Jövõ májusban lép hatályba az Európai Parlament és a Tanács Általános Adatvédelmi Rendelete (General Data Protection Regulation, röviden GDPR), amely máris komoly fejtörést okoz a cégvezetõknek Magyarországon is.

Az EU-nak természetesen eddig is volt közös adatvédelmi szabályozása (ti. irányelvi formában), de azt az egyes tagországok gyakran eltérõ módon implementálták, ami sok gondot okozott a vállalkozásoknak, hiszen több EU-s országban esetleg eltérõ szabályokhoz kellett alkalmazkodniuk a közös irányelv ellenére. A 2018 májusától hatályos új adatvédelmi szabályozás azonban már rendeleti szintû, vagyis minden tagállamra egységesen érvényes elõírásokat tartalmaz. A fejfájást az okozza, hogy a rendelet megszegéséért kiszabott bírság drasztikusan megemelkedett az eddigiekhez képest. A büntetés súlyos és visszaesõ esetben akár a cégcsoport éves árbevételének 4 százalékára is rúghat, márpedig ez a cégcsoport méretétõl függõen tetemes összeg is lehet.

A rendelet minden olyan adatra kiterjed, amellyel azonosítható egy EU-n belüli lakhellyel rendelkezõ természetes személy. A régi irányelvhez hasonlóan megkülönböztet személyes és különleges személyes adatokat. Az utóbbi csoportba tartozó adatok köre bõvülni fog, például genetikai és biometrikus adatokkal. Az adatvédelmi rendelet a személyes adatok esetében az egyértelmû hozzájárulás, míg a különleges személyes adatok esetében a kifejezett hozzájárulás szükségességét írja elõ az adatkezeléshez. A hozzájárulásnak szabad elhatározásból adottnak, specifikusnak, megfelelõ tájékoztatáson alapulónak és tevõlegesnek kell lennie. Ez történhet ugyan technikai beállítások útján, de nem tevõleges magatartással, így pl. hallgatással, elõre kipipált check-boxszal nem lehet majd jogszerûen hozzájárulást szerezni az érintettektõl.

Szakértõk arra hívják fel a figyelmet, hogy az adatkezeléshez való hozzájárulás gyakorlata kulcskérdés lesz a rendelet hatékonyságát illetõen. „Hiába köti a rendelet kifejezett hozzájáruláshoz, hogy egy kereskedõ vásárlói profilt alkosson rólunk, ha mindenki meggondolatlanul, a következmények ismeretének teljes hiányában kipipálja az adatvédelmi hozzájárulást, ahogyan azt az emberek sajnos gyakran megteszik. Ebben az esetben továbbra is nehéz lesz gátat szabni a személyes adatok ténylegesen nem kívánt kezelésének” – mondja Tóásó Bálint, a KPMG Legal adatvédelmi szakértõje. A jogász szerint a rendelet több elõremutató kezdeményezést tartalmaz ebben az irányban, így például érthetõ és tömör leírások alapján kell a hozzájárulásokat beszerezni, ám félõ, hogy ez sem lesz elegendõ ahhoz, hogy a szokások megváltozzanak.

A hozzájárulás bármikor visszavonható kell hogy legyen, és nem kapcsolható szerzõdéskötéshez vagy szolgáltatás igénybevételéhez, csak akkor, ha magát a szolgáltatást nem lehet az adatok hiányában nyújtani. Ugyancsak elõírás, hogy az adatkezelõknek külön hozzájárulást kell beszerezniük a különbözõ adatkezelési célokhoz. Fõszabályként 16 év alatti gyermekek nem adhatják hozzájárulásukat az online szolgáltatások igénybevételéhez. (Ettõl a szabálytól a tagállamok kivételesen eltérhetnek, és 13 évre csökkenthetik a korhatárt.) A korhatárt elérõ gyermekek már adhatnak hozzájárulást, a fiatalabbak esetében a szülõ hozzájárulása is szükséges.

Az új rendelet a régivel ellentétben azt írja elõ, hogy az adatkezelõnek tudnia kell igazolni azt a tényt, hogy kellõ gondossággal kezeli és védi adatainkat. Ha egy cégtõl kikerülnek az ügyfelek személyes adatai, az érintettek kártérítésre lesznek jogosultak az okozott vagyoni vagy nem vagyoni károkért. Az adatkezelõk csak akkor mentesülhetnek a kártérítési kötelezettség alól, ha bizonyítják, hogy semmilyen módon nem felelõsek azért az eseményért, amely a kárhoz vagy sérelemhez vezetett. „Ez nagyon jelentõs elõrelépés, az elmúlt évek nagy adatvesztési ügyeiben ugyanis többször is kiderült, hogy a szolgáltatók teljesen elavult információbiztonsági eszközökkel védték a felhasználók adatait” – mondja Sallai György, a KPMG információbiztonsági szakértõje.

Ezen a ponton lényegében minden adatkezelési kérdés informatikai kérdéssé konvertálódik, hiszen az adatkezelõnek azt kell igazolnia, hogy megfelelõ biztonsági rendszereket és folyamatokat használ. Nem elég, hogy a hatóságok felé bizonyítani kell a rendszerek megfelelõségét, az érintetteket is tájékoztatni kell arról, hogy miként kezelik adataikat. Nekik ugyanakkor jogukban áll tiltakozni bizonyos típusú adatkezelések ellen: személyes adataink marketingcélú felhasználása például bármikor megtiltható.