A 2018. május 25-én életbe lépő GDPR, azaz General Data Protection Regulation – Általános Adatvédelmi Rendelet kapcsán röviden összefoglaljuk, milyen hatással lesz az adatvédelmi törvény módosítása a Számlázz.hu felhasználóira. Annyit azonban már az elején elárulhatunk: a számlaverzum felkészülten várja a módosítás életbe lépését, és ahogy eddig is, ezután is a felhasználóink, és adataik biztonsága lesz az első.
Az utóbbi években egyre populárisabb témává vált az adatvédelem, legyen szó e-kereskedelemről, marketingről, vagy pénzügyekről. Az aggályokat sok esetben a kontroll nélkül letöltött mobil applikációk, az adatok közösségi média felületeken történő megosztása, és a nem megfelelő jelszavakkal védett fiókok (email, webshop stb.) okozzák. Tíz európai felhasználó közül kilenc aggodalmát fejezte ki hozzájárulása nélkül gyűjtött adatokkal kapcsolatban, és tízből hét aggódik a megadott információk lehetséges felhasználásával kapcsolatban. A jelenlegi adatvédelmi irányelv emiatt már a magánszemélyek számára is lehetővé teszi saját adataik törlését, különösen akkor, ha az adatok már nem szükségesek. Például sokan gyakran anélkül adják meg adataikat, hogy teljes mértékben megértették volna a következményeket, emiatt a GDPR azt biztosítja, hogy ne szenvedjék el ennek következményeit életük végéig. De honnan is jön a GDPR?
A GDPR előélete
Az adatvédelemről szóló uniós jogszabályok 1995 óta működnek. Az adatvédelmi irányelv biztosítja az adatvédelemhez való alapvető jog hatékony védelmét. Azonban az egyes tagállamok jogszabályi végrehajtásának különbségei következetlenségekhez vezettek, amelyek összetettséget, jogbizonytalanságot és adminisztratív költségeket okoznak. Ez befolyásolja az egyének bizalmát a különböző rendszerekben, valamint az EU gazdaságának versenyképességét. A jelenlegi szabályok azért szorulnak modernizálásra, mivel bevezetésük idején még sok ma ismert online szolgáltatás és az adatvédelemmel kapcsolatos kihívás nem létezett.
A közösségi oldalak, a felhőalapú szoftverek, a médiafogyasztási és e-kereskedelmi szokások változásának hatására a személyes adatok feldolgozása exponenciálisan nőtt. Emiatt a jogalkotó úgy gondolta, szükségünk van egy szilárd szabályrendszerre annak biztosítása érdekében, hogy az EU Alapjogi Chartájának 8. cikke által elismert emberi jogok védelméhez való jog továbbra is hatékonyan működjön a digitális korban. Ennek kapcsán a jogalkotók létrehozták az Európai Unió általános adatvédelmi rendeletének nevezett jogszabályt, ismertebb nevén, a GDPR-t (General Data Protection Regulation – Általános Adatvédelmi Rendelet). A törvény hatálybalépésének ideje 2018. május 25.
Hogyan védi a GDPR a személyes adatokat?
Az Európai Bizottság sajtóközleménye (Questions and Answers – General Data Protection Regulation Brussels, 24 January 2018), valamint az EY GDPR információs dokumentuma (General Data Privacy Regulation – GDPR: demanding new privacy rights and obligations, 2018) alapján a törvény azokra a szolgáltatókra vonatkozik, amelyek az EU-ban székhellyel rendelkeznek, illetve az EU-n kívüli szervezetekre is, amennyiben az EU-ban lakóhellyel rendelkező személyek személyes adatait gyűjtik, továbbá az EU-ban tartózkodó személyek számára nyújtanak termékeket és szolgáltatásokat.
A rendelet frissíti és korszerűsíti az adatvédelemről szóló 1995. évi adatvédelmi irányelvben foglalt elveket az adatvédelmi jogok biztosítására, az alábbi fókuszokkal:
- az egyének jogainak megerősítése,
- az EU belső piacának megerősítése,
- a szabályok erőteljesebb végrehajtásának biztosítására,
- a személyes adatok nemzetközi átadásának racionalizálására
- és a globális adatvédelmi előírások meghatározására.
A változtatások lehetővé teszik a felhasználók számára, hogy jobban irányítsák személyes adataik felhasználását, könnyebben hozzáférjenek azokhoz, és az EU-n kívül is meg tudják védeni őket. E rendelet hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre, illetve olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.
Fentiek miatt az egyéni felhasználóknak több információval kell rendelkezniük az adataik feldolgozásáról, és ezeknek az információknak világos és érthető módon rendelkezésre kell állniuk számukra.
Mire kell figyelniük a vállalkozásoknak?
#1 A GDPR tartalmazza azt a kötelezettséget, miszerint a személyes adatokat olyan módon kell feldolgozni, amely biztosítja azok megfelelő biztonságát, beleértve a személyes adatokhoz való jogosulatlan hozzáférés megakadályozását, illetve a feldolgozáshoz felhasznált rendszer biztonságát. Ezért az adatkezelőnek értékelnie kell a személyes adatok feldolgozásában rejlő kockázatokat, és intézkedéseket kell tennie ezeknek a kockázatoknak a mérséklésére.
#2 A vállalatoknak és szervezeteknek értesíteniük kell a nemzeti felügyeleti hatóságot az adatszivárgásról és lopásról, amelyek veszélyeztetik a felhasználókat. Abban az esetben, ha az adatkezelő képes bizonyítani, hogy a személyes adatok megsértése nem valószínű, hogy sérti a természetes személyek jogait, nem szükséges a bejelentés. Azonban probléma esetén az értesítéseket indokolatlan késedelem nélkül és – amennyiben megvalósítható – általában 72 órán belül kell benyújtani, miután az adatkezelők tudomást szereztek róla. Az adatkezelőnek továbbá a lehető leghamarabb tájékoztatniuk kell az érintetteket a nagy kockázatú jogsértésekről annak érdekében, hogy a felhasználók megtehessék a szükséges intézkedéseket. Ez a kötelezettség akkor releváns, ha a személyes adatok megsértése nagy valószínűséggel magas kockázatot jelent a természetes személy jogaira nézve. Az adatvédelmi garanciákat a legkorábbi fejlesztési szakaszban be kell építeni a termékekbe és a szolgáltatásokba.
#3 Az új adatátviteli jog lehetővé teszi az egyének számára személyes adataik áthelyezését egyik szolgáltatótól a másikhoz tehát megkönnyíti az adatcserét.
#4 Fontos továbbá a jogosultság az adat elfelejtéséhez, azaz ha egy magánszemély többé nem akar hozzájárulni adatai feldolgozásához, és feltéve, hogy nincs megalapozott indok annak megőrzésére, az adatokat törölni kell. A “feledés joga” az egyének magánéletének védelmét kell szolgálja, nem pedig a múltbeli események törlését vagy a sajtószabadság korlátozását. Ez tehát nem jelenti azt, hogy az egyén minden egyes kérésére minden személyes adatot egyszerre és örökre törölni kell. Ha például az adatok megőrzése szükséges a szerződés teljesítéséhez vagy a jogi kötelezettség betartásához, az adatokat az erre a célra szükséges ideig meg lehet tartani.
#5 A GDPR egyértelmű szabályokat tartalmaz az adminisztratív bírság kiszabásának feltételeiről. A szabályok erőteljesebb betartatása érdekében az adatvédelmi hatóságok a vállalkozásokat akár 20 000 000 EUR összegű közigazgatási bírsággal, illetve az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel sújthatja, azzal a kitétellel, hogy a kettő közül a magasabb összeget kell kiszabni. A bírság kiszabása ugyanakkor minden egyes ügyben egyedi mérlegelés alapján történik.
Az üzleti szolgáltatóknak, amilyen a Számlázz.hu, eddig is szigorú szabályoknak kellett megfelelniük, így az új szigorítások a profi cégeket nem fogják megijeszteni. Ezért a Számlázz.hu is felkészülten várja a májusi GDPR indulást. Emellett az autokassza kapcsán 2017-ben elvégzett bankauditon is megfeleltünk, ami tehát bankbiztonsági szintű szolgáltatást jelent. A közeljövőben pedig újabb bankauditra készülünk.
A GDPR-ról szóló következő posztunkban arra is kitérünk majd, hogy milyen előnyökkel is jár a GDPR a vállalkozások számára, úgyhogy kövesd híreinket továbbra is!
