Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

Nyakunkon az EU új adatvédelmi rendelete

2017. május 05. - ITsec

Forrás: minuszos.hu, 2017. április 9.

 

Alig több, mint egy év múlva lép hatályba az Európai Unió egységes adatvédelmi rendelete, amely a mainál sokkal szigorúbb szabályokat ró az adatkezelőkre, ráadásul komoly szankciókhoz is köti a betartásukat.

 

Jövő májusban lép hatályba az Európai Parlament és a Tanács Általános Adatvédelmi Rendelete (General Data Protection Regulation, röviden GDPR), amely máris komoly fejtörést okoz a cégvezetőknek Magyarországon is. A 2018 májusától hatályos új adatvédelmi szabályozás rendeleti szintű, vagyis minden tagállamra egységesen érvényes előírásokat tartalmaz. A fejfájást az okozza, hogy a rendelet megszegéséért kiszabott bírság drasztikusan megemelkedett az eddigiekhez képest. A büntetés súlyos és visszaeső esetben akár a cégcsoport éves árbevételének négy százalékára is rúghat, márpedig ez a cégcsoport méretétől függően tetemes összeg is lehet.

A rendelet minden olyan adatra kiterjed, amellyel azonosítható egy EU-n belüli lakhellyel rendelkező természetes személy. A régi irányelvhez hasonlóan megkülönböztet személyes és különleges személyes adatokat. Az utóbbi csoportba tartozó adatok köre bővülni fog, például genetikai és biometrikus adatokkal. Az adatvédelmi rendelet a személyes adatok esetében az egyértelmű hozzájárulás, míg a különleges személyes adatok esetében a kifejezett hozzájárulás szükségességét írja elő az adatkezeléshez. A hozzájárulásnak szabad elhatározásból adottnak, specifikusnak, megfelelő tájékoztatáson alapulónak és tevőlegesnek kell lennie. Ez történhet ugyan technikai beállítások útján, de nem tevőleges magatartással, így pl. hallgatással, előre kipipált check-boxszal nem lehet majd jogszerűen hozzájárulást szerezni az érintettektől.

A hozzájárulás bármikor visszavonható kell hogy legyen, és nem kapcsolható szerződéskötéshez vagy szolgáltatás igénybevételéhez, csak akkor, ha magát a szolgáltatást nem lehet az adatok hiányában nyújtani. Ugyancsak előírás, hogy az adatkezelőknek külön hozzájárulást kell beszerezniük a különböző adatkezelési célokhoz. Főszabályként 16 év alatti gyermekek nem adhatják hozzájárulásukat az online szolgáltatások igénybevételéhez. (Ettől a szabálytól a tagállamok kivételesen eltérhetnek, és 13 évre csökkenthetik a korhatárt.) A korhatárt elérő gyermekek már adhatnak hozzájárulást, a fiatalabbak esetében a szülő hozzájárulása is szükséges.

Az új rendelet a régivel ellentétben azt írja elő, hogy az adatkezelőnek tudnia kell igazolni azt a tényt, hogy kellő gondossággal kezeli és védi adatainkat. Ha egy cégtől kikerülnek az ügyfelek személyes adatai, az érintettek kártérítésre lesznek jogosultak az okozott vagyoni vagy nem vagyoni károkért. Az adatkezelők csak akkor mentesülhetnek a kártérítési kötelezettség alól, ha bizonyítják, hogy semmilyen módon nem felelősek azért az eseményért, amely a kárhoz vagy sérelemhez vezetett. „Ez nagyon jelentős előrelépés, az elmúlt évek nagy adatvesztési ügyeiben ugyanis többször is kiderült, hogy a szolgáltatók teljesen elavult információbiztonsági eszközökkel védték a felhasználók adatait” – mondja Sallai György, a KPMG információbiztonsági szakértője.

Ezen a ponton lényegében minden adatkezelési kérdés informatikai kérdéssé konvertálódik, hiszen az adatkezelőnek azt kell igazolnia, hogy megfelelő biztonsági rendszereket és folyamatokat használ. Nem elég, hogy a hatóságok felé bizonyítani kell a rendszerek megfelelőségét, az érintetteket is tájékoztatni kell arról, hogy miként kezelik adataikat. Nekik ugyanakkor jogukban áll tiltakozni bizonyos típusú adatkezelések ellen: személyes adataink marketingcélú felhasználása például bármikor megtiltható.