Az elmúlt hetekben a legtöbben már találkoztunk a GDPR kifejezéssel. Sokunknak feladatként adták a megismerését, mások órán hallottak róla, esetleg kíváncsiságból néztek utána. A félév utolsó tudományos cikkeként erre vetünk egy pillantást, ugyanis ismerete elengedhetetlen a felnövő jogásznemzedék számára.
A General Data Protection Regulation a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679/EU rendelet, mely 2018. május 25. napjától kezdve alkalmazandó.
Noha a rendelet 2016. áprilisi, azaz az EU két év felkészülési időt biztosított, be kell látnunk, hogy az utóbbi pár hét történéseiből úgy tűnik, hogy nem sokan töltötték a rendelkezésre álló időt a rendeletre való felkészüléssel, így most már csak a kapkodás és a reménykedés maradt. No és persze a jogászokhoz fordulás, ugyanis nem mindenki volt rest elsajátítani a szükséges joganyagot.
A rendelet nagy hirtelen megfoghatatlannak tűnik, de a lényege röviden is összefoglalható:
a cél egy átláthatóbb, biztonságosabb rendszer létrehozása a személyes adatok védelme érdekében az EU egész területén.
Az összefoglalók sora végtelen, blogok és ügyvédi irodák mutatják be a rendelet működését, buktatóit, és hívják fel a figyelmet a GDPR audit fontosságára, így leendő jogászként egy újabb – igen jól jövedelmező – speciális jogterülettel ismerkedhetünk meg már most, az egyetemi éveink alatt.
A GDPR bonyolultsága nem abban rejlik, hogy a rendelet érthetetlen, túlságosan részletező vagy szerteágazó lenne. A különlegességét – és ezáltal a nehézséget is – a szürke zónák jelentik. A megállíthatatlannak tűnő információtechnológiai fejlődés teljesen felforgatja a világunkat, és hiába hangoztatjuk, hogy a jog nem képes gyorsan követni a változásokat, ez nem ment meg minket a piac kérdéseitől, például az információs bűncselekményekről, a kriptovalutákról vagy most a digitális adatvédelemről.
Ezekkel a szürke zónákkal a 95/46/EK irányelv 29. cikke szerinti Adatvédelmi Munkacsoport (WP29) foglalkozik, akik a GDPR megszületése óta számos iránymutatást adtak ki.
Az idő sürget, és rengeteg cég a költséges adatvédelmi audit helyett saját kútfőből próbálja megoldani a helyzetet, ám ez nem garancia a GDPR-nak való megfelelésre. A GDPR előírások jogalkalmazói gyakorlata jelenleg még hiányzik, ugyanakkor az biztos, hogy adatvédelmi incidens esetén a NAIH által megállapítható bírság maximális mértéke 20 millió euró vagy az előző év világpiaci árbevételének 4%-a lesz.
Számíthatunk arra – éppen a joggyakorlat hiányából fakadóan –, hogy a NAIH az elején óvatosan jár majd el, például figyelembe fogja venni, hogy a jogsértés menthető nemtudásból vagy szándékosságból fakadt-e, ugyanakkor ez nem fog örökké tartani.
A GDPR fő pontjai a következők:
- A GDPR értelmében személyes adatnak minősül minden olyan információ, ami egy azonosított vagy azonosítható természetes személyre vonatkozik. Ezzel kapcsolatban az igazán izgalmas kérdésekhez kattints ide.
- A GDPR alkalmazandó a személyes adatoknak az Európai Unióban tevékenységi hellyel rendelkező adatkezelők vagy adatfeldolgozók tevékenységeivel összefüggésben végzett adatkezelésére, függetlenül attól, hogy az az Európai Unió területén történik vagy sem.
- Mind az adatkezelők, mind az adatfeldolgozók kötelesek nyilvántartást vezetni az adatkezelési tevékenységekről, úgy, hogy a nyilvántartás egy vizsgálat esetén elegendő legyen ahhoz, hogy a felügyeleti hatóság áttekintést kapjon a személyes adatok kezelésével kapcsolatban a szervezet által végzett valamennyi tevékenységről.
- Kötelezővé válik az adatvédelmi tisztviselő kijelölése közhatalmi szerveknél, az adatalanyok nagymértékű megfigyelése esetén (pl. vagyonvédelem), illetve különleges személyes adatok megfigyelése esetén (pl. kórház).
- A GDPR szerint az adatkezeléssel érintett személyeknek az alábbi jogaik vannak:
o Tájékoztatáshoz való jog
o Hozzáféréshez való jog
o Adatok helyesbítésének kéréséhez való jog
o Törléshez való jog
o Az adatkezelés korlátozásához való jog
o Adathordozhatósághoz való jog
o Tiltakozáshoz való jog