Több éves egyeztetést követően végre sikerült pontot tenni az adatvédelmi reform körüli vita végére, az Európai Parlament ugyanis ma elfogadta az általános adatvédelmi rendeletet (General Data Protection Regulation, GDPR). A rendelet nyomán életbe lévő változások jelentős hatással lesznek a hazai, illetve az EU határain innen és túl működő személyes adatokat kezelő cégekre is. A rendelet deklarálja továbbá az állampolgárok úgynevezett felejtéshez és adathordozhatósághoz való jogát is: az állampolgárok kérelmezhetik valamennyi személyes adatuk törlését, valamint adataik egyes adatkezelők (szolgáltatók) közötti továbbítását.
(Az EU új adatvédelmi szabályai 2018-tól élnek majd.)
A rendelet szerint egyrészt súlyos szankciókra számíthatnak az adatvédelmi szabályokat megszegő cégek, a kiszabható pénzbüntetés mértéke ugyanis akár a globális éves árbevételük négy százalékát is elérheti. Ez az összeg jelentősen meghaladhatja például a Magyarországon jelenleg kiszabható maximális bírságot.
A vállalatoknak továbbá szigorúbb átláthatósági követelményeknek is meg kell felelniük, szigorodnak a tájékoztatási kötelezettséggel kapcsolatos eljárások: az adatkezelőknek sokkal egyértelműbben kell közölnie majd azt, hogy milyen céllal, milyen jogi alapon és hogyan kezelik a személyes adatokat, továbbá, hogy mik az adatalanyok jogorvoslati lehetőségei. Részletes szabályok születtek továbbá arról, hogy amennyiben valamilyen adatbiztonsági incidens (pl. hackertámadás) éri a céget, akkor hogyan kell eljárni a felügyeleti hatóságok, és adott esetben az érintett felhasználók felé. A rendelet alapján várhatóan bővülni fog azon cégek száma is, amelyek kötelesek lesznek adatvédelmi felelőst kinevezni a cégen belül – hívta fel a figyelmet a cégeket érintő főbb változásokat Kozma Zoltán, a DLA Piper ügyvédje blogbejegyzésében.
A rendelet hatálya kiterjed azokra a vállalatokra is, amelyek az Európai Unión kívül működnek, de tevékenységük érinti az uniós állampolgárok személyes adatait is, mivel pl. árukat és szolgáltatásokat kínálnak az uniós állampolgárok számára. Könnyítést hoz azonban a több tagállamban leányvállalattal rendelkező vállalatok számára, ugyanis a korábbi gyakorlattól eltérően már csak egy adatvédelmi hatóság felé kell majd eljárniuk, mégpedig abban az országban, ahol a központi ügyintézésük helye van.
A rendelet egyik legnagyobb jelentősége, hogy felváltja a jelenleg tagállamonként eltérően implementált, 1995-től hatályos EU-s adatvédelmi irányelvet és a szabályozás immár valamennyi tagállamban egységessé válik. Ez pedig az Unió reményei szerint az egyik legjelentősebb lépés a digitális egységes piac kialakulása felé. A rendelet két év türelmi idő után lép hatályba, így a vállalatoknak ennyi idő áll a rendelkezésükre, hogy felkészüljenek a rendelet új szabályainak történő megfelelésre. A nagyobb vállalatok számára tehát eljött az idő a cselekvésre.
