A GDPR-ról egyszerűen
2018. május 25. meghatározó nap minden adatot kezelő vállalkozás számára, mivel ekkor vált hatályossá az az európai jogszabály, ami egységesíti a tagállamok adatkezelési szabályozását.
A General Data Protection Regulation (GDPR), magyarul Általános Adatvédelmi Rendelet a magánszemélyek digitális és papíralapú adatainak kezelését szabályozza, szigorítja. Az egységesítésre azért volt szükség, mert a vállalkozások online jelenlétének növekedésével egyidejűleg megnőtt a személyes adatokkal való visszaélések száma is. A GDPR bevezetése jelentős hatást gyakorol minden vállalkozás működésére, amelyek személyes adatot/különleges személyes adatot kezelnek vagy bizonyos típusú adatkezelési módszereket alkalmaznak. A jogszabály szerint személyes adatnak minősül minden olyan információ, ami alapján a magánszemély beazonosítható, legyen az név, cím, e-mailcím, telefonszám, IP, cookie ID vagy bármilyen más online azonosító.
Az új szabályozás értelmében a 250 főnél több alkalmazottal rendelkező vállalatok ezentúl kötelesek nyilvántartást vezetni az adatkezeléseikről. Gondolhatnánk, hogy ezt eddig is megtették, de ez sajnos nem így van, Magyarországon a vállalkozások igen csekély része vezet megfelelő nyilvántartást a tárolt személyes adatokról. Minden vállalkozás köteles adatkezeléseit közérthetően dokumentálni, ez alól azok sem képeznek kivételt, akik számára az adatvédelmi nyilvántartás vezetése nem kötelező.
Megjelenik egy új tisztség az adatvédelmi tisztviselő személyében, akinek az lesz a feladata, hogy tájékoztassa az adatvédelemben érintett feleket jogaikról és kötelezettségeikről, ellenőrizze a jogszabálynak való megfelelést, szakmai tanácsot ad az adatvédelmi hatásvizsgálattal kapcsolatban és nyomon követi azt, továbbá kapcsolatot tart a felügyeleti hatósággal.
Májustól 72 órán belül jelenteni kell minden adatvédelmi incidenst az adatvédelmi hatóságnak vagy az érintettnek. Ilyen incidens lehet például az oldalunkat ért hacker támadás.
Fontos változás az eddigi adatvédelmi szabályozáshoz képest, hogy személyes adatot csak a GDPR rendeletben szereplő jogalapok alapján lehet kezelni.
Az adatot kezelőnek minden esetben, késedelem nélkül teljesítenie kell az érintettek jogaival kapcsolatos igényeket, mint például az adatkezelés előtti tájékoztatás, az adatkezeléshez való hozzájárulás visszavonása, információ a kezelt adatokról vagy az adatkezelés korlátozása.
Az adatvédelmi jogsértésért igen magas, 20 millió euró vagy a cég előző évi világpiaci árbevételének 4%-ának megfelelő összegű bírság is kiszabható, természetesen egyedi elbírálást követően, melynek során figyelembe veszik az adatvédelmi rendelet be nem tartásának mértékét és miben létét.
Minden vállalkozás esetében javasolt jogi képviselővel konzultálni és vele együtt elkészíteni az adott vállalkozás adatvédelmi szabályzatát.