Az EU általános adatvédelmi rendeletével foglalkozó cikksorozatunk első részében ismertettük, hogy miért is volt szükség a legtöbbször csak GDPR-ként emlegetett jogszabály, teljes nevén a General Data Protection Regulation létrehozására. A rendelet egy egységes keretet kíván adni az európai – és bizonyos esetekben az azon kívül működő – adatkezelők tevékenységének szabályozásához. Fontos célja, hogy biztosítható legyen az adatok tárolásával, feldolgozásával, továbbításával, törlésével stb. kapcsolatos műveletek átláthatósága, és a felhasználók pontosabban nyomon tudják követni, hogy mi történik az adataikkal.

A kritikusok szerint a rendelet túlságosan komplex és részletekbe menő, miközben számos olyan pontja van, ami továbbra is szabad kezet ad a tagállamoknak a részletszabályok terén. Azt azonban kevesen vitatják, hogy szükség volt a GDPR-re, és az is biztos, hogy 2018. május 25-ig, amikortól a jogszabály alkalmazása minden tagállamban kötelezővé válik, még sok jogértelmezés fog születni.

A legfontosabb követelmények

A GDPR egyik leglényegesebb, mégis sokszor háttérbe szoruló sajátossága, hogy a Kanadából származó Privacy by Design koncepcióra támaszkodik. Ennek megfelelően több pontjában hivatkozik a beépített, illetve az alapértelmezett adatvédelem alapelveire. Ennek lényege, hogy az adatvédelmet már a termékek, szolgáltatások, alkalmazások tervezésekor, fejlesztésekor szem előtt kell tartani.

A biztonsági szakemberek, sőt a szoftverfejlesztők számára sem ismeretlen mindez, hiszen adatbiztonsági téren is az az ideális állapot, amikor már a szoftvertervezés során előjönnek a biztonsági szempontok. Ezzel pedig sok utólagos foltozás kerülhető el. Nyilvánvaló, hogy a GDPR esetében mindehhez időre lesz szükség, és a meglévő rendszereket is kompatibilissé kell tenni a rendelettel. Az újonnan fejlesztendő megoldásokat vagy létrehozandó szolgáltatásokat azonban már a GDPR követelményeinek figyelembevételével célszerű elindítani.

A GDPR is hozzájáruláson alapuló adatkezelést ír elő, méghozzá olyan módon, hogy az adatkezelőnek a későbbiekben is tudnia kell igazolni, hogy az érintett személy megadta a hozzájárulását személyes adatainak feldolgozásához. A 16 év alatti felhasználók esetén szülői hozzájárulásra is szükség van. Érdekesség, hogy ez utóbbi például egy olyan pont, ahol továbbra is lehetnek eltérések az egyes tagállamok között, mivel a rendelet lehetővé teszi a 16 éves korhatár csökkentését, de maximum három évvel, azaz 13 éves korra.

Bár a hozzájárulások kezelésének technikai mikéntjével kapcsolatban is számos kérdés merül fel, a technológiai megvalósítás konkrétumait nem tartalmazza a GDPR. Ez azonban nem is célja, sőt igyekszik mindent technológiafüggetlenül értelmezni. Ebben az esetben például így fogalmaz: „Az adatkezelő – figyelembe véve az elérhető technológiát – észszerű erőfeszítéseket tesz…”.

A technológiától való függetlenség az adathordozhatósághoz való jogban is megnyilvánul. Ez esetben arról van szó, hogy automatizált adatfeldolgozás esetén az érintett személynek joga van arra, hogy a rá vonatkozó személyes adatokat széles körben használt, géppel olvasható formátumban megkapja, illetve hogy az adatait egy másik adatkezelőnek továbbítsa. Az adathordozhatóság is sok technikai kérdést vet fel, de az alapelv a felhasználók érdekeit szolgálja.

Az érintett természetesen bármikor visszavonhatja személyes adatai kezeléséhez való hozzájárulását. Emellett kérheti adatai helyesbítését, törlését, valamint korlátozhatja az adatkezelést. Az adatkezelőnek tájékoztatási kötelezettsége van azzal kapcsolatban, hogy a helyesbítést, illetve a törlést elvégezte.

A GDPR hangsúlyosan kezeli a közérthető módon történő tájékoztatást, aminek ki kell terjednie az adatkezelő kilétére, az adatkezelés céljára, a szabályokra, a jogokra, a garanciákra, és nem utolsó sorban arra, hogy az érintett milyen módon gyakorolhatja az adatkezelés kapcsán őt megillető jogokat.

Határtalan védelem

Fontos megjegyezni, hogy a GDPR azokra az EU-n kívüli cégekre is vonatkozik, amelyek EU-s magánszemélyek vagy cégek adatait kezelik. Ha például egy amerikai vállalat (például a Facebook vagy a Google) Európában lévő szervereken tárolja az adatokat, akkor mindent a GDPR-nek megfelelően kell tennie. Jóval bonyolultabbá válik a helyzet, ha egy ilyen cég EU-n kívül kezeli, vagy oda mozgatja át uniós polgárok adatait. Ilyenkor ugyanis a nemzetközi megállapodások előírásait is figyelembe kell venni.

Várható, hogy az ilyen megállapodások szerepe a jövőben felértékelődik, ami újabb vitákat generálhat például az Európai Unió és az az USA között. Az EU ugyanis azt szeretné elérni, hogy az EU állampolgárainak az adatai bárhol a világon olyan szintű védelmet élvezzenek, mintha azokat az Európai Unióban (a GDPR hatálya alatt) kezelnék.

Nyilvános incidensek, súlyos bírságok

A rendelet viszonylag hosszasan taglalja az adatkezeléssel kapcsolatban felmerülő kockázatkezelést. Kimondja, hogy az adatkezelőnek vagy az adatfeldolgozónak értékelnie kell az adatkezeléssel összefüggő kockázatokat, és olyan intézkedéseket kell hoznia – például titkosítást alkalmaz –, melyekkel ezek a kockázatok csökkenthetők. Vagyis a jövőben sem lehet majd megúszni a kockázatértékelést.

Ha mégis bekövetkezne egy incidens, akkor azt az adatkezelőnek a detektálás után késedelem nélkül, de legkésőbb 72 órán belül jelentenie az illetékes felügyeleti hatóságnál. Ettől csak nagyon indokolt esetben lehet eltérni. Ez a nagyon szűk határidő alapvető adatbiztonsági és incidenskezelési intézkedéseket követelni sok szervezettől.

A GDPR súlyos szankciókat is kilátásba helyez a szabályok megsértése esetén: fizetendő (közigazgatási) bírság összege akár az adott vállalat árbevételének 4 százalékát is elérheti. Összehasonlításképpen: ma Magyarországon a legmagasabb kiszabható adatvédelmi bírság 20 millió forint. Ez egy kisebb cégnek megterhelő lehet, ugyanakkor a nagy szolgáltatók teljes árbevételéhez képest elhanyagolható összeg.

A következő cikkünkben a GDPR-re való felkészüléshez adunk ötleteket.