GDPR – Életbe lép az EU új adatvédelmi rendelete

Az Európai Unió egész területén egységes adatkezelési szabályozás (a továbbiakban: GDPR vagy rendelet) lép életbe 2018. május 25-től. A szabályozás fő célkitűzése, hogy egységesen magas szintű jogi és technikai védelmet biztosítson a személyes adatok számára, előírva, hogy azokat főszabály szerint bizalmasan, az érintett vagy jogszabály rendelkezéseinek megfelelően kell kezelni, és biztosítani kell, hogy jogosulatlan személyek azokhoz ne férjenek hozzá

A GDPR legfontosabb alappillére, hogy az adatkezelőtől minél nagyobb fokú átláthatóságot és elszámoltathatóságot követel meg, nagyobb nyomatékot kap, hogy a teljes adatkezelési folyamatnak transzparensnek kell lennie.

A magyar adatvédelmi jogszabály, rövid nevén az Infotörvény eddig is a legszigorúbbak közé tartozott az Európai Unióban. A rendelet kétségkívül hoz újdonságokat, de a magyar szabályozáshoz képest rengeteg nóvumról azért nem beszélhetünk, az alábbiakban bemutatjuk a fontosabb változásokat, illetve újításokat a jelenleg hatályos szabályozáshoz képest:

Az érintett hozzájárulása, mint a személyes adat kezelésének jogalapja, nem új fogalom az adatvédelemben. A GDPR azonban szigorúbb követelményeket vezet be a jelenlegi szabályokhoz képest. Amennyiben a személyes adat kezelésének jogalapja az érintett fél hozzájárulása, a hozzájárulásnak egyértelműnek kell lennie. A továbbiakban a nem tevőleges magatartás már nem számít az ügyfél részéről hozzájárulásnak (Például: A check-boksz előre kipipálása nem minősül kifejezett hozzájárulásnak).

Megszűnik a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) hivatalos adatvédelmi nyilvántartása, a jövőben azonban minden adatkezelő köteles adatkezelési tevékenységeiről naprakész nyilvántartást vezetni és azt a hatóság felhívására rendelkezésre bocsátani.

A GDPR szerint az adatvédelmi incidenseket – azaz a személyes adat jogellenes kezelését vagy feldolgozását, így különösen a jogosulatlan hozzáférést, megváltoztatást, továbbítást, nyilvánosságra hozatalt, törlést vagy megsemmisítést, valamint a véletlen megsemmisülést és sérülést – indokolatlan késedelem nélkül, legfeljebb azonban az észlelésüket követő 72 órán belül be kell jelenteni a felügyeleti hatóság, a NAIH felé. Az adatvédelmi incidenseket naplózni és dokumentálni is szükséges lesz.

A rendelet az adatvédelmi tisztviselők – a jelenleg hatályos szabályozás megnevezésében belső adatvédelmi felelős – kinevezését az Infotv. szabályainál szélesebb adatkezelői körben teszi kötelezővé. A közhatalmi és közfeladatot ellátó szerv – így a felsőoktatási intézmények esetében is – elrendeli az adatvédelmi tisztviselő kinevezését.

Az adatvédelmi tisztviselő kinevezése az adatbiztonság megerősítését, az érintettek jogérvényesítésének elősegítését célozza. Az adatvédelmi tisztviselő felel azért, hogy folyamatosan ellenőrizze a GDPR-nak való megfelelést, tájékoztassa az adatkezelőt a vonatkozó kötelezettségekről, tanácsot adjon arról, hogy mikor és hogyan kell elvégezni az adatvédelmi hatásvizsgálatot, valamint tartja a kapcsolatot a nemzeti adatvédelmi hatóságokkal és adatvédelmi kérdésekben más személyekkel.

Az adatvédelmi hatásvizsgálat egy olyan eljárás, amelynek során az adatkezelő a tervezett adatkezelési műveletet vagy műveleteket áttekinti, megvizsgálja az adatkezelés érintettekre gyakorolt esetleges hatását, felméri annak kockázatait, a kockázatok kezelésének módját, és mindezt megfelelően dokumentálja. Hatásvizsgálatot kell végezni minden olyan adatkezelés tekintetében, amelyek valószínűsíthetően magas kockázattal járnak az érintettekre nézve.