A nemzetközi könyvvizsgáló és tanácsadó vállalat közleményében emlékeztet: az Európai Parlament és a Tanács személyes adatok kezeléséről, védelméről és az ilyen adatok szabad áramlásáról szóló rendeletét április 27-én hirdették ki. Az új uniós szabályozás rendkívül szigorúan védi az egyén magánélethez és szenzitív adatainak védelméhez való jogát, jelentősen szélesíti ezen adatok körét, és súlyos büntetéseket helyez kilátásba az ezekkel visszaélő szervezeteknek.

A GDPR (General Data Protection Regulation) néven emlegetett rendeletet a személyes adatokat kezelő szervezeteknek 2018. május 25-étől valamennyi uniós tagországban kötelezően alkalmazniuk kell. Magyarországon ezzel hatályát veszíti az eddigi adatvédelmi szabályozás, az információs önrendelkezési jogról és az információszabadságról szóló törvény - közölte a tanácsadó cég.

Kibővül a személyes adatok köre

Az egyik legfontosabb változás, hogy jelentősen kibővül a személyes adatok köre; ilyennek minősül minden olyan azonosított vagy beazonosítható személyre vonatkozó adat, amely az illető privát, szakmai vagy közösségi, társadalmi tevékenységére vonatkozik. Személyes adat például a név, a születési és egészségügyi adat, a bankszámlaszám, a jövedelem, a helymeghatározó adat (GPS), az e-mail cím, a telefonszám (vállalati és magán is), a levelezési cím, de akár egy közösségi oldalon található profilra mutató link és az IP cím is.

Amennyiben egy szervezet valakinek az adatait hanyagul kezeli, neki kell bizonyítania, hogy az általa kezelt és feldolgozott adatokat a becsült kockázatokkal arányosan védte.

Azon intézmények, amelyek működésük jellegénél fogva nagy tömegben, automatizált módon kezelnek személyes adatokat - például a bankok, biztosítók, egészségügyi szolgáltató intézmények, informatikai szolgáltató szervezetek -, nem hivatkozhatnak az adatvédelem technikai nehézségeire.

Ki a felelős az adatokért?

Nekik, valamint a különlegesen érzékeny személyes adatokat - politikai nézet, szakszervezeti tagság, szexuális irányultság stb. - kezelő szervezeteknek ugyanis adatvédelmi felelőst kell kinevezniük, aki személyében felelős a megfelelő adatvédelmi rendszer működtetéséért és az adatok védelméért. A kisebb szervezeteknek nem kötelező ugyan adatvédelmi felelőst kinevezniük, az adatok kockázatokkal arányos védelméért ők is felelősek.

Egyes intézményeknek a jelenlegi szabályozás szerint is jelenteniük kell, ha személyes adatok szivárogtak ki tőlük. A GDPR átfogó bejelentési kötelezettséget vezet be, így a jövőben minden súlyosabb incidenst 72 órán belül jelenteni kell az adatvédelmi hatóságnak.

Kiss Dániel, a Mazars információbiztonsági szakértője szerint ilyen incidens lehet egy külső hackertámadás, vagy ha elveszett egy laptop. A szakember szerint elvileg többet nem fordulhat elő olyan eset, mint amikor egy nemzetközi email-szolgáltatótól ellopták több millió felhasználó jelszavát, és erről csak évekkel később tájékoztatta a közvéleményt.

Aki megszegi a szabályokat, elrettentő nagyságrendű büntetésre számíthat - jelezte a Mazars. A kiszabható büntetés maximuma ugyanis 20 millió euró vagy a globális éves forgalom 4 százaléka - a kettő közül a magasabb összeg.