GDPR (General Data Protection Regulation) az EU Adatvédelmi Rendelete új időszámítást jelent minden – kisebb és nagyobb – vállalkozás életében, változásokat az adatvédelemben. A 2018. május 25-én hatályba lépő rendelet adatvédelmi rendelkezéseinek be nem tartását a hatóság komoly bírságokkal fogja szankcionálni. Vétség esetén a vállalkozás legfeljebb 20 millió eurót vagy az előző üzleti évre számított pénzügyi forgalmának 4%-át is köteles megfizetni.
Miről szól a GDPR rendelet?
A jelenleg hatályban lévő adatvédelmi irányelvvel szemben, – mely alapja a magyar hatályos Infotörvénynek is – a rendelet közvetlenül alkalmazandó és hivatkozható az EU minden tagállamában, így egyre növekszik azon vállalkozások száma, amelyek megkövetelik beszállítóiktól a rendeletnek való megfelelést. Mégpedig minden vállalkozásra, amely adatot kezel pl. alkalmazottainak, ügyfeleinek adatait, azaz gyakorlatilag valamennyi cégre mérettől függetlenül irányadó lesz.
Az új adatvédelmi rendelet a természetes személyek személyes adatainak kezelését és ilyen adatok szabad áramlását védi. A változások többnyire azzal függenek össze, hogy sokkal nagyobb kontrollt kapnak a felhasználók saját személyes adataik felett. GDPR értelmében az adatkezelés lényegében minden cselekvés, ami a személyes adatokhoz köthető, automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége. A természetes személyek személyes adatainak tekinthetünk bármilyen információt, amellyel az adott személy közvetve vagy közvetlenül azonosíthatóvá válik, így például e-mail cím, az IP cím, TAJ szám vagy gépkocsi márka.
Lényegesebb változások
A magyar adatvédelmi jogszabály, röviden Infotörvény eddig is a legszigorúbbak közé tartozott az Európai Unióban, az alapjául fekvő irányelvet a lehető legteljesebb mértékben átültette a magyar kormányzat, így a GDPR-ben szereplő szabályok többségében számottevő újítás nincsen.
Újdonság azonban, hogy ezeket a szabályokat ki is lehet majd kényszeríteni, a vállalkozások a megfelelőségüket dokumentáltan kell tudnia bizonyítani, azaz nem elég jogszerűen eljárni, a jogszerű működést is dokumentumokkal kell alátámasztani. „Az elszámoltathatóság elve”, mint az adatvádelem új alapelve szerint, az adatkezelő felelős minden alapelv betartásáért, amelyet igazolnia kell dokumentumokkal, így egyfajta fordított bizonyítási kényszer jelenik meg a vállalkozások oldalán, az adatvédelmi hatóság felé.
Az adatvédelmi felelős, azaz adatvédelmi tisztviselő alkalmazásának kötelező eseteit a magyar jogszabálynál szélesebb körben vonja meg, nem csupán a közhatalmat gyakorló szervezetek adatkezelésére és néhány speciális szektorra vonatkozik, hanem mindenkire, aki olyan adatkezelést végez, amely az érintettek nagymértékű, szisztematikus és rendszeres megfigyelését teszi szükségessé.
Új fogalmakat hoz az EU-s jogszabály, mint például a profilalkotás általános fogalmát, kibővíti a természetes személy adatkezelés tárgyát képező személyes adatokhoz hozzáférés jogát, bevezeti az adatvédelmi hatásvizsgálatot, amelyet az adatkezelő köteles elvégezni. Továbbá az adatvédelmi nyilvántartást valamennyi adatkezelőnek saját magának kell majd vezetnie lényegesen kibővült tartalommal.
Felkészülés
A bevezetésre kerülő rendelkezések és a további fentiekben nem részletezett újítások be nem tartásával, kisebb súlyú jogsértés esetén legfeljebb 10 millió euróra, vállalkozások esetén legfeljebb az előző pénzügyi év teljes éves világpiaci forgalmának 2%-ára, míg súlyos jogsértés esetén ezek a határok legfeljebb 20 millió euróra és 4%-ra módosulnak, amely tényleges szigorítást jelent, és a nagyvállalati szektor számára is visszatartó erővel bír.
Mind a kisebb, mind a nagyobb bírságok elkerülhetőek a megfelelő felkészüléssel a GDPR rendelet hatályba lépésének esetére. A rendelet előírásainak teljesítéséhez szervezeti és technikai, informatikai intézkedések bevezetése indokolt, mindezek jelentős mennyiségű erőforrás befektetést igényelnek nemcsak azon cégeknek, amelyek eddig nem foglalkoztak adatvédelemmel körültekintően, hanem azok is, akik ügyeltek arra, hogy megfeleljenek a magyar adatvédelmi jogszabályoknak.
Ennek megfelelően a felkészülést nem érdemes az utolsó pillanatra hagyni, hiszen egy nagyobb szervezet életében ez akár több mint fél évig is tarthat.
Írta Dr. Németh Gábor ügyvéd | 2800 Tatabánya, Győri út 6/A.| Bővebb információért keressen bennünket!