GDPR

Mi az a GDPR?

Az általános adatvédelmi rendelet az egész Európai Unióban érvényes új rendelet a személyes adatok védelméről. A természetes személyek számára nagyobb fokú rendelkezést biztosít a személyes adataik felett, biztosítja az adatok felhasználásának átláthatóságát, valamint biztonsági és megfelelőségi intézkedéseket ír elő az adatok védelme érdekében. Ezek komoly elvárásokat támasztanak – a jogi megfelelés mellett – az informatikával szemben is, így a felkészülést nem érdemes az utolsó pillanatra hagyni, hiszen egy nagyobb szervezet életében ez akár több mint fél évig is tarthat.

A GDPR 2018. május 25-től alkalmazandó. A jelenleg alkalmazandó, 1995 óta hatályban lévő adatvédelmi irányelv (95/46/EK irányelv) helyébe lép majd. A GDPR ténylegesen 2016. áprilisa óta jogszabály az EU-ban, de tekintettel arra, hogy a rendelet betartása érdekében milyen jelentős változtatásokra kényszerülnek egyes szervezetek, kétéves felkészülési időtartamot határoztak meg.

gdpr

Miről is szól a GDPR?

GDPR (General Data Protection Regulation) az Európai Unió új adatvédelmi rendelete, amely a 2018.május 25-ei hatályba lépésével számos változást hoz a vállalkozások adatkezelésébe. Ezek többnyire azzal függenek össze, hogy sokkal nagyobb kontrollt kapnak a felhasználók saját személyes adataik fölött. A változások többek között a hozzájárulási nyilatkozatokra, a hozzáférési és tájékoztatási kötelezettségekre vonatkoznak, amelyek komoly elvárásokat támasztanak – a jogi megfelelés mellett – az informatikával szemben is. Sok esetben jelentheti a rendszerek átstruktúrálását is, így a felkészülést nem érdemes az utolsó pillanatra hagyni, hiszen egy nagyobb szervezet életében ez akár több mint fél évig is tarthat.

Mit veszíthet, ha nem felel meg?

Mivel minden Európai Unióban tevékenykedő cégre vonatkozik az előírás (pl. a legkisebb webshopra is, ha tárolja és kezeli vásárlói személyes adatait), ezért Önnek is fontos, hogy megfeleljen a követelményeknek. A rendelet be nem tartása komoly bírsággal járhat. Ez az éves árbevétel 4%-át jelenti, vagy maximum 20 millió eurót attól függően, hogy melyik a nagyobb. Magyarországon tagállami hatáskörben marad a betartás ellenőrzése, így a Nemzeti Adatvédelmi és Információbiztonsági Hatóság (NAIH) ellenőrzi és vizsgálja ki a kötelezően bejelentendő incidenseket. De talán még bírságnál is nagyobb kockázatokat jelentenek majd a kártérítési keresetek, amelyekkel a természetes személyek élhetnek.

Milyen elvárások vannak?

A rendelkezés számos változást hoz a vállalkozások adatkezelésébe – ezek többnyire azzal függenek össze, hogy a felhasználók a korábbiaknál sokkal nagyobb kontrollt kapnak saját személyes adataik fölött. Az információvédelmi eljárások általános szigorításán túl ide tartozik például a betekintés joga: minden adatkezelőnek meg kell tudnia mutatni az adott személynek (lehetőleg géppel olvasható formában), hogy milyen adatokat tárol róla. Eközben természetesen biztosítani kell, hogy az illető csak a saját adatait láthassa. Szintén biztosítani kell a „felejtés jogát”: mindenki kérheti, hogy a róla tárolt adatokat a cég törölje (sőt, erre a lehetőségre fel is kell hívni a figyelmet). „Ez komoly követelményeket támaszt az informatikával szemben: minden adatról tudni kell, hogy milyen alkalmazásokban és milyen fizikai tárolókon őrzik, majd kérés esetén minden helyről ki is kell tudni törölni ezeket. Nagyon valószínű, hogy számos szervezetnél teljesen át kell strukturálni az informatikai rendszereket.”

Hogyan felelhet meg ezeknek?

A rendelkezés betartása nem egyszerű feladat. Sok cég csak jogi tájékoztatást kap, de arról már nem gondoskodik, hogy informatikai oldalról is fel legyen készítve, pedig anélkül nem fog sikerülni megfelelés. Ahogy a jogi tanácsadást ügyvédtől, úgy az informatikai felkészítést is szakembertől kell kérnie. Itt jövünk mi a képbe.