GDPR

GDPR – adatvédelem ügyvéd szemével

Mit is kell tudnunk az adatvédelemről?

Rengeteget hallani a GDPR (General Data Protection Regulation – Általános adatvédelmi rendelet) mozaikszót, amely egyaránt érinti a kis- és nagyvállalatokat, az informatikusokat, marketing szakértőket, jogászokat és ügyvéd kollégákat. Sokan úgy tekintenek rá, mint egy újabb jogi felhajtás, amely megnehezíti a mindennapi életünket, azonban kevesen gondolnak bele, hogy miért nélkülözhetetlen az, hogy a természetes személyek személyes adatait különleges védelemben részesítse jog.

A Lupovici Ügyvédi Iroda összegyűjtötte, miért érdemel kiemelt figyelmet az adatvédelem. Elsőkörben hangsúlyos, hogy ismerjük a magánélet, és a privátszférához való jog kialakulását. A The Guardian magazin 2016-ban megjelent „The power of privacy” című dokumentumfilmébeb például a magánszféra kialakulását a kémény megjelenésével, a magánélet jogi védelemének kialakulását a fényképezőgép feltalálásával magyarázza. A társasdalom megbecsülte a magánszférát és tiszteletben tartotta, hogy „what happend behind closed doors stayed there”.

A XXI. századra a magánélethez való jog védelme óriási problémákkal áll szemben. Az elmúlt évtizedekben lejátszódott technológiai fejlődés olyan rohamosan ment végbe, és olyan sok újfajta problémát vetett fel, amelyre a jog képtelen lett volna reagálni. Az internet felhasználóinak száma már rég átlépte a hárommilliárdot, és ebből kikövetkeztethető, hogy ennek a hatalmas számnak sokszoros szorzatára tehető azoknak az adatoknak a száma, amelyeket nap, mint nap osztunk meg másokkal a világ minden pontján elérhető internet segítségével.

Az mára már köztudott tény, hogy ami egyszer felkerül az internetre, akár szociális médián, akár egy internet alapú felhő szolgáltatáson keresztül, az onnantól kezdve tárolódik, és talán sosem kerül törlésre. Azzal is tisztában vagyunk, hogy ezek az internet alapú szolgáltatások könnyebben vagy nagyobb erőfeszítések árán, de feltörhetőek. Azt azonban nem tudjuk, hogy azok a szolgáltatók, akik ezeket a különféle internetes szolgáltatásokat nyújtják, mit tesznek meg annak érdekében, hogy az általunk átadott személyes adatok biztonságban legyenek.

Elővigyázatosság nélkül, lépten-nyomon megosztjuk nevünket, lakcímünket, aktuális tartózkodási helyünket és érdeklődési köreinket, anélkül, hogy belegondolnánk, mi történik, ha adataink rossz kezekbe kerülnének. Az emberek már a kezdetektől óriási bizalommal fordultak a számítógépek, az internet és azon keresztül elérhető szolgáltatások felé, anélkül, hogy bármiféle rossz érzésük lett volna az előbb felsorolt adatok megosztásával. Ennek egyetlen oka van: senki sem gondolta volna, hogy az adatai megosztásával azok nyilvánosságra kerülhetnek.

A jog azzal szembesült, hogy a, szabad rendelkezési joggal rendelkező magánszemélyek saját akaratukból megosztott személyes adataik olyan visszaéléseket eredményeztek, amelyek újfajta bűncselekmények megjelenését eredményezték. Az internetes csalások, a lehallgatások, személyiséglopások, az internetes pedofil bűnözés olyan kiszolgáltatottá és védtelenné tette a számitógépes felhasználókat, hogy a jognak különleges védelemben kell részesítenie a magánszemélyek személyes adatait, úgy, hogy figyelembe kell vennie azt, hogy a magánszemélyekben még nem alakult ki a tudatos és körültekintő figyelem a saját adatik védelmét illetően. A 2018. május 25. napjától alkalmazandó 2016/679/EU rendelet a több mint 20 évig hatályban lévő 95/46/EK rendeletet helyezi hatályon kívül, és aktualizálja az adatvédelem eddigi szabályait.

Pontosan mi is ez a GDPR?

A General Data Protection Regulation az Európai Unió által 2016-ban elfogadott új Általános adatvédelmi Rendelet, amely a magánszemélyek személyes adatainak védelmét és az adatok kezelésének szabályait egységesíti és egyértelműsíti. Az osztatlan figyelmet azzal érdemelte ki, hogy az eddigi eltérő tagállami implementálás helyett egy minden tagállamban hatályos és érvényes törvényszöveget rendel alkalmazni a személyes adatok védelme és kezelése kapcsán. Az új Rendelettől nem kell megijednünk, sőt üdvözölnünk kell, hiszen hiánypótló törvény született, eddig ugyanis harmatgyenge védelemben részesültek a magánszemélyek. Természetesen az adatkezelőnek, vagy adatfeldolgozónak minősülő vállaltok joggal tartanak az új törvény alkalmazásától, ugyanis eddig az adatvédelem nem élvezett kitüntetett szerepet a vállalkozások életében. A GDPR ezt igyekszik megváltoztatni és ezzel egy tudatos adatvédelmi hozzáállást kialakítani az Európai Union beül.

Milyen jogaim vannak magánszemélyként a személyes adataim kapcsán?

Személyes adat”: azonosított vagy azonosítható természetes személyre, (az „érintett” ember) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, számok, helymeghatározó adat, cella információ, online azonosító vagy a természetes személy testi, genetikai, fiziológiai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.

A GDPR alapvetően nem változtatja meg a magánszemély személyes adataival kapcsolatos jogait, azonban a korábbi irányelvi, tagországonként eltérő szabályozás helyett egyértelműbbek és átláthatóbbak lesznek a magánszemélyeket megillető jogok. Fontos tudni, hogy ezek a jogok már korábban is megilleték a magánszemélyeket, azonban ezekről a jogokról viszonylag ritkán tájékoztatta az adatkezelő a magánszemélyeket.

  • átláthatósághoz való jog; azaz az adatkezelőnek feltétlenül biztosítani kell, hogy a magánszemélyek könnyen és egyszerűen tájékozódhassanak a róluk tárolt személyes adatokról és köteles biztosítani a GDPR-ban rögzített jogait
  • tájékoztatás és személyes adatokhoz való hozzáférés joga; tehát magánszemélyként bármikor igényelhetem az adatkezelőtől, hogy haladéktalanul adjon kimerítő tájékoztatást arról, hogy milyen adatokkal rendelkezik rólam, továbbá azt, hogy tájékoztasson arról, hogy ezeket az adatokat milyen céllal és meddig tárolja. Ezen jog további eleme: az adatkezelő arról is köteles tájékoztatni, hogy mikor és milyen formában adtam hozzájárulásomat a személyes adataim tárolásához és felhasználáshoz
  • Adatok helyesbítésének kérése: bármikor indokolás nélkül jelezhetjük, hogy az adatkezelő által rólunk kezelt adatok hibásak, és kérelmezhetjük, hogy azokat javítva tüntessék fel – jó tudni, hogy az adatok pontosságáért, helyességéért  az adatkezelő a felelős
  • Törléshez való jog (right to be forgotten): magánszemélyként bármikor kérelmezhetjük személyes adataink törlését. Amennyiben az adatkezelő harmadik személyeknek is hozzáférhetővé tette személyes adatainkat, abban az esetben kötelessége tájékoztatni mindenkit, akik hozzáférhetnek az érintett adatokhoz.
  • Az adatkezelés korlátozásához való jog: egyes esetek fennállása esetén az érintett magánszemély a személyes adatai kezelésével kapcsolatban korlátozást kérhet
  • Adathordozhatósághoz való jog: az érintett kifejezetten kérheti, hogy a rá vonatkozóan kezelt adatokat tagolt, széles körben használt, géppel olvasható formátumban (pl. .doc, .pdf stb.) megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa anélkül, hogy ezt akadályozná az eredeti adatkezelő. Azaz megkönnyíti az adatkezeléssel érintett helyzetét, hogy személyes adatait egyik adatkezelőtől a másikhoz vigye át. Bár ez a jog jól hangzik, kérdés, hogy mennyire lesz megvalósítható a gyakorlatban.
  • Tiltakozáshoz való jog: az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból kifolyólag bármikor tiltakozzon személyes adatainak meghatározottokból történő kezelése ellen. Ez tipikusan akkor szokott megtörténni, amikor az érintett nem adta hozzájárulását személyes adatai adott kezeléséhez.

Milyen bírságra lehet számítani, ha valaki nem tartja be a GDPR-t?

Kiemelkedő és sokakat meglepetés szerűen ért, hogy súlyosan alakulnak a törvény megsértéséből fakadó bírságok, a törvényalkotó ugyanis 20 millió euróban (!) vagy a cég teljes világpiaci bevételének 4%-ban (kettő közül a magasabb érték lesz a bírság összege) maximalizálja a kiszabható bírság összegét. Természetesen a jogsértéseknél vizsgálni fogják majd a jogsérelem mértékét, súlyát, azt, hogy hány magánszemélyt érint, miből fakadt az adatvédelmi incidens (= a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi), gondatlan vagy szándékos volt a jogsértés és a hatóságokkal történő együttműködési készséget.

Amennyiben a cikkel kapcsolatos kérdése van, vagy személyre szabott segítséget szeretne kapni, hogy az Ön vállalkozása megfeleljen mindenben a jogszabályi követelményeknek, forduljon irodánkhoz bizalommal.