Ready 4 GDPR? – 2 hónappal járunk az új úniós adatvédelmi rendelet hatálybalépése előtt

Fontos, a személyes adatok védelmét érintő változás történik az Európai Unió országaiban 2018. május 25. napjától, ugyanis ezen időponttól alkalmazandó az EU 2016/679 számú új uniós adatvédelmi rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, azaz a GDPR (General Data Protection Regulation). A jogszabály egyben hatályon kívül helyezi a 95/46/EK rendeletet (általános adatvédelmi rendelet).

Az adatvédelem fogalma, amely a személy magánszférájának jogi védelmén belül értelmezhető, az 1970-es évektől vált széleskörűen használt fogalommá egy újfajta védelem megjelölésére, amely az elektronikai forradalom által egyre általánosabbá váló automatizált adatfeldolgozás veszélyeire válaszul jelent meg Európában. Az általa nyújtott jogi védelem tartalma a fogalom megjelenése óta többször is jelentősen változott, illetve folyamatos változásban van. A műszaki fejlődés miatt nőtt a kezelt adatok mennyisége és a magánszemélyeket érintő hatások mértéke is. Az adatvédelem legújabb korszaka már inkább a technológia szabályozásáról és nem a hagyományos jogvédelemről szól. Ehhez kapcsolódik a GDPR új szabályozása, az egységes európai jogalkalmazás igénye és a magasabb bírságösszegek. A Bizottság által 2012 elején közzétett javaslatból 2016 májusára lett kihirdetett jogszabályszöveg. A folyamat lobbikkal terhelt volt, gyakran merült fel, hogy a végül az egységes politikai akarat hiánya annak kudarcához vezet majd. Az, hogy ez mégsem így lett, nagyban az Egyesült Államok nemzetbiztonsági szervei által végzett tömeges megfigyelések Európában keltett politikai hullámainak köszönhető. A GDPR ezért erősíti az érintettek jogait és komoly biztonsági követelményeket állít az adatkezelők elé.

A Rendelet sok újdonságot hoz az adatvédelmi jogászok, az azt alkalmazni hivatott hatóságok és minden olyan európai cég – a családi vagy kis- és középvállalkozásoktól kezdve a multinacionális nagyvállalatokig – számára, amely személyes, vagy különleges adatot kezel. Előírásai 2018. május 25. napjától közvetlenül alkalmazandók, nem igénylik a törvénybe iktatást az egyes tagállamokban. Az érintett vállalkozások képviselőinek már csak két hónapjuk maradt felkészülni mind az elektronikusan tárolt, mind a papíralapú adatok átlátható kezelésére, azok megfelelő tárolására, a kockázatok elemzésére (hatásvizsgálat) és annak igazolására, hogy az adatok birtoklására, kezelésére megfelelő jogalapjuk van.

Az új szabályozás hangsúlyt ad az „elfeledtetéshez”, azaz a törléshez való jognak, előírja egy esetleges adatvédelmi incidens bejelentésének határidejét (72 óra), megsokszorozza a bírság összegét. Súlyos esetben a pénzbüntetés felső határa 20 millió euróra rúghat, vagy az előző pénzügyi év teljes világpiaci forgalmának 4 százalékát érheti el (a kettő közül a nagyobb). A szigorú szankciók mellett ugyanakkor a Rendelet sok esetben az eddiginél tisztább helyzetet is teremt majd. Várhatóan végre tisztázódik az adatkezelési jogalapok közül egyes nemzeti jogokban hosszabb ideje fennálló bizonytalanság, illetőleg általában is egységes értelmezést kapnak a rendelkezések és kötelezettségek európai szinten és az adatkezelőknek szélesebb körű joggyakorlat szolgál majd útmutatásként, hogy a személyes adatokkal kapcsolatos eljárásuk jogszerű lehessen. A szigorú szabályozásnak nem titkolt célja az sem, hogy az új adatvédelmi szabályok versenyelőnyt biztosítsanak az európai vállalatok számára harmadik országokban honos vállalatokkal szemben.

A rendelet szerint előzetesen kell részletesen tájékoztatni az érintetteket az adatkezelés lényeges körülményeiről: az adatkezelőről, az adatkezelés jogalapjáról, céljáról, az adatok megőrzési idejéről, a jogairól, jogorvoslati lehetőségekről, az adatkezelésben közreműködő vállalkozásokról, az adattovábbítás címzettjeiről. Új elem, hogy súlyos adatvédelmi incidens esetén jelezni kell a nemzeti adatvédelmi hatóság vagy határon átnyúló adatkezelések esetén az úgynevezett főhatóság felé, kritikus helyzetben az érintett felé is az eset részleteit, káros hatásait és a szükséges biztonsági intézkedéseket.

Az olyan európai vállalkozás, amely még nem kezdett el a felkészüléssel foglalkozni, az már az utolsó pillanatban jár, ugyanis a GDPR elfogadásakor biztosított kétéves felkészülési időből már csak két hónap van hátra.