Az Európai Unió új Általános Adatvédelmi  Rendelete – GDPR

Az Európai Tanács és az Európai Parlament hosszas egyeztetéseket követően elfogadta az 2016/679/EU rendeletet, másik nevén az Európai Unió új Általános Adatvédelmi Rendeletét (General Data Protection Regulation, GDPR), amely 2016 májusában hatályba is lépett. Fontos, hogy 2018. május 25-től kell majd alkalmazni a rendelet szabályait, így nyújtva megfelelő felkészülési időt a tagállami hatóságoknak és természetesen az érintett cégeknek is.

A korábbi irányelvi szabályozást (95/46/EK irányelv) felváltó rendelet a 99. cikk (2) bekezdése alapján teljes egészében kötelező és közvetlenül alkalmazandó lesz valamennyi tagállamban. Az EUMSz 288. cikke szerint a rendeletek az Unióban általános hatállyal bírnak, a címzettek (mind magánszemélyek, mind a tagállamok és az uniós szervek) kötelesek betartani a bennük foglaltakat, mégpedig anélkül, hogy a tagállamoknak át kellene ültetni azokat a nemzeti jogokba. Sőt, a rendeletek azon nemzeti jogszabályok helyébe lépnek, melyek ellentétes rendelkezéséket tartalmaznak.

Főbb szabályok

Ezt többek között úgy kívánja elérni az uniós jogalkotó, hogy a cégek adatkezelési folyamatainak nagyobb fokú átláthatóságát írja elő (átláthatóság elve), biztosítani  kívánja a természetes személyek részére minden tagállamban azonos szintű, jogi úton érvényesíthető jogokat és kötelezettségeket, továbbá az adatkezelők és adatfeldolgozók számára azonos felelősséget, a személyes adatok kezelésének következetes nyomon követését, valamennyi tagállamban azonos szankciók alkalmazását, és a különböző tagállamok felügyeleti hatóságai közötti hatékony együttműködést.

A rendelet alapján nyújtott védelem a természetes személyeket a személyes adataik kezelésével kapcsolatban állampolgárságuktól és lakóhelyüktől függetlenül megilleti. E rendelet hatálya nem terjed ki viszont az olyan személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

A GDPR alapján bármely adatkezelő szervezet csak a feltétlenül szükséges mennyiségű adatot és csak a addig kezelheti, amíg ténylegesen szüksége van rá, ezen túl pedig az eddiginél részletesebb tájékoztatási kötelezettséget is előír számukra méghozzá olyan módon, hogy az információk könnyen hozzáférhetőek és közérthetőek legyenek. A 16. életévüket be nem töltött személyek esetén előírja a rendelet a szülői hozzájárulást bármely adatkezeléshez, de az ennél idősebb személyek esetén is kifejezett és egyértelmű hozzájárulás szükségeltetik az adatkezeléshez. Az érintettnek egyértelmű megerősítő cselekedettel önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását kell adnia a személyes adatai kezeléséhez. Az érintettnek biztosítja a rendelet azt a jogot, hogy kérelmezze az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, továbbá tiltakozhat is a személyes adatok kezelése ellen. (15-19. cikk)

A 20. cikk rendelkezik az adathordozhatóság jogáról, melynek értelmében az érintett már jogosult lesz arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá arra is, hogy ezeket az adatokat bármely átalakítás nélkül egy másik adatkezelőnek továbbítsa.

Fontos továbbá, hogy ún. adatvédelmi incidensek (fiókok feltörése és más biztonságot veszélyeztető események, visszaélések) esetére biztosítja a rendelet az értesítés jogát, tehát azt, hogy az érintett erről tájékoztatást kapjon az adott cégtől, továbbá kötelezi az adatot kezelő céget, hogy a hatóságokat is értesítse.

Az Unión kívüli harmadik országba adatokat továbbítani csak szigorú feltételek esetén lehet a rendelet alapján. Ennek egyik feltétele, hogy a harmadik államban biztosított védelem megfelelőnek minősüljön az Európai Bizottság megállapítása szerint. Ilyen minősítés hiányában tilos az adattovábbítás. Kiemelendő továbbá, hogy a rendelet a nem uniós székhelyű cégeket is kötelezi, amennyiben az Unión belül történik az általuk végzett adatkezelés.

Szankciók

Végezetül pedig érdemes megemlíteni az egyik legfontosabb újdonságot, amelyet a GDPR magával hoz, s amely húsba vágó lehet minden érintett szervezet szempontjából, nevezetesen a szankciókat.  A jogsértés jellegétől és körülményeitől függően ugyanis a rendelet 10 és 20 millió eurós bírságok kiszabását is lehetővé teszi majd (83. cikk), ezzel ösztönözvén szabályainak betartását.

Egyedi ügyre, GDPR megfelelőség biztosítására vagy tartós megbízásra kér ajánlatot? Szívesen állunk rendelkezésükre!

dr. Dobos István és dr. Kőhidi Ákos
Dobos – Kőhidi Ügyvédi Társulás [Budapest – Győr]
office@doboskohidi.eu
36 30 308 81 51 vagy 36 30 586 61 62