HIRDETÉS

Több millió eurót érhet a személyes adatok védelme

Barabás Hajnal 2018. április 15., 01:03
HIRDETÉS

Akár húszmillió eurós bírsággal is sújthatják azt az adatkezelőt (legyen az intézmény, vállalkozás, nonprofit szervezet), amely nem tartja be az európai általános adatvédelmi rendelet (GDPR) előírásait. A rendelet elfogadását követő kétéves türelmi időszak május 25-én jár le, ekkortól már bírságolhatnak a hatóságok. „A megfelelés nem egyszeri feladatteljesítés, hanem folyamat” – az európai uniós jogszabályról a csíkszeredai Vigh Beáta internetjogásszal és márkavédelmi szakértővel beszélgettünk.

Az európai általános adatvédelmi rendelet előírásai mindenkire vonatkoznak az Európai Unió határain belül, egyaránt érintik az adatkezelőt és a természetes személyeket. Az alkalmazása mentalitásváltást igényel, sokkal tudatosabb odafigyelést az adatainkra a természetes személyek és az adatkezelő jogi személyek részéről egyaránt.

Több jogot biztosítanak

A természetes személyeknek az eddigiekhez képest több jogot biztosít a jogszabály, ami a személyes adataik kezelésébe, feldolgozásába való beleszólást illeti. Ugyanakkor ezután könnyebben hozzáférhetnek a különböző állami intézményeknél, szolgáltatóknál, cégeknél, egészségügyi intézményeknél, hitelintézeteknél tárolt és kezelt személyes adataikhoz.

A könnyű hozzáférhetőség mellett jobb rálátásuk lesz arra, hogy milyen módon kezelik adataikat, mire és milyen céllal használják

– magyarázta Vigh Beáta. Hozzátette, a rendelet bevezette a tiltakozási jogot a direkt marketing tevékenység ellen, illetve a profilalkotási tevékenységen alapuló automatikus döntéshozás ellen.

Példaként hozott fel bizonyos kockázatszűrési eljárásokat, amikor az emberi magatartás alapján számítógépes programok döntik el, kinek milyen opció kínálható fel hitelkeret megállapításakor, vagy internetes álláskereső programokban különböző vásárlások alkalmával. Az ilyen típusú döntéshozatal ellen az érintettek tiltakozhatnak.

Fontos az érthető tájékoztatás

Az internetjogász kiemelte azt is, hogy az adatvédelmi tájékoztatóknak ezután sokkal pontosabbaknak, részletesebbeknek kell lenniük, tartalmazniuk kell a pontos célt is, amiért elkérik a személyes adatokat.

„Már nem elég az, hogy például egy internetes honlapon a felhasználónak csak be kell jelölnie arra a kérdésre az igen/nem választ, hogy felhasználhatják-e az adatait, hanem ennél részletesebben megfogalmazott cél mentén kérhetnek csak adatokat. Például, ha kozmetikai termékeket árulok, akkor nem kérhetek el egészségügyi adatokat, és ahhoz, hogy hírlevelet küldhessek, az érintettnek ehhez külön a beleegyezését kell kérnem” – fejtette ki. Ugyanakkor az érintettek beleegyezése is egyértelmű kell legyen, akár szóbeli, akár írásbeli, dokumentálhatónak kell lennie, és nem lehet „nem cselekvés”. Például,

ha egy honlapon előre be van jelölve az adatok felhasználásába való beleegyezés négyzete, akkor az már nem jogszerű, az érintettnek kell bejelölnie, hogy egyetért ezzel.

Az adatvédelmi tájékoztatók nemcsak a honlapokra szükségesek, hanem minden esetben, ahol személyes adatokat kérnek el. Az érintettnek tudnia kell, hogy milyen céllal kérik, meddig tárolják adatait.

Válasz egy hónapon belül

Szintén a rendelet szabályozza, hogy a természetes személyeknek, ha bármilyen kérdése van az adatkezelőhöz, legyen az állami intézmény, vállalkozás vagy civil szervezet, akkor egy hónapon belül választ kell kapnia a kérdésére. Vigh Beáta ezzel kapcsolatban megjegyezte, ennek teljesítése kihívás lesz az adatkezelőknek. Szemléltetésként elmondta, például ha egy kórháztól egy illető kéri, akkor számára lehetővé kell tenni, hogy hozzáférjen – a rendelet hatályba lépésétől – az összes addigi leletéhez, ezt pedig technikailag nem egyszerű kivitelezni.

HIRDETÉS

A rendelet ugyanakkor az adatkezelés időtartamára is kitér, vagyis az adatokat tárolni és felhasználni csak addig jogszerű, amíg le nem zárul az a folyamat, amelynek céljával elkérték. Ennek lezárultával az adatokat már nem lehet használni. Ez folyamatos feladatot jelent, szükséges a periodikus nagytakarítás az adatbázisokban.

Adatok törléséhez való jog

„Mind a természetes személyek, mind az adatkezelők szempontjából fontos lehet az adatok törléséhez való jog, amit mostantól már elfeledtetéshez való jognak nevezünk” – hívta fel a figyelmet a téma szakértője. Innentől kezdve ugyanis, ha az érintett azt kéri, akkor az adatkezelő köteles törölni nemcsak azokat az adatokat, amelyek nála megvannak, hanem azoknak a másolatát, és az összes többi további linket és nyomot is, amelyet az illető érintett a szolgáltatás igénybevételével otthagyott az interneten.

Gyakorlatilag minden nyomot kötelesek eltörölni, amivel az illető még azonosítható

– tette hozzá. Mindennek a határa az, ha a kérések teljesítése túlságosan költségessé válik az adatkezelő számára. A rendelet vonatkozik az analóg adatkezelésre is, de elfogadását egyértelműen a digitális technológia fejlődése tette szükségessé, és célja az adatok kezelésének és mozgásának átláthatóbbá, hozzáférhetőbbé és ellenőrizhetőbbé tétele.

Kihívás az adatkezelőknek

A vállalkozásoknak, és más adatkezelőknek is a rendelet alkalmazása kihívás. Átlátható rendszert kell létrehozniuk, és mindent dokumentálniuk kell. A megfelelés nem csupán egyszeri feladatteljesítés, hanem folyamat. „Ez komoly agymunka és technikai feladat egyben, amely nem utolsósorban plusz költségekkel is járhat” – jegyezte meg Vigh Beáta. Hozzátette, azt is fel kell mérniük az adatkezelőknek, hogy szükségük van-e szervezetükön belül adatvédelmi tisztviselőre. Főként nagyobb vállalatoknak, sok ügyféllel dolgozó vállalkozásoknak lehet erre szüksége, az állami intézményeknél mindenképpen előírás.

Magas összegű bírságok

„A rendeletben foglalt bírságok miatt rettegnek a vállalkozók, amellett, hogy hatalmas kihívás számukra, hogy az előírásoknak megfeleljenek, és rendszereket hozzanak létre” – fogalmazott Vigh. A jogszabály előírásait megszegőknek ugyanis legkevesebb tízmillió euró a bírság összege, vagy a vállalkozás nemzetközi éves áruforgalmának két százaléka, a kettő közül a nagyobbik összeget kell kiszabni. A legnagyobb bírság húszmillió euró, vagy a vállalkozás nemzetközi éves áruforgalmának négy százaléka.

Ezek közigazgatási szankciók, bizonyos esetekben lehet alkalmazni figyelmeztetést is

– fűzte hozzá. Ugyanakkor a panaszos fordulhat a bírósághoz is további kártérítésért. Arra a kérdésre, hogy hogyan látja Romániában az adatvédelem helyzetét, elmondta, a nyugati országokban nagyobb hangsúlyt fektettek a téma népszerűsítésére, az információk ingyenes hozzáférésére.

„Nálunk a hatóság kevesebbet tett egyelőre a népszerűsítés terén, voltak ugyan konferenciák, tájékoztatók, de a felkészülési folyamattal Románia le van maradva, még az állami intézményeknél is kihívás lesz a technikai háttér biztosítása” – jegyezte meg. A vállalkozások számára a témában Vigh Beáta Székelyudvarhelyen és Csíkszeredában tartott ingyenes népszerűsítő előadást, és egynapos előadói napokat is készül szervezni azok számára, akik szeretnék megismerni azokat a feladatokat, amelyeket teljesíteniük kell a cégeknek a megfeleléshez.

Az általános adatvédelmi rendeletről

Az európai uniós jogszabályt 2016 áprilisában fogadták el, kétéves türelmi idővel. A rendelet szövegét meg lehet találni az interneten, az európai törvények adatbázisában magyar nyelven is itt. A jogszabály megfogalmazása szerint személyes adatnak számít a természetes személyre vonatkozó bármely információ, amivel közvetlen vagy közvetett módon azonosítható, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező.
Ön szerint ez:
Jó hír
Rossz hír
HIRDETÉS
0 HOZZÁSZÓLÁS
HIRDETÉS
HIRDETÉS
HIRDETÉS