GDPR: mit takar valójában ez a rettegett mozaikszó?
Az általános adatvédelmi rendelet (GDPR) a világ legszigorúbb adatvédelmi és biztonsági törvénye. Elsődleges célja az egyének személyes adataik feletti ellenőrzésének és jogainak erősítése, valamint a nemzetközi üzleti élet szabályozási környezetének egyszerűsítése. Az adatvédelem nem újkeletű dolog, a GDPR hatályba lépésével csaknem két évtizedes adatvédelmi szabályokat váltott fel Európa-szerte.
Bár az Európai Unió (EU) készítette és fogadta el, szerte a világban kötelezettségeket ró minden szervezetre, aki az EU-ban élők adatait gyűjti. A rendelet 2018. május 25-én lépett életbe és szigorú pénzbírsággal sújtja azokat, akik megsértik az adatvédelmi és biztonsági normákat. A GDPR-ral Európa kifejezi szilárd álláspontját az adatvédelemmel és a biztonsággal kapcsolatban egy olyan világban, ahol egyre többen bízzák személyes adataikat különböző felhőalapú szolgáltatásokra. A 100%-os GDPR megfelelés szinte lehetetlen feladat, különösen a kis- és középvállalkozások számára.
GDPR alapfogalmak
Személyes adat – Személyes adat lehet bármely olyan információ, amely közvetlenül vagy közvetve azonosítható egyénre vonatkozik. A nevek és e-mail címek egyértelműen személyes adatnak számítanak. Ezenkívül a helyadatok, az etnikai hovatartozás, a nem, a biometrikus adatok, a vallási meggyőződés, a sütik és a politikai vélemények is lehetnek személyes adatok. A pszeudoanonim adatok (pl. IP-cím) is ide tartozhatnak, ha viszonylag könnyű valakit azonosítani róluk.
Adatfeldolgozás – Az adatokkal végzett bármely művelet, akár automatizált, akár manuális. Ilyen a gyűjtés, rögzítés, rendszerezés, strukturálás, tárolás, használat, törlés… tehát gyakorlatilag minden.
Érintett – Az a személy, akinek az adatait kezelik, azaz ügyfelek és látogatók.
Adatkezelő – Az a személy, aki eldönti, hogy miért és hogyan kezeljük a személyes adatokat. Legtöbbször a cégvezető vagy a tulajdonos.
Adatfeldolgozó – Az a harmadik fél, aki az adatkezelő nevében személyes adatokat dolgoz fel.
A GDPR-ban biztosított személyiségi jogok:
- A tájékoztatáshoz való jog
- A hozzáférés joga
- A helyesbítéshez való jog
- A törléshez való jog
- Az adatkezelés korlátozásának joga
- Az adathordozhatósághoz való jog
- A tiltakozás joga
- Az automatizált döntéshozatalhoz és profilalkotáshoz kapcsolódó jogok
A GDPR alapelvei:
- Jogszerűség, tisztesség és átláthatóság
- A célok korlátozása
- Adatminimalizálás
- Pontosság
- Tárolási korlátozás
- Integritás és titoktartás (biztonság)
- Elszámoltathatóság
Mire számíthatunk az elkövetkező években?
Az adatvédelmi környezet évről évre szigorúbbá válik, egyre gyakoribbak a GDPR büntetések. Míg a 2021-es év viszonylag lassú volt az új adatvédelmi szabályozások tekintetében, a végrehajtás terén azonban épp az ellenkező volt jellemző – a szabályozó hatóságok keményen betartatták a törvényt, és minden korábbinál magasabb mértékű bírságot szabtak ki.
A szakértők 2022-ben arra számítanak, hogy a felhasználói hozzájárulási trendek valószínűleg nem változnak, illetve az egyes államok jobban egységesítik törvényeiket. A legnagyobb változást talán a 2022-ben megjelenő Mesterséges Intelligenciát szabályozó törvény hozza majd. A különböző fejlesztési technológiák várhatóan a jövőben is hatással lesznek a GDPR-megfelelőségre. “A mesterséges intelligencia, a gépi tanulás, az arcfelismerés és a profilalkotás által jelentett adatvédelmi kockázatok az EU szabályozói számára még fontosabbak lesznek.” – mondta Müge Fazliogu tudományos főmunkatárs az Adatvédelmi Szakemberek Nemzetközi Szövetségében.