Mond önnek valamit a GDPR rövidítés? Az elnevezés egy olyan európai rendeletet takar, amely szigorítja a személyes adatok védelmére vonatkozó szabályokat. E vonatkozásban az elmúlt 20 év legnagyobb változásaként emlegetik. A rendelet megsértése vagy végrehajtásának elmulasztása akár 20 000 000 euró bírságot vonhat maga után.
A GDPR – angolul General Data Protection Regulation – jelentése Általános adatvédelmi rendelet. A rendeletet 2016. április 27-én hagyták jóvá, és 2018. május 25-én lépett hatályba. Ezért mindenkinek, akit a rendelet érint, felül kellett vizsgálnia az adatkezeléssel kapcsolatos információs rendszerét és eljárásait.
A jogalkotók célja az volt, hogy az európai polgárok jobban tudják ellenőrizni, mi történik az adataikkal. A GDPR rendelet hatálya így minden vállalatra és intézményre, de az egyénekre és azokra az online szolgáltatásokra is kiterjed, amelyek az európai polgárok személyes adatait gyűjtik vagy kezelik. Beleértve azokat az EU-n kívüli vállalatokat és intézményeket, amelyek az európai piacon folytatnak tevékenységet. Ez gyakorlatilag az összes webáruházat magában foglalja, amelyek a 21. századnak megfelelő szintű marketinget valósítanak meg.
Elsősorban egyenértékű jogérvényesítést az egész EU-ban, egyforma szankciókat és a felügyeleti hatóságok jóval szorosabb együttműködését.
Például minden adatkezelőnek és adatfeldolgozónak dokumentálnia kell, hogy kizárólag az adott célhoz szükséges adatokat kezeli vagy dolgozza fel.
A rendelet biztosítja azoknak a személyeknek, akikre az adatok vonatkoznak (érintettek), hogy megfelelő tájékoztatást kapjanak a jogaikról. Így például tiltakozhatnak az adatkezelés ellen, ebben az esetben az adatkezelő az adatokat nem kezelheti tovább, kivéve, ha bizonyítja, hogy azt kényszerítő erejű jogos okok indokolják.
Továbbá a polgárok számára hozzáférést kell biztosítani a rájuk vonatkozó adatokhoz. A GDPR rendelet megfogalmazza a törléshez való jogot és egyben mint az elfeledtetéshez való jogot. Ennek köszönhetően az érintett személy kérheti a személyes adatai indokolatlan késedelem nélküli törlését, amennyiben az adatkezelésnek nincs más jogalapja.
Az új jogszabálynak köszönhetően a személyes adat fogalma is bővült. Ezentúl az olyan technikai paraméterek is közéjük tartoznak, mint az e-mail, az IP-cím vagy a felhasználó eszközén mentett ún. cookie fájlok, akárcsak a genetikai és biometrikus adatok.
A személyes adatok kiszivárgását, azaz az adatvédelmi incidenst, az adatfeldolgozó köteles jelenteni az illetékes Adatvédelmi Hatóságnak (Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóságnak), mégpedig legkésőbb 72 órával azután, hogy az a tudomására jutott.
A GDPR bevezette az ún. felelősség elvét. Ez azt jelenti, hogy az adatkezelők és adatfeldolgozók kötelesek az érintettek jogainak védelmét biztosító, megfelelő technikai, szervezési és eljárási intézkedéseket hozni. Ez a kötelezettség az alkalmazotti létszámtól, illetve az intézmény vagy a vállalat méretétől függetlenül fennáll.
Az intézkedések elsősorban az alábbi területekre vonatkoznak:
Minden adatkezelő és adatfeldolgozó köteles a felügyeleti hatósággal együttműködni, és kapcsolódó nyilvántartásaikat kérésre hozzáférhetővé tenni az érintett adatkezelési műveletek ellenőrzése érdekében.
A nyilvántartásnak a következő információkat kell tartalmaznia:
A GDPR rendelet további alapelve az érintett önkéntes, konkrét és megfelelő tájékoztatáson alapuló egyértelmű és semmilyen feltételhez nem kötött hozzájárulása. Ha az adatkezeléshez az érintett hozzájárulása szükséges, annak megtagadása nem indokolhatja a szolgáltatásnyújtás visszautasítását, kivéve, ha azt maga a szolgáltatás megköveteli.
Konkrét példa webáruház esetében: ha a webáruház üzemeltetőjének olyan személyes adatokat adok át, amelyek elengedhetetlenül szükségesek ahhoz, hogy megvásárolhassam a terméket, akkor az, hogy nem járulok hozzá a marketingüzenetek küldéséhez, nem indokolhatja azt, hogy a webáruház visszautasítsa a termék eladását.
Az új rendelet megsértése, végrehajtásának elmulasztása vagy az arra való felkészületlenség esetén a felelős személyekre rendkívül magas szankciót szabhatnak ki. A bírság maximális összege 20 000 000 euró vagy a vállalat teljes éves forgalmának 4%-a (attól függően, hogy melyik nagyobb). Hozzá kell tenni, hogy a maximális összegű bírságot úgy az öt munkavállalót foglalkoztató kisebb társaságokra, mint a nagy multinacionális vállalatokra is kiszabhatják.
Az ilyen közigazgatási bírság kiszabása mellett az adatkezelők vagy adatfeldolgozók ellen a természetes személyek pert is indíthatnak, és vagyoni vagy nem vagyoni jellegű kártérítést követelhetnek.
Írjon megjegyzést