Dessewffy & Dávid: az új uniós adatvédelmi irányelv fontosabb előírásai

2018.01.31. 15:16

Idén májusban hatályba lép az új uniós általános adatvédelmi rendelet (GDPR), amely hatályon kívül helyezi a 95/46/EK irányelvet és harmonizálja a tagállamok különböző adatvédelmi jogszabályait – értesült az Origó a Dessewffy & Dávid, valamint Társaik Ügyvédi Iroda szakértőitől. A rendelet hatálya kiterjed minden olyan gazdasági társaságra, szervezetre, hatóságra, mely az unióban tartózkodó érintett személyes adatait kezeli vagy feldolgozza, az adatkezelő vagy adatfeldolgozó tevékenységi helyétől függetlenül.

A Dessewffy & Dávid, valamint Társaik Ügyvédi Iroda szakértői kifejtették: személyes adatnak minősül minden olyan információ, mely alapján a természetes személy közvetve vagy közvetlenül azonosítható (például név, fénykép, telefonszám, banki adatok, a közösségi oldalakon megjelenő üzenet, orvosi adat, számítógép IP címe, társadalombiztosítási azonosító, stb.).

Az adatvédelmet érintő jelentősebb változások szerint a cégek és hatóságok – néhány nagyon szigorú kivétellel – nem tárolhatnak adatot az unió területén kívül. Az unióban tevékenységi hellyel nem rendelkező adatkezelőknek, vagy adatfeldolgozóknak uniós képviselőt kell kinevezniük.

Akár 20 millió euró is lehet a bírság

A GDPR rendelkezéseinek legsúlyosabb megsértéséért akár 20 millió euró összegű közigazgatási bírság, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának 4 %-át kitevő összegű bírság is kiszabható, azzal, hogy a kettő közül a magasabb összeget kell kiszabni.

A GDPR hatálya kiterjed a "felhőkre" is, hiszen rendelkezéseit az adatkezelőkre és az adatfeldolgozókra is alkalmazni kell.

Az érintett jogai, az adatkezelő kötelezettségei

Ha az érintett az adatkezeléshez történő hozzájárulását felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

A cégeknek az adatvédelmi incidenst (például: személyes adatok kiszivárgása) indokolatlan késedelem nélkül, az adatvédelmi incidens tudomásra jutásától számított 72 órán belül be kell jelenteniük az illetékes felügyeleti hatóságnak, illetve indokolatlan késedelem nélkül tájékoztatniuk kell az érintett magánszemélyt is.

Az elfeledtetéshez való jog, más néven törléshez való jog alapján az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat – hangsúlyozták a Dessewffy és Dávid, valamint Társaik Ügyvédi Iroda szakértői.

Az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték, vagy más módon kezelték vagy az érintett visszavonja az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja.

Forrás: Pixabay

A beépített adatvédelem elve már rég ismert, azonban a GDPR alapkövetelmény szintjére emelte azt, az adatkezelő mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket kell végrehajtania, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság, hatékony megvalósítása, másrészt a rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.

A beépített adatvédelem elvének megsértése súlyos jogszabálysértésnek minősül és maximális összegű közigazgatási bírsággal sújtandó.

Javasolt az adatok körének áttekintése

A fentiekre tekintettel a Dessewffy és Dávid, valamint Társaik Ügyvédi Iroda szakértői javasolják a társaság által kezelt és feldolgozott adatok körének áttekintését, az adatkezelési célok kimutatásával együtt, majd a hatályos szabályzatok áttekintését, módosítását az új rendeletnek való megfeleltetés szempontjából.