Fokozottan védik adatainkat

Május 25-én életbe lépett az Európai Parlament és az Európai Unió (EU) Tanácsának 2016/679. rendelete, az európai Általános adatvédelmi rendelet (GDPR). Erről már mindenki értesülhetett, hiszen a szolgáltatóknak (mobil- és vezetékes telefon, bankok stb.) épp e rendelet értelmében kötelező volt tájékoztatniuk ügyfeleiket arról, hogy az új szabályzat szerint hogyan használják majd fel személyes adataikat.

Remélhetőleg mára már nincs olyan európai uniós állampolgár, aki valamilyen szolgáltatást használ, és ne hallott volna az új EU-s adatvédelmi rendelkezésről, hiszen a szolgáltatók hosszú levelekben vagy elektronikus postai küldeményekben tájékoztattak erről, de például a különféle hűségkártyákat kibocsátóknak is tudatniuk kellett ezek használóival, hogy milyen adatokat használnak fel s milyen célra. Hogy a személyes adatok védelme és biztonságos kezelése fontos, az kétségtelen. Gondoljunk csak arra, hogy például banki vagy hitelkártya-adatok ellopása esetén ismeretlenek eltüntetik a pénzünket a számlánkról, vagy éppen valaki feltöri e-mail-címünket, elolvassa leveleinket, vagy akár a nevünkben írhat bárkinek bármit.

 

Mi számít személyes adatnak?

A rendelet szerint „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Tehát minden olyan tényező, különösen például név, szám, helymeghatározó, illetve on-line adat vagy az illető testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális jellemzője, amely alapján a természetes személy közvetlen vagy közvetett módon azonosítható. (I. fejezet, 4. cikkely).

A megfogalmazás elég tág, a 87. cikkely azonban kimondja: „A tagállamok részletesebben meghatározhatják a nemzeti azonosító számok vagy egyéb általános jellegű azonosító jelek kezelésének konkrét feltételeit. Ebben az esetben a nemzeti azonosító számok, illetve az egyéb általános jellegű azonosító jelek felhasználására kizárólag az érintett jogainak és szabadságainak e rendelet szerinti megfelelő garanciái mellett kerülhet sor.”

Fontos tudni, hogy bár a tagállamok hozhatnak nemzeti törvényeket az adatvédelemről, azok nem lehetnek ellentétben az általános adatvédelmi rendelet (angol elnevezésének rövidítésével: GDPR) előírásaival. Például tagállamonként leszállíthatják 16 évről legfeljebb 13 évre azt a korhatárt, ami ahhoz szükséges, hogy a „közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése” jogszerű legyen.

 

Jogunk van tudni

Személyes adataink kezelésével kapcsolatban az adatkezelőnek több dolgot is a tudomásunkra kell(ett) hoznia. Jogunk van tudni például, hogy milyen célból és milyen jogalappal kezelik adatainkat, meg kell adniuk a vállalkozás adatvédelmi tisztviselőjének elérhetőségét, jogunk van tudni, hogy kiknek továbbíthatják adatainkat (unión belül és kívül). Kérhetjük az adatkezelőtől a személyes adatainkhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, továbbá, hogy tájékoztasson az adatkezelés időtartamáról, vagy ha ez nem lehetséges, arról, hogy milyen szempontok szerint határozzák meg az adatkezelés időtartamát.

Jogunk van továbbá ahhoz, hogy panaszunkkal a felügyeleti szervhez forduljunk. Romániában az illetékes felügyeleti szerv a Személyes Adatok Feldolgozását Felügyelő Országos Hatóság (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal). Ennek honlapján (www.dataprotection.ro) további tájékoztatást is találunk például a panasztétel módjáról.

 

Kötelezettségek és bírságok

Mint már említettük, a rendelet 2018. május 25-én érvénybe lépett, így sokaknak kellett alkalmazkodniuk előírásaihoz, ugyanis a GDPR drasztikus büntetés kiszabását teszi lehetővé uniószerte. Az egyes szabályok megsértése esetén a bírság elérheti a tíz- vagy a húszmillió eurót, illetve a vállalkozások az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 vagy 4 százalékát kitevő összeggel sújthatók. Minden esetben a magasabb összeget kell kiszabni bírságként.

A rendelet előírásai szerint még a május 25-i határidő előtt adatvédelmi tisztviselőt (Data Protection Officer) kell kijelölnie az adatkezelőnek és az adatfeldolgozónak minden olyan esetben, amikor:

a) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;

b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;

c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatoknak a nagyszámú kezelését foglalják magukban.”

Az adatvédelmi tisztviselő kijelölése nem kötelező például a 250 embernél kevesebbet foglalkoztató magánvállalkozásoknál, azonban számukra is (mint mindenki másnak) kötelező egy felmérés, úgynevezett leltár készítése, melyből kiderül, ki foglalkozik a személyes adatok kezelésével, milyen személyes adatokat kezel és milyen céllal, kinek továbbítja, illetve meddig őrzi meg őket (mind papíron, mind elektronikus nyilvántartásban), és milyen intézkedéseket hozott a személyes adatok védelme érdekében.

Ajánlott például az ilyen személyes adatokat tartalmazó számítógépek jelszóval védése, továbbá a papír nyilvántartások esetében az iratszekrények, irattárolásra használt helyiségek biztonságos zárása. Ha adatvédelmi incidens történne – vagyis felmerül az illetéktelen hozzáférés lehetősége –, akkor az adatkezelőnek 72 órán belül értesítenie kell erről a felügyeleti hatóságot, továbbá az érintettet is, ha fennáll az adatok kiszivárgásának kockázata.

 

2018.07.24
Galéria