Pénteken lép hatályba az uniós adatvédelmi rendelkezés, a GDPR, amely szigorúan szabályozza a cégek adatkezelési tevékenységét. A részletes szabályok betartása ugyanakkor nehézséget okoz a vállalkozásoknak, ráadásul súlyos pénzbüntetés elé is nézhetnek a feltételeket nem teljesítő cégek.
Ma azonban jó hír jött, a kormány ugyanis azzal a kéréssel fordult a Nemzeti Adatvédelmi és Információszabadság Hatósághoz, hogy a kis- és középvállalkozások esetében tekintsen el a szankcionálástól, és csak figyelmeztetésben részesítse a kkv-kat.
Kérdésünkre Gulyás Gergely a csütörtöki Kormányinfón nem tudta megmondani, hogy ez esetben a kkv-k mely definícióját kell figyelembe venni (létszám, árbevétel), annyit mondott, hogy ez ügyben a Magyar Kereskedelmi és iparkamarával konzultálnak. Kiemelte, hogy csak a legnagyobb cégek esetében lép fel teljes szigorával a hatóság.
A kötelezettségek megsértése esetén a közigazgatási bírság elérheti akár a 20 millió eurót, de a hatóságnak megvan a mérlegelési jogköre.
Pontosan mi is az a GDPR?
Péntektől alkalmazandó az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation), ezzel egységessé válik az adatvédelmi szabályozás az Európai Unió egész területén. Hogy ez mit is jelent pontosan, arról beszéljen alább az MTI összefoglalója:
Az Európai Unió még 2016-ban fogadta el az általános adatvédelmi rendeletet, de a szabályozás csak 2018. május 25-től alkalmazandó. A rendelet felülírja a nemzeti jogszabályokat és közvetlenül alkalmazandó, ezért a helyi szabályokat az új előírásoknak megfelelően módosítani kellett.
A szabályozás kiterjed minden olyan hatóságra, gazdasági társaságra és szervezetre, amely az EU-ban tartózkodók személyes adatait kezeli vagy feldolgozza.
Az új uniós szabályozás jelentősen kibővíti a személyes adatok körét, és minden olyan azonosított vagy beazonosítható emberre vonatkozó adatot ilyennek tekint, amely az illető privát, szakmai vagy közösségi, társadalmi tevékenységére vonatkozik. Azaz személyes adat többek között a név, a születési és egészségügyi adat, a bankszámlaszám, a jövedelem, a helymeghatározó adat (GPS), az e-mail-cím, a vállalati és magántelefonszám, a levelezési cím, de akár egy IP-cím is.
Az új rendelet megerősíti a személyes adatok törlésének jogát: ha valaki már nem szeretné, hogy adatait a továbbiakban feldolgozzák, és az adott szervezetnek nincs alapos indoka azok tárolására, akkor a szervezetnek törölnie kell a kérdéses adatokat a rendszeréből. Az állampolgárokat megilleti az adatok hordozhatóságának joga is, azaz jogukban áll adataikról másolatot kérni egy adott szolgáltatótól és azt egy másik szolgáltatónak továbbítani.
A szervezetek kötelesek a lehető legvilágosabb, legérthetőbb tájékoztatást adni a személyes adatok felhasználásának módjáról és amennyiben egy szervezet hanyagul kezeli az ügyfelek adatait, neki kell bizonyítania, hogy az általa kezelt és feldolgozott adatokat a becsült kockázatokkal arányosan védte.
Azoknak az intézményeknek, amelyek nagy tömegben, automatizált módon kezelnek személyes adatokat - például a bankok, biztosítók, egészségügyi szolgáltató intézmények, informatikai szolgáltatók -, és azoknak, amelyek különlegesen érzékeny személyes adatokat - politikai nézet, szakszervezeti tagság, szexuális irányultság - kezelnek, adatvédelmi felelőst kell kinevezniük. Ő személyében felelős a megfelelő adatvédelmi rendszer működtetéséért és az adatok védelméért. A kisebb szervezeteknek nem kötelező ugyan adatvédelmi felelőst kinevezniük, az adatok kockázatokkal arányos védelméért ők is felelősek.
A rendelet egyetlen páneurópai adatvédelmi jogszabályt teremt, így a vállalkozásoknak a 28 tagállam nemzeti jogszabályai helyett csak egyet kell szemmel tartaniuk. Az új szabály tisztességes versenyt teremt, mivel az unión kívüli vállalkozásoknak ugyanazokat a szabályokat kell alkalmaznia, mint az uniós vállalkozásoknak, amikor árukat vagy szolgáltatásokat kínálnak az EU-ban.
A GDPR átfogó bejelentési kötelezettséget vezet be, így minden incidenst - például hackertámadást vagy egy személyes adatokat tároló laptop elvesztését - 72 órán belül jelenteni kell az adatvédelmi hatóságnak.
A rendelet előírásainak megszegése esetén a kiszabható bírság akár a 20 millió eurót vagy a cégcsoport teljes, globális forgalmának 4 százalékát is elérheti.