Hatályos az Európai Unió új adatvédelmi szabályozása (GDPR)

Published: 30 May 2018

Május 25-e óta az Európai Unióban szigorúbb és mindenekelőtt egységesebb az adatvédelmi szabályozás (General Data Protection Regulation – GDPR). A fogyasztóvédők azt várják az új szabályozástól, hogy az olyan hatalmas mennyiségű személyes adatot kezelő nemzetközi vállalatokkal szemben mint amilyen a Facebook, a Google, az Amazon stb. szigorúbb eszközökkel lehet majd fellépni. Eddig a nemzeti hatóságok lehetőségei igen korlátozottak voltak, hogy az ilyen internetes óriásokat adatkezelési gyakorlatuk megváltoztatására ösztönözzék.

eugdpr.jpg

„Takarékosan az adatokkal”, szól a GDPR mottója. Ez azt jelenti, hogy a vállalatok ügyfeleiknek csak azon adatait kérdezhetik meg, amelyek feltétlenül szükségesek. A szolgáltatóknak gondoskodniuk kell ügyfeleiktől megkapott adatok biztonságáról, az információkat titkosítaniuk kell. Az ügyfelek és a felhasználók adatait csak akkor lehet Európán kívüli országba továbbítani, ha az EU Bizottsága az érintett államot ebből a szempontból biztonságosnak nyilvánítja. Az interneten szolgáltatást nyújtó cégek kötelesek tájékoztatást adni ügyfeleiknek tárolt adataikról. Különösen fontos „az elfelejtésre való jog”. Egy másik szolgáltatóhoz való váltás esetén az ügyfeleknek, illetve a felhasználóknak joguk van arra, hogy adataikat magukkal vigyék. Az adatvédelmi hatóságoknak joguk van bizonyos adatok törlését elrendelni. Az új szabályozás megsértése esetén vállalatokat magas büntetéssel sújthatják, amely éves forgalmuk 4%-áig is terjedhet. A GDPR nemcsak az EU-ban honos vállalatokra vonatkozik. Azok a szolgáltatók, amelyek az EU-ban lakó fogyasztók számára nyújtanak szolgáltatást, akkor is az európai adatvédelmi szabályok alá esnek, ha székhelyük például az USA-ban van. Az európai vállalatok tekintetében annak a tagországnak az adatvédelmi hatósága illetékes, amelyben a vállalat székhelye található. Így például az ír adatvédelmi hatóság illetékes a Facebook vonatkozásában, mert az amerikai konszern európai központja Dublinban van. Ha például a Facebook ellen Hollandiában adatvédelmi panasz merül fel, akkor az adatvédők nemcsak magához a vállalathoz, hanem az ír adatvédelmi hatósághoz fordulhatnak, ami aztán kivizsgálja az ügyet. Amennyiben a nemzeti adatvédelmi hatóságok között nincs egyetértés, akkor bekapcsolódik az Európai Adatvédelmi Bizottság, amely május 25-ével megkezdte munkáját. A Bizottságban az EU minden tagállama egy-egy szavazattal rendelkezik.

Az EU tagállamok állampolgárai az elmúlt napokban leginkább annyit vettek észre az új szabályozásból, hogy egy csomó e-mailt kaptak a különböző szolgáltatást nyújtó internetes oldalaktól. Mert korábban valahol feliratkoztak valamilyen hírlevélre vagy igénybe vettek egy regisztrációhoz kötött applikációt stb. A szolgáltatók pedig kötelesek az új uniós szabályozás értelmében felhasználóikat a változásokról tájékoztatni.

Az új szabályozás nemcsak a profitorientált cégekre, de egyesületekre, szervezetekre, mindenre és mindenkire vonatkozik, aki mások adatait kezeli. Elsősorban persze a legnagyobb online cégek adatgyűjtése és kezelése áll az érdeklődés középpontjában. A nagyok fel is készültek a szükséges változásra, legalábbis ők így nyilatkoznak. Nem mindenki ért azonban ezzel egyet. Max Schrems, osztrák adatvédelmi aktivista az új szabályozás hatályba lépése napján feljelentette a Google-t, a Facebook-ot, a Whatsapp-ot és az Instagram-ot. (A Facebookot 3,9 milliárd, a Google-t pedig 3,7 milliárd euróra büntetné.) Az a kifogása velük szemben, hogy tucat számra kérik a felhasználó hozzájárulását, gyakran úgy, hogy ellenkező esetben megtagadják az adott szolgáltatás használatát. Szerinte ez az eljárás egyenértékű a zsarolással. A GDPR ugyanis – húzza alá Schrems – megtiltja az adatok kezeléséhez való hozzájárulás kikényszerítését. Nem lehet valamely szolgáltatást attól függővé tenni, hogy a felhasználó hozzájárul-e adatainak feldolgozásához. Sok felhasználó egyáltalán nem tudja, hogy az eddigi gyakorlat, miszerint az embereket adataik megadására és azok kezeléséhez való hozzájárulásra kényszerítették, most már szerencsére tilos. Az új szabályozás csak az olyan adatfeldolgozást engedi meg, amely a szolgáltatás igénybevételéhez feltétlenül szükséges. „Egyszerű a képlet: azon adatok kezeléséhez, amik szükségesek a szolgáltatáshoz, nem kell hozzájárulást kérni. Minden más esetben viszont a felhasználó szabadon igennel vagy nemmel válaszolhat”– mondta Schrems.

Vannak olyan EU-n kívüli nagy vállalatok, amelyek más megoldást választottak. Egyszerűen nem veszik figyelembe az új EU-s szabályozást, illetve felfüggesztették az EU-ba irányuló szolgáltatásukat. A Chicago Tribune online változata, valamint az Egyesült Államok ötödik legnagyobb napilapjának, a Los Angeles Timesnak az online felülete sem érhető el már EU-s IP-címről. A büntetés ugyanis őket is fenyegetné a nem „európai adatkezelés” esetében, ők inkább adatkezelési eljárásuk átalakítása helyett ezt a megoldást választották. Persze arról nem tudunk, hogy korábbi európai felhasználóik adataival mi történik, hiszen az új szabályozás azok kezelésére is vonatkozik.

Hogy ezek a netes portálok csak ideiglenesen vagy véglegesen zárultak-e be az európaiak előtt, az ugyanúgy nyitott kérdés, mint ahogy a GDPR is sok megoldandó helyzetet vet még fel.

Paál Vince