Mi a szösz az a GDPR, és miért pörög most mindenki ezen?

Az utóbbi hetekben sokaknak feltűnhetett, hogy a megszokottnál is több értesítés érkezik akár e-mailben, SMS-ben vagy bizonyos internetes oldalak megnyitásakor. Ennek oka, hogy a legtöbb hatóság, gazdasági társaság és szervezet, amely az EU-ban tartózkodók személyes adatait kezeli vagy feldolgozza, tájékoztatta ügyfeleit/felhasználóit arról, hogy bizalmasan kezeli az adatait.

Az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation, azaz GDPR) mától lépett érvénybe az egész Európai Unió területén, ezzel

egységessé vált az adatvédelmi szabályozás az EU-ban.

A szabályozás pedig mindenkire kiterjed, aki adatokat gyűjt felhasználóiról, ügyfeleiről.

Az uniós szabályozás jelentősen bővíti a személyes adatok körét, ezekhez sorolja a többi között:

• a nevet,
• a születési és egészségügyi adatokat,
• a bankszámlaszámot,
• a jövedelmet,
• a helymeghatározó adatot (GPS),
• az e-mail-címet,
• a vállalati és magántelefonszámot,
• a levelezési címet,
• de akár egy IP-címet is.

Az új rendelet megerősíti a személyes adatok törlésének jogát: ha valaki már nem szeretné, hogy adatait a továbbiakban feldolgozzák, és az adott szervezetnek nincs alapos indoka azok tárolására, akkor a szervezetnek törölnie kell a kérdéses adatokat rendszeréből. A szervezetek kötelesek

a lehető legvilágosabb, legérthetőbb tájékoztatást adni a személyes adatok felhasználásának módjáról.

Azoknak az intézményeknek, amelyek nagy tömegben, automatizáltan kezelnek személyes adatokat – például a bankok, biztosítók, egészségügyi, valamint informatikai szolgáltatók –, és azoknak, amelyek különlegesen érzékeny személyes adatokat – politikai nézet, szakszervezeti tagság, szexuális irányultság – kezelnek, adatvédelmi felelőst kell kinevezniük. Ő felel a megfelelő adatvédelmi rendszer működtetéséért és az adatok védelméért.

A rendelet előírásainak megszegése esetén a kiszabható bírság akár a 20 millió eurót vagy a cégcsoport teljes, globális forgalmának 4 százalékát is elérheti. Ez gyakorlatilag padlóra küldene bármilyen céget, amennyiben bizonyítható, hogy jogtalan tárol adatot. 

Az adatok törlését akkor is el kell végezni, ha azt a munkavállaló vagy az ügyfél kéri.

Fontos tudni, hogy május 25. után nincsen türelmi idő. Az Unió már így is igen hosszú felkészülési időt hagyott a GDPR-ral érintetteknek, mivel azt már 2016. májusában kihirdették, azóta érvényes és hatályos, így 2 év állt rendelkezésre a felkészülésre.

Tekintettel az utóbbi idők adatvédelmi botrányaira (pl. A Facebook és a Cambridge Analytica esete), erre a szabályozásra már nagy szükség volt, még akkor is, ha a cégeknek rengeteg plusz munkát és óriási rizikót fog jelenteni.

Aki ennél többre is kíváncsi, az többek között itt olvashat utána, mit kell tennie az összes szabály betartására.