szombat, november 25, 2017

Az internet az új hadszíntér?

Internet-adatvédelmi rendelet (GDPR) (II. rész)

Jelen témánk előző részében kis kitérővel, hivatkozva nemzetközi, de ugyanakkor mindennapos jelenségekre is, megpróbáltuk bemutatni, hogy mennyire fontos az interneten a személyes adatok és információk védelme, ezek szabályozott kezelése és körforgalma, hiszen illetéktelen, vagy rosszhiszemű, vagy egyszerűen csak a profitszerzés által hajtott személyek kezébe kerülve ezeket olyan célokra lehet felhasználni, amelyeknek igen komoly következményei vannak.

Amint azt már többször is hangsúlyoztuk, az Európai Unió új adatvédelmi rendelete (General Data Protection Regulation, GDPR) 2018 májusában lép életbe, egységesíti az uniós tagállamok adatkezelési jogszabályait, és amint az az uniós normákkal kapcsolatosan köztudott – vagy legalábbis az kellene legyen –, minden esetben elsőbbséget élvez az uniós tagállamok nemzeti, vagyis belső jogszabályaival szemben. 

Az új rendelkezés elsődleges célja, hogy a magánszemélyeknek nagyobb hozzáférést és jogokat biztosít adataik kezelésével kapcsolatban, ugyanakkor, azért, hogy ezen jogokat az érintett személyek megfelelően és hatékonyan tudják gyakorolni, a fenti jogok megerősítésével egy időben a rendelet növeli és szigorítja a cégek ez irányú kötelezettségeit. Ugyanakkor a cégeknek az adatvédelmi kötelezettségeivel kapcsolatos mulasztásait drasztikus mértékű pénzbüntetésekkel szankcionálja. 

A rendelet nem véletlenül csak egy felkészülési periódus után lép életbe, ugyanis a jogszabály személyi és tárgyi köre – akiket kötelez, valamint amely adatokra vonatkozik – nagyon kiterjedt: a jogszabály által előírt kötelezettségek vonatkoznak minden adatot kezelő vállalkozásra, függetlenül attól, hogy ezek nagy-, közepes, kis- vagy családi vállalkozások.

A rendelet nemcsak a digitálisan tárolt személyes adatokra vonatkozik, hanem a papíralapúakra is, amennyiben azok valamilyen nyilvántartási rendszer részét képezik vagy fogják képezni. 

A rendelet világosan szabályozza a magánszemélyek azon jogát, hogy egyértelmű és teljes információt kapjanak arról, hogy személyes adataikat milyen célból és milyen módon használják, valamint dolgozzák fel. Ugyanakkor egyértelműen megfogalmazza a magánszemélyek „elfelejtésének” jogát, vagyis azt a jogot, hogy kérésre a kérvényező személyre vonatkozó összes személyes információt töröljék és többé ne használják fel.

Egy másik jog, amelyet a rendelet világosan szabályoz, az az adatok portabilitásának, átvihető- ségének joga, amelynek értelmében az érintett személy személyes adatait egyik adatkezelőtől átviheti egy másikhoz, amennyiben úgy látja, hogy adatainak kezelése ez utóbbinál biztonságosabb körülmények között fog történni.

Nagyon fontos a rendelet azon része, amely a kiskorúak személyes adatainak védelmére fektet hangsúlyt, főleg az online környezetben, hiszen ebben a médiumban a szülői kontroll sokkal nehezebben megvalósítható, aminek következtében ez a célcsoport fokozottabban ki van téve az internet veszélyeinek (pl. mindenféle, akár szexuális zaklatásnak vagy nemkívánt tartalmú oldalakhoz való hozzáférés).

A rendelet előírásai kötelező érvényűek minden adatkezelő társaságra, függetlenül attól, hogy hol van a székhelyük, feltéve, hogy európai uniós állampolgárok személyes adatainak kezelését végzik. 

Az adatkezelési rendelkezések egyértelműek és egységesek az Európai Unió egész területén.

Konkrét előírás, hogy az adatkezelő rendszerek és internetes szolgáltatók a személyes adatok elvesztését annak megtörténtétől 72 órán belül jelezniük kell. Attól függően, hogy milyen jelentőségű az adatvesztés, a kiróható büntetés az internetes rendszer vagy biztosítótársaság üzleti forgalmának akár 4%-át is érintheti.

Itt fontos megemlíteni, hogy ez a büntetés nemcsak arra a cégre vonatkozik, amely az illető személyes adatot elvesztette, hanem az internetszolgáltató társaságot is sújthatja.

Amennyiben egy személy elhagy mint alkalmazott egy társaságot, az illető társaságnak az alkalmazottra vonatkozó személyes adatait maximum 3 éven belül törölnie kell.

Romániában a rendelet alkalmazását egy állami ügynökség fogja felügyelni: a Személyes Adatok Kezelését Felügyelő Nemzeti Ügynökség – Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP).

A következő konkrét előírásokat tartalmazza a rendelet: azon személyek nevének álnevesítése és titkosítása-kódolása, akikről személyes adatokat tárolnak, adatvesztés esetén biztosítva legyen valamilyen biztonsági megoldással vagy mentéssel az adatokhoz való méltányos, határidőn belüli hozzáférés. Ugyanakkor biztosítani kell az illető adatok és az azokat kezelő rendszerek titkosságát, épségét, valamint a kezelő nyilvántartó rendszer állandó működését. A vállalatoknak ugyanakkor kötelessége egy olyan kiértékelő rendszer kidolgozása, amelynek segítségével rendszeresen tesztelni és mérni lehet az adatkezelő rendszerek technikai és szervezési hatékony-ságát.

Az érintett társaságoknak ezáltal kötelessége lesz, hogy kérjék az érintett magánszemélyek beleegyezését, elemezzék és rendszerezzék a tárolt személyes adatokat, utólagosan újból leellenőrizzék és kérjék az illető magánszemélyek bele-egyezését az adatok feldolgozásába, világosan feltüntetve a jogalapot, amelynek alapján tárolják a személyes adatokat, valamint minden társaság köteles kinevezni egy adatvédelmi biztost.

A fenti rendelet népszerűsítése egyelőre nem kellő mértékű, jelenleg nagyon sok társaság nem tud erről a jövőbeni kötelezettségről, amely helyzet megváltoztatása többek között azért is szükséges, mert egyéb, ugyancsak fontos okok mellett a kiszabható pénzbüntetések összege olyan mértékű, hogy az akár tönkre is tehet egy vállalkozást.

A romániai piacon szerencsére már megjelentek olyan társaságok, amelyek a GDPR adatvédelmi rendelet által előírt kötelezettségek teljesítését biztosítják, habár, amint azt megjegyeztük, a társaságok nagy része sajnos még nem tekinti időszerűnek ezt a kérdést.

Gogolák H. Csongor ügyvéd

office@gogolak.ro