Mi a GDPR? Összefoglaló útmutató a GDPR-nak való megfelelésről
Az általános adatvédelmi rendelet vagy GDPR átdolgozta a vállalkozások adatfeldolgozását és -kezelését. A GDPR-ról szóló, szükséges tudnivalókat tartalmazó útmutatónk elmagyarázza, hogy mit jelentenek a változások az Ön számára.
2018. május 25-én a felkészülés évei véget értek. Európa-szerte megkezdődött a régóta tervezett adatvédelmi reformok végrehajtása. A közösen elfogadott általános adatvédelmi rendelet (GDPR) immár mintegy két éve van érvényben, és korszerűsítette az egyének személyes adatait védő jogszabályokat.
A GDPR Európa-szerte felváltotta a korábbi adatvédelmi szabályokat, amelyek csaknem két évtizedes múltra tekintettek vissza - némelyiküket még az 1990-es években fogalmazták meg először. Azóta kialakult az adatigényes életmódunk, és az emberek rutinszerűen, szabadon osztják meg személyes adataikat az interneten.
Az EU szerint a GDPR célja az volt, hogy "harmonizálja" az adatvédelmi jogszabályokat valamennyi tagországában, valamint nagyobb védelmet és jogokat biztosítson az egyének számára. A GDPR-t azért is hozták létre, hogy megváltoztassa, hogyan kezelhetik a vállalkozások és más szervezetek a velük kapcsolatba lépők adatait. Nagy összegű pénzbírságok és hírnévkárosodás várhat azokra, akik megsértik a szabályokat.
A rendelet nagy változásokat vezetett be, de a korábbi adatvédelmi elvekre épül. Ennek eredményeképpen az adatvédelmi világban sokan a GDPR-t inkább evolúcióhoz, mintsem a jogok teljes átalakításához hasonlították.
A GDPR előtti átmeneti időszak ellenére, amely időt adott a vállalkozásoknak és szervezeteknek, hogy módosítsák politikáikat, a szabályok körül még mindig sok a zűrzavar. Íme, a mi útmutatónk arról, hogy mit is jelent valójában a GDPR.
Mi is pontosan a GDPR?
A GDPR a világ legerősebb adatvédelmi szabályrendszerének tekinthető, amely javítja az emberek hozzáférését a rájuk vonatkozó információkhoz, és korlátozza, hogy a szervezetek mit tehetnek a személyes adatokkal. A GDPR teljes szövege egy terjedelmes szörnyeteg, amely 99 önálló cikket tartalmaz.
A rendelet az egész kontinensen a törvények keretéül szolgál, és a korábbi, 1995-ös adatvédelmi irányelv helyébe lépett. A GDPR végleges formája több mint négyéves vita és tárgyalás után alakult ki - az Európai Parlament és az Európai Tanács 2016 áprilisában fogadta el. Az ezt megalapozó rendeletet és irányelvet ugyanezen hónap végén tették közzé.
A GDPR 2018. május 25-én lépett hatályba. Az európai országok lehetőséget kaptak arra, hogy a saját igényeiknek megfelelő kisebb változtatásokat hajtsanak végre. Az Egyesült Királyságon belül ez a rugalmasság vezetett az adatvédelmi törvény (2018) megalkotásához, amely felváltotta a korábbi, 1998-as adatvédelmi törvényt.
A GDPR erősségét úgy dicsérték, mint az emberek személyes adatainak kezelésével kapcsolatos progresszív megközelítést, és összehasonlítást tettek a későbbi kaliforniai fogyasztói adatvédelmi törvénnyel.
Kire vonatkozik a GDPR?
A GDPR középpontjában a személyes adatok állnak. Ez nagyjából olyan információ, amely lehetővé teszi egy élő személy közvetlen vagy közvetett azonosítását a rendelkezésre álló adatokból. Ez lehet valami nyilvánvaló, mint például egy személy neve, helymeghatározási adatok vagy egy egyértelmű online felhasználónév, de lehet valami olyan is, ami kevésbé nyilvánvaló: az IP-címek és a cookie-azonosítók személyes adatnak tekinthetők.
A GDPR értelmében az érzékeny személyes adatoknak van néhány különleges kategóriája is, amelyek nagyobb védelmet élveznek. Ezek a személyes adatok közé tartoznak a faji vagy etikai származásra, politikai véleményre, vallási meggyőződésre, szakszervezeti tagságra, genetikai és biometrikus adatokra, egészségügyi információkra, valamint a személy szexuális életére vagy irányultságára vonatkozó adatok.
A személyes adatok meghatározó eleme az, hogy lehetővé tegyék egy személy azonosítását - az álnevesített adatok még mindig a személyes adatok fogalommeghatározása alá tartozhatnak. A személyes adatok azért olyan fontosak a GDPR értelmében, mert a törvény hatálya alá tartoznak azok a magánszemélyek, szervezetek és vállalatok, akik vagy "adatkezelők" vagy "adatfeldolgozók".
"Az adatkezelők a fő döntéshozók - ők gyakorolják a személyes adatok feldolgozásának céljai és eszközei feletti általános ellenőrzést" - mondja az Egyesült Királyság adatvédelmi szabályozó hatósága, az Információs Biztos Hivatala (ICO). Az is lehetséges, hogy a személyes adatoknak közös adatkezelői vannak, amikor két vagy több csoport határozza meg az adatok kezelésének módját. "Az adatfeldolgozók az érintett adatkezelő nevében és kizárólag annak utasításai alapján járnak el" - mondja az ICO. Az adatkezelőknek a GDPR értelmében szigorúbb kötelezettségeik vannak, mint az adatfeldolgozóknak.
Bár a GDPR az EU-ból származik, a régión kívüli székhelyű vállalkozásokra is vonatkozhat. Ha például egy amerikai vállalkozás az EU-ban folytat üzleti tevékenységet, akkor a GDPR alkalmazható, és akkor is, ha az uniós polgárok adatkezelője.
Melyek a GDPR legfontosabb alapelvei?
A GDPR középpontjában hét alapelv áll - ezeket a jogszabály 5. cikke tartalmazza -, amelyek arra szolgálnak, hogy az emberek adatainak kezelését irányítsák. Ezek az alapelvek nem szigorú szabályként, hanem átfogó keretként szolgálnak, amely a GDPR átfogó céljainak megvalósítására szolgál. Az alapelvek nagyrészt megegyeznek a korábbi adatvédelmi törvények szerinti alapelvekkel.
A GDPR hét alapelve a következő: jogszerűség, méltányosság és átláthatóság; célhoz kötöttség; adatminimalizálás; pontosság; tárolás korlátozása; integritás és bizalmas jelleg (biztonság); valamint elszámoltathatóság. Valójában ezen elvek közül csak egy - az elszámoltathatóság - új az adatvédelmi szabályokban. Az Egyesült Királyságban az összes többi alapelv hasonló az 1998-as adatvédelmi törvényben foglaltakhoz.
Az ICO GDPR-ról szóló útmutatója teljes körűen ismerteti az elveket, de mi itt csak néhányat emelünk ki közülük.
Adatminimalizálás
Az adatminimalizálás elve nem új, de továbbra is fontos egy olyan korban, amikor minden eddiginél több információt hozunk létre. A szervezeteknek nem szabad több személyes adatot gyűjteniük a felhasználóiktól, mint amennyire szükségük van. "Meg kell határoznia a céljának eléréséhez szükséges minimális mennyiségű személyes adatot" - mondja az ICO. "Ennyi információt kell tárolnia, de nem többet."
Az elv célja, hogy a szervezetek ne lépjék túl az emberekről gyűjtött adatok típusát. Például nagyon valószínűtlen, hogy egy online kiskereskedőnek szüksége lenne az emberek politikai véleményének összegyűjtésére, amikor feliratkoznak a kiskereskedő e-mailes levelezőlistájára, hogy értesítést kapjanak, ha kiárusítás van.
Integritás és bizalmasság (biztonság)
Az 1998-as adatvédelmi törvények szerint a biztonság volt a hetedik elv. A 20 év alatt egy sor bevált gyakorlat alakult ki az információk védelmére, és ezek közül most sok bekerült a GDPR szövegébe.
A személyes adatokat védeni kell a "jogosulatlan vagy jogellenes feldolgozás", valamint a véletlen elvesztés, megsemmisülés vagy sérülés ellen. Egyszerűbben fogalmazva ez azt jelenti, hogy megfelelő információbiztonsági védelmet kell bevezetni annak érdekében, hogy az információkhoz ne férjenek hozzá hackerek, vagy véletlenül ne szivárogjanak ki adatszivárgás részeként.
A GDPR nem mondja meg, hogy milyenek a helyes biztonsági gyakorlatok, mivel ez minden szervezetnél más és más. Egy banknak sokkal erőteljesebben kell védenie az adatokat, mint a helyi fogorvosnak. Általánosságban azonban az információkhoz való hozzáférés megfelelő ellenőrzését kell bevezetni, a weboldalakat titkosítani kell, és az álnevesítés javasolt.
"A kiberbiztonsági intézkedéseknek meg kell felelniük a hálózat és az információs rendszerek méretének és használatának" - mondja az ICO. Ha adatvédelmi incidens történik, az adatvédelmi szabályozók a kiszabható bírságok meghatározásakor a vállalat információbiztonsági beállításait fogják vizsgálni. A Cathay Pacific Airways-t a GDPR előtti jogszabályok alapján 500 000 fontra büntették, mert 111 578 brit ügyfele személyes adatait tette közzé. Azt mondták, hogy a légitársaságnak "alapvető biztonsági hiányosságok" voltak a rendszerében.
A GDPR egyetlen új alapelve az elszámoltathatóság - ez azért került bele, hogy a vállalatok bizonyítani tudják, hogy a rendeletet alkotó többi alapelvnek való megfelelés érdekében dolgoznak. Az elszámoltathatóság legegyszerűbben azt jelenti, hogy dokumentálják, hogyan kezelik a személyes adatokat, és milyen lépéseket tesznek annak érdekében, hogy csak azok férjenek hozzá bizonyos információkhoz, akiknek erre szükségük van. Az elszámoltathatóság magában foglalhatja a személyzet adatvédelmi intézkedésekkel kapcsolatos képzését, valamint az adatkezelési folyamatok rendszeres értékelését is.
Az emberek adatainak "megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést" jelenteni kell az adott ország adatvédelmi szabályozó hatóságának, ha az káros hatással lehet az érintettekre. Ez magában foglalhatja, de nem kizárólagosan, a pénzügyi veszteséget, a titoktartási kötelezettség megsértését, a jó hírnév sérülését és egyebeket. Az Egyesült Királyságban az ICO-t 72 órával azután kell értesíteni az adatvédelmi incidensről, hogy a szervezet tudomást szerzett róla. A szervezetnek tájékoztatnia kell azokat az embereket is, akiket a jogsértés érint.
A 250-nél több alkalmazottat foglalkoztató vállalatoknak dokumentációval kell rendelkezniük arról, hogy miért gyűjtik és dolgozzák fel az emberek adatait, le kell írniuk, hogy milyen adatokat tárolnak, mennyi ideig tartják meg azokat, és milyen technikai biztonsági intézkedéseket alkalmaznak. A GDPR 30. cikke kimondja, hogy a legtöbb szervezetnek nyilvántartást kell vezetnie az adatfeldolgozásról, az adatok megosztásáról és tárolásáról.
Ezenkívül azoknak a szervezeteknek, amelyek nagymértékben "rendszeresen és szisztematikusan nyomon követik" az egyének adatait, vagy sok érzékeny személyes adatot dolgoznak fel, adatvédelmi tisztviselőt kell alkalmazniuk. Sok, a GDPR hatálya alá tartozó szervezet számára ez azt jelentheti, hogy új munkatársat kell felvenniük - bár a nagyobb vállalkozások és a hatóságok már most is rendelkezhetnek ilyen feladatokat ellátó személyekkel. Ebben a munkakörben a személynek a vezető munkatársaknak kell jelentenie, figyelemmel kell kísérnie a GDPR betartását, és kapcsolattartó pontként kell szolgálnia az alkalmazottak és az ügyfelek számára.
Az elszámoltathatóság elve akkor is kulcsfontosságú lehet, ha egy szervezet ellen vizsgálat folyik a GDPR valamelyik alapelvének esetleges megsértése miatt. Ha egy szervezet pontosan nyilvántartja az összes alkalmazott rendszert, az információk feldolgozásának módját és a hibák enyhítése érdekében tett lépéseket, akkor bizonyítani tudja a szabályozó hatóságok felé, hogy komolyan veszi a GDPR-kötelezettségeit.
Mik a GDPR szerinti jogaim?
Bár a GDPR vitathatatlanul az adatkezelőkre és adatfeldolgozókra rója a legnagyobb terheket, a jogszabály célja az egyének jogainak védelme. A GDPR nyolc jogot határoz meg. Ezek közé tartozik, hogy az emberek könnyebben hozzáférhetnek a vállalatok által róluk tárolt adatokhoz, és bizonyos esetekben törölhetik is azokat.
Az egyének teljes GDPR szerinti jogai a következők: a tájékoztatáshoz való jog, a hozzáféréshez való jog, a helyesbítéshez való jog, a törléshez való jog, az adatkezelés korlátozásához való jog, az adathordozhatósághoz való jog, a tiltakozáshoz való jog, valamint az automatizált döntéshozatalhoz és profilalkotáshoz kapcsolódó jogok.
A GDPR alapelveihez hasonlóan itt is csak néhány joggal foglalkozunk részletesen. Többet az ICO weboldalán talál.
Hozzáférés az Ön adataihoz
Ha szeretné megtudni, hogy egy vállalat vagy szervezet mit tud Önről, akkor alanyi hozzáférési kérelemre (Subject Access Request, SAR) van szüksége. Korábban ezek a kérelmek 10 fontba kerültek, de a GDPR eltörli a költséget, és ingyenessé teszi az adatok kérését. Ön nem kérheti más személy adatait, bár valaki, például egy ügyvéd, kérvényt nyújthat be egy másik személy nevében.
Amikor egy személy SAR kérelmet nyújt be, jogilag jogosult arra, hogy megerősítést kapjon arról, hogy egy szervezet kezeli a személyes adatait, valamint a személyes adatok másolatát (kivéve, ha mentesség vonatkozik rá), és minden egyéb, a kérelem szempontjából releváns kiegészítő információt. A kérelmet egy hónapon belül meg kell válaszolni.
Az emberek sikeresen használták a SAR-t, hogy megtudják, milyen információkkal rendelkeznek róluk a technológiai vállalatok. A Tinder egy személynek 800 oldalnyi információt küldött az alkalmazás használatáról, beleértve az oktatással kapcsolatos adatokat, az őt érdeklő személyek életkori besorolását és az egyes találatok helyét. Más felhasználások során kiderült, hogy mennyit költöttek a FIFA-ra és az Amazon weboldalán történő vásárlás közben minden egyes kattintásra.
A SAR-jelentéseket írásban vagy szóban lehet megtenni - ami azt jelenti, hogy a szervezetnek meg kell határoznia, hogy a kért adatok a GDPR értelmében személyes adatnak minősülnek-e. A SAR-t nem kell feltüntetni, hogy SAR-ról van szó, és a szervezet bármely személyéhez intézhető - akár a közösségi médián keresztül is elküldhető, bár a legtöbb ember számára az e-mail lesz a legelterjedtebb formátum. A kért információkon kívül a szervezetnek részletesen meg kell adnia, hogy miért dolgozta fel a személyes adatokat, hogyan használják fel az adatokat, és mennyi ideig kell azokat megőrizni.
Sok nagy technológiai vállalatnak van saját adatportálja, ahonnan le lehet tölteni az Ön egyes adatait. A Facebook például lehetővé teszi a felhasználók számára, hogy letöltsék az összes régi képüket, posztjukat és piszkálódásukat, míg a Twitter és a Google szintén lehetővé teszi a fiókokhoz kapcsolódó információk elérését anélkül, hogy SAR-t kellene készíteni. Bizonyos esetekben ezek az információhoz való hozzáférési módok nem tartalmaznak mindent, amit az illető szeretne. Ha az alanyi hozzáférési kérelem nem azt az eredményt adja vissza, amit a készítője szeretett volna, akkor az ICO-hoz lehet fordulni.
Automatizált feldolgozás, törlés és adathordozhatóság
A GDPR az automatizált adatfeldolgozással kapcsolatos személyi jogokat is megerősíti. Az ICO szerint az egyéneknek "joguk van ahhoz, hogy ne vonatkozzon rájuk a döntés", ha az automatikus, és jelentős hatást gyakorol egy személyre. Vannak bizonyos kivételek, de általában az embereknek magyarázatot kell kapniuk a róluk hozott döntésről.
A rendelet bizonyos körülmények között az egyéneknek jogában áll a személyes adataik törlését is kérni. Ilyen esetek például, ha az adatokra már nincs szükség a gyűjtés céljának eléréséhez, ha a hozzájárulást visszavonták, ha nincs jogos érdek, vagy ha az adatokat jogellenesen dolgozták fel.
Az adathordozhatóság a GDPR egyik nagy divatos szava volt, de ez az, amelyik a legkevésbé vált be. Az elmélet szerint lehetővé kell tenni az adatok megosztását egyik szolgáltatásról a másikra. Az egyik legjobb példa az adatmegosztásra a Facebook azon képessége, hogy automatikusan átküldi a fényképeket a Google Fotók fiókjába. Ezt az Apple, a Google, a Facebook, a Twitter és a Microsoft részvételével működő Data Transfer Project hozta létre.
GDPR-szabálysértések és bírságok
A GDPR egyik legnagyobb és legtöbbet emlegetett eleme az volt, hogy a szabályozó hatóságok hatalmas bírságokkal sújthatják a nem megfelelő vállalkozásokat. Ha egy szervezet nem a megfelelő módon dolgozza fel az egyének adatait, pénzbírsággal sújtható. Ha adatvédelmi tisztviselőt igényel, de nem rendelkezik vele, pénzbírsággal sújtható. Ha a biztonságot megsértik, pénzbírsággal sújthatják.
Az Egyesült Királyságban ezekről a pénzbírságokról az ICO dönt, és a visszaszerzett pénzösszegeket az államkincstáron keresztül visszaforgatják. A GDPR kimondja, hogy a kisebb szabálysértésekért akár 10 millió euró vagy a cég globális forgalmának két százalékáig terjedő bírság is kiszabható (attól függően, hogy melyik a nagyobb). A legnagyobb GDPR-szegések súlyosabb következményekkel járhatnak: akár 20 millió eurós bírsággal vagy a cég globális forgalmának négy százalékával (attól függően, hogy melyik a nagyobb). A korábbi adatvédelmi rendszerben az ICO csak 500 000 fontig terjedő bírságot szabhatott ki.
A GDPR bevezetése előtt sokan spekuláltak arra, hogy az adatvédelmi szabályozók hatalmas bírságokkal sújtják majd a jogszabály megsértését elkövető vállalatokat. Ez nem történt meg. Az adatvédelmi vizsgálatok hosszadalmasak és összetettek lehetnek - ha tévednek, bírósági úton megtámadhatók.
A GDPR alapján eddig az egyik legnagyobb bírságot a Google ellen szabták ki: a francia adatvédelmi szabályozó hatóság, a Nemzeti Adatvédelmi Bizottság (CNIL) 50 millió euró (43 millió font) bírságot szabott ki a vállalatra. A CNIL szerint a bírság kiszabására két fő okból került sor: A Google nem nyújtott elegendő tájékoztatást a felhasználóknak arról, hogy miként használja fel a 20 különböző szolgáltatásból származó adatokat, valamint nem kapott megfelelő hozzájárulást a felhasználói adatok feldolgozásához.
Bírságot szabtak ki a La Liga alkalmazásával szemben is, amely az azt letöltők után kémkedett, a bolgár DSK Bankkal szemben, mert véletlenül nyilvánosságra hozta az ügyfelek adatait, valamint iskolákkal szemben, amelyek nyomon követték a tanulókat.
A legnagyobb bírságok azonban az Egyesült Királyságból érkezhetnek. Az ICO a British Airways légitársaságnak és a Marriott szállodaláncnak is "szándéknyilatkozatot" adott ki a GDPR megsértése miatt. A BA-t 183 millió fontra, míg a szállodavállalatot 99 millió fontra bírságolnák. Mivel azonban mindkét esetben szándéknyilatkozatról van szó, ezek nem hivatalos bírságok, és egyik vállalat sem fizetett semmit. Valójában mindkét cég megtámadja az ICO értesítéseit.