Mi forradalmit hozott az új adatvédelmi rendelet?

Az elmúlt hetekben már a csapból is a GDPR folyt. Arra lennék kíváncsi, mi forradalmit hozott az adatvédelmi rendelet az egyszerű emberek számára, összehasonlítva az előző adatvédelmi szabályozással.

Az Európai Unió az új rendelettel valóban nagyszabású újításoknak, javításoknak vetette alá adatvédelmi szabályozását. Ugyanakkor el kell mondani, hogy már az ezt megelőzően működő 95/46-os adatvédelmi irányelv is egy ambiciózus jogszabály volt az institucionális adatvédelem világában.

A 2016/679-es adatvédelmi rendelet (GDPR) elfogadását éveken keresztüli tárgyalások és lobbizás előzte meg, melyekben a tagállamok, vállalkozások és egyéb érdekelt szervezetek szakmabeli képviselői vettek részt. Az új szabályozás legfőbb hozadéka a polgárok számára, hogy ezentúl a személyes adataik markánsabb védelmet élveznek, és sok esetben az adatkezelés transzparensebb lesz.

A vállalkozásoknak világosan és egyértelműen kell fogalmazniuk, amikor az állampolgárok személyes adatainak kezeléséről tájékoztatják őket: ki kezeli az adataikat, milyen személyes adatokat érintenek ezek a műveletek, és mi célból kezelik az adatokat. Például az adatkezelési házirendjükben (angolul: privacy policy) nem bújtathatják el a lényeget hosszú, kacifántos és utalásokkal teli jogi szövegekben (a rendelet 12–14. cikke).

A vállalkozások általi adatfeldolgozás nagy része csak az érintett személy előzetes hozzájárulásával lesz jogszerű. A hallgatás nem beleegyezés: az érintett beleegyezésének önkéntesnek, konkrétnak kell lennie, és megfelelő tájékoztatáson kell alapulnia (a rendelet 4. cikkének 11. bekezdése és 7. cikke).

Mindenkinek joga van hozzáférni azokhoz az adatokhoz, amelyeket egyes vállalkozások, intézmények és egyéb szervezetek tárolnak róla (a rendelet 15. cikke). Emellett bizonyos keretek között megillet bennünket a feledésbe merülés joga is, vagyis az adatkezelő köteles a rólunk szóló adatok tárolását, pl. egy online keresőprogramban megjelenő linket megszüntetni

(a rendelet 17. cikke). Tipikus eset, amikor egy régi, de ma is elérhető dokumentum egy már nem aktuális szabálysértésünkről ad számot.

Automatizált vagy hozzájáruláson/szerződésen alapuló adatkezelésnél a polgárok kérhetik, hogy az adatkezelő, pl. egy közösségi portál üzemeltetője vagy egy felhőszolgáltatás, mindennemű akadályozás nélkül továbbítsa adataikat egy másik szolgáltatónak, még ha az versenytársa is (a rendelet 20. cikke).

Adatvédelmi incidens során, ha károkozás veszélye áll fenn, az adatainkat feldolgozó és a hibát vagy mulasztást elkövető vállalkozás köteles e problémáról haladéktalanul tájékoztatni bennünket. Az incidenst be kell jelentenie az adott tagállamban működő adatvédelmi hivatalnak is (a rendelet 33–34. cikke).