Ma fogadta el az Európai Parlament az Európai Unió általános adatvédelmi rendeletét (General Data Protection Regulation, GDPR), aminek nyomán a személyes adatok kezelésével érintett valamennyi vállalkozás többek között szigorúbb átláthatósági követelményekre, tájékoztatási kötelezettségre és szankciókra számíthat: a rendelet értelmében a szabálysértő cégekre kiszabható pénzbüntetés mértéke elérheti akár a globális éves árbevételük négy százalékát is. Az új szabályozás nemcsak a vállalatok, hanem a természetes személyek számára is hoz változást, szélesebb körű jogokat ad ugyanis az állampolgároknak személyes adataik kezelése tekintetében.
Több éves egyeztetést követően végre sikerült pontot tenni az adatvédelmi reform körüli vita végére, az Európai Parlament ugyanis ma elfogadta az általános adatvédelmi rendeletet (General Data Protection Regulation, GDPR). A rendelet nyomán életbe lévő változások jelentős hatással lesznek a hazai, illetve az EU határain innen és túl működő személyes adatokat kezelő cégekre is. A rendelet deklarálja továbbá az állampolgárok úgynevezett felejtéshez és adathordozhatósághoz való jogát is: az állampolgárok kérelmezhetik valamennyi személyes adatuk törlését, valamint adataik egyes adatkezelők (szolgáltatók) közötti továbbítását.
A rendelet szerint egyrészt súlyos szankciókra számíthatnak az adatvédelmi szabályokat megszegő cégek, a kiszabható pénzbüntetés mértéke ugyanis akár a globális éves árbevételük négy százalékát is elérheti. Ez az összeg jelentősen meghaladhatja például a Magyarországon jelenleg kiszabható maximális bírságot. A vállalatoknak továbbá szigorúbb átláthatósági követelményeknek is meg kell felelniük, szigorodnak a tájékoztatási kötelezettséggel kapcsolatos eljárások: az adatkezelőknek sokkal egyértelműbben kell közölnie majd azt, hogy milyen céllal, milyen jogi alapon és hogyan kezelik a személyes adatokat, továbbá, hogy mik az adatalanyok jogorvoslati lehetőségei. Részletes szabályok születtek továbbá arról, hogy amennyiben valamilyen adatbiztonsági incidens (pl. hackertámadás) éri a céget, akkor hogyan kell eljárni a felügyeleti hatóságok, és adott esetben az érintett felhasználók felé. A rendelet alapján várhatóan bővülni fog azon cégek száma is, amelyek kötelesek lesznek adatvédelmi felelőst kinevezni a cégen belül.
A rendelet nem kizárólag az adatkezelőkre, hanem immár az adatkezelők megbízásából eljáró adatfeldolgozókra is számos kötelezettséget ír elő, részletesen szabályozza, hogy mit kell tartalmaznia az adatfeldolgozókkal kötendő szerződéseknek, amely szabályok nyilvánvalóan számos cég szempontjából fontosak, ugyanis nehéz elképzelni olyan nagyobb gazdasági szereplőt, aki ne venne igénybe valamilyen célból adatfeldolgozót.
A rendelet hatálya kiterjed azokra a vállalatokra is, amelyek az Európai Unión kívül működnek, de tevékenységük érinti az uniós állampolgárok személyes adatait is, mivel pl. árukat és szolgáltatásokat kínálnak az uniós állampolgárok számára. Könnyítést hoz azonban a több tagállamban leányvállalattal rendelkező vállalatok számára, ugyanis a korábbi gyakorlattól eltérően már csak egy adatvédelmi hatóság felé kell majd eljárniuk, mégpedig abban az országban, ahol a központi ügyintézésük helye van.
A rendelet egyik legnagyobb jelentősége, hogy felváltja a jelenleg tagállamonként eltérően implementált, 1995-től hatályos EU-s adatvédelmi irányelvet és a szabályozás immár valamennyi tagállamban egységessé válik. Ez pedig az Unió reményei szerint az egyik legjelentősebb lépés a digitális egységes piac kialakulása felé. A rendelet két év türelmi idő után lép hatályba, így a vállalatoknak ennyi idő áll a rendelkezésükre, hogy felkészüljenek a rendelet új szabályainak történő megfelelésre. A nagyobb vállalatok számára tehát eljött az idő a cselekvésre.
A cikk szerzője:
Kozma Zoltán
Szellemi Alkotások és Technológiai csoportvezető