Hatályba lépett az adatvédelmi szigor – Tetemes bírságokat ír elő a vállalatoknak az európai rendelet

Bíró Blanka , Gyergyai Csaba 2018. május 26., 12:57

Péntektől jelentősen megszigorították az adatvédelemre vonatkozó jogszabályokat az Európai Unióban, a jogsértést elkövető vállalatokat tetemes bírságokkal sújthatják.

Vigyázó szemek. Szakértők szerint előnnyel és hátránnyal is jár az új rendelet Fotó: Pixabay.com

Drasztikusan megszigorította az európai uniós állampolgárok személyes adatainak kezelésére vonatkozó jogszabályokat a pénteken hatályba lépett európai általános adatvédelmi rendelet (GDPR). Az előírás részletesen szabályozza, hogy a cégeknek hogyan kell kezelniük az ügyfelek, a potenciális ügyfelek és az alkalmazottak személyes adatait, és tetemes bírságokat is előír.  

A rendelet célja, hogy nagyobb átláthatóságot biztosítson mind az adatot gyűjtő és ellenőrző (adatkezelő), mind pedig a magánszemélyek számára, akikről az adatokat gyűjtik. Ez azt jelenti gyakorlatban, hogy

minden olyan szervezet vagy vállalkozás, amely honlapján adatokat kíván gyűjteni a felhasználóiról, egyértelműen és világosan közölnie kell látogatóival, milyen adatokat kíván róluk gyűjteni.

Szigorítások a rendszerben

Az Európai Unió összes tagállamára érvényes jogszabály szerint személyes adatként kezelendő a név, a lakcím, az e-mail-cím, a telefonszám, az egyedi hálózati azonosító (IP-cím), személyi szám, igazolványszám, fénykép, életkor, nemi identitás, vallás, szexuális beállítottság, iskolai végzettség vagy munkahelyi pozíció, közösségi oldalakon tett bejegyzések, orvosi információk stb.  

A GDPR értelmében a vállalkozások kizárólag az általuk gyűjtött és tárolt adatokat használhatják előre meghatározott, egyértelmű és törvénybe nem ütköző célokra. Tiltott az olyan felhasználás, amelyik nem volt előre jelezve a felhasználók számára. Amennyiben az adatokat tovább kívánják adni egy másik vállalkozás részére – vagy meg szeretnénk azt osztani velük –, akkor először kérni kell a felhasználók hozzájárulását.

Minden adatkezelő csak addig rendelkezhet a begyűjtött személyes adatokkal, amíg azok felhasználása az adatgyűjtés célját elérik. Amennyiben például egy cég azért gyűjti be a felhasználók adatait, hogy a következő egy hónapban személyre szabott ajánlatokat nyújthasson részükre, a hónap letelte után meg kell semmisítenie a begyűjtött információkat. Az európai általános adatvédelmi rendelet azt is előírja, hogy minden cégnél ki kell nevezni egy adatvédelmi felelőst, ugyanakkor nem lehet személyes adatokat tárolni olyan számítógépen, amelyhez bárki hozzáférhet, illetve a munkaszerződéseket, sőt az alkalmazottak betegszabadságos papírjait is zár alatt kell majd tartani. A GDPR rendkívül szigorú bírságokat ír elő:

a szabályzatot áthágó vállalat éves árbevételének akár két százalékát is elérheti a büntetés, súlyos kihágások esetén pedig 4 százalékos is lehet.

A cégeknek rá kell készülniük

Tapasztalatok szerint sok cég és intézmény még nem dolgozta ki az adatkezelési, adatbiztonsági gyakorlatát, holott sürgősen foglalkozniuk kell ezzel, hiszen a Facebook adatkezelési visszaélései is ráirányították az emberek figyelmét a személyes adataik védelmére – hívta fel a figyelmet Takács Kató Kata, a Jogaink Egyesület alelnöke a sepsiszentgyörgyi Junior Business Club által korábban szervezett rendezvényen. Kifejtette, az adatvédelmi jogsértés miatt az érintettek panaszt tehetnek, a bírságok pedig drasztikusak.

Egy ilyen büntetés csődbe vihet egy vállalatot”

– jegyezte meg Takács Kató Kata. Kifejtette, fontos az adattakarékosság elve, vagyis csak azokat az adatokat lehet elkérni, amikre feltétlenül szükség van. A vállalkozásoknak  minden adatgyűjtés esetén igényelniük kell az egyértelmű és bizonyítható beleegyezést az adatok feldolgozásához. Kötelező ezeket az adatokat kitörölni, amikor az adott cél megvalósult, például ha valaki online rendel terméket, annak kézbesítését követően adatait törölni kell. Kivételt képeznek a könyvelésben szereplő adatok, amelyeket archiválni kell.

Jó tudni, hogy 250 alkalmazott alatt nem kell adatkezelési tisztviselőt alkalmazni, de ez nem mentesít a kötelezettségek teljesítése alól.

A Jogaink Egyesület alelnöke azt tanácsolja a cégeknek, térképezzék fel, milyen adatokat tárolnak és dolgoznak fel,  mi az adatkezelés célja és jogalapja. Be kell azonosítani, hogy hol és mennyi ideig tárolják az adatokat, például papíron, számítógépen, felhőben, és ki férhet hozzá ezekhez. Minden irodában kell lennie iratmegsemmisítő gépnek, mert személyes adatokat tartalmazó dokumentumok nem kerülhetnek szemeteskukába.