Szerző: Gálffy Csaba

2015. december 16. 13:12:00

Itt az EU új adatvédelmi keretrendszere

Az elmúlt évtizedek tapasztalatai alapján újratervezte adatvédelmi szabályozását az EU - a Bizottság, a Tanács és a Parlament hármas egyeztetése nyomán elkészült a végleges szöveg. A lényeghez nem nyúlt a reform, a tapasztalatok alapján viszont sok kellemetlen (és hatástalan) elemet eltöröltek.

Két évtized után alaposan hozzányúlt az Unió az adatvédelmi szabályozáshoz, a Bizottság ma leplezi le a nagyban átdolgozott adatvédelmi rendszer végleges verzióját. A reformkezdeményezés nem ma kezdődött, azt még az előző Bizottság indította el 2012-ben, az uniós csúcsszervek közötti kompromisszum eredménye pedig mostanra született meg. Miért van erre szükség és mit hoz az új szabályozás?

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

Az előző adatvédelmi irányelv (data protection directive, DPD) még 1995-ben született, pontosan a digitális-internetes világ hajnalán, a benne foglalt védelem az idők során néhol túl szorosnak, néhol elégtelennek bizonyult. A leggyakrabban hangoztatott kritika, hogy az irányelv nem egységesítette eléggé a tagországok adatvédelmi szabályozását, így mára 28, egymástól jelentős mértékben különböző törvénykezés alakult ki az Unión belül. Ez azt jelenti, hogy az adatfeldolgozás helyétől függően egészen eltérő védelmet kaptak a felhasználók, emiatt néhány ország meg is tiltotta az adatok kivitelét. A másik kritika, hogy az internetes vállalkozások és internetes kereskedelem felívelésével az irányelv néhol nem biztosított elegendő védelmet a felhasználók személyes adatai számára.

A csúcsszervek által elfogadott szabályozás két fő elemből áll. Az általános adatvédelmi rendelet (General Data Protection Regulation, GDPR) az adatgyűjtést és -feldolgozást szabályozza újra, egységesebb környezetet teremtve az EU-n belül. A másik elem az új adatvédelmi irányelv (Data Protection Directive, DPD), amely a rendőrség és a bűnüldöző szervek adathozzáférését szabályozza, illetve megteremti a lehetőséget a tagállami hatóságok közötti hatékonyabb adatmegosztásra és adatigénylésre.

Az uniós hatóságok pontosan ismerik a személyes adatok gazdasági értékét, különösen a fejlett analitikai eszközökkel párosítva az adatok nagyon gazdaggá tudják tenni a cégeket. Ezzel önmagában semmi probléma nincs, a hatóságok azonban mederben szeretnék ezt a folyamatot tartani. Az új szabályozás szerint az adatfeldolgozónak sokkal tisztábban kell közölnie azt, hogy milyen céllal és hogyan dolgozza fel a személyes adatokat - az előző szabályozás csak általánosságokat kért számon. Az új rendelet megerősíti a felhasználók két jogát, a "felejtésre" (teljes törlésre) és a hordozhatóságra való jogot is, utóbbi az online szolgáltatások közötti migrációt segíti majd. Végül az adatkezelőnek kötelező módon értesítenie kell a nemzeti hatóságokat, ha adatszivárgás áldozatává válik, így a felhasználók megtehetik a szükséges védelmi lépéseket (például identitáslopás ellen).

A vállalkozások számára is jönnek könnyítések, rengeteg felesleges lépcsőt eltöröl az új szabályozás. Az új keretrendszerben a vállalkozásoknak csupán egy adatvédelmi szabályozásnak kell megfelelniük és egyetlen adatvédelmi hatósággal kell kapcsolatban lenniük - ez a Bizottság becslése szerint 2,3 milliárd eurót spórol majd évente. Az adatvédelmi szabályozás azonban nem csak az európai cégekre vonatkozik majd, hanem azokra is, akik "kintről" nyújtanak szolgáltatásokat az európai állampolgároknak - ez garantálja, hogy nincs kettős standard, minden vállalkozás azonos feltételekkel indul.

Szintén könnyítés, hogy a jövőben a kkv-knak nem kell regisztrálniuk az illetékes adatvédelmi hatóságoknál, mely lépés önmagában 130 millió eurós évi megtakarítást hoz majd. A kkv-kat az új szabályok a visszaélésszerű adatigényléstől is védik, a vállalkozás kiszámlázhatja az adatelérés költségeit. Ugyanígy a kkv-k mentesülnek a belső adatkezelő biztos kinevezése alól is, amennyiben a személyes adatok kezelése nem a cég legfontosabb profilja.

Itthon is kötelező bevezetni

Ahogy az Unió kihirdeti a végleges szabályozást, a tagállamoknak két évük lesz arra, hogy azt saját jogrendszerükben is leképezzék. A várakozások szerint 2016 elején jöhet a kihirdetés, így a változások legkésőbb 2018 közepére a tagállami törvényekben is megjelennek majd - így értelemszerűen a hazai szabályozás is ehhez alkalmazkodik.

A rendelet és az irányelv végleges szövege várhatóan ma kerül nyilvánosságra. A szabályozás újdonságaival részletesebben is foglalkozunk majd, ahogy a szakértők és jogászok alaposabban áttanulmányozzák a végleges szöveget.

a címlapról