Az elmúlt hónapok híradásaiból a legtöbben csak az angol elnevezése nyomán kialakított betűszóval, GDPR-ként hallottak az Európai Unió 2016-ban elfogadott, de két éves haladékkal alkalmazandó általános adatvédelmi rendeletéről, amely több fontos a személyes adatok kezelőire és feldolgozóira vonatkozó változást hoz a közösség minden tagállamában.
Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke a csomag elemei közül a következőt emelte ki:
Az elszámoltathatóság, talán ez az egyik legfontosabb változása a szabályoknak, ami azt jelenti, hogy
nemcsak jogszerűen, tisztességesen és átlátható módon kell az adatkezeléseket folytatni, hanem ezt igazolni is tudni kell adott esetben.
A szabályozás értelmében személyes adatnak minősül bárkinek a neve, születési dátuma, levelezési címe, telefonszáma, e-mail-címe, sőt IP-címe, bankszámlaszáma, jövedelme, a hollétére vonatkozó adatok és az egészségügyi információi. Tehát azon
állami szerveknek vagy magán társaságoknak, amelyek bárkiről efféle adatok birtokában vannak, fel kellett készülniük a változások alkalmazására.
Például, ha valaki már nem szeretné, hogy adatait a továbbiakban feldolgozzák, és az adott szervezetnek nincs alapos indoka azok tárolására, akkor a szervezetnek törölnie kell a kérdéses adatokat a rendszeréből. Emellett az adatkezelőknek kell bizonyítaniuk, hogy az ügyfeleikről szóló információkat a becsült kockázatokkal arányosan védték, például az adathalászoktól. Sőt, ha bármilyen incidens történik,
hackertámadás vagy egy személyes adatokat tároló laptop elvesztése, azt 72 órán belül jelentenie kell az érintett társaságnak az adatvédelmi hatóság felé.
A nagyobb cégeknek és intézményeknek adatvédelmi felelőst is ki kell nevezniük, ám adatvagyon-leltáruk elkészítéséhez és folyamatos aktualizálásához a kisebb cégeknek is érdemes lehet szakértőt felkérni – mondta korábban az InfoRádiónak Székvölgyi Annamária, a Saldo Zrt. gazdasági tanácsadója.
"Mindenféleképpen kell lennie a vállalkozásnál egy olyan személynek, aki ezeket a nyilvántartásokat, szabályzatokat, az adatvagyon-leltárt karbantartja. Ez lehet külsős vagy belsős ember, erre vonatkozóan nincsen megkötés" - mondta a tanácsadó.
A vállalkozásoknak tehát fel kellett készülniük a rendelet alkalmazására, a magyar törvényhozásnak azonban nem sikerült határidőre beilleszteni tartalmát a joganyagba.
"Infotörvény módosítása várat magára, bár május 6-ig kellett volna a nemzeti jogba átültetni a büntető irányelvet" - mondta Péterfalvi Attila.
Megtartanák a KKV-k kivételezettségét
Gulyás Gergely, a Miniszterelnökséget vezető miniszter minderre csütörtökön azt mondta, hogy az uniós rendeletet akkor is alkalmazni kell, ha ennek feltételeit nem teremtette meg az Országgyűlés.
"Az osztrák mintát fogjuk átvenni a magyar jogba való átültetéskor, ez pedig azt jelenti, hogy
a kis és közepes vállalkozásoknál a Nemzeti Információ- és Adatvédelmi Hatóság kizárólag csak figyelmeztethet és más szankciókat nem alkalmazhat"
- emelte ki Gulyás Gergely.
A rendelet az Unión kívüli székhelyű társaságokra is vonatkozik, amennyiben tevékenységük uniós állampolgárokat érint, tehát például a Facebookra és a Google-re is. Az előírások megszegése esetén kiszabható bírság elérheti a 20 millió eurót, vagy a cégcsoport teljes, globális forgalmának 4 százalékát.