Jövő májusban lép hatályba az Európai Parlament és a Tanács Általános Adatvédelmi Rendelete (General Data Protection Regulation, röviden GDPR), amely máris komoly fejtörést okoz a cégvezetőknek Magyarországon is – hívja fel a figyelmet a KPMG közleménye.
Az EU-nak egyébként eddig is volt közös adatvédelmi szabályozása (irányelvi formában), de azt az egyes tagországok gyakran eltérő módon implementálták, ami sok gondot okozott a vállalkozásoknak, hiszen több EU-s országban esetleg eltérő szabályokhoz kellett alkalmazkodniuk a közös irányelv ellenére.
A rendelet minden olyan adatra kiterjed, amellyel azonosítható egy EU-n belüli lakhellyel rendelkező természetes személy. A régi irányelvhez hasonlóan megkülönböztet személyes és különleges személyes adatokat. Az utóbbi csoportba tartozó adatok köre bővülni fog, például genetikai és biometrikus adatokkal.
Az adatvédelmi rendelet a személyes adatok esetében az egyértelmű hozzájárulás, míg a különleges személyes adatok esetében a kifejezett hozzájárulás szükségességét írja elő az adatkezeléshez. A hozzájárulásnak szabad elhatározásból adottnak, specifikusnak, megfelelő tájékoztatáson alapulónak és tevőlegesnek kell lennie. Ez történhet ugyan technikai beállítások útján, de nem tevőleges magatartással, így pl. hallgatással, előre kipipált check-boxszal nem lehet majd jogszerűen hozzájárulást szerezni az érintettektől.
Kártérítési kötelezettség
Az új rendelet a régivel ellentétben előírja, hogy az adatkezelőnek tudnia kell igazolni azt a tényt, hogy kellő gondossággal kezeli és védi adatainkat. Az adatkezelők csak akkor mentesülhetnek a kártérítési kötelezettség alól, ha bizonyítják, hogy semmilyen módon nem felelősek azért az eseményért, amely a kárhoz vagy sérelemhez vezetett.
Ez nagyon jelentős előrelépés, az elmúlt évek nagy adatvesztési ügyeiben ugyanis többször is kiderült, hogy a szolgáltatók teljesen elavult információbiztonsági eszközökkel védték a felhasználók adatait – kommentált a KPMG információbiztonsági szakértője, Sallai György.
