Üdvözöljük a

A GDPR-rendelet legfontosabb pontjai | Veszprém Megyei Kereskedelmi és Iparkamara

honlapján!

-

A GDPR-rendelet legfontosabb pontjai

2018. február 26.

2018. május 25-től az EU Általános Adatvédelmi Rendelet (General Data Protection Regulation, GDPR) szabályait kell alkalmazni az adatkezelés területén minden uniós tagállamban, így Magyarországon is.  

A vállalkozások egységes versenyfeltételekben részesülnek majd, hiszen székhelytől függetlenül egyetlen szabályrendszer vonatkozik az Unióban tevékenykedő valamennyi vállalatra. A rendelet legfontosabb pontjai alább.

ÚJ MEGKÖZELÍTÉS


Az új rendelet szerint, ha egy terméknek vagy szolgáltatásnak lehet adatvédelmi vonatkozása, akkor már a fejlesztés során foglalkozni kell ezzel. Ez a szabály komoly adminisztrációs kötelezettséget is jelent, hiszen dokumentálni kell, hogy az adatvédelmi szempontokat megfelelően figyelembe vették. Például, ha egy reklámkampányt tervezünk, akkor a tervezés során is figyelni kell rá, hogy megvalósuljon a minimális adatkezelés elve.

 

BEJELENTÉSI KÖTELEZETTSÉG


Egyes intézményeknek a jelenlegi szabályozás szerint is jelentenie kell, ha személyes adatok szivárogtak ki tőlük. A GDPR túlmegy ezen, és átfogó bejelentési kötelezettséget vezet be, így a jövőben minden súlyosabb incidenst 72 órán belül jelenteni kell az adatvédelmi hatóságnak.

 

BÍRSÁG

 

A bírságok tekintetében nagyon szigorú az új szabályozás. Az az intézmény vagy vállalat, amely megszegi a szabályokat, elrettentő nagyságrendű büntetésre számíthat: a kiszabható büntetés maximuma ugyanis 20 millió euró vagy a globális éves forgalom 4 százaléka – a kettő közül a magasabb összeg. Így ha például egy magán-egészségbiztosító úgy selejtezi le a merevlemezeit, hogy azokról a betegekhez köthetően visszafejthetőek a korábban a biztosító által finanszírozott beavatkozások, vagy egy bérszámfejtéssel foglalkozó cég hanyagsága miatt jövedelmekre vonatkozó adatok kerülnek nyilvánosságra, akkor jelentős büntetésre számíthat. Egyelőre nem tudni, mi lesz azzal a jelenleg hatályos szabállyal, amely szerint a KKV-k első jogsértés esetén nem bírságolhatók adatvédelmi ügyekben.

 

ADATVÉDELMI FELELŐS

 

Az adatvédelmi felelős létét a magyar szabályozás egyelőre csak speciális szektorokban teszi kötelezővé, az új rendelet viszont e tekintetben a kezelt adatok érzékenysége alapján tesz különbséget a cégek között. Azok az intézmények, amelyek működésük jellegénél fogva nagy tömegben, automatizált módon kezelnek személyes adatokat, mint például a bankok, biztosítók, egészségügyi szolgáltató intézmények, informatikai szolgáltató szervezetek, nem hivatkozhatnak az adatvédelem technikai nehézségeire. Ezen intézményeknek, továbbá a különlegesen érzékeny személyes adatokat (politikai nézet, szakszervezeti tagság, szexuális irányultság stb.) kezelő szervezeteknek szakirányú végzettséggel vagy kompetenciával rendelkező adatvédelmi felelőst kell ugyanis kinevezniük, aki személyében felelős a megfelelő adatvédelmi rendszer működtetéséért és az adatok védelméért. Bár a kisebb (kevesebb, mint 250 foglalkoztatott) szervezeteknek adatvédelmi felelőst nem kötelező kinevezniük, az adatok kockázatokkal arányos védelméért ők is felelősek.

 

PROFILALKOTÁS FOGALMA

 

A jelenlegi szabályozás szerint, ha egy cég ügyfélprofilt készít marketing vagy egyéb célból, az érintett hozzájárulását elegendő az általános szerződési feltételek (ÁSZF) között feltüntetni. Kivételt csak az jelent, ha a profil készítése kifejezetten kell a szerződés teljesítéséhez, de ez esetben is elegendő a szerződésbe belefoglalni, hogy ügyfélprofil készül majd. Az új szabályozásban az ügyfélprofil készítésére külön rendelkezések vonatkoznak, az minden esetben az érintett személy kifejezett hozzájárulásához lesz kötve.

 

SZEMÉLYRESZABOTT TÁJÉKOZTATÁSI KÖTELESSÉG

 

Amennyiben egy cég ügyfelei adatait bármilyen módon automatikusan feldolgozza, köteles lesz az ügyfelet tájékoztatni arról, hogy milyen logika szerint történik az adatfeldolgozás. A rendelet nem fejti ki, hogy ennek a tájékoztatásnak mennyire kell részletesnek lennie, pedig ezen algoritmusok működése a legtöbb esetben az üzleti titok körébe esik. A új rendelet azt is rögzíti, hogy a fogyasztókat közérthetően és személyre szabottan kell tájékoztatni az adatkezelésről. Egy gyerekek számára üzemeltetett honlap adatvédelmi tájékoztatójával szemben egészen más követelményeket jelent, mint egy autóalkatrészeket áruló webshop adatvédelmi tájékoztatójával szemben.

 

ADATKEZELÉS CÉLJÁNAK MEGHATÁROZÁSA

 

Az adatkezelés céljának meghatározása - a cégek jelenleg szokásos gyakorlata alapján - számos esetben hiányzik. Sokszor minden lehetséges adatot gyűjtögetnek a vállalatok, „majd jó lesz valamire” alapon. Erre a jövőben nem lesz lehetőség, az új rendelet ugyanis szigorú követelményeket ír elő az adatkezelés céljának meghatározásával kapcsolatban.

 

Magyarországi változások

 

Az adatvédelmi rendelet kétségkívül hoz újdonságot, de a magyar szabályozáshoz képest rengeteg változásról azért nem beszélhetünk. Azok a vállalkozások, akik eddig is ügyeltek arra, hogy megfeleljenek a magyar adatvédelmi jogszabályoknak és a NAIH (Nemzeti Adatvédelmi Hatóság) előírásainak, az új rendelet hatályba lépésével várhatóan nem kényszerülnek gyökeres változtatásokra. A magyar adatvédelmi jogszabály ugyanis az egyik legszigorúbb az Európai Unióban. Azok a cégek viszont, akik eddig sem foglalkoztak az adatvédelemmel és nem tanúsítottak jogkövető magatartást, most sok újdonsággal találkozhatnak.

 

Magyarországon annyival bonyolultabb a helyzet, hogy az Infotörvény lefedi az információszabadságot is, illetve a titokfelügyeleti hatósági eljárást. Nálunk a két terület egy törvénymódosítással kerül elfogadásra úgy, hogy ez a változás nem érinti az információszabadságra vonatkozó részt, ugyanakkor kismértékben érinti az adatvédelmi hatóság szervezetére vonatkozó szabályokat.

 

A felkészülés folyamatában nem úszható meg a hatályos adatkezelések teljes auditja, ami komoly feladatot és költséget is jelent, ebből a szempontból a kkv-k rosszabb helyzetből indulnak, mint a multik.

 

Hasznos linkek, további információk: 

 

Az uniós adatvédelmi szabályok 2018. évi reformja

 

Az Európai Bizottság iránymutatása magyar nyelven

 

Interaktív infógrafika kis- és középvállalkozásoknak a legfontosabb tudnivalókról

 

A május 25-ig megteendő lépések

 

Kérdések és válaszok (angol)

 

 

Források:
ec.europa.eu

MKIK Brüsszeli Képviseletének hírlevele