Jelen cikk megjelenésének apropója, hogy több mint 4 éves előkészület után 2016. május 4-én kihirdették az Európai Parlament által két héttel korábban elfogadott új, egységes adatvédelmi rendeletet (Rendelet). A következő pár sorban szeretném bemutatni, hogy ez az esemény miért fontos a piaci szereplőknek, milyen változásokat hozhat az életükben.

Talán még mindig sokan (de talán egyre kevesebben) úgy tekintenek a személyes adatok védelmére, az adatvédelemmel kapcsolatos előírásokra, mint „szükségtelen rosszra”, ami akadálya a gazdasági tevékenység hatékony megvalósításának. Azonban nem lehet figyelmen kívül hagyni, hogy az adatvédelem egyre több területen jelenik meg a mindennapi élet során, akár gazdasági szereplőként, akár „egyszerű” állampolgárként számos tevékenység gyakorlása során találkozhat az ember adatkezeléssel, például ha webáruházban vásárol, hírlevelet küld, közösségi oldalakat használ vagy egy térfigyelő kamera látókörébe kerül.

Önmagában az adatvédelem előtérbe kerülése mellett fontos megemlíteni azokat a technológiai fejleményeket is, amelyek a digitális kor követelményeinek való megfelelés érdekében szintén arra késztették a jogalkotókat, hogy egységes, uniós szinten szabályozzák a személyes adatok védelmével kapcsolatos kérdéseket. Ilyen a Big Data, a cloud computing, a közösségi oldalak térhódítása, a biometrikus azonosítás elterjedése.

Általánosságban elmondható tehát, hogy az adatvédelemmel kapcsolatos kérdések, problémák egyre összetettebbek, egyre inkább beépülnek a hétköznapokba, és adatvédelmi szempontból eltűntek a határok is, az adatok akadály nélkül áramlanak az országok között, nap, mint nap, és felfoghatatlan mennyiségben.

A fentiek miatt egyértelművé vált, hogy az új elvárásoknak már egyáltalán nem felel meg a jelenleg még hatályos 95/46/EK Irányelv, amely meglehetősen régen születetett, és amely bár a tagállami adatvédelmi jogszabályok alapját képezi, de végső soron „csak” egy nem egységesen átültetett irányelv. Ezzel szemben a most kihirdetett uniós jogszabály a korábbinál jóval hatékonyabb szabályozási forma, hiszen mint rendelet a tagállamokban automatikusan, közvetlenül alkalmazható és alkalmazandó. Ez azt jelenti – és ebben rejlik a Rendelet egyik legnagyobb előnye –, hogy a Rendelet tényleges (a jogalkotó két éves felkészülési időt hagyott, vagyis a rendeletben foglalt rendelkezéseket 2018. május 25-től kell alkalmazni) hatályba lépését követően egységes, az EU tagállamaiban mindenhol egyformán alkalmazandó szabályok lépnek életbe. Ez mindenképpen könnyebbséget jelent majd a piaci szereplők számára, hiszen ha valaki jelenleg vállalkozása tevékenységét ki akarja terjeszteni az EU valamely tagországára, akkor számos eltérő tagállami szabálynak kell megfelelnie, amely jelentősen csökkentheti a vállalkozás hatékonyságát és növelheti a költségeket.

Nézzük meg akkor röviden, hogy az egységes szabályozástól remélt előnyökön kívül melyek azok a legfontosabb újdonságok, változások, amelyek az adatkezelőkre várnak.

Kiterjesztett területi hatály

Talán az egyik legfontosabb és a tagállami – így természetesen a magyar – vállalkozások számára pozitív változás, hogy a rendelet hatálya kiterjed minden olyan adatkezelőre is, amely ugyan nem rendelkezik tevékenységi hellyel az EU-n belül, azonban tevékenysége során az Unióban tartózkodó személyek adatait kezeli áruk értékesítésével és szolgáltatások felkínálásával összefüggésben, vagy ilyen személyek viselkedésének megfigyeléséhez kapcsolódó tevékenységet folytat az EU területén belül. Ez utóbbi tehát vonatkozik a viselkedésalapú marketingre, a fogyasztó magatartás elemzése és a profilalkotás.

A kiterjesztett területi hatály célja és előnye, hogy így az EU-n kívüli adatkezelőknek is meg kell felelniük az uniós szabályoknak és az uniós hatóságok adatvédelmi jogsértés esetén eljárhatnak velük szemben. Ezáltal pedig például egy USA-beli vagy kínai szolgáltatónak is ugyanazokat az előírásokat kell betartania, ha az Unión belülre is nyújtja szolgáltatását, mint egy magyar vállalkozásnak, így talán a gazdasági verseny szempontjából kedvezőbb helyzetbe kerülnek a hazai gazdasági társaságok. Azonban nagy kérdés, hogy egyelőre nem látható, miként tudja majd egy uniós adatvédelmi hatóság kikényszeríteni a Rendelet előírásait az EU-n kívüli adatkezelők esetében. Ezzel kapcsolatban fontos még megemlíteni, hogy a Rendelet hatálya alá tartozó nem EU-n belüli adatkezelők kötelesek uniós képviselőt kijelölniük, aki vagy amely az adatkezelőt képviseli a Rendeletben maghatározott kötelezettségek vonatkozásában.

„One-stop-shop”

Az ún. egyablakos ügyintézés elve azt jelenti, hogy amennyiben egy vállalkozás nem csak egy tagállamban fejti ki személyes adatok kezelésével is járó tevékenységét, akkor egyetlen EU tagállam adatvédelmi hatósága jár majd el az adott társaság adatkezelési tevékenységével összefüggésben. Az, hogy melyik a fő felügyeleti hatóság, alapvetően az határozza meg, hogy hol található az adatkezelő „tevékenységi központja”. E rendelkezés lényege és előnye, hogy várhatóan gyorsítja és hatékonyabbá teszi a szabályok alkalmazását, a határokon átnyúló adatkezelések tekintetében a vállalkozásoknak idő- és költségmegtakarítást eredményez, ha csak egyetlen hatósággal kell kapcsolatban állniuk.

Profilalkotás

Reklámozási és marketing tevékenységet folytató vállalkozások szempontjából fontos újítása a Rendeletnek, hogy kifejezetten rendelkezik a profilalkotás fogalmáról, illetve a profilalkotással kapcsolatos jogszerű adatkezelés feltételeiről. E körbe tartozik majd minden olyan automatizált tevékenység, amelynek célja egy személy egyéni szempontjainak – például gazdasági helyzetének, viselkedésének, érdeklődési körének, fogyasztási szokásának, tartózkodási helyének – értékelése és elemzése. A jövőben alapvetően az ilyen profilalkotáson alapuló adatkezelésre – amennyiben az érintettre nézve hatással jár – akkor lesz lehetőség, ha ahhoz az érintett előzetesen hozzájárul vagy az érintett és a vállalkozás közötti szerződés megkötése vagy teljesítése céljából szükséges. A jövőben tehát a vállalkozások szabályozottabb keretek között alkalmazhatnak például viselkedésalapú marketinget, építhetnek fel ügyfél-profilt, azonban ez jelentős többlet feladattal is jár a compliance biztosítása tekintetében.

Tájékoztatás

Jelentős kihívást jelent majd az adatkezelőknek, hogy a Rendelet a korábbinál is szélesebb körű tájékoztatási kötelezettséget ír elő, amely bár erősíti az adatalanyok információs jogát, azonban a piaci szereplőkre költséges dokumentációs terhet ró. Megjelenhetnek viszont majd a szabványosított ikonok is, amelyek az érintettnek a tervezett adatkezelésről jól látható, könnyen érthető formában nyújthatnak általános tájékoztatást. Ezek kidolgozása azonban még várat magára.

„Right to be forgotten”

Érdekes kérdés, hogy a gyakorlatban hogyan fog majd érvényesülni a felejtéshez („elfeledtetéshez”) való jog. Ugyanis az érintett ezen joga az adatok törléséhez fűződő jogának kiterjesztésének tekinthető, amely alapján az adatkezelőnek nem csak a saját adatbázisából, nyilvántartásából kell törölnie az adatokat, hanem amennyiben azokat nyilvánosságra hozta, akkor meg kell tennie az „ésszerűen elvárható lépéseket” annak érdekében, hogy felhívja a további adatkezelők figyelmét arra, hogy az érintett személyes adatai (linkek, másodpéldányok) törlésére vonatkozó kérelemmel fordult hozzá. A törlési kötelezettség alól persze lesznek kivételek is, például ha a véleménynyilvánítás szabadsága vagy a tájékozódáshoz való jog gyakorlása érdekében az adatok kezelése továbbra is indokolt és szükséges. E szempont megítélése már jelenleg is nehézségekbe ütközik azokban az esetekben, amikor valaki szeretné az internetről eltávolíttatni a vele kapcsolatos, legtöbbször az életét hátrányosan befolyásoló keresési találatokat és a keresőmotort üzemeltető szolgáltatótól rendszerint azt a választ kapja, hogy a rá vonatkozó cikk vagy megosztás „közérdeklődésre számot tartó” információ, ezért nincs mód a törlésre. Ez például egy közszereplő esetében elfogadható indok lehet, azonban egy „hétköznapi” állampolgár hosszú évekkel ezelőtti téves döntésének vagy cselekedetének online elérhetőségének fenntartása kevés alkalommal tekinthető közérdekűnek. Mindenesetre alapos fejtörést és jelentős költségeket jelent majd az adatkezelőknek, ha meg akarnak felelni a felejtéshez való joggal kapcsolatos elvárásoknak.

Adatvédelmi nyilvántartás

Jó hír a piaci szereplőknek, hogy a Rendelet alkalmazásával megszűnik a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által vezetett adatvédelmi nyilvántartás, így 2018 májusától már nem kell bejelenteni a NAIH-nak az adatkezelési tevékenységet, így például minden egyes promóciót. Azonban a dokumentálási kötelezettségtől nem szabadulnak a vállalkozások, hiszen a Rendelet előírja, hogy részletes belső nyilvántartást kell vezetnie az adatkezelőnek az általa végzett adatkezelési tevékenységről. Ez a kötelezettség nem vonatkozik a 250 főnél kevesebb főt foglalkoztató KKV-kra, kivéve, ha kockázatos adatkezelést folytatnak, különleges adatot kezelnek vagy abban az esetben – amely kitétel azonban a KKV-k körében is széles körben alkalmazandóvá teszi az előírást –, ha az adatkezelés nem alkalmi jellegű. Ez a kivétel alóli kivétel érint minden olyan vállalkozást, amely például webáruházat üzemeltet vagy hírlevelet küld.

Bírság

Végül talán a „legfájdalmasabb” rendelkezés az adatvédelmi jogsértés esetén alkalmazható bírság mértéke. A többi szabállyal együtt a szankciók előírása és kiszabása is egységes lesz az EU-ban, vagyis minden felügyelő hatóság ugyanakkora összegre büntetheti majd a Rendeletekben foglalt elírásokat nem teljesítő adatkezelőket. A bírság az eset összes körülményeit mérlegelve elérheti a 20 millió eurót, illetve vállalkozások esetében az előző éves forgalom 4 %-át. Ez összehasonlítva azzal, hogy a hatályos szabályok szerint a NAIH maximum 20 millió forint összegű bírságot szabhat ki, mindenképpen elrettentő szám.

Természetesen a fentieken kívül is számos változást hoz a vállalkozások életébe a Rendelet bevezetése, illetve a Rendelet alapján kialakításra kerülő hazai szektorális szabályozás. A legfontosabb, amit szem előtt kell tartani az adatkezelőknek, hogy két év felkészülési idő áll rendelkezésre, ami soknak tűnhet, de érdemes időben felülvizsgálni vagy megfelelő szakértelemmel rendelkező jogász segítségével felülvizsgáltatni a cégek által folyatott tevékenységhez kapcsolódó adatkezeléseket és azokat az új szabályok szerint átalakítani.

Forrás: Kreatív Online

http://www.kreativ.hu/sargalap/cikk/haromszazszorosara_nohet_az_adatkezelesert_kiszabott_birsag