Tavaly márciusban az Európai Parlament elsöprő többséggel megszavazta az EU általános adatvédelmi rendelettervezetét. Ez az előírás kiterjed minden olyan cégre, amely európai állampolgár adatait dolgozza fel, függetlenül attól, hol, melyik országban történik mindez. Az új rendelettervezetet az Európai Tanácsnak jóvá kell hagynia ahhoz, hogy törvényerőre emelkedjen, de jó úton halad afelé, hogy arról 2015-ben konszenzusra jussanak, ezért a cégeknek már most érdemes elkezdeniük megismerkedni a jogszabállyal, és előkészíteni belső eljárásrendjeiket a változásokra.
Az új szabály rendeleti formában kerül majd elfogadásra a korábbi adatvédelmi irányelvvel ellentétben. Ez azt jelenti, hogy a rendelet teljes egészében kötelező és közvetlenül alkalmazandó lesz valamennyi tagállamban, nem lesz szükség tehát külön, nemzeti szintű jogszabályok elfogadására az új jogszabály alkalmazásához. Emellett jelentősen emelkedne a rendelet alapján kiszabható adatvédelmi bírságok összege:aki nem teljesíti az adatvédelmi rendeletben megállapított kötelezettségeket, első és nem szándékos meg nem felelés esetén írásbeli figyelmeztetésben részesül, ezt követően rendszeres időszakos adatvédelmi ellenőrzésekre és 250 000 euróig terjedő bírságra vagy vállalkozás esetén az éves világméretű forgalom legfeljebb 5%-ának megfelelő összegű bírságra számíthat (amennyiben a vállalkozás forgalma meghaladja a 250 000 eurót).
Mivel a rendelet közvetlenül alkalmazandó a tagállamokban, felváltaná a jelenlegi nemzeti adatvédelmi törvényeket is.
Az új szabályozás célja, hogy a személyes adatok Európai Unió-szerte egységes, magas szintű védelmének kiépítése mellett lehetővé tegye a digitális gazdaság belső piaci fejlődését és a személyes adatok tagállamok közötti szabad áramlását. Gyakorlatban (pl. határokon átnyúló promócióknál) nagy könnyebbséget fog jelenteni, hogy a rendeleti formának köszönhetően egységes adatvédelmi szabályozás lesz a tagállamokban, így nem kell majd tagállamonként eltérő adatkezelési szabályzatokat készíteni.
A Direkt és Interaktív Marketing Szövetség az elmúlt években több projekt indított azért, hogy az adatvédelem a megfelő prioritások közé kerüljön a cégeknél, a fogyasztók pedig tudatosan bánjanak adataikkal. Az Adatvédelmi Kommandót eddig az e-kereskedő és a turisztikai szektorra végezte el a szövetség , ezekből pedig jól látható: minél nagyobb piaci szereplő egy cég, annál jobban figyel arra, hogy az adatvédelmi elvei és gyakorlata megfeleljenek a törvényi előírásoknak.
A legjellemzőbb típushibák, amit a cégek elkövetnek:
- Az adatvédelmi tájékoztató nem minden esetben könnyen megtalálható.
- Adatkezelési tájékoztató sokszor még a korábbi adatvédelmi törvényre utal.
- Kevés esetben tartalmazott az adatkezelési tájékoztató 18 éven aluliak kapcsán rendelkezést.
- Sok esetben nem volt hírlevél célú adatvédelmi tájékoztató.
- A hozzájárulás jelölésére szolgáló doboz előre kitöltött, „igen” állapotot mutat. Azaz, automatikusan védelmezi a hozzájárulást, nem megadni, hanem megvonni lehetséges „opt-out”.
- A regisztráció kitöltésével automatikusan hírlevélre is feliratkozik a vásárló, ez azonban nem, vagy csak más felületen (pl. Általános Felhasználási Feltételek) derül ki, mert a regisztrációs lapon erre vonatkozóan figyelmeztetés nincs, így kifejezett, egyértelmű hozzájárulásra sincs lehetőség.
- Nincs utalás az Adatfeldolgozóra, ami csak abban az esetben megfelelő, ha nincs Adatfeldolgozó.
- Nem határozza meg az adatkezelés időtartamát.
- Nincs a regisztráció mellett tájékoztató szöveg, csak linkre kattintva (más felületen) érhető el részletes adatvédelmi szöveg.
Érintett
Az Infotv. jelenlegi definíciójához képest részletesebb lesz az érintett fogalma. Érintettnek minősül az azonosított vagy közvetlen vagy közvetett módon az adatkezelő vagy más természetes vagy jogi személy által ésszerű módon – különösen egy azonosító számra, tartózkodási információra, online azonosító jelekre vagy a személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy társadalmi identitására vonatkozó egy vagy több tényezőre történő utalás révén – azonosítható természetes személy.
Hozzájárulás
Az érintett hozzájárulása a rendelettervezet alapján kizárólag kifejezett lehet, tehát a hallgatólagos hozzájárulás semmilyen esetben nem lesz elfogadható. Az érintett hozzájárulásának minősül a rendelet alapján az érintett akaratának önkéntes, tájékozott és kifejezett kinyilvánítása nyilatkozat vagy egyértelmű megerősítő cselekedet alapján, amellyel az érintett beleegyezését adja az őt érintő személyes adatok feldolgozásához.
Profilalkotás
A rendelettervezet újdonsága az, hogy meghatározza a profilalkotás fogalmát, amely „a személyes adatok automatizált feldolgozásának bármely olyan formája, amelynek célja valamely természetes személyhez kapcsolódó egyes személyes szempontok értékelése, vagy különösen a természetes személy munkahelyi teljesítményének, gazdasági helyzetének, tartózkodási helyének, egészségének, személyes igényeinek, megbízhatóságának vagy viselkedésének elemzése vagy előrejelzése”.
Adatvédelmi tisztviselő
A rendelettervezet bevezeti az adatvédelmi tisztviselő intézményét, akinek megválasztása a rendeltben meghatározott esetekben kötelező. Ilyen esetnek minősül a tervezet szerint, például ha az adatfeldolgozást jogi személy végzi, és az adatfeldolgozás bármely egymást követő 12 hónapból álló időszak során 5000-nél kevesebb érintettre vonatkozik. Az adatvédelmi tisztviselő kiválasztására az adatkezelő és az adatfeldolgozó jogosult. Az adatvédelmi tisztviselő az adatkezelőt valamint az adatfeldolgozó tevékenységét szakmai szempontból elősegíti.
Adatvédelmi címke
Az adatvédelmi címke az adatkezelők, valamint az adatfeldolgozók minősítésére szolgál. Ezt bármely adatkezelő kérheti bármely uniós felügyelő hatóságtól (pl.: NAIH). Az adatvédelmi címke azt tanúsítja, hogy az adatfeldolgozó és adatkezelő tevékenysége megfelel a rendeletnek. A címke addig érvényes, ameddig az adatkezelő és adatfeldolgozó tevékenysége megfelel a rendeletnek, azonban legfeljebb 5 évig.
További fontos fogalmakról és változásokról itt olvashat bővebben.