Aki elektronikus postaládával, azaz e-maillel rendelkezik, az utóbbi hetekben azt tapasztalhatta, hogy rengeteg olyan üzenetet kap, amelyekben különböző cégek biztosítják ügyfelüket, hogy számukra az adatok biztonsága fontos ügy. Ezek az értesítések általában ugyanúgy hangzanak. „Kedves ügyfelünk, felhasználónk, az adataid biztonsága számunkra is kiemelten fontos. Az új GDPR (General Data Protection Regulation) rendelkezéseknek megfelelően mi is szeretnénk meggyőződni arról, hogy örömmel olvasod időnként szervezetünk, cégünk hírleveleit.” Arról biztosítanak bennünket, hogy „adataidat továbbra is biztonságban tudhatod nálunk, harmadik félnek soha nem adjuk át azokat, kéretlen reklámot sem küldünk email címedre.”
Az uniós rendelet (GDPR: Általános Adatvédelmi Rendelet) kidolgozása 2012-ben kezdődött el. 2015 decemberében az Európai Tanács és az Európai Parlament megállapodott a tervezetről, majd 2016. áprilisban külön-külön meg is szavazták. A végleges szöveget 2016. május 4-én tették közzé az EU minden hivatalos nyelvén, majd május 24-én végre hatályba is lépett az új rendelet. Alkalmazni viszont csak idén május 25-től kezdték el.
Aki kevésbé jártas az adatvédelem terén, felteheti a kérdést: miért volt szükség ilyen rendeletre, és mire lesz hatással? Az indokot Kokoly Zsolt (portrénkon) így foglalja össze lapunknak: „amint azt a rendelet is kifejti a preambulum bekezdéseiben, az uniós közös piac működéséből eredő gazdasági és társadalmi integráció lényegesen megnövelte a személyes adatok határokon átnyúló áramlását. Ez a gyakorlatban azt jelenti, hogy megnövekedett az állami szereplők, illetve a magánszereplők (természetes személyek, egyesületek és a vállalkozások) között az EU teljes területén zajló személyes adatok cseréje, mivel az uniós jog értelmében a tagállamok nemzeti hatóságainak kötelező együttműködni és a személyes adatok cseréjét megvalósítani annak érdekében, hogy képesek legyenek feladataikat ellátni.” A jogász szerint fontos szempontot jelentett az a tény is, hogy
a gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét.
A személyes adatok gyűjtése és megosztása jelentős mértékben megnőtt, a technológia a vállalkozások és a közhatalmi szervek számára minden eddiginél nagyobb mértékben teszi lehetővé a személyes adatok felhasználását. Másrészt az emberek is egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes adatokat.
A jogász kifejtette: a GDPR gyakorlatilag mindenkit érint. Minden személy rendelkezik személyes adatokkal, amelyeket valamilyen szervezet kezel. Másrészt a rendelet minden olyan szervezetre vonatkozik, amely személyes adatokat kezel és felhasznál, beleértve a gyűjtést és tárolást is. A rendelet a természetes személyeket érintetteknek, míg az adatokat kezelő, felhasználó jogi személyt, közhatalmi szervet, ügynökséget vagy bármely egyéb szervet adatkezelőnek nevezi.
A GDPR elsősorban a cégek, intézmények, vállalkozások munkájára van hatással, de befolyásolhatja az átlagpolgárok internetes szokásait is.
Kokoly Zsolt szerint a romániai intézményeknek, vállalkozásoknak a rendelet kapcsán egyrészt az új fogalmakkal kapcsolatos felkészülési feladatai, másrészt az újragondolt alapelvekkel kapcsolatos teendői vannak, ez pedig megnövekedett terheket ró az érintett szervezetekre szervezési, jogi, kommunikációs, pénzügyi és más szempontokból is. A cégek számára az új rendelkezések komoly erőfeszítést jelentenek. Az átlagpolgárok szempontjából a GDPR hozadéka, hogy sokkal tudatosabban kezelik személyes adataikat, illetve teljes körű, átlátható tájékoztatásra jogosultak arról, ki milyen jogcímen és milyen biztonsági intézkedések figyelembevételével kezeli személyes adataikat. (Éppúgy személyes adatnak minősül a név, személyi igazolvány száma vagy lakcím, mint a képmás vagy akár a vizsgadolgozatra adott írásbeli válasz). Az ezzel kapcsolatos információkat egyszerű és közérthető formában, könnyen hozzáférhető úton kell az érintett rendelkezésére bocsátani – tájékoztatta lapunkat az egyetemi adjunktus.
Az új rendelkezés komoly büntetéseket ír elő azok számára, akik a szabályokat nem tartják be.
Romániában a Személyes Adatok Kezelését Felügyelő Nemzeti Hatóság (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal) rendelkezik vizsgálati, korrekciós, engedélyezési és tanácsadási hatáskörrel. Kokoly Zsolt elmondta: a személyes adatok kezelése során tapasztalt jogellenes magatartást a romániai hatóság eddig is büntethette, azonban az eddigi büntetések jóval alacsonyabbak voltak (legtöbb 50 000–100 000 lej). A május 25-től alkalmazandó adatvédelmi rendelet 20 millió euróban maximálja a kiróható közigazgatási bírságot. Vállalkozások esetében a büntetés a cég az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 százalékát kitevő összeg lehet. A kettő közül a magasabb összeget kell kiszabni.
Amikor a romániai felügyelő hatóság korrekciós hatáskörében jár el, akkor a közigazgatási bírság kiszabása helyett vagy a bírság mellett más intézkedésekről is dönthet, mint például: az adatkezelő figyelmeztetése, az adatkezelés ideiglenes vagy végleges korlátozása, ideértve az adatkezelés megtiltását is egy adott szervezet számára, utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit hozza összhangba e rendelet rendelkezéseivel.
Úgy tűnik, május 25-től biztonságosabban navigálhatunk a világhálón, hiszen az EU általános adatvédelmi reformja keretében a GDPR mellett további irányelvek, rendeletek révén kívánja az állampolgárok személyes adatait védeni és az internethasználat szempontjából minél biztonságosabb felhasználói körülményeket teremteni. Kokoly Zsolt megemlítette a hálózati és információs rendszerek biztonságáról szóló, illetve a bűnüldözési célú adatkezeléseket szabályozó 2016-os irányelveket, az elektronikus hírközlési adatvédelmi rendeletjavaslatot, illetve az EU–USA közti adattovábbítási keretmegállapodást. A jogász szerint a GDPR egyik legfontosabb eleme a beépített adatvédelem, amely arra vonatkozik, hogy az adatbiztonságot már a tervezés fázisában figyelembe kell venni az új rendszerek és szolgáltatások bevezetése előtt. A beépített adatvédelem mellett a cégeknek bejelentési kötelezettsége is van, azaz amennyiben adatvédelmi incidens történik – például egy cég adatbázisát feltörik, és a felhasználók adatai idegen kézbe kerülnek –, a cégnek ezt haladéktalanul vagy a tudomásul vétel után legkésőbb 72 órán belül jelentenie kell a nemzeti szabályozó hatóság felé.
Az internetfelhasználat során az anonim böngészési adatok gyűjtése és feldolgozása elviekben az adott honlap, szolgáltatás optimizálását szolgálja, azonban kutatások mutatták ki, hogy az eredetileg anonim böngészési adatokból nem jelent túlzottan nagy nehézséget visszafejteni a személyes adatokat, így az internetező személyes adatai is illetéktelen kézbe juthatnak.
A portál ezen funkcióinak használatához el kell fogadnia a sütiket.