Mától alkalmazandó a GDPR
Péntektől alkalmazandó az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation), ezzel egységessé válik az adatvédelmi szabályozás az Európai Unió egész területén.
Az Európai Unió még 2016-ban fogadta el az általános adatvédelmi rendeletet, de a szabályozás csak 2018. május 25-től alkalmazandó. A rendelet felülírja a nemzeti jogszabályokat és közvetlenül alkalmazandó, ezért a helyi szabályokat az új előírásoknak megfelelően módosítani kellett. A szabályozás kiterjed minden olyan hatóságra, gazdasági társaságra és szervezetre, amely az EU-ban tartózkodók személyes adatait kezeli vagy feldolgozza.
Az új uniós szabályozás jelentősen kibővíti a személyes adatok körét, és minden olyan azonosított vagy beazonosítható emberre vonatkozó adatot ilyennek tekint, amely az illető privát, szakmai vagy közösségi, társadalmi tevékenységére vonatkozik. Azaz személyes adat többek között a név, a születési és egészségügyi adat, a bankszámlaszám, a jövedelem, a helymeghatározó adat (GPS), az e-mail-cím, a vállalati és magántelefonszám, a levelezési cím, de akár egy IP-cím is.
Az új rendelet megerősíti a személyes adatok törlésének jogát: ha valaki már nem szeretné, hogy adatait a továbbiakban feldolgozzák, és az adott szervezetnek nincs alapos indoka azok tárolására, akkor a szervezetnek törölnie kell a kérdéses adatokat a rendszeréből. Az állampolgárokat megilleti az adatok hordozhatóságának joga is, azaz jogukban áll adataikról másolatot kérni egy adott szolgáltatótól és azt egy másik szolgáltatónak továbbítani.
A szervezetek kötelesek a lehető legvilágosabb, legérthetőbb tájékoztatást adni a személyes adatok felhasználásának módjáról és amennyiben egy szervezet hanyagul kezeli az ügyfelek adatait, neki kell bizonyítania, hogy az általa kezelt és feldolgozott adatokat a becsült kockázatokkal arányosan védte.
Azoknak az intézményeknek, amelyek nagy tömegben, automatizált módon kezelnek személyes adatokat, például a bankok, biztosítók, egészségügyi szolgáltató intézmények, informatikai szolgáltatók, és azoknak, amelyek különlegesen érzékeny személyes adatokat (politikai nézet, szakszervezeti tagság, szexuális irányultság) kezelnek, adatvédelmi felelőst kell kinevezniük. Ő személyében felelős a megfelelő adatvédelmi rendszer működtetéséért és az adatok védelméért. A kisebb szervezeteknek nem kötelező ugyan adatvédelmi felelőst kinevezniük, az adatok kockázatokkal arányos védelméért ők is felelősek.
A rendelet egyetlen páneurópai adatvédelmi jogszabályt teremt, így a vállalkozásoknak a 28 tagállam nemzeti jogszabályai helyett csak egyet kell szemmel tartaniuk. Az új szabály tisztességes versenyt teremt, mivel az unión kívüli vállalkozásoknak ugyanazokat a szabályokat kell alkalmaznia, mint az uniós vállalkozásoknak, amikor árukat vagy szolgáltatásokat kínálnak az EU-ban.
A GDPR átfogó bejelentési kötelezettséget vezet be, így minden incidenst, például hackertámadást vagy egy személyes adatokat tároló laptop elvesztését 72 órán belül jelenteni kell az adatvédelmi hatóságnak. A rendelet előírásainak megszegése esetén a kiszabható bírság akár a 20 millió eurót vagy a cégcsoport teljes, globális forgalmának 4 százalékát is elérheti.
Gulyás Gergely Miniszterelnökséget vezető miniszter csütörtökön azt mondta, hogy a kormány tervei szerint a Nemzeti Adatvédelmi és Információszabadság Hatóság csak figyelmeztethetné a kis- és közepes vállalkozásokat, ha megsértik a GDPR-t, más szankciót nem alkalmazhatna.