Az új EU-s adatvédelmi rendelet - GDPR

Az Európai Parlament 4 év tanácskozás és finomítás után április 15-én elfogadta az Európai Unió új, általános adatvédelmi rendeletét.

Az EU-s direktívák és szabályozások szerint eddig is csak és kizárólag szigorú követelmények és garanciák biztosításával lehetett személyes adatokat gyűjteni. Az új rendelet célja, hogy a digitális kor kihívásaira jogi választ és biztonságot adjon.

Egy kontinens, egy rendelet

Az előző adatvédelmi szabályozás 1995-ben született, így érthető, hogy sokan égető szükségét érezték egy „frissítésnek”, hiszen 1995-ben az internetpenetráció jelentősen alacsonyabb volt, másképp működött az adatvédelem is. Az új törvénycsomag célja, hogy a jelenlegi nem egységes, tagállamonként váltakozó jogi környezetet kiválthassuk egy egyszerű, egyértelmű és egységes szabályozással.

Valószínűleg sokat hallottál már arról, hogy az EU-ban mennyivel jobb a helyzet, mint Amerikában, ha adatvédelemről vagy a magánélet biztonságáról beszélünk. Igazság szerint rengeteg apró különbség van a két kontinens törvényhozóinak felfogásában, de a főbb irányokat élesen el tudjuk határolni.

Európában a személyes adat a Tiéd, az engedélyed nélkül nem kezelheti, főleg nem kereskedhet vele senki.

Ez az új adatvédelmi rendelet megerősíti az európai polgárok alapvető jogát, hogy rendelkezhessenek a saját adataik felett. A törvény segít a vállalatoknak és a digitális gazdaságnak is, hogy egy globálisan érvényes, egyértelmű és jól szabályozott környezetbe helyezi a kérdéskört.

Az új Általános Adatvédelmi Rendelet főbb pillérei

7. Cikk – A hozzájárulás feltételei

Az általános adatvédelmi rendelet alapján minden vállalkozásnak engedélyt kell kérnie a vevőitől, partnereitől még mielőtt akármilyen velük kapcsolatos adatot kezelne. Az érintett személyeknek világos és egyértelmű hozzájárulást kell adniuk az adataik feldolgozására. Ez például történhet egy „Egyetértek” rubrika bepipálásával, feltéve ha a rubrika nem volt előre kipipálva. Ebből a szempontból a magyar szabályozás már most is jobb, mint az EU-s átlag, mivel nálunk már most sem lehet például előre bepipálni a hozzájárulást biztosító kis négyzetet. Vannak azonban olyan más EU-s tagországok, ahol ez nincsen törvényileg szabályozva, számukra ez új kötelezettség lesz. Mostantól pontosan ugyanolyan egyszerű módot kell biztosítani a hozzájárulás visszavonására is, mint annak megszerzése során.

Ezzel együtt a cégeknek visszamenőleg is rendelkezniük kell ilyen hozzájárulásokkal. Ez azt jelenti, hogy a már – jelenleg nem ilyen jól szabályozott környezet miatt – meglévő ügyfelektől egy megújító hozzájárulást kell kérni.

8. Cikk – Gyermekek személyes adatainak feldolgozása

Az új törvénycsomag különleges védelmet biztosít a gyermekek számára. Életkorukból adódóan lehetséges, hogy kevésbé vannak tisztában azzal, hogy milyen veszélyekkel és következményekkel jár a személyes adataik megosztása. Egy bizonyos kor alatt a gyermekek csak szülői engedéllyel (szülői hozzájárulás) regisztrálhatnak például közösségi média oldalakra, vagy vehetnek igénybe online szolgáltatásokat. Jelenleg tagországonként változó, 13-16 év közötti korhatárokat határoztak meg a különböző országok törvényeiben. Ezzel a szabályozással azonban EU szinten is 13 évre módosítják ezt a korhatárt.

Természetesen a gyermekeknek esetén egyértelműbb és erősebb a „felejtés joga” is.

11-12-13-14. Cikk – Átlátható tájékoztatás és kommunikáció

Az Európai Parlament a törvény megalkotása során ragaszkodott ahhoz, hogy az adatvédelemmel kapcsolatos tájékoztatás és kommunikáció közérthető, egyszerű és világos nyelvezettel legyen hozzáférhető mindenki számára. Nincs több bonyolult, kacifántos jogi megfogalmazás, ha adatvédelmi irányelvekről van szó.

17. Cikk – „A felejtéshez” és törléshez való jog

Mindenkinek joga van ahhoz, hogy elfelejtsék – azaz kérheti a szolgáltatóktól minden vele kapcsolatos személyes adat törlését. Természetesen ez csak akkor megalapozott, ha a kérdéses adat nem okozna történelmi, statisztikai, tudományos vagy egyéb szempontból veszteséget, illetve ha annak megtartása törvényileg kötelező.

Mindenkinek joga van ahhoz, hogy elfelejtsék – azaz kérheti a szolgáltatóktól minden vele kapcsolatos személyes adat törlését.

Adott esetben, akárki kérheti például a Google-től hogy a vele kapcsolatos keresési találatokat törölje. A jelenlegi szabályozás már közelít az új rendelethez, azonban a helyzet – még – bonyolultabb.

Amennyiben ilyen kérés érkezik egy internetes vállalat felé, a cégnek továbbítania kell azt azon partnerei felé, akik átvették az adatokat.

18. Cikk – Adathordozhatósághoz való jog

Az új törvény segít, és jogokat garantál mindenki számára ahhoz, hogy az adatait szolgáltatók között könnyen és egyszerűen hordozni tudja. Ezt leginkább a mobiltelefonos számhordozáshoz tudnám hasonlítani;

Például ha valaki szeretne e-mail szolgáltató váltani, joga van hozzá hogy ezt megtehesse anélkül, hogy elveszítené a már meglévő címjegyzékét, emailjeit vagy naptárját. Az ehhez hasonló, szolgáltatóváltások sokkal egyszerűbbek lesznek a jövőben.

20-21. Cikk – Profilalkotáson alapuló intézkedések és korlátozások

Az általános adatvédelmi rendelet ezentúl sokkal szigorúbban szabályozza a felhasználók profilozását. Csak és kizárólag akkor készíthetnek ilyen profilokat a cégek, ha ahhoz az érintett kifejezetten hozzájárult. A személyre szabott reklámok piacán ez hatalmas kihívást fog jelenteni. Az EU ezen kívül kifejezetten leszögezi, hogy az ilyen – tehát még az engedélyezett – profilkészítés semmilyen módon nem vezethet diszkriminációhoz (származás, politikai meggyőződés, szexuális beállítottság, vallási nézetek, stb. alapján).

33-34. Cikk – Adatvédelmi incidensről való értesülés joga

A felhasználóknak joga van ahhoz, hogy tudjanak róla, ha az adataik veszélybe kerültek. Az adatszivárgások és adatlopások okozta kár minimalizálása során kulcsfontosságú, hogy minél előbb értesüljünk a problémáról, hogy megtehessük a szükséges lépéseket a további károk megelőzésére. Ha egy szolgáltatótól megszerzik a jelszavainkat, jobb minél előbb értesülni róla, hogy a máshol tárolt adataink biztonsága ne kerüljön veszélybe.

Ebben a kérdésben például az USA eddig az EU előtt járt, ott már eddig is maximum 72 órán belül értesíteni kellett mindenkit, akinek az adatai veszélybe kerültek.

Európában az európai szabályok érvényesek

A nem európai, de Európában is működő cégekre ugyanezek a szabályok érvényesek. Nincs semmilyen kiskapu, ha valaki európai polgároknak akar szolgáltatni, be kell tartania az európai törvényeket. A Facebook és a Google is ezek szerint kell, hogy működjön. Ezzel eljutunk arra a pontra, hogy a technológiai cégeknek már a termékük tervezése során is figyelniük kell az adatvédelemre.

A nem európai, de Európában is működő cégekre ugyanezek a szabályok érvényesek.

Az EU egységes adatvédelmi irányelve előírja, hogy a személyes adatok Európán kívüli feldolgozása és tárolása során is érvényben legyenek ezek az elvek, és törvényi garanciát biztosít arra, hogy a külföldön tárolt adatok is az előírt módon legyenek kezelve.

Erősebb kényszerítő eszközök

Azok a cégek, akik nem teljesítik, vagy figyelmen kívül hagyják az egységes európai szabályozást, hatalmas büntetésekre számíthatnak. Természetesen a bírság mértéke erősen függ az elkövetett szabálysértés nagyságától, de a maximum bírság elérheti a cég teljes éves világpiaci forgalmának 4 százalékát. Az olyan óriási cégek esetén, mint a Facebook, Google, Apple vagy Microsoft, ez hatalmas összeg. Több tíz millió eurós bírságokról van szó.

A rendelet 20 nappal az után lép érvénybe, ha az megjelent az EU hivatalos lapjában.

A tagállamoknak 2 évük van felkészülni, és beépíteni a saját törvénykezésükbe az új, összeurópai rendelkezéseket, tehát 2018-ra az EU minden országában ezek szerint kell eljárni.

Konklúzió

Ahogy Jan Philipp Albrecht (Zöldek, Németország), az adatvédelmi rendelet felelőse mondta:

„Innentől a polgárokon múlik, hogy milyen személyes adatokat akarnak magukkal kapcsolatban megosztani”

Mi a Crosssecnél rendkívül örülünk az új rendeletnek. Fejlesztéseink során már eleve ezen gondolatok mentén készítettük a termékeinket. Cégünk fejlesztői központja és minden szerverünk az Európai Unióban található, így munkánk során nem csak az új egységes adatvédelmi irányelv előírásai szerint járunk el, hanem fejlesztéseink és működésünk során a többi szigorú európai törvény fennhatósága alapján működünk.

Rovat:
Kovács Marcell - Crosssec Blog
Szerző:
Kovács Marcell
A Crosssec Solutions marketingvezetőjeként elkötelezett az etikus, jogszerű és edukatív marketingmunka mellett. Marketingismeretei mellett a technológia és az adatvédelem területén is otthonosan mozog, az inbound marketing módszertanát követve tervez és készít tartalmakat.
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram