, hogy lesz egy európai adatvédelmi hatóság, s annak működik minden tagországban egy "fiókszervezete", ami Magyarországon a NAIH. Egy másik fontos cél, hogy az unió állampolgárainak adatait a nagy technológiai cégektől is megvédjék, a Facebook, a Google és társaik csak úgy használhassák az adatainkat, ahogyan arra mi engedélyt adtunk nekik.

Mi következik most?

Az adatvédelmi rendelet most már két éve ismert, hatályban is van, de majd csak mostantól kell alkalmazni. A rendelet ugyanis egy "kötelező jogalkotási aktus", amely az EU egész területén teljes egészében alkalmazandó.

De ez nem azt jelenti, hogy a magyar jogszabályokon nem kell a rendeletnek megfelelően változásokat végrehajtani, épp ellenkezőleg: az Infotörvénynek, a szektorális szabályozásoknak (pl. a hitelintézeti törvénynek), a nem uniós kompetenciába tartozó szabályoknak (nemzetbiztonság és a honvédelem) is jelentős változásokon kell átesnie, az ezzel kapcsolatos munka jó része, a szabálytervezetek elfogadása még hátravan.

A szektorális adatkezelések szabályainak még a tervezete sem született meg, így ezeknél az adatvédelmi incidensek jogértelmezéssel kerülnek megoldásra. Ahogy Péterfalvi Attila lapunknak korábban elmondta, egy szektorális adatkezelésnél fontos, hogy mihez képest véleményezi a hatóság, és ez a GDPR lesz. "Mögöttes szabályként ugyan ott lesz az Alkotmánybíróság gyakorlata és az Alaptörvény, de alapvetően a GDPR-kompatibilitását fogjuk vizsgálni. Ha viszont a büntetős irányelvről vagy a nemzetbiztonságról, honvédelemről van szó, akkor egyértelműen az Infotörvény az, amihez igazítjuk a véleményünket" - fejtette ki.

Péterfalvi Attila hozzátette: "az Infotörvényből ki kell gyomlálni minden olyan szabályt, amely benne van a GDPR-ban, de egy következő pillanatban vissza kell tenni, mert a büntetős irányelv beültetése során annak fogalmi rendszere (értelmező rendelkezések, adatkezelés elvei stb.) ezt megköveteli." A jogszabály-előkészítésért az Igazságügyi Minisztérium a felelős, a munkában a NAIH szorosan részt vett, a jogszabálytervezet elkészült, de mielőtt ez a parlament elé kerül, több feladat is van. Az első és legfontosabb feladat, hogy a NAIH-ot ki kell nevezni a GDPR rendelet alkalmazásáért felelős hatóságnak, ráadásul ez sarkaltos, kétharmados törvény.

Éppen ezek miatt döntött úgy a kormány, hogy a magyar kkv-knak osztrák mintára egyelőre még nem fognak bírságokat kiszabni, de a rendeletnek ettől még meg kell felelni.

300-szor magasabb bírságok

A bírságtételek a maximális 20 millió forintról maximális 10 illetve 20 millió euróig emelkednek. Ennek kapcsán a NAIH elnöke leszögezte: "teljesen mindegy, hogy Magyarországon vagy Németországban szabják-e ki, a bírságok összege és kiszabási módja az unión belül egységes lesz."

Az általános adatvédelmi rendeletre való felkészülés komoly feladatot jelent a nagy multiktól kezdve a kkv-knak is, ugyanis már a munkatársak adatainak kezelése is GDPR-rendelet új szabályai alá tartozik, nem beszélve az ügyféladatokról, azok célhoz kötött felhasználásáról és törlési módozatairól.

A külső védelem, az adatok biztonságban tartása miatt még fontosabb szempont lesz mostantól, különösen, hogy a bírságok kiszabásakor azt is figyelembe veszik, mennyire adatszivárgás és hackerbiztos az adott cég IT-rendszere. A GDPR audit illetve az adatvédelmi hatásvizsgálat segítenek feltárni, milyen intézkedések, új rendszerek kialakítása szükséges, az adatkezelés hol nem felel meg a GDPR-ban előírtaknak, és mit kell másképpen csinálni.

Mit hoz a GDPR az egyszeri állampolgárnak?

Első körben rengeteg olyan levelet, adatvédelmi hozzájárulást, e-mailt és elolvasandó adatvédelmi szabályzatot, amit most a cégek tömegesen küldenek ki az adatokat kezelő cégek az adatok tulajdonosainak, vagyis az állampolgároknak. Az elsőre inkább idegesítően sok kérésnek és levélnek azonban van értelme, érdemes a robotikus kipipálgatás helyett venni a fáradtságot, és végiolvasni a hol könyebb, hol nehezebben érthető szövegeket, és csak a megfelelő helyre pipálni.

Példáula a Google a GDPR-szabályozás kapcsán nyitott egy új felületet, ahol bárki megszabhatja, hogy pontosan milyen adatokat gyűjt róla a szolgáltató, és adatokat töröltethetünk is. A google olyan adatokat gyűjt rólunk, mint például:

- a helyszínek, melyekre rákerestünk a Google Mapsen,

- minden app, melyet az Androidon megnyitottunk, amikor megnyitottuk,

- minden Youtube-videó, amit megnéztünk és minden komment, amit hagytunk,

- minden hír, melyet elolvastunk a Google Newson,

- minden üzenet, melyet a Gmailen keresztül küldtünk.

Az új felületen csúszkákkal állíthatjuk, hogy egyes adatainkat elérhetővé tesszük-e: ha kék a csúszka, igen, ha szürke, akkor nem. Ugyanezen a felületen az előzmények megtekintése után van lehetőségünk kitörölni is ezeket az adatokat. Érdemes észben tartanunk, hogy ha letiltjuk ezeket a szolgáltatásokat, előfordulhat, hogy egyes Google-kapcsolt alkalmazások és szolgáltatások nem működnek majd rendesen.

Egyes becslések szerint a GDPR 9,3 milliárdos bukó lesz a Google-nek (vagyis pontosabban az Alphabetnek), amit a hirdetések célzásának romlása jelenthet a cégnek.

A Facebook szintén egy több lépésből álló, emberi nyelven íródott GDPR-os adatvédelmi tájékoztatót és adatkezelési felületet hozott létre, amit minden felhasználóval kötelezően kitöltetett. A tárolt adatokról szintén részletesen lehet renedelkezni, azokat le lehet kérdezni.

Ezen szintén részletesen rendelkezhetünk arról, mit tehetnek az adatainkkal, és mit nem, mire jó az nekik, és mire nem. Persze ez csak a jéghegy csúcsa, készüljünk fel arra, hogy mostantól a cégek is komolyabban veszik, mi mindent tudhatnak rólunk, és ezzel nekünk is lesznek feladataink mostantól. delkezni, azokat le lehet kérdezni.

Forrás: portfolio.hu