Próbáljuk összefoglalni pár mondatban amit tudni érdemes a május 25.-től életbe lépő szabályozásról
Mi az a GDPR?
General Data Protection Regulation, avagy az Általános Adatvédelmi Rendelet (EU 2016/679). A rendelet teljes szövege elérhető itt. Érdekes kiegészítés, hogy az alkalmazó ország eltérhet tőle abban az esetben ha szigorúbb feltételeket alkalmaz.
Kire vonatkozik a GDPR rendelet?
Mindenkire, aki személyes adatokat kezel (rögzít, gyűjt, tárol, használ, módosít vagy továbbít – őket nevezzük Adatkezelőnek). Az a szervezet vagy személy, aki számára továbbításra kerül az adat, az az ún. Adatfeldolgozó (pl. ha egy weboldalon a felhasználók feliratkoznak a hírlevélre, amely feliratkozás során megadják az email címüket – ez adatkezelés, de az adatok egy hírlevél szolgáltató rendszerébe kerülnek továbbításra – ez az Adatfeldolgozás).
Ilyen esetekben a weblap tulajdonosa határozza meg az adatkezelés célját, vagyis hogy mi történik az adatokkal (milyen belső értékelési szempontok alapján kerülnek pl. szétválogatásra (ügyfél, potenciális ügyfél, stb.), pontosan milyen emaileket fognak megkapni stb.
Mindenkire vonatkozik tehát a rendelet, aki:
az EU-n belül kezel adatokat (vállalkozásként, civil szervezetként vagy akár magánszemélyként)
vagy az EU-n belül tartózkodó embereknek nyújt szolgáltatásokat (még akkor is, ha a tevékenységi hely az EU-n kívül van)
Viszont fontos megjegyzés, hogy nem vonatkozik a rendelet azokra, akik vállalkozások adatait kezelik (pl. partnerlista, ügyféllista, amin cégek adatai vannak)!
Mi minősül személyes adatnak?
A korábbi szabályozásban ez pontosan és körülhatárolt módon eléggé szűken volt leírva, az új rendelet azonban sokkal szélesebb körre terjeszti ki a személyes adatnak minősülő adatok körét. Gyakorlatilag minden, ami alapján az illető beazonosítható személyes adatnak számít: név, cím, email, telefon, IP-cím, cookie, adott informatikai rendszerbeli egyedi azonosítója (ID) vagy bármilyen más online azonosító.
A bírság mértéke
Az adatkezelés nem megfelelő módja miatti bírság legfeljebb 20 millió Euró vagy az érintett cég előző évi világpiaci árbevételének 4%-a lehet (amelyik a kettő közül magasabb). Azonban minden esetben egyedileg bírálnak el, tehát figyelembe veszik a jogsértés mértékét és azt is, hogy szándékosan vagy véletlenül követett el egy cég hibát.
A honlapokat érintő főbb változások röviden összefoglalva:
- május 25-től megváltozik a korábbi adatvédelmi rendelet és az egységes európai szabályozás lesz érvényes,
- ezentúl nem lesz szükség NAIH számra az adatkezeléshez,
- minden weblapnak külön Adatvédelmi Tájékoztatót és Általános Szerződési Feltételeket kell készíttetnie és a felhasználónak azt jóvá kell hagynia ,
- viszont továbbra is kötelező az weblapon jelezni, hogy sütiket használunk és azt a felhasználónak jóvá kell hagynia, azonban ezentúl arra is lehetőséget kell adni neki, hogy ha szeretné, akkor menet közben megváltoztathassa a döntését.