hirdetés
hirdetés

GDPR: jön az iratmegsemmisítők és sütik kora

Komoly változásokat hoz május 25-től, a magyarországi cégek harmada mégsem hallott még róla, mi az? Az EU új, a GDPR rövidítésként ismert általános adatvédelmi rendelete. Ezért is érdemes minden olyan ágazatban működő cégnek komolyan venni a kétéves átmeneti időszak után hatályba lépő új szabályokat, amelyek online személyes adatokat kezelnek.

hirdetés

A rendszer gyakorlatilag minden adatra kiterjed, legyen szó egy marketingakció keretében megszerzett személyes adatokról, vagy akár egy álláshirdetésre jelentkezőkre vonatkozó információkról. És nem csak a nagyobb vállalkozásokat érinti, de a legkisebb, adatot kezelő cégeket, magánszemélyeket és a közszférát is.

Az egységes szabályozást leginkább az internetes kereskedelem, illetve az annak segítésére szolgáló marketingcélú adatbázisok terjedése és növekedése tette szükségessé. Az adatáramláshoz hasonlóan ugyanis ma már az adatkezelés is nemzetközi – gyakran még az EU-nál is szélesebb – körben történik, márpedig ha a felhasználók, vásárlók adatainak védelme ebben a körben is garantált, az Brüsszel szerint magát az üzletmenetet is egyszerűbbé teheti. Nem csupán a multicégekről lehet szó: ha mondjuk egy webshop magyar tulajdonban működik, ám a regisztrált vásárlók – akár külföldiek – adatait tartalmazó szerver fizikailag az Egyesült Államokban található, az adatkezelés gördülékenységét akkor tudják biztosítani a hatóságok, ha az uniós jogszabályalkotók szemében garantált a hasonló szigor.

A rendszer előnye éppen ebben rejlik – legalábbis az Európai Bizottság szerint. Ebből az egységesítésből ered azonban az is, hogy óriási összegű büntetés megfizetésére kényszerülhet a társaság. Ez nem annyira súlyos esetekben a világpiaci forgalom 2 százalékáig vagy tízmillió euróig terjedhet, súlyosabb jogsértéseknél viszont ennek duplája lehet. (Mindkét esetben a súlyosabb alkalmazható.) Előbbi kategóriába az adminisztratív szabályok megsértése tartozik, utóbbiba pedig például a felhasználók jogainak megsértése, az adatkezelés jogalapjának hiánya vagy az, ha az adatkezelő nem működik együtt a hatóságokkal.

Leszámítva természetesen a bírságok nagyságát, a GDPR nem feltétlenül jelent szigorítást a magyarországi cégek számára. Az információszabadságról szóló törvény ugyanis már eleve a szigorúbbak közé tartozik, az új rendelet sok helyen rugalmasabb. Például nem lesz szükség írásbeli hozzájáruláshoz a különleges adatok kezeléséhez, és az adatkezelés elleni tiltakozást is szűkebb körben – például a közvetlen üzletszerzés érdekében történő adatfelvételnél – biztosítja.
Más kérdés, hogy az eddigi, kevésbé rugalmas magyar jogszabályt mennyire vették komolyan a cégek. Nem véletlen, hogy a GDPR-ről szóló hírek legtöbbje az óriási bírságot emeli ki – ez már kellő motivációt jelent a jogszabálykövetéshez.

Van azonban más újdonság is a rendeletben. Mostantól például komolyan kell venni az a cég rendelkezésére álló személyes adatokról – tehát nem csak az adatvédelmi incidensekről – házon belül vezetendő adatbázist – legyen szó digitálisan megszerzett és tárolt, de akár papír alapú, személyes adatokat tartalmazó dokumentumokról, például egy benyújtott önéletrajzról. Vagyis az iratmegsemmisítő berendezések kora jöhet el, hiszen a régóta elfeledett, elavult adatokat tartalmazó papírhalmok esetében jobban jár a cég, ha – megfelelő módon – megszabadul tőlük, mint hogy az adatkezelésre vagy éppen az újonnan bevezetendő adatvédelmi hatásvizsgálat (DPIA) elvégzésére fordítson energiákat. Ez egy bizonyos kockázati szint felett elvárt, akárcsak adatvédelmi tisztviselő kinevezése. A kötelezettség alól pedig csak a kisebb cégek kaphatnak felmentést: a tisztviselőnek itt nem kell teljes állásban dolgozni, elég eseti megbízás alapján, a hatásvizsgálatot pedig csak azoknak a kkv-knak kell elvégezniük, amelyek magas kockázatúnak minősülő tevékenységet folytatnak (például biometrikus adatokat tárolnak).

Mit jelent a GDPR az élelmiszeripari cégek esetében? A marketingadatbázisban szereplő adatok szigorúbb, célzottabb rendszerezését. Bizonyítani kell például azt, miért is tárolja a cég az adatokat, de azt is meg kell határozni, milyen módszerekkel garantálják azok biztonságos tárolását. Nagyobb felelősséget követel meg a rendelkezés a webshopok üzemeltetőitől is. Itt ugyan eddig is elvárás volt a megfelelő biztonság garantálása, mostantól azonban az ellenőrző mechanizmust is biztosítani kell.

A jogszabály nem csupán azt határozza meg, hogy a személyre szabott szolgáltatások esetében hogyan kell kezelni a felhasználói profilokat, de azt is, hogy a profilalkotáshoz a cégek milyen eszközöket vethetnek be. A marketingtevékenységnél alapvető adatgyűjtés részeként például idetartozik az internetes tevékenység követését lehetővé tevő „sütik” engedélyeztetése, de természetesen szó van személyes közreműködéssel elkészített kérdőívről, illetve a személyes adatok elemzéséről is.

Profilalkotás gyerekeknél nem lehetséges, a rendelet azonban ezen túl megy: a személyes adatokhoz való hozzáférés, az elfeledtetés és az adathordozás jogán kívül meghatározza azt is, hogy az úgynevezett automatizált döntéshozatal milyen esetekben lehet egy az ügyfelet érintő döntés alapja, és mikor nem. Tilos például egy áruhitelt csupán a profilalkotás alapján megítélni.

Mire kell ügyelniük az adatkezelőknek, adatfeldolgozóknak?

A rendelkezésre álló adatok megfelelő kezelése
Az ezzel foglalkozó dolgozók felkészítése
Az érintettek tájékoztatása a jogairól:
- a rá vonatkozó személyes adatokhoz való hozzáférés;
- azok helyesbítése;
- törlése („az elfeledtetéshez való jog”);
- kezelésének korlátozása;
- a profilalkotás és az automatizált adatkezelésen elleni tiltakozás;
- az adathordozhatósághoz való jog
Az adatokhoz való hozzáférés biztosítása az érintettek számára
Az adatkezelés jogalapjának igazolása, az elfeledtetés biztosítása
A gyermekek jogainak védelme
Adatvédelmi incidensek bejelentése a felügyelő hatóság (NAIH) felé
Előzetes adatvédelmi hatásvizsgálat indokolt esetben
Adatvédelmi tisztviselők kinevezése

(forrás: Élelmiszer magazin 2018/3.)
hirdetés
Olvasói vélemény: 0,0 / 10
Értékelés:
A cikk értékeléséhez, kérjük először jelentkezzen be!
Ha hozzá kíván szólni, jelentkezzen be!
 
hirdetés

Hírlevél regisztráció

hirdetés

Találkozzunk a Facebookon!

Élelmiszer-FMCG Hírlevél