GDPR – Adatvédelem a jog tükrében

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A digitalizáció gyorsulása, az IT technológiai innovációk elterjedése és az informatikai alkalmazások mindennapi használata fokozott információ- és adatgenerálással jár. Az adatvagyon kezelés és maga az adatbiztonság is új értelmezést nyert napjainkban, így az Európai Unió a változásokat felismerve új adatvédelmi szabályozás (GDPR) életbelépését sürgette. Ennek eredményeként 2018 május 25-től kötelezően alkalmazandó az Európai Unió Általános Adatvédelmi Rendelete, a General Data Protection Regulation (GDPR), amely az információs önrendelkezési jogról és az információszabadságról szóló törvény rendelkezéseit váltja fel. 

Dr. Amigya Andrea, infokommunikációs szakjogász és adatvédelmi szakértő beszélgetésünk során elmondta a hamarosan életbe lépő rendelet jogi hátterét, kérdéseinkre készségesen válaszolva kifejtette, pontosan mit is jelent ez az új rendelet a vállalatok, érintettek számára, miben várhatóak változások.

„A jogalkotók felismerték, hogy az informatikai megoldások használatából fakadó kockázat miatt, a személyes adatok védelme érdekében egy korszerű, jogi szabályozást kell létrehozni. Ennek megvalósítása érdekében lép életbe a GDPR rendelet, amelyet minden Európai Uniós tagállamoknak át kell ültetnie a hazai jogrendjébe.

Emellett a Magyarországon a jelenleg is hatályos adatvédelmi szabályozás, a több mint húsz éves múltra visszatekintő Információs önrendelkezési jogról és az információszabadságról szóló törvény (Infotörvény) jelenleg is módosítás alatt áll az igazságügyi tárcán, amely többek között a GDPR rendelet végrehajtását is szabályozni fogja” – tudtuk meg Dr. Amigya Andreától.

Arra a kérdésre, hogy mennyiben fog szigorodni a törvény, azt a választ kaptuk, hogy az alapok megmaradnak, ám bizonyos fogalmakat megerősítenek a technológiai fejlődés támogatásának érdekében.

„Rendkívül fontos, hogy nyíltabbak és átláthatóbbak legyenek az adatkezelések, a transzparencia egy sarkalatos pontja a rendeletnek. Minden természetes személynek joga van megismerni, hogy mi történik az adataival, ez a fajta irány az, amit a rendelet képvisel. Nem elhanyagolható kérdés továbbá az sem, hogy mik is lesznek pontosan az új követelmények: a transzparencián kívül az érintettek jogai erősödnek, sőt, lesznek új jogaik is ezeken felül. Az adatkezelő meg kell, hogy feleljen az átláthatóságnak, s ezt bizonyítani is köteles.”- tette hozzá az infokommunikációs szakjogász.

A bizonyítási teher így megfordul tehát, ezt a hatóságok is kiemelik, ez szolgál alapelvként a GDPR rendelet számára. Az első adatvédelmi törvény szerint kötelező volt az adatkezelés, illetve hozzájárulás alapján döntötték el, milyen adatok kerülhetnek nyilvánosságra. Az EU-ban azonban megkezdődött az újabb alapjogok használata: a szerződéses jogalap (bankok), a jogszerű érdeken alapuló adatvédelem és a hozzájárulás munkaviszonyok esetében.

„Nem hagyható figyelmen kívül az a tényező sem, hogy az adatkezelési módszerek is változnak, így a vállalkozások kénytelenek új megoldások, informatikai alkalmazások, rendszerek irányába nyitni. A nyilvántartási felületek és módszerek is folyamatosan bővülnek. A vállalatokon belül is terjednek az adatok a különböző területek között, ezt az adatáramlást is nyomon kell követni. Az információ-, illetve a személyes adatok keletkezésének és áramlásának a feltérképezésére, elemzésére és a forrásadatbázisok monitorozására jelenleg a GDPR rendelet kihívásainak megfelelő, korszerű informatikai alkalmazások a legalkalmasabbak (http://gdprmegoldas.hu)” – emelte ki a szakértő.

Továbbá a veszélyeztetett szektorokban működő vállalatok számára rendkívül fontos az adatvédelmi kockázatok megismertetése. Az alapvető elgondolás, hogy a rendelet megfeleltetését, a szükséges intézkedések megtételét a kockázatokkal arányos mértékig szükséges végrehajtani. Így az adatvédelmi rendelet azokra a vállalatokra, amelyek csekélyebb mértékű személyes adatvagyon birtokában vannak, kisebb mértékű terhet ró.

A rendelet megszegéséért járó szankcionálás mértéke is szigorodik, európai szintre emelkedik, így súlyos jogsértés esetén akár 20 millió euró a büntetést is kiszabhat a NAIH. Kisebb mértékű jogsértés esetén ez az összeg 10 millió euró értékhatárú.

Néhány új fogalom is bekerült a szabályozásba. llyen például az elektronikus naplóban való nyilvántartási kötelezettség, amelyhez a manuális adatkezelés már nem lesz elegendő, hanem informatikai támogatás szükséges. Előkerül a törlési, az elfeledtetéshez való, illetve az érintetti jog is. Naprakész nyilvántartás szükséges a vállalatok részéről, ahhoz, hogy követhető és rögzíthető legyen, hogy ki, mikor, milyen adatot kérdez le. A hatásvizsgálat is felmerül, mint fogalom, mely szerint minden egyes informatikai érintettségű adatkezelés hatással lehet és kockázattal járhat a természetes személyek adataira nézve.

„Fontos pontja még a rendeletnek, hogy milyen szakterületek együttműködésére van szükség mindezek megvalósítására. A jogászok, IT biztonsági vállalkozások, illetve az adatvédelmi informatikai megoldásszállító cégek szerepe alapvető. A véletlenszerű vagy szándékos szivárogtatások, hacker támadások ellen nélkülözhetetlen a közreműködés. A vállalatoknak adatszolgáltatási kötelezettségük van a hatóságok felé, nyilvántartásaikat minden év január 31-ig el kell juttatniuk a NAIH részére. Ezek tartalmazzák az érintetti kérelmeket is, ezáltal tehát egyszerűsödik a hatósági adatszolgáltatás is „- tudtuk meg Dr. Amigya Andrea adatvédelmi szakértőtől.

„Az információ-, illetve a személyes adatok keletkezésének és áramlásának a feltérképezésére, elemzésére és a forrásadatbázisok monitorozására jelenleg a GDPR rendelet kihívásainak megfelelő, korszerű informatikai alkalmazások a legalkalmasabbak (http://gdproofed.com)” – Dr. Amigya Andrea

---