GDPR-para - indul az ellenőrzés

Várhatóan a multik kerülnek először a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) célkeresztjébe a GDPR betartására vonatkozó vizsgálatoknál – a Delolitte szerint legalábbis erre lehet számítani a kormány által benyújtott törvénymódosítási javaslatból.

A május 25-én életbe lépett új európai uniós általános adatvédelmi rendelet a várakozások szerint  jelentős változásokat hoz majd az Európai Unióban a személyes adatok kezelésében. . Az előírással kapcsolatban az egyes tagállamoknak jogharmonizációs feladatai vannak, és a magyar kormány 2018. 06. 19-én előterjesztést nyújtott be az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény az Európai Unió adatvédelmi reformjával összefüggő átfogó módosításával kapcsolatban.

A kisebbek sem dőlhetnek hátra

A javaslathoz fűzött indoklásban a kormány egyértelműen kifejezte, hogy a GDPR szabályait elsősorban a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok ellen fellépve szükséges alkalmazni. Deloitte Legal Ügyvédi Iroda adatvédelmi szolgáltatásokért felelős ügyvédje elmondta: ez alapján NAIH elsősorban a multinacionális vállalatokat fogja ellenőrizni, míg a többi gazdasági szereplő, így a kis- és középvállalkozások tekintetében a kormány megengedőbb álláspontot fogalmazott meg a törvényjavaslat indoklásában.

Majoros Gábor hozzátette: esetükben az arányosság elvét figyelembe véve a figyelmeztetés jogkövetkezményét indokolt alkalmazni, de a NAIH egyik közelmúltban közzétett döntését figyelembe véve ezek a társaságok sem mentesülnek a bírságolás alól.

Mi az a GDPR?

Az Egységes Európai Adatvédelmi Rendelet (Genderal Data Protection Regulation) bevezetésével egységessé válik az adatvédelmi szabályozás az EU-ban. Az új szabályzat minden szervezetre és gazdasági társaságra kiterjed, amely az EU-ban tartózkodók személyes adatait kezeli vagy feldolgozza.

A szervezetek kötelesek a lehető legvilágosabb, legérthetőbb tájékoztatást adni a személyes adatok felhasználásának módjáról – ezért kaphattunk mostanság annyi GDPR témájú hírlevelet. Emellett azoknak az intézményeknek, amelyek nagy tömegben, automatizáltan kezelnek személyes adatokat - például a bankok, biztosítók, egészségügyi, valamint informatikai szolgáltatók -, és azoknak, amelyek különlegesen érzékeny személyes adatokat - politikai nézet, szakszervezeti tagság, szexuális irányultság - kezelnek, adatvédelmi felelőst kell kinevezniük. Ő felel a megfelelő adatvédelmi rendszer működtetéséért és az adatok védelméért.

Mi tartozik ide?

A GDPR emellett jelentősen bővíti a személyes adatok körét, ezentúl ezekhez sorolja a többi között a nevet, a születési és egészségügyi adatokat, a bankszámlaszámot, a jövedelmet, a helymeghatározó adatot (GPS), az e-mail-címet, a vállalati és magántelefonszámot, a levelezési címet, de akár egy IP-címet is. Az új rendelet megerősíti a személyes adatok törlésének jogát: ha valaki már nem szeretné, hogy adatait a továbbiakban feldolgozzák, és az adott szervezetnek nincs alapos indoka azok tárolására, akkor a szervezetnek törölnie kell a kérdéses adatokat rendszeréből.