GDPR útmutató – amit a rendeletről tudni kell és kérdések, amikre választ kell adni

2016 tavaszán elfogadásra és kihirdetésre került az új, uniós szinten kötelező Általános Adatvédelmi Rendelet (2016/679/EU rendelet – GDPR), mely a jelenleg hatályos magyar (és uniós tagállamokbeli) adatvédelmi szabályrezsimet alapjaiban és elveiben fogja megváltoztatni. Ennek következtében az eddig hatályban lévő uniós irányelv és az ennek végrehajtására megalkotott, tagállamonként eltérő jogszabályok helyett egyetlen, általános szabályrendszer lesz érvényben a teljes Unióban.

 

A rendeletet 2018. május 25-től kell kötelezően alkalmazni minden olyan természetes, vagy jogi személynek, közhatalmi szervnek, ügynökségnek vagy bármely egyéb szervnek, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza (adatkezelő). Ez azt is jelenti, hogy ettől az időponttól kezdve a hatóságok jogosultak a benne foglalt rendelkezések érvényesülését ellenőrizni, és azok megsértése esetén horribilis összegű, akár 20 millió euró, vagy az éves globális árbevétel 4%-ának megfelelő bírságot szabhatnak ki. A GDPR elméletben csak az irányelv reformjaként jellemezhető, a gyakorlatban azonban mélyreható és összetett változásokat fog megkívánni a személyes adatok kezelésében.

Elsődlegesen abban jelent újítást, hogy ez a rendelet immár az egész EU területén egységesen érvényesül, minden tagállamban ugyanazok lesznek az elvárások, ugyanazon szempontok szerint mérik majd a megfelelést és ugyanazok a bírságok lesznek irányadók. A második és az egyik legfontosabb és az egész rendeletet átható szabályozási alapelv, mely lényegi változást jelent az eddigiekhez képest az a beépített és alapértelmezett adatvédelem.

Az ennek való megfelelés a gyakorlatban azt fogja jelenteni, hogy már az egyes adatkezelő és informatikai rendszereket, és az egyes munkafolyamatokat is úgy kell kialakítani, megtervezni, hogy az egyes szervezeteken belül, belső körökben se lehessen áthágni az egyes szabályokat. Tenni kell mindezt úgy, hogy az adatkezelőktől minél nagyobb fokú elszámoltathatóság és átláthatóság valósulhasson meg, vagyis bármely szervezetnek, amely személyes adatot kezel, képesnek kell lennie bebizonyítani, hogy a rendelet valamennyi elvárását teljesíti.

Jelenleg a legnagyobb problémát azonban az jelenti ebben a helyzetben, hogy az egyes adatkezelőknek az elkövetkezendő rövid időszak során meg kell felelniük a rendelet által támasztott követelményeknek, ám, hogy ez a megfelelés a gyakorlatban ténylegesen mit jelent, egyelőre senki számára nem egyértelmű teljesen, hiszen nincs hatósági gyakorlat a szabályok értelmezésére. Ezért jelenleg mindenki gyakorlatilag a saját értelmezése alapján próbál megfelelni a szabályoknak.

A Jászkun Gazdaság aktuális számában tovább olvashatja Gilincsek Szabolcs GDPR szakértő írását a Hatóságok által javasolt 12 pontról, amely a megfeleléshez szükséges lépéseket tartalmazza.