Mit jelent a GDPR a magánszemélyek és a cégek számára?
Az elmúlt hónapokban a médiában többször találkoztam ugyanazzal a négy betűből álló rövidítéssel: GDPR. Az előfordulás gyakoriságának növekedése elindította bennem a kíváncsiságot, hogy mit is jelenthet pontosan és miért emlegetik egyre sűrűbben.
Rövid kutatás után világossá vált, hogy az új adatvédelmi rendeletre vonatkozik, amelyet Európai Unió szerte egységesen fognak alkalmazni 2018. május 25-től. (General Data Protection Regulation).
A rendelet értelmezése során a benne foglaltaknak nagyon megörültem, mint magánszemély, mert a rendelet kifejezetten az Európai Unió polgárainak személyes adatait hivatott az eddigi szabályozáshoz képest hatékonyabban és egységesebben védeni.
Személyes adatnak tekinthető a természetes személyekre (a törvény „érintettként” hivatkozik rájuk) vonatkozó bármely információ, amellyel azonosíthatóvá válik közvetlen vagy közvetett módon. Különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó adatok tekinthetők személyes adatnak.
Az Uniós törvénykezés felismerte, hogy az érintettek bármely személyes adata piaci értéket jelenthet. Ha csak a célzott marketing tevékenységre gondolunk, vállalatok jelentős kiadástól képesek mentesíteni magukat, ha tisztában vannak vele előzetesen, hogy az adott személyt egyáltalán érdekelheti-e az értékesítésre szánt termékük.
A kéretlen levelek és a böngészőben felugró reklám blokkok tucatjain túl komolyabb visszaéléseket is meg kell említenem úgy, mint a személyiség lopás (pl. hitelt vesznek fel a nevünkben), vagy a bankkártya adatainkkal való visszaélés (pl. illegális termékek beszerzése).
A rendelet fókuszában az adatokat kezelő cégek (adatkezelők) és a személyes adatokat jogszerűen felhasználó külső vállalkozóinak (adatfeldolgozók) elszámoltathatósága áll. Adatvédelmi incidens esetén az adatkezelő felel egyetemlegesen, az incidens jellegétől függően a bírság akár az éves világpiaci árbevételének 2-4%-ig terjedhet, incidensenként. A nemzeti hatóságoknak kötelessége minden bejelentést egyenként, részletesen kivizsgálni és a rendelet szerint eljárni.
A transzparencia jegyében bármely személyes adat kapcsán az adatkezelőnek tisztában kell lennie, hogy
- milyen jellegű adatot tárol,
- milyen céllal tárol egy adatot,
- hol tárolja,
- meddig tárolja
- milyen jogalap szerint tárolja
- ki férhet hozzá az adatokhoz (másolatot tárol-e belőle),
- kinek továbbította az adatokat,
- a személyes adatokat mikor módosította vagy törölte.
A transzparencia és az elszámoltathatóság mellett még egy fontos pillére az új adatvédelmi rendeletnek: Európai Unión kívül (harmadik országban) csak nagyon szigorú megkötéssel továbbítható és tárolható személyes adat. (Hatósági engedélyek és garanciák nélkül nem is engedélyezett).
Mint magánszemély megnyugvással tölt el, hogy
- Uniós szinten egységesen védik az adataimat,
- Bármikor jogom van kérni az adott szolgáltatót, hogy törölje a korábban megadott adataimat a rendszereiből és semmilyen módon ne keressen fel engem, vagy továbbítsa harmadik félnek az adataimat. (felejtéshez való jog)
- Az eddigi több oldal hosszúságú és bonyolult jogi szövegezésű adatvédelmi tájékoztatót egy világos, tömör és könnyen értelmezhető váltja fel.
- Bármikor jogom van megtudni, hogyan jutott a személyes adatom egy vállalat birtokába, s arra mikor adtam engedélyt.
- Bármikor jogom van egy automatikusan hozott döntést manuálisan felülvizsgáltatni.
- A munkahelyemen átláthatóvá válik, hogy a személyes adataimhoz a munkáltató mellett mely kollégák férhetnek hozzá.
- Az adatkezelőnek bármilyen adatvédelmi incidenst jelezni kell az illetékes hatóságnak. Ha pedig nagy a valószínűsége, hogy az érintettre is kihatással lesz az adatszivárgás, akkor őt is értesíteni kell, hogy az szükséges óvintézkedéseket megtegye (pl. bankkártya, vagy személyi igazolvány csere)
Mindazonáltal a rendeletben érintett másik fél - az adatkezelő - oldaláról nézve a változásokat, a rendelet komoly kihívások elé állítja a vállalkozásokat.
2018. május 25. után nem tárolható olyan személyes adat, amelyre a rendelet szabályozása nem alkalmazható.
Olyan adatkezelési rendszer kiépítése az elvárt - a már meglévő adatbázist kiegészítve, vagy azt lecserélve -, amely
- lehetővé teszi annak bizonyítását, hogy jogosan kezeli az érintett személyes adatát,
- bármely személyes adat változásáról tájékoztatni képes minden érintettet,
- képes nyilvántartani, mit, kinek és mikor adott át az adatkezelő,
- kérésre képes megszüntetni a teljes adatkezelést, vagy álnevesíteni a személyes adatokat,
- képes a kezelt adatokat összesíteni, csoportosítani, átlátni.
Az új adatvédelmi rendelet azt a gyakorlatot kívánja megfordítani, hogy a digitálisan tárolt adatok korlátozás és kontroll nélkül keringjenek az adatkezelőnél és adatfeldolgozónál.
A rendelet javaslata szerint a személyes adatokat a lehető legkisebb számban, a lehető legrövidebb ideig tároljuk, és az adatkezelésben valóban részt vevő személyek legkisebb köre férhessen hozzá. Amikor az adatkezelés célja teljesült (és más törvényi szabályozás nem teszi kötelezővé az érintett adatok megőrzését), az adatkezelőnek kötelessége az adatkezelést megszüntetni.
A fentieket néhány gyakorlati példával mutatnám be:
- Ha egy ügyfél kéri személyes adatainak törlését, akkor a korábban számára kiküldött összes levelét, és olyan levelezésből is ki kell törölni személyes adatát, ahol csak említés szinten jelent meg.
- A vállalat felvesz egy értékesítőt, aki az előző munkahelyén szerzett telefonszámokat használná fel munkája elvégzéséhez. Ez esetben a korábbi és jelenlegi munkáltató (adatkezelő) is adatvédelmi incidenst követett el. A korábbi nem biztosította a személyes adatok védelmét kellőképpen, a jelenlegi munkáltató pedig olyan személyes adatokat használ, amelynek forrását nem tudja igazolni.
- A vállalat olyan szerveren tárol személyes adatokat, amelyek fizikailag pl. Oroszországban vannak elhelyezve. Ha az adott szerver üzemeltetője nem rendelkezik megfelelő engedéllyel/garanciával, az esetben nem szabad harmadik országban személyes adatot tárolni.
- Kiküld a marketing gyakornok egy hírlevelet, ahol a címzettek láthatják egymás e-mail címeit. Ezáltal illetéktelenek kezébe jut személyes adat.
- Ha munkáltató begyűjti a munkavállalók magántelefonszámát, hogy vészhelyzet esetén tudja az érintetteket felhívni munkaidőn kívül, akkor ehhez előzetes és önkéntes hozzájárulásukat kell kérnie a munkavállalóktól.
- Egy pozíció betöltése kapcsán beérkező önéletrajzokat a munkáltató korlátlan ideig megőrzi a postafiókjában. Az adatkezelési tájékoztatóban meg kell határozni, hogy mennyi ideig tervezi az adatkezelő (leendő munkáltató) megőrizni az önéletrajzokat. Ha ezen túl is megőrzi, akkor adatvédelmi rendelet szabályozását sérti meg.
- Egy webshop regisztráció során az adatkezelő az ÁSZF és adatvédelmi tájékoztató elfogadását jelző jelölőnégyzeteket előre bepipálja, hogy a regisztrálónak csak a végső benyújtás gombra kelljen kattintania. Ez ugyancsak ellent mond a jogszabálynak, mert a hozzájárulásnak önkéntesnek kell lennie.
A fentiek kapcsán a példák csak a rendelet egy kis részét érintik, célja a problématudat felébresztése volt. A törvényi megfelelőséghez alapos felkészülés, illetve szakértők bevonása javasolt.
A rendelet jelentős része megtalálható volt az eddig alkalmazandó információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényben, viszont az új törvénykezéssel a magánszemélyek tudatosságának fokozódása várható, amelyre a vállalatoknak is időben fel kell készülniük.
Az új adatvédelmi rendelet mélyebb megértéséhez, illetve az önálló felkészüléshez a Crosssec Solutions egy vezetői összefoglalót, egy folyamatábrát, illetve szakágspecifikus (HR/Szoftverfejlesztés/Marketing/Ügyvitel) témakörökre bontva további szemléltető példákat gyűjtött össze, amely a GDPR megfelelősséget hivatott elősegíteni.
A szemléltető példákat külön témakörönként csoportosítottuk, így akár egyenként delegálhatók a kinevezett felelősöknek. Az összeállított anyagok célja, hogy tulajdonosként, felsővezetőként képesek legyünk átlátni a rendeletet, felismerjük, hogy hol lehet szerepe a saját folyamatainkban, illetve akár saját erőforrásból el tudjuk végezni a felkészülést.
Megtekintem a GDPR segédanyagokat
Lehet, hogy a vezetői összefoglaló elolvasása után úgy dönt, hogy érdemes tanácsadó segítségét kérnie akár a folyamatainak kialakításában, átalakításában, netán a szükséges tájékoztatók jogszerű elkészítésében. Következő cikkünkben igyekszünk ebben a kérdésben is segítséget nyújtani.