Az Európai Unió adatvédelmi rendelete több éves huzavona után idén végleges formát öltött. Ezúttal az eddigi szabályozástól való eltéréseket, újdonságokat vesszük górcső alá.

Az EU általános adatvédelmi rendeletével foglalkozó cikksorozatunk első részében ismertettük, hogy miért is volt szükség a legtöbbször csak GDPR-ként emlegetett jogszabály, teljes nevén a General Data Protection Regulation létrehozására. A rendelet egy egységes keretet kíván adni az európai – és bizonyos esetekben az azon kívül működő – adatkezelők tevékenységének szabályozásához. Fontos célja, hogy biztosítható legyen az adatok tárolásával, feldolgozásával, továbbításával, törlésével stb. kapcsolatos műveletek átláthatósága, és a felhasználók pontosabban nyomon tudják követni, hogy mi történik az adataikkal.

A kritikusok szerint a rendelet túlságosan komplex és részletekbe menő, miközben számos olyan pontja van, ami továbbra is szabad kezet ad a tagállamoknak a részletszabályok terén. Azt azonban kevesen vitatják, hogy szükség volt a GDPR-re, és az is biztos, hogy 2018. május 25-ig, amikortól a jogszabály alkalmazása minden tagállamban kötelezővé válik, még sok jogértelmezés fog születni.

A legfontosabb követelmények

A GDPR egyik leglényegesebb, mégis sokszor háttérbe szoruló sajátossága, hogy a Kanadából származó Privacy by Design koncepcióra támaszkodik. Ennek megfelelően több pontjában hivatkozik a beépített, illetve az alapértelmezett adatvédelem alapelveire. Ennek lényege, hogy az adatvédelmet már a termékek, szolgáltatások, alkalmazások tervezésekor, fejlesztésekor szem előtt kell tartani.

A biztonsági szakemberek, sőt a szoftverfejlesztők számára sem ismeretlen mindez, hiszen adatbiztonsági téren is az az ideális állapot, amikor már a szoftvertervezés során előjönnek a biztonsági szempontok. Ezzel pedig sok utólagos foltozás kerülhető el. Nyilvánvaló, hogy a GDPR esetében mindehhez időre lesz szükség, és a meglévő rendszereket is kompatibilissé kell tenni a rendelettel. Az újonnan fejlesztendő megoldásokat vagy létrehozandó szolgáltatásokat azonban már a GDPR követelményeinek figyelembevételével célszerű elindítani.

A GDPR is hozzájáruláson alapuló adatkezelést ír elő, méghozzá olyan módon, hogy az adatkezelőnek a későbbiekben is tudnia kell igazolni, hogy az érintett személy megadta a hozzájárulását személyes adatainak feldolgozásához. A 16 év alatti felhasználók esetén szülői hozzájárulásra is szükség van. Érdekesség, hogy ez utóbbi például egy olyan pont, ahol továbbra is lehetnek eltérések az egyes tagállamok között, mivel a rendelet lehetővé teszi a 16 éves korhatár csökkentését, de maximum három évvel, azaz 13 éves korra.

Bár a hozzájárulások kezelésének technikai mikéntjével kapcsolatban is számos kérdés merül fel, a technológiai megvalósítás konkrétumait nem tartalmazza a GDPR. Ez azonban nem is célja, sőt igyekszik mindent technológiafüggetlenül értelmezni. Ebben az esetben például így fogalmaz: „Az adatkezelő – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket tesz…”.

A technológiától való függetlenség az adathordozhatósághoz való jogban is megnyilvánul. Ez esetben arról van szó, hogy automatizált adatfeldolgozás esetén az érintett személynek joga van arra, hogy a rá vonatkozó személyes adatokat széles körben használt, géppel olvasható formátumban megkapja, illetve hogy az adatait egy másik adatkezelőnek továbbítsa. Az adathordozhatóság is sok technikai kérdést vet fel, de az alapelv a felhasználók érdekeit szolgálja.

Az érintett természetesen bármikor visszavonhatja személyes adatai kezeléséhez való hozzájárulását. Emellett kérheti adatai helyesbítését, törlését, valamint korlátozhatja az adatkezelést. Az adatkezelőnek tájékoztatási kötelezettsége van azzal kapcsolatban, hogy a helyesbítést, illetve a törlést elvégezte.

A GDPR hangsúlyosan kezeli a közérthető módon történő tájékoztatást, aminek ki kell terjednie az adatkezelő kilétére, az adatkezelés céljára, a szabályokra, a jogokra, a garanciákra, és nem utolsó sorban arra, hogy az érintett milyen módon gyakorolhatja az adatkezelés kapcsán őt megillető jogokat.

Határtalan védelem

Fontos megjegyezni, hogy a GDPR azokra az EU-n kívüli cégekre is vonatkozik, amelyek EU-s magánszemélyek vagy cégek adatait kezelik. Ha például egy amerikai vállalat (például a Facebook vagy a Google) Európában lévő szervereken tárolja az adatokat, akkor mindent a GDPR-nek megfelelően kell tennie. Jóval bonyolultabbá válik a helyzet, ha egy ilyen cég EU-n kívül kezeli, vagy oda mozgatja át uniós polgárok adatait. Ilyenkor ugyanis a nemzetközi megállapodások előírásait is figyelembe kell venni.

Várható, hogy az ilyen megállapodások szerepe a jövőben felértékelődik, ami újabb vitákat generálhat például az Európai Unió és az az USA között. Az EU ugyanis azt szeretné elérni, hogy az EU állampolgárainak az adatai bárhol a világon olyan szintű védelmet élvezzenek, mintha azokat az Európai Unióban (a GDPR hatálya alatt) kezelnék.

Nyilvános incidensek, súlyos bírságok

A rendelet viszonylag hosszasan taglalja az adatkezeléssel kapcsolatban felmerülő kockázatkezelést. Kimondja, hogy az adatkezelőnek vagy az adatfeldolgozónak értékelnie kell az adatkezeléssel összefüggő kockázatokat, és olyan intézkedéseket kell hoznia – például titkosítást alkalmaz –, melyekkel ezek a kockázatok csökkenthetők. Vagyis a jövőben sem lehet majd megúszni a kockázatértékelést.

Ha mégis bekövetkezne egy incidens, akkor azt az adatkezelőnek a detektálás után késedelem nélkül, de legkésőbb 72 órán belül jelentenie az illetékes felügyeleti hatóságnál. Ettől csak nagyon indokolt esetben lehet eltérni. Ez a nagyon szűk határidő alapvető adatbiztonsági és incidenskezelési intézkedéseket követelni sok szervezettől.

A GDPR súlyos szankciókat is kilátásba helyez a szabályok megsértése esetén: fizetendő (közigazgatási) bírság összege akár az adott vállalat árbevételének 4 százalékát is elérheti. Összehasonlításképpen: ma Magyarországon a legmagasabb kiszabható adatvédelmi bírság 20 millió forint. Ez egy kisebb cégnek megterhelő lehet, ugyanakkor a nagy szolgáltatók teljes árbevételéhez képest elhanyagolható összeg.

A következő cikkünkben a GDPR-re való felkészüléshez adunk ötleteket.

Piaci hírek

MI-vezérelt embermosógép készül Japánban

A pilótafülkére emlékeztető szerkezet gyors mosó-szárító programot és teljes felfrissülést ígér a felhasználóknak.
 
Ezt már akkor sokan állították, amikor a Watson vagy a DeepMind még legfeljebb érdekes játék volt, mert jó volt kvízben, sakkban vagy góban.
Amióta a VMware a Broadcom tulajdonába került, sebesen követik egymást a szoftvercégnél a stratégiai jelentőségű változások. Mi vár az ügyfelekre? Vincze-Berecz Tibor szoftverlicenc-szakértő (IPR-Insights) írása.

Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak

Különösen az early adopter vállalatoknak lehet hasznos. De különbözik ez bármiben az amúgy is megkerülhetetlen tervezéstől és pilottól?

Sok hazai cégnek kell szorosra zárni a kiberkaput

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2024 Bitport.hu Média Kft. Minden jog fenntartva.