Lassan a csapból is az folyik, hogy május 25-től Magyarországon is megváltozik az adatkezelésre vonatkozó szabályozás. A Facebookon már végig kellett klikkelgetni egy erre a változásra született kis ablakot, de a Google különböző szolgáltatásainál is tapasztalhattunk hasonlót. De mi ez az egész? Ezt kérdeztük Nagy Viktor jogásztól.
Magyarország végre nagykorú lesz, már ami az adatkezelést illeti. 1995-ben fogadott el az Európai Unió egy irányelvet az adatkezelésre, ez csupán egy iránymutatás volt, ami azt hozta magával, hogy végül minden tagállamnak külön jogalkotási aktussal intergálnia kellett ezt a saját jogrendjébe. 2016-ban aztán elfogadta az EU a General Data Protection Regulation-t. A cél a volt, hogy egységessé váljon az adatkezelés. A két évvel ezelőtti szabályozás lép most május 25-én életbe.
A cél az, hogy az uniós általános adatvédelmi rendelet, vagyis a General Data Protection Regulation egyformán szabályozzon. Ennek megvoltak nálunk is a különböző állomásai. 1992-ben lett egy személyes adatvédelmére vonatkozó törvényünk, 1995-től volt adatvédemi biztosunk, 2011-ben pedig megszületett az információs szabadságról szóló törvény. Most pedig egy külön hatóság a Nemzeti Adatvédelmi és Információszabadság Hatósága az, amelyik felügyeli majd az esetleges visszaéléseket.
Hatóság is van már, de mennyire tudjuk, hogy mit hogyan kell kezelni?
Sajnos ebben bőven van hiányosságunk. Épp most olvastam egy statisztikát, az adatkezelők 2/3-a nem tudja, hogy ő adatkezelő. És ki az adatkezelő? Nagyjából mindenki! Ide tartoznak a gazdasági társaságok, de a közszféra szereplői is. Sok multicég már 2016-tól készül a változásra, de egy kis-, és középvállalkozó sok esetben azt sem tudja, mit kell tennie.
És mit?
Ahágy gazdasági szereplő, annyi féle adatkezelés van. Erre nincs egy általános szabály. Mást kell szemelőtt tartania egy szállásadónak, mást egy munkaerőkölcsönzőnek és megint mást egy termelő gyárnak.
A büntetés pedig brutális lehet. A plafon 20 millió euró, vagy a gazdasági szereplő éves nettó árbevételének 4%-a.
De mégis adjon egy kis segítséget, mire kell odafigyelnie az adatkezelőnek?
A szabályozás legfőbb lényege, hogy az adat mögött lévő személyt védi a rendelet. Így az adatkezelőnek kell bizonyítania az adatbiztonság meglétét.
Így például az érintett hozzájárulása ezután mindennél fontosabb lesz, ha egy szolgáltatáson túl mondjuk más ajánlatokat, reklámot szeretne küldeni neki az adatkezelő.
De, hogy mondjak egy viszonylag mindig alkalmazható "szabályt". Mindig azt kell vizsgálni, hogy mi az adatok tárolásának célja. Kell ugyanis a célhozkötöttség és az adattakarékosság alapelve. Azt az adatminimumot kell kezelni, amire szükség van.
Egy újabb lehetőség egyébként a teljes elfeledtetéshez való jog. Ez azt jelenti, hogy az adatkezelő kérésre az érintett minden adatát köteles törölni. Ez alól kivétel lehet, ha mondjuk számlaadási kötelezettség miatt az adatkezelőnek muszáj tárolnia a partner adatait.
Sajnos tényleg nincs általános recept, amit május 25-től alkalmazni lehetne. Én azt javaslom, hogy minden érintett forduljon szakemberhez, vagy hatósághoz útbaigazításért.
Mi történik akkor, ha azzal szembesülünk, hogy az adataink hozzájárulásunk nélkül lettek felszanálva?
Ha valamilyen adat illetéktelenek kezébe kerül, vagy elveszett, akkor az adatvédelmi incidensnek minősül. A GDPR incidens bejelentést határoz meg ilyen esetekben. 72 órán belül be kell jelenteni a hatóságnak, ha az adatok illetéktelenek kezébe kerültek, vagy elvesztek. Ha azonban az érintettekre nincs semmiféle káros hatása, akkor nincs szükség a bejelentésre. Az adatkezelőknek azonnal meg kell kezdeni az incidens elhárítását. Az érintett személyeket értesíteni kell. Ha erre nincs lehetősége akkor a nyilvánosságot kell értesíteni, hogy mi történt, milyen személyi kört érint, milyen adatok kerültek nyilvánosságra.
