Mától alkalmazandó az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation, GDPR), ezzel egységessé válik az adatvédelmi szabályozás az EU-ban. Gulyás Gergely tegnap közölte: a kormány türelmi időt biztosít a kis- és közepes vállalkozásoknak, tervei szerint a hatóság egyenlőre csak figyelmeztethetni fog, ha megsértik a GDPR szabályait.

Az új uniós szabályozás kiterjed minden olyan hatóságra, gazdasági társaságra és szervezetre, amely az EU-ban tartózkodók személyes adatait kezeli vagy feldolgozza.

Jelentősen bővíti a személyes adatok körét, ezekhez sorolja a többi között a nevet, a születési és egészségügyi adatokat, a bankszámlaszámot, a jövedelmet, a helymeghatározó adatot (GPS), az e-mail-címet, a vállalati és magántelefonszámot, a levelezési címet, de akár egy IP-címet is. Az új rendelet megerősíti a személyes adatok törlésének jogát: ha valaki már nem szeretné, hogy adatait a továbbiakban feldolgozzák, és az adott szervezetnek nincs alapos indoka azok tárolására, akkor a szervezetnek törölnie kell a kérdéses adatokat rendszeréből. Az állampolgárokat megilleti az adatok hordozhatóságának joga is, azaz jogukban áll adataikról másolatot kérni egy adott szolgáltatótól és azt egy másik szolgáltatónak továbbítani.

A szervezetek kötelesek a lehető legvilágosabb, legérthetőbb tájékoztatást adni a személyes adatok felhasználásának módjáról, és amennyiben egy szervezet hanyagul kezeli az ügyfelek adatait, neki kell bizonyítania, hogy az általa kezelt és feldolgozott adatokat a becsült kockázatokkal arányosan védte.

Azoknak az intézményeknek, amelyek nagy tömegben, automatizáltan kezelnek személyes adatokat – például a bankok, biztosítók, egészségügyi, valamint informatikai szolgáltatók -, és azoknak, amelyek különlegesen érzékeny személyes adatokat – politikai nézet, szakszervezeti tagság, szexuális irányultság – kezelnek, adatvédelmi felelőst kell kinevezniük. Ő felel a megfelelő adatvédelmi rendszer működtetéséért és az adatok védelméért. A kisebb szervezeteknek nem kötelező ugyan adatvédelmi felelőst kinevezniük, az adatok kockázatokkal arányos védelméért ők is felelősek.

A rendelet előírásainak megszegése esetén a kiszabható bírság akár a 20 millió eurót (6,4 milliárd forintot) vagy a cégcsoport teljes, globális forgalmának 4 százalékát is elérheti.

A rendelet egyetlen páneurópai adatvédelmi jogszabályt teremt, így a vállalkozásoknak a 28 tagállam nemzeti jogszabályai helyett csak egyet kell szemmel tartaniuk. Az új szabály tisztességes versenyt teremt, mivel az unión kívüli vállalkozásoknak ugyanazokat a szabályokat kell alkalmaznia, mint az uniós vállalkozásoknak, amikor árukat vagy szolgáltatásokat kínálnak az EU-ban.

A GDPR átfogó bejelentési kötelezettséget vezet be, így minden incidenst – például hackertámadást vagy egy személyes adatokat tároló laptop elvesztését – 72 órán belül jelenteni kell az adatvédelmi hatóságnak.

Gulyás Gergely az uniós általános adatvédelmi rendeletről csütörtökön közölte, a kormány mindent megtesz annak érdekében, hogy a rendelet a kis- és középvállalkozói szektor működését ne nehezítse meg, számukra jelentős többletköltséget ne eredményezzen.

Jelezte, az osztrák példát szeretnék átvenni a magyar jogba történő átültetéskor, ez pedig azt jelenti, a kis- és közepes vállalkozásoknál a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) kizárólag csak figyelmeztethet, más szankciót nem alkalmazhat.

A politikus a rendelet célját helyesnek nevezte és azt is jónak tartotta, ha a nagy adatkezelőknél – például a Facebooknál – szigorúbb adatkezelést vezetnek be.

Kérdésre elmondta, a gazdasági kamarával együttműködve dolgozzák majd ki, mit értenek kis- és közepes vállalkozásokon.

Gulyás Gergely arra kérte Péterfalvi Attilát, a NAIH vezetőjét, hogy biztosítsák a lehető legteljesebb tájékoztatást ezeknek a vállalkozásoknak.

Kapcsolódó hasznos cikkek:

GDPR ügyvédi szemmel – ÜDE konferencia a gyakorlatban felmerült kérdések megválaszolására

Egységes európai adatvédelem – Beszélgetés Péterfalvi Attila NAIH elnökkel

GDPR az előszobában

Andrus Ansip, az Európai Bizottság alelnöke és Vĕra Jourová uniós biztos nyilatkozata az általános adatvédelmi rendelet alkalmazásának kezdete előtt:

Andrus Ansip, a digitális egységes piacért felelős alelnök a következőket nyilatkozta: „Az új európai adatvédelmi szabályok holnaptól ténylegesen részét képezik mindennapjainknak. Az európaiak nagyobb biztonságban tudhatják majd személyes adataikat, a vállalkozásokra pedig egységes szabályok fognak vonatkozni az összes uniós országban. A szigorú adatvédelmi szabályok képezik a digitális egységes piac működésének és a digitális gazdaság fellendülésének alapját. Az új szabályok szavatolják, hogy a polgárok bizalommal tekinthessenek adataik felhasználására, és hogy az EU maximálisan kiaknázhassa az adatgazdaság kínálta lehetőségeket.

Okkal született megállapodás az új adatvédelmi szabályainkról: az európaiak kétharmadát aggodalommal tölti el az, ahogy adataikat kezelik, és úgy érzi, semmilyen ellenőrzéssel nem rendelkezik az interneten megadott információi felett. A vállalkozásoknak tisztán kell látniuk ahhoz, hogy üzleti tevékenységeiket biztonsággal kiterjesszék más uniós országokra. A közelmúlt adatbotrányai igazolták, hogy a szigorúbb és egyértelműbb adatvédelmi szabályok bevezetésével Európa helyesen cselekszik”.

Vĕra Jourová, a jogérvényesülésért, a fogyasztópolitikáért és a nemek közötti esélyegyenlőségért felelős biztos hozzátette:

„A 21. században a személyes adatok igazi értéket jelentenek, mi pedig tulajdonképpen minden egyes lépésünkkel adatokat hagyunk hátra, különösen a digitális világban. A személyes adatokat illetően az emberek helyzete jelenleg olyan, mintha pőrén állnának egy kirakatban.

Az adatvédelem alapvető jog az EU-ban. Az új szabályok jóvoltából az európaiak visszaszerzik az ellenőrzést adataik felett. A döntés arról, hogy mi történjen és ki, milyen jellegű adatokkal rendelkezzen, immár a mi kezünkben van. E kérdéseinkkel megkereshetjük a vállalkozásokat, amelyek azokra kötelesek válaszolni. Emellett abban az esetben, ha egy szolgáltatást lemondunk, vagy szolgáltatást váltunk, adatainkat visszanyerhetjük.

Az új szabályok a vállalkozások számára is tartogatnak előnyöket, hiszen mindenhol ugyanazok a szabályok lesznek alkalmazandók és a vállalkozásoknak csak egyetlen hatósággal kell majd kapcsolatba állniuk. Ez megkönnyíti az üzleti tevékenységek más tagállamokra történő kiterjesztését.

A szabályok kockázatalapú megközelítésen alapulnak. Azokra a vállalkozásokra, amelyek adataink révén bevételre tesznek szert, nagyobb felelősség fog hárulni, aminek a fogyasztók tekintetében is tükröződnie kell, legalább a fogyasztói adatok biztonságát illetően. Azokat a vállalkozásokat, amelyek nem fő üzleti tevékenységként foglalkoznak adatkezeléssel, kevesebb kötelezettség terheli, számukra az elsődleges feladatot az jelenti, hogy szavatolják az általuk kezelt adatok biztonságát és jogszerű felhasználását. A szabályok megsértése tényleges következményekkel fog járni. Minden érintettnek érdeke fűződik a szabályok tiszteletben tartásához, különösen azoknak a vállalkozásoknak, amelyek személyes adataink révén bevételre tesznek szert.

Az általános adatvédelmi rendelettel Európa megerősíti digitális szuverenitását, és felkészül a digitális korra. Az új szabályok ezen túlmenően példaként szolgálnak a magánélet védelmét szolgáló globális normáknak. Elősegítik a bizalom helyreállítását, amely elengedhetetlen ahhoz, hogy sikereket érjünk el a globális digitális gazdaságban.”

Háttér

2016. április 6-án az EU az adatvédelmi keretének nagyszabású reformjáról állapodott meg, amikor elfogadta a 20 éves irányelvet felváltó általános adatvédelmi rendeletet tartalmazó adatvédelmi reformcsomagot. Az EU egészére kiterjedő új adatvédelmi szabályokat 2018. május 25-étől kezdődően – két évvel elfogadásuk és hatálybalépésük után – kell alkalmazni.

Az idei Adatvédelmi Napon a Bizottság iránymutatást tett közzé, hogy megkönnyítse az új adatvédelmi szabályok május 25-től esedékes, zökkenőmentes és közvetlen alkalmazását az egész Unióban. A Bizottság emellett egy új, kkv-knak szóló online eszközt is létrehozott – részletek ITT.

A következő lépések

A szabályok eredményes alkalmazása érdekében a Bizottság továbbra is tevékenyen támogatni fogja a tagállamokat, az adatvédelmi hatóságokat és a vállalkozásokat. A Bizottság 1,7 millió EUR-t különített el az adatvédelmi szakemberek képzésének társfinanszírozására. Ezen túlmenően további 2 millió EUR áll rendelkezésre a nemzeti adatvédelmi hatóságok vállalkozásokat – különösen kkv-ket – és magánszemélyeket segítő tevékenységeinek támogatására.

A mai naptól kezdve a Bizottság nyomon követi, hogy miként alkalmazzák a tagállamok az új szabályokat, és szükség esetén meghozza a megfelelő intézkedéseket. A rendelet alkalmazásának kezdete után egy évvel (2019) a Bizottság rendezvényt szervez annak áttekintése céljából, hogy milyen tapasztalatokat szereztek a különböző érdekelt felek a rendelet végrehajtása során. Az itt kapott információkat a Bizottság felhasználja a rendelet értékeléséről és felülvizsgálatáról 2020 májusáig elkészítendő jelentésében is.