– magyarázta Vigh Beáta. Hozzátette, a rendelet bevezette a tiltakozási jogot a direkt marketing tevékenység ellen, illetve a profilalkotási tevékenységen alapuló automatikus döntéshozás ellen.

Példaként hozott fel bizonyos kockázatszűrési eljárásokat, amikor az emberi magatartás alapján számítógépes programok döntik el, kinek milyen opció kínálható fel hitelkeret megállapításakor, vagy internetes álláskereső programokban különböző vásárlások alkalmával. Az ilyen típusú döntéshozatal ellen az érintettek tiltakozhatnak.

Fontos az érthető tájékoztatás

Az internetjogász kiemelte azt is, hogy az adatvédelmi tájékoztatóknak ezután sokkal pontosabbaknak, részletesebbeknek kell lenniük, tartalmazniuk kell a pontos célt is, amiért elkérik a személyes adatokat.

„Már nem elég az, hogy például egy internetes honlapon a felhasználónak csak be kell jelölnie arra a kérdésre az igen/nem választ, hogy felhasználhatják-e az adatait, hanem ennél részletesebben megfogalmazott cél mentén kérhetnek csak adatokat. Például, ha kozmetikai termékeket árulok, akkor nem kérhetek el egészségügyi adatokat, és ahhoz, hogy hírlevelet küldhessek, az érintettnek ehhez külön a beleegyezését kell kérnem” – fejtette ki. Ugyanakkor az érintettek beleegyezése is egyértelmű kell legyen, akár szóbeli, akár írásbeli, dokumentálhatónak kell lennie, és nem lehet „nem cselekvés”. Például,

Az adatvédelmi tájékoztatók nemcsak a honlapokra szükségesek, hanem minden esetben, ahol személyes adatokat kérnek el. Az érintettnek tudnia kell, hogy milyen céllal kérik, meddig tárolják adatait.

Válasz egy hónapon belül

Szintén a rendelet szabályozza, hogy a természetes személyeknek, ha bármilyen kérdése van az adatkezelőhöz, legyen az állami intézmény, vállalkozás vagy civil szervezet, akkor egy hónapon belül választ kell kapnia a kérdésére. Vigh Beáta ezzel kapcsolatban megjegyezte, ennek teljesítése kihívás lesz az adatkezelőknek. Szemléltetésként elmondta, például ha egy kórháztól egy illető kéri, akkor számára lehetővé kell tenni, hogy hozzáférjen – a rendelet hatályba lépésétől – az összes addigi leletéhez, ezt pedig technikailag nem egyszerű kivitelezni.

A rendelet ugyanakkor az adatkezelés időtartamára is kitér, vagyis az adatokat tárolni és felhasználni csak addig jogszerű, amíg le nem zárul az a folyamat, amelynek céljával elkérték. Ennek lezárultával az adatokat már nem lehet használni. Ez folyamatos feladatot jelent, szükséges a periodikus nagytakarítás az adatbázisokban.

Adatok törléséhez való jog

„Mind a természetes személyek, mind az adatkezelők szempontjából fontos lehet az adatok törléséhez való jog, amit mostantól már elfeledtetéshez való jognak nevezünk” – hívta fel a figyelmet a téma szakértője. Innentől kezdve ugyanis, ha az érintett azt kéri, akkor az adatkezelő köteles törölni nemcsak azokat az adatokat, amelyek nála megvannak, hanem azoknak a másolatát, és az összes többi további linket és nyomot is, amelyet az illető érintett a szolgáltatás igénybevételével otthagyott az interneten.

– tette hozzá. Mindennek a határa az, ha a kérések teljesítése túlságosan költségessé válik az adatkezelő számára. A rendelet vonatkozik az analóg adatkezelésre is, de elfogadását egyértelműen a digitális technológia fejlődése tette szükségessé, és célja az adatok kezelésének és mozgásának átláthatóbbá, hozzáférhetőbbé és ellenőrizhetőbbé tétele.

Kihívás az adatkezelőknek

A vállalkozásoknak, és más adatkezelőknek is a rendelet alkalmazása kihívás. Átlátható rendszert kell létrehozniuk, és mindent dokumentálniuk kell. A megfelelés nem csupán egyszeri feladatteljesítés, hanem folyamat. „Ez komoly agymunka és technikai feladat egyben, amely nem utolsósorban plusz költségekkel is járhat” – jegyezte meg Vigh Beáta. Hozzátette, azt is fel kell mérniük az adatkezelőknek, hogy szükségük van-e szervezetükön belül adatvédelmi tisztviselőre. Főként nagyobb vállalatoknak, sok ügyféllel dolgozó vállalkozásoknak lehet erre szüksége, az állami intézményeknél mindenképpen előírás.

Magas összegű bírságok

„A rendeletben foglalt bírságok miatt rettegnek a vállalkozók, amellett, hogy hatalmas kihívás számukra, hogy az előírásoknak megfeleljenek, és rendszereket hozzanak létre” – fogalmazott Vigh. A jogszabály előírásait megszegőknek ugyanis legkevesebb tízmillió euró a bírság összege, vagy a vállalkozás nemzetközi éves áruforgalmának két százaléka, a kettő közül a nagyobbik összeget kell kiszabni. A legnagyobb bírság húszmillió euró, vagy a vállalkozás nemzetközi éves áruforgalmának négy százaléka.

– fűzte hozzá. Ugyanakkor a panaszos fordulhat a bírósághoz is további kártérítésért. Arra a kérdésre, hogy hogyan látja Romániában az adatvédelem helyzetét, elmondta, a nyugati országokban nagyobb hangsúlyt fektettek a téma népszerűsítésére, az információk ingyenes hozzáférésére.

„Nálunk a hatóság kevesebbet tett egyelőre a népszerűsítés terén, voltak ugyan konferenciák, tájékoztatók, de a felkészülési folyamattal Románia le van maradva, még az állami intézményeknél is kihívás lesz a technikai háttér biztosítása” – jegyezte meg. A vállalkozások számára a témában Vigh Beáta Székelyudvarhelyen és Csíkszeredában tartott ingyenes népszerűsítő előadást, és egynapos előadói napokat is készül szervezni azok számára, akik szeretnék megismerni azokat a feladatokat, amelyeket teljesíteniük kell a cégeknek a megfeleléshez.