GDPR – Te mire készülj ?

Bizonyára a napokban több pánikkeltő cikkbe botlottál a neten, sokan egy 4 betűs rövidítés a GDPR miatt kongatják most a vészharangokat.

Bevezetőként annyit, hogy ha E-vendor ügyfelünk vagy, akkor most nyugodtan dőlj hátra, nem lesz vele dolgod.

Február végéig tájékoztatni fogunk részleteiben a közelgő változásról és kötelezettségeidről. Amennyiben ránk bízod az ügyintézést, előfordulhat, hogy a vásárlási, elektronikus levélküldési folyamataidat át kell beszéljük de a továbbiakat jogi segítő bevonásával intézzük helyetted, a szükséges bejelentéseket elkészítjük és az oldal felkészítésére való utasításokat a programozóinknak átadjuk, így időben felkészítjük vállalkozásod.

A rendelet hatályba lépésének dátuma 2015.05.28 tehát bőven időben vagyunk.

Mi is az a GDPR ?

A GDPR a General Data Protection Regulation szavak kezdőbetűiből adódik, röviden az Európai Unió és Tanácsa által, a személyes adatok védelméről és szabad áramlásáról elfogadott, tulajdonképen általános védelmi rendelete. Eddig a személyes adatok kezeléséről mindössze európai uniós irányelv szólt, ami alapján a tagállamok maguknak alakították ki saját rendeleteiket. A magyar kormányzat a lehető legteljesebb mértékben átültette ezt a jogalkalmazásába, így a  magyar adatvédelmi jogszabály eddig is a legszigorúbbak közé tartozott az Unióban, az NAIH, az adatvédelmi hatóság pedig eddig is szigorúan szankcionált.

Májustól ez annyiban változik, hogy a GDPR közvetlen hatállyal rendelkezik, azaz minden Eu. tagállamban kötelezően és egyformán alkalmazandó. 2018 májustól tehát  minden EU tagállamban ez a rendelet lesz a legfontosabb szabályanyag a személyes adatok kezelése és védelme tekintetében.

Bár komolynak hangzik, úgy véljük, továbbra sincs okunk ettől megijedni, hiszen azon vállalkozások, akik eddig odafigyeltek a szabályszerű működésre – azaz volt adatvédelmi szabályzatuk, NAIH adatvédelmi engedélyszámuk, számukra a változás nem lesz olyan horderejű.
Azoknak, akik most kezdik meg tevékenységüket, még szükségük van az NAIH számra, 2018. május 25.-től viszont nem szükséges már az NAIH féle adatvédelmi nyilvántartásba történő bejelentkezés. Lesz helyette más, ezt azonban – amennyiben a feladattal megbíztok bennünket – intézzük helyettetek vagy segítünk benneteket az ügyintézés folyamatában.

Más kérdés, hogy azok a cégek – gondolok itt elsősorban KKV-kra – viszont, akik eddig egyáltalán nem foglalkoztak az adatvédelemmel, valóban meglepő és kihívások elé állító újdonságokkal találkozhatnak. Nem azért, mert annyira más a májusban életbe lépő új rendelet, hanem azért, mert a régit sem követték, így most egyszerre kell megfelelniük egy hasonló de a korábbinál – vitathatóan- szigorúbb szankciót alkalmazó új rendeletnek.

Nézzünk bele kicsit mélyebben de az elején tisztázzunk is rögtön néhány alapfogalmat:

Mit is értünk pontosan a személyes adatok kezelése alatt?

A személyes adatokon végzett “cselekményt”, legyen az gyűjtés, rögzítés, megvásárlás, tárolás, felhasználás… adatkezelési műveleteknek nevezzük.

A személyes adatokkal történő adatkezelési műveletet végző személyt Adatkezelőnek nevezzük.

Azt, aki az adatkezelő megbízásából – és nevében – a megszerzett személyes adatokkal dolgozik Adatfeldolgozónak nevezzük.

Alapvető különbség köztük az, hogy az adatkezelő meghatározza, dönt az adatkezelés céljáról az adatfeldolgozó pedig “csak” végrehajtja az adatkezelő utasításait.

Így például a technikai műveletek végrehajtói, pl. a webshopok esetében a weboldal tárhelyének a szolgáltatója adatfeldolgozónak minősülnek, míg a webshopot működtető cég maga az adatkezelő.

Azok, akik személyes adatot kezeltek, feldolgoztak, eddig NAIH engedélyszámmal és adatvédelmi nyilatkozattal kell(ett) rendelkezzenek.

A régi és az új szabályozás közti egyik legfőbb különbséget a szankcionálásban találjuk. Mivel egyes vállalkozások – jellemzően nagyvállalatok – a jelenlegi bírság összegét eleve belekalkulálták az üzleti terveikbe, mint költség tétel, ezt a jövőben kevésbé fogják megengedni magukat, így ha eddig nem is, mostantól ők is inkább lépéseket fognak tenni az adatvédelem ügyében.

Kisebb jogsértés esetén a korábbi büntetési tétel az előző évi árbevétel 2%-a de maximum 20.000.000 Ft volt, most a megnövelt büntetési tétel 10.000.000 Euro-ban került maximalizálásra.
Nagyobb jogsértés esetén pedig 4% de maximum 20.000.000 Euro-ra emelkedik.

Változás továbbá, hogy a magyar szabályozástól szélesebb körben teszi kötelezővé adatvédelmi tisztviselő (korábban: adatvédelmi biztos vagy felelősként is hallhattad a kifejezést) alkalmazását, így nem csupán néhány speciális szektorra korlátozódik, hanem pl. a vagyonvédelmi cégekre, kórházakra stb…

Mi most kicsit szembe is megyünk a pánikalkotó cikkekkel, íme néhány pont, amiben a GDPR még enyhíteni is fog a korábbi szabályozáson: A különleges adatok kezeléséhez ezentúl  írásbeli hozzájárulás helyett már csak kifejezett hozzájárulás szükséges. Az előzetes tájékoztatást nem az adatkezelés megkezdése előtt kell megadni, hanem elegendő legkésőbb az adatok megszerzésének időpontjában, valamint pl. meghatároz olyan eseteket, amikor ezután nem kell majd törölni az adatokat, holott eddig a magyar szabályozás szerint törlési kötelezettség alá estek.

Nem igaz tehát a tévhit, miszerint a rendelet alapjaiban változtatja meg az adatkezelés elveit és jogalapját, azonban kétségtelenül hoz változásokat, amikre időben fel kell készülnünk.

És mi történik, ha úgy döntesz, hogy továbbra is fittyet hánysz az adatvédelemre !?

Ne tedd ! Borítékolhatóan: 2-4% de maximum 10-20millió Euro.

Szeretnél a témában nekivágni és egyedül intézni az adatvédelmi megfeleltetésed és incidens bejelentésed? Akkor kattints ide és segítségül itt kapsz néhány támpontot >>>

Amennyiben Ügyfelünk vagy és inkább nem bajlódnál vele, akkor pedig csak dőlj hátra és várd a témával kapcsolatos megkeresésünket.

Fontos, hogy mi az E-vendor-on alapvetően online marketing tanácsadók vagyunk, nem adatvédelmi jogi szakemberek, ezért azon látogatóink számára, akik nem ügyfeleink, csak adatvédelmi témában segítséget nyújtani sajnos nem tudunk.