Ez az év nagyon sok hazai vállalatnál a GDPR-re (General Data Protection Regulation) történő felkészülés jegyében telik majd, ugyanis az bő egy év múlva lép életbe. Ez még az amúgy szigorúnak számító hazai szabályozáshoz képest is szigorúbb, ezért a magyar vállalatoknak is ideje megkezdeniük a felkészülést – írják a KPMG szakértői. Az új előírások be nem tartása ugyanis kemény bírságokat vonhat maga után.

Irányelv helyett egységes rendelet

Az Európai Unió eddig irányelvi formában szabályozta az adatvédelmet. Ez azonban azt is lehetővé tette, hogy azt az egyes tagországok eltérő módon implementálják. Ez a nemzetközi cégek esetében sok gondot okozott, mert minden országban, ahol az adott vállalat jelen volt, a helyi szabályokhoz kellett alkalmazkodnia. A 2018 májusától hatályos GDPR ezt a széttagoltságot szünteti meg, ugyanis rendeleti szinten szabályozza a kérdést, azaz előírásai minden tagállamra egységesen érvényesek, hatálya pedig minden olyan adatra kiterjed, amellyel azonosítható egy EU-n belüli lakhellyel rendelkező természetes személy.

A rendelet megszegéséért kiszabott bírságot is drasztikusan megemelték az eddigiekhez képest. A büntetés súlyos és visszaeső esetben akár a cégcsoport éves árbevételének 4 százalékára is rúghat.

A biometrikus azonosítókat is védi

A GDPR – ahogy a régi irányelv is – megkülönböztet személyes és különleges adatokat. A személyes adatok körébe már nem csak az azonosított, hanem az azonosítható személyes adatok is beletartoznak. Ezt utóbbihoz sorolható például az IP-cím vagy a cookie-k alapján történő azonosítás.

A különleges adatok köre is bővül, a rendelet ide sorolja például a biometrikus és genetikai adatokat.

A rendelet értelmében a személyes adatok kezeléséhez meg kell szerezni az adatgazda egyértelmű hozzájárulást, míg a különleges személyes adatok esetében a kifejezett hozzájárulás kell. Az adatgazdát a hozzájárulásának elnyeréséhez megfelelően kell tájékoztatni, és csak az a hozzájárulás megfelelő, melyet szabad elhatározásból és tevőlegesen adott, és specifikus. Ez azt jelenti, hogy a hozzájárulás megszerzése történhet technikai beállítások útján, de nem-tevőleges magatartással (hallgatás, előre kipipált check-box stb.) nem lehet jogszerű hozzájárulást szerezni.

Bár a rendelet ebből a szempontból is nagyon szigorú, hatékonysága azon áll vagy bukik, hogy milyen lesz az adatkezeléshez való hozzájárulás gyakorlata, azaz maguk az adatgazdák mennyire lesznek e téren tudatosak. Ezen némileg segíthet, hogy az adatkezelés céljáról és módjáról érthető és tömör leírást kell adni, ahogy az is, hogy az adatkezelőknek külön hozzájárulást kell beszerezniük a különböző adatkezelési célokhoz.

A KPMG Legal adatvédelmi szakértője, Tóásó Bálint szerint ha mindenki meggondolatlanul, a következmények ismeretének teljes hiányában kipipálja az adatvédelmi hozzájárulást, ahogyan azt az emberek gyakran meg is teszik, nehéz lesz gátat szabni a személyes adatok ténylegesen nem kívánt kezelésének.

Nem életre szóló hozzájárulás

Fontos szabály, hogy a hozzájárulás bármikor visszavonható kell legyen. Szolgáltatás igénybevételének feltételéül pedig csak akkor szabható, ha a személyes adatok hiányában az adott szolgáltatást nem is lehet nyújtani.

Főszabály, hogy 16 év alatti gyermekek nem adhatják hozzájárulásukat az online szolgáltatások igénybevételéhez, de ettől a tagállamok kivételesen eltérhetnek, és maximum 13 éves korig vihetik le a korhatárt.

Az adatkezelőnek tudnia kell igazolni, hogy kellő gondossággal kezeli és védi adatainkat. Ha egy cégtől kikerülnek az ügyfelek személyes adatai, az érintettek kártérítésre lesznek jogosultak az okozott vagyoni vagy nem vagyoni károkért. A kártérítés alól az adatkezelők csak akkor mentesül, ha tudja bizonyítani, hogy semmilyen módon nem felelős az adatszivárgásért.

Ezen a ponton lényegében minden adatkezelési kérdés informatikai kérdéssé konvertálódik, hiszen az adatkezelőnek azt kell igazolnia, hogy megfelelő biztonsági rendszereket és folyamatokat használ. A compliance tevékenység ráadásul bővül is, mert a hatóságok mellett, az adatgazdákat is tájékoztatni kell arról, hogy miként kezelik adataikat.