GDPR útmutató

A GDPR szigorú előírásokkal határozza meg, hogy miként lehet személyes adatokat gyűjteni, kezelni vagy továbbítani, és az esetleges mulasztások jelentős pénzbírságot vonhatnak maguk után. Emiatt kiemelten fontosnak tartjuk a GDPR fő irányvonalainak és a jövőben várható szigorítások bemutatását. 

Például a GA4 adatfeldolgozási mechanizmusát is a GDPR előírásokat figyelembe véve alakították ki, így biztosítva az adatvédelmi törvényekben foglalt irányelvek betartását a GA4-et használó cégek számára. A GA4 többek között olyan különféle adatvédelmi intézkedésekkel védi a felhasználói adatokat a jogosulatlan hozzáféréstől és felhasználástól, mint például az adatok titkosítása vagy az adattárolás időtartama. 

Éppen emiatt érdemes minél előbb átállni Google Analytics 4-re az Universal Analytics használatáról. A hiánytalan és pontos beállításokért vedd fel velünk a kapcsolatot, és kérj tőlünk ajánlatot GA4 átállásra!

AJÁNLATKÉRÉS

Valamint a cikk létrehozásában partnerünk, a Laki Ügyvédi Iroda segített. Ha adatbiztonsági kérdésed van, érdemes felvedd velük a kapcsolatot.

Cikkünk első felében részletesen ismertetjük a GDPR kialakulásának folyamatát és a megfelelés lépéseit. Ezt követően bemutatjuk az adatvédelmi rendelet hatását az egyénekre és a szervezetekre, majd górcső alá vesszük a jövőbeli módosításokat.   

Miért volt szükség a GDPR-ra?

A GDPR szükségességét az 1995-ben hatályba lépett európai adatvédelmi szabályozás hiányosságai (tagállamonként eltérő értelmezés és gyakorlat) és az IoT technológiák fejlődése, valamint az adatgyűjtés szélsebes terjedése hívta életre. Az új szabályozás szigorúbb kereteket szab a személyes adatok kezelésével kapcsolatban, és számos új joggal ruházza fel a felhasználókat a személyes adataik kezelése kapcsán.

Az IoT technológiák (Internet of Things) kifejezés olyan, a mindennapokban is használt eszközökre utal, amelyek az interneten keresztül is elérhetőek és egymással önállóan kommunikálnak. Ezen eszközök képesek az adatok fogadására, továbbítására és kezelésére, ezért kiemelt figyelmet kell fordítani rájuk a GDPR rendelet elemzésekor.

Az új adatvédelmi rendelet által kiszabható adatvédelmi bírságok összege jelentősen megnőtt a korábban bevezetett adatvédelmi szabályozáshoz képest. A magasabb bírságok célja a szervezetek motiválása a szabályok betartására. Az adatvédelmi bírságok akár a 20 millió eurót (akár 7 milliárd forintot)  is elérhetik, míg az előző szabályozásban az adatvédelmi bírságok nem haladhatták meg a 20 millió forintot. 

Összességében tehát elmondható, hogy a GDPR bevezetésével szigorúbb adatvédelmi szabályoknak kell megfelelni, és a szabályok áthágása esetén a hatóságok hatékonyabb fellépésére, és jelentősen magasabb összegű bírságra számíthatunk. 

A GDPR rövid története

A GDPR, vagy más néven az Európai Unió Általános Adatvédelmi Rendelete 2018-ban lépett életbe. Az adatvédelmi szabályozás az Európai Unió minden tagállamára kiterjed. Fő célja az egyének személyes adatainak védelme, és a személyes adatok kezelésével kapcsolatos szabályozás harmonizálása az EU teljes területén. 

A XXI. század technológiai környezetében kulcsfontosságú szerepe van a hatékony és megfelelő adatvédelmi szabályozásnak. Az európai jogalkotók ezt hamar felismerték, és a XX. század  második felétől kezdve egészen napjainkig aktívan tettek a megfelelő adatvédelmi szabályozás kidolgozásáért. 

Az 1995-ben bevezetésre került adatvédelmi irányelv jelentette az első fő mérföldkövet a személyes adatok kezelésére és védelmére irányuló szabályozási környezetben az Európai Unió történelmében. Ennek elsődleges célkitűzése az egyének jogainak védelme volt a személyes adatkezelés során, valamint a személyes adatok tagállamok közötti szabad áramlásának elősegítése. 

Mivel Magyarország csak 2004-ben vált EU-taggá, ezért felmerülhet a kérdés, hogy a csatlakozást  megelőzően vajon milyen irányelvek szerint kellett kezelni a személyes adatokat hazánkban. A csatlakozást megelőzően az 1992. évi LXIII. törvény volt a meghatározó az adatvédelem területén Magyarországon. Ez a rendelet azonban csak átlalános keretet biztosított a személyes adatok kezelésére, felhasználására és továbbítására vonatkozóan, és közel sem volt olyan részletes, mint a később bevezetett GDPR.  

Az azóta eltelt két évtizedben azonban a globalizáció új szintre lépett, és korábban sohasem látott technológiai fejlődésnek lehettünk szemtanúi, amely életre hívta az adatvédelmi szabályozás teljes körű újragondolását. 

Ennek a folyamatnak az eredményeként született meg a GDPR (General Data Protection Regulation), amely harmonizálta és egységesítette a személyes adatok védelmére vonatkozó szabályozást. Az adatvédelmi irányelv 2016-ban került elfogadásra, majd két éves türelmi időszakot követően 2018. május 25-én lépett hatályba.

A GDPR életbe lépése után az összes EU tagállamnak bele kellett foglalnia saját nemzeti jogrendszerébe az új adatvédelmi rendeletet, és gondoskodnia kellett a megfelelő végrehajtásról is. 

Mi tartozik a GDPR hatálya alá?

A szervezetek gyakran gondolják úgy, hogy ők nem adatkezelők, nem kezelnek személyes adatokat, nem használják fel azokat semmilyen célra, és nem továbbítják mások részére. Ezt azonban nem mindig olyan egyszerű megállapítani.

Ennek tisztázásának első lépése a személyes adatok fogalmának és a GDPR alapelvek meghatározása, valamint az egyének és a szervezetek jogainak és kötelezettségeinek részletes  ismerete.  

Személyes adatok meghatározása

A GDPR-megfelelés egyik alappillére a személyes adat és az adatkezelés fogalmának tisztázása. Személyes adatnak minősül minden olyan információ, ami közvetlenül vagy közvetetten az egyénhez köthető. 

Ennek értelmében például nem számít személyes adatnak a statisztikai vagy a tudományos kutatások során előállított adat. Ezzel szemben például egy csomagszám önmagában semmit sem jelent, viszont onnantól fogva, hogy hozzá tudunk csatolni bizonyos információkat, már személyes adatnak minősül. 

A GDPR másik fontos alapfogalma az adatkezelés. Adatkezelésnek minősül a személyes adatokon, illetve adatállományokon végzett bármely tevékenység, függetlenül attól, hogy automatizált vagy nem automatizált folyamatról van-e szó. 

Így például adatkezelésnek számít az is, ha egy műköröm szalonban a szakember egy noteszben vezeti az ügyfelek neveit, telefonszámait stb. 

A GDPR egyik legfontosabb újítása, hogy a adatvédelmi rendelet hatálya az Európai Unión kívüli országokra is kiterjed, ha az adatkezelő tevékenységi hellyel rendelkezik az EU-n belül, vagy az adatkezelés alanya az Unióban tartózkodik.

Adatvédelmi elvek

A GDPR adatvédelmi rendelet hat alapelvre épül. Az adatkezelők kötelesek az alapelvek által meghatározott normákat betartani, amelyek biztosítják a személyes adatok védelmét az EU területén.

• Az adatkezelés jogszerűsége, tisztessége, átláthatósága
  • Az adatkezelési tevékenység nem ütközhet jogszabályba, megfelelő jogalappal kell rendelkeznie.
  • Az etikus adatkezelés értelmében az adatok nem használhatók fel az alanyokat hátrányosan érintő, jogtalan módon.
  • Az alanyokat egyszerű nyelvezettel kell tájékoztatni a személyes adatok kezeléséről és az adatkezeléssel járó kockázatokról, jogokról. 
• Célhoz kötöttség: Az adatkezelés csak az előre meghatározott konkrét célból történhet. 
• Adattakarékosság: Az összegyűjtött személyes adatok mennyisége nem haladhatja meg a gyűjtésük céljához szükséges maximumot.
• Adatpontosság: Az adatoknak naprakésznek kell lenniük, a pontatlan adatokat haladéktalanul törölni vagy javítani kell. 
• Korlátozott adattárolás: Ez az alapelv előírja a személyes adatokat törlését, ha már nincs rájuk szükség a gyűjtésük eredeti céljának eléréséhez.
• Adatbiztonság: Az adatbiztonság alapelv megköveteli, hogy az adatokat a megfelelő biztonsági intézkedésekkel kell kezelni az adatveszteség- és halászat, valamint az illetéktelen hozzáférés megelőzése céljából. 

Ezen alapelvek egyrészt biztosítják az egyének jogait a személyes adatkezelés kapcsán, másrészt kötelezik az adatkezelőket a szabályok pontos betartására. 

Az egyének jogai

A GDPR számos – köztük néhány új – joggal ruházza fel a felhasználókat a személyes adataik kezelésére vonatkozóan:  

• Tájékoztatáshoz való jog: Az alanyokat világos és egyszerű nyelven tájékoztatni kell a begyűjtött adatok típusáról, a gyűjtés okáról, jogalapjáról, az adatmegőrzés idejéről, valamint az adattovábbítás(ok)ról. 
• Hozzáféréshez való jog: Az egyénnek jogában áll a róla tárolt adatokhoz hozzáférni, másolatot igényelni.
• Helyesbítéshez való jog: A személyek kérhetik a pontatlan vagy hibás adatok helyesbítését. Az adatkezelő köteles tájékoztatni az érintettet a helyesbítésről.
• Törléshez való jog: Az egyén kérheti azt, hogy töröljék a róla összegyűjtött személyes adatokat, ha az adatgyűjtés célja megszűnt.
• Az adatkezelés korlátozásához való jog: Az érintett jogosult arra, hogy az adatkezelőt korlátozza az adatkezelés során, ha például megkérdőjelezhető az adatok pontossága vagy felmerül a jogellenesség. 
• Az adathordozhatósághoz való jog: Az alanynak jogában áll azt kérni, hogy az összes róla összegyűjtött adatot adják át neki vagy egy másik szolgáltató részére.  
• Tiltakozáshoz való jog: A személyes adatok alanyának joga van ahhoz, hogy tiltakozzon a személyes adatai kezelése ellen, ha az adatkezelő például közvetlen üzletszerzés céljából, statisztikai célból, vagy közérdek alapján kezeli azt. 

A szervezetek kötelezettségei

A GDPR alapján az adatkezelő szervezetnek számos kötelezettsége van, amelyek közül a legmagasabb prioritást élvező feladatok az alábbiak: 

• Adatvédelmi tisztviselő kinevezése: Bizonyos szervezeteknek kötelessége adatvédelmi tisztségviselő kinevezése. Az adatvédelmi tisztviselő felelős az adatvédelmi előírások hiánytalan betartásáért. 
• Adatvédelmi irányelvek és folyamatok kialakítása: A szervezetek kötelesek kialakítani az adatvédelemre vonatkozó irányelveket, valamint az azok megvalósítását szolgáló folyamatokat és eljárásokat.
• Adatvédelmi hatáselemzés: A szervezetek, vállalatok kötelesek felmérni az adatvédelem kockázatait, és kialakítani az azok csökkentéséhez szükséges lépéseket, intézkedéseket. Ennek segítségével lehetőség nyílik azon adatfeldolgozási folyamatok azonosítására, amelyek kockázatot jelentenek az egyének jogaira.
• A felhasználók jogának tiszteletben tartása: A szervezeteknek alapvető kötelességük az adatvédelmi jogok tiszteletben tartása. Ilyen többek között a tájékoztatáshoz való jog vagy a helyesbítéshez való jog.
• Az adatbiztonság garantálása: Kiemelten fontos az adatok biztonságának védelme az adathalászat és adatvesztés ellen. A szervezetek kötelesek kialakítani a megfelelő adatbiztonsági intézkedéseket a személyes adatok biztonsága érdekében. 

• Az adatvédelmi problémák, incidensek jelentése: A szervezetek kötelesek jelenteni az adatvédelmi incidenseket a hatóságok és az érintett személyek felé. 
• A megfelelő hozzájárulási nyilatkozat elkészítése: A hozzájárulási nyilatkozatot közérthető nyelven, világosan megfogalmazva kell elkészíteni. A jogi szakkifejezésekkel telezsúfolt nyilatkozat nem tekinthető megfelelő tájékoztatáson alapulónak. 

• Jogalap meghatározása: A szervezeteknek kötelességük meghatározni az adatfeldolgozás jogalapját.
• Adatvédelmi tájékoztató készítése: A tájékoztatónak közérthető nyelven tartalmaznia kell az adatfeldolgozással kapcsolatos valamennyi információt, így például az adatfeldolgozás célját, időtartamát, az érintettek jogait vagy az adattovábbítás címzettjeit. 
• Adatvédelmi panaszkezelési eljárások: Lehetőséget kell nyújtani az egyéneknek az adatvédelemmel kapcsolatos panaszaik benyújtásához, melynek érdekében ki kell dolgozni az adatvédelmi panaszkezelési eljárásokat.
• Adatvédelmi oktatás: A szervezet valamennyi munkatársa részére adatvédelmi oktatást kell tartani, amely segíti őket az adatvédelemmel kapcsolatos követelmények megértésében és betartásában. 

A fent felsorolt GDPR adatvédelmi kötelezettségek garantálják a személyes adatok védelmét és tiszteletben tartását az Európai Unióban. 

GDPR-megfelelés

A GDPR számos fontos előírással él az adatbiztonság megőrzése érdekében, azonban felmerülhet a kérdés, hogy miként lehet megfelelni a rengeteg irányelvnek, és milyen változtatásokat kell eszközölni a szervezet belső folyamataiban a megfelelés érdekében. 

A GDPR megfeleléshez szükséges lépések

A GDPR megfeleléshez az alábbi pontokat szükséges alaposan tanulmányozni, és a mindennapi működés során folyamatosan felülvizsgálni, ellenőrizni:

• Az adatfeldolgozáshoz használt eszközökhöz való jogosulatlan hozzáférés megakadályozása;
• Feldolgozó rendszerek titkosítása és integritásának biztosítása;
• Személyes adatok titkosítása;
• Rendszeres adatvédelmi hatásvizsgálatok, adatvédelmi ellenőrzése;
• A technikai és szervezeten belüli intézkedések hatékonyságának tesztelése. 

A GDPR-nak való megfelelés tehát egy kihívásokkal teli folyamat. A szervezeteknek felül kell vizsgálniuk az adatkezelési folyamataikat, valamint meg kell határozniuk, hogy ez milyen kockázatokat rejt magában. A folyamat során figyelembe kell venniük a vállalkozás jellemzőit és a működési környezetét is.

Ha nem felelsz meg a GDPR előírásainak, akkor akár 20 millió eurós bírsággal is számolhatsz. Ennek mértéke függ a szabálysértés súlyosságától vagy az éves globális árbevétel nagyságától. Emellett a bírságok mértékére az adott ország adatvédelmi hatóságának is hatása van. 

Az adatvédelmi tisztviselő szerepe

Az adatvédelmi tisztviselő (DPO) a GDPR egyik kulcsfontosságú szereplője. Feladatai közé tartozik az adatvédelmi jogszabályok betartásának felügyelete és az adatvédelmi gyakorlatok kidolgozása, valamint végrehajtása egy adott szervezeten belül. Az adatvédelmi tisztviselő felelős tehát a GDPR megfelelésért. A tisztviselő közvetlen kapcsolatban állhat a különböző adatvédelmi hatóságokkal, valamint az érintett személyekkel is. 

Mindenkiben felmerül a kérdés, hogy vajon minden szervezet köteles-e adatvédelmi tisztviselőt megbízni. Az adatvédelmi tisztviselő megbízására irányuló kötelezettséget a vállalkozás fő tevékenységéhez szükséges adatkezelési tevékenység összetettsége határozza meg.

Amennyiben egy szervezet köteles adatvédelmi tisztviselőt foglalkoztatni, abban az esetben eldöntheti, hogy belső vagy külső adatvédelmi tisztviselőt nevez-e ki. 

GDPR-ellenőrzések és végrehajtás

Az általános adatvédelmi rendelet (GDPR) előírásainak betartását az adatvédelmi hatóságok vagy az általuk kijelölt ellenőrző szervek végzik.

Az ellenőrzés során megvizsgálják az adatkezelők tevékenységeit, valamint az adatvédelmi szabályzatot és nyilatkozatot. Az ellenőrző szervek felülvizsgálják a GDPR irányelveinek való megfelelést és azonosítják a hiányosságokat.

Az ellenőrzés során az ellenőrök olyan területeket vizsgálnak meg, mint például:

• az adatfeldolgozás jogalapja;
• az adatvédelmi szabályzat és nyilatkozat megfelelősége;
• az adatbiztonsági intézkedések;
• az adattárolás és –törlés folyamata;
• az érintettek jogainak gyakorlása.

Ha az ellenőrzést végző szervek hibákat vagy hiányosságokat találnak, akkor kötelezettségeket írhatnak elő, vagy szükség esetén szankciókat alkalmazhatnak. Ilyen szankciók lehetnek például a pénzbírság, az adatkezelés azonnali megszüntetése, hatósági eljárások indítása, jogi eljárások és a partnerek bizalomvesztése. 

A GDPR hatásai a szervezetekre és az egyénekre

A GDPR bevezetése jelentős hatást gyakorolt mind a szervezetek, mind pedig az egyének mindennapjaira. Nőtt a tudatosság és a felelősségérzet az adatvédelem területén, hozzátennénk, hogy nem kis mértékben  a szankciók visszatartó erejének köszönhetően . Ugyanakkor legyen szó akár jogi, akár természetes személyről, a kezelt adatok gazdái is egyre tudatosabban gondolkodnak adataik védelméről, jogaik érvényesítéséről.

Hogyan hatott a GDPR a szervezetekre?

A GDPR hatályba lépése jelentős hatással volt a szervezetek mindennapjaira. Ezek elsősorban az alábbi területen hoztak érezhető változást:

• A szervezeteknek nagyobb felelősséget kellett vállalniuk a személyes adatok kezelésében és a megfelelő adatvédelmi intézkedések kialakításában. A rendelkezések megsértése súlyos pénzbírságokkal és hírnévromlással járhat.  
• A szervezeteknek biztosítaniuk kell az egyéneknek az adatvédelmi jogukat, a rájuk vonatkozó személyes adatok hozzáférését, az adatok helyesbítését, törlését vagy hordozhatóságát. 
• A GDPR nagyobb hatalommal ruházta fel az adatvédelmi hatóságokat az adatvédelmi rendeletek ellenőrzése és betartatása érdekében.
• A GDPR hatására nőtt az adatvédelmi kultúra szerepe a szervezetek életében. Fontos, hogy minden munkatárs tisztában legyen az adatvédelmi követelményekkel és a követelmények betartását biztosító intézkedésekkel, folyamatokkal. 
• A GDPR bevezetésével nőttek a vállalkozások adatvédelemmel kapcsolatos költségei is. 
• A rendelet hatályba lépése nagyobb adatvédelmi tudatossághoz vezetett a szervezeteken belül. 

A GDPR bevezetése tehát igen kedvező hatással volt az adatvédelemre és a személyes adatok kezelésére az EU tagországaiban. Habár a szervezeteknek jóval több követelményt kell szem előtt tartania a mindennapi tevékenysége során, a GDPR nagyban segíti az alanyok jogainak védelmét. 

Hogyan hatott a GDPR az egyénre?

A GDPR hatályba lépése óta a cégek mellett az egyének is jelentős figyelmet fordítanak az személyes adataik védelemre. Egyre tudatosabbak a felhasználók az adatvédelemmel és az adatvédelmi jogaikkal kapcsolatban.

A GDPR bevezetése előtt a felhasználók sok esetben nem voltak tisztában azzal, hogy pontosan milyen adatokat tárolnak róluk vagy hogyan használják fel azokat. A GDPR életbe lépésével azonban kötelezővé vált az alanyok közérthető tájékoztatása, mely az adatvédelemmel kapcsolatos tudatosság kialakulásához vezetett. 

Mindemellett nőtt az egyén joga, kontrollja és befolyása a személyes adatai kezelése felett. Az alanyok többek között kérhetik az adataik törlését, továbbítását vagy helyesbítését. 

A szigorú GDPR előírásoknak köszönhetően a személyes adatok megsértéséről azonnali értesítést és megfelelő védelmet kapnak az alanyok, mely nagyobb biztonságot jelent az egyéneknek.  

Mit hoz a jövő?

A folyamatosan megjelenő újabb és újabb technológiák jelentős próbatétel elé állítják a GDPR rendeletet. Az IoT eszközök pontosabb és összetettebb adatgyűjtést tesznek lehetővé, mely az adatvédelmi előírások átalakítását, innovációját vonja maga után az egyének jogainak és adatainak védelme érdekében. 

Új technológiai eszközök: mesterséges intelligencia és IoT eszközök

A mesterséges intelligencia úgy vált a mindennapjaink szerves részévé, hogy lényegében észre sem vettük. A mesterséges intelligencia a gazdaság legtöbb ágazatában jelen van, így például a bankszektorban, az egészségügyben vagy a marketing területén. Napjaink egyik legfelkapottabb témája a ChatGPT. Az OpenAI által kifejlesztett mesterséges intelligencia nyelvi modelljét felhasználók ezrei használják információszerzésre. 

Ezek az ágazatok gyakran érzékeny személyes adatokat kezelnek, ez pedig rengeteg adatvédelmi kérdést vet fel. 

Épp emiatt, a GDPR hatályba lépése jelentős hatással volt az olyan új technológiák fejlődésére, mint például a mesterséges intelligencia (MI) vagy az IoT eszközök, mivel ezek a technológiák jelentős mennyiségű személyes adatok gyűjtenek és dolgoznak fel.

Az adatvédelmi rendelet szigorú és fontos előírásokat tartalmaz a személyes adatok kezelésére vonatkozóan, mely előírásoknak az IoT és a mesterséges intelligencia eszközöknek is meg kell felelniük:

• Az új technológiák fejlesztése során nagyobb figyelmet kell fordítani a GDPR által előírt adatvédelmi megközelítésre. Az IoT eszközöket és MI technológiákat úgy kell megtervezni, hogy azok megfeleljenek a hatályos jogszabályoknak, így már a tervezési folyamat során is figyelembe kell venni a GDPR előírásait. 

• A GDPR értelmében az IoT és az MI eszközöknek biztosítaniuk kell a felhasználóknak a személyes adataikhoz való hozzáférést, valamint azok módosítását vagy törlését. 
• Az IoT és MI eszközöknek lehetővé kell tenniük az alanyok számára, hogy meghatározzák az adatvédelmi beállításaikat. 
• Az IoT és MI eszközöknek fel kell készülniük az adatbiztonság garantálására és az esetleges külső támadások kivédésére.
• A mesterséges intelligencia eszközök és alkalmazások esetében kiemelt fontosságú az átláthatóság és a döntési folyamatok megindokolhatósága. 

A GDPR tehát fontos szereppel bír az új technológiák fejlesztése során, és arra kötelezi a fejlesztőket, hogy nagyobb figyelmet fordítsanak az adatvédelemre. Az adatvédelmi jogokra és követelményekre vonatkozó GDPR irányelvek hozzájárulnak a biztonságosabb technológiák fejlesztéséhez. 

Az IoT eszközök esetében az adatvédelmi előírásoknak való megfelelés jelentős kihívást jelent a fejlesztők számára, mivel ezen eszközök folyamatosan gyűjtenek és továbbítanak személyes adatokat.  Épp emiatt az IoT eszközök gyártói kötelesek megbizonyosodni arról, hogy az adatgyűjtés- és feldolgozás a GDPR-nak megfelelően történik-e, valamint tájékoztatási kötelezettséggel tartoznak a felhasználók felé a gyűjtött adatok jellegével és felhasználási módjával kapcsolatban. 

Arcfelismerő technológia és biometrikus adatok

Biometrikus adatok lehetnek például az ujjlenyomatok, az arcfelismeréssel vagy személyes hangfelismeréssel kapcsolatos adatok. A GDPR értelmében fontos, hogy a biometrikus adatok kezelésére csak és kizárólag akkor kerüljön sor, ha elengedhetetlen a korábban kitűzött cél elérése érdekében. 

A különböző arcfelismerő technológiák és biometrikus adatok újabb kihívásokat jelentenek az adatvédelem területén, és az adatbiztonság új szintjét jelentik. Mivel a GDPR szabályozása egyelőre csak korlátozottan tér ki az arcfelismeréssel és biometrikus adatokkal kapcsolatos adatvédelemre, ezért az új technológiák megjelenése a GDPR irányelvek frissítését igényli elő az adatvédelmi fenntartások kezelése érdekében. 

Az Európai Bizottság már évekkel ezelőtt felismerte, hogy szigorítani kell az arcfelismerő technológiák esetében a rendeletet, ezért 2021-ben egy új adatvédelmi irányelvet javasoltak. Ez a rendelet kiterjed az olyan új technológiákkal kapcsolatos adatvédelmi előírásokra is, mint az arcfelismerés és a biometrikus adatok. 

Mivel az arcfelismerő technológiák és a biometrikus adatok használata során különösen érzékeny adatkezelésre kerül sor, ezért ezen adatgyűjtés csak és kizárólag abban az esetben végezhető el, ha az érintett alany hozzájárul ahhoz. Az ilyen technológiák esetében az egyik legjelentősebb feladat az átláthatóság biztosítása és az adatkezelés céljának pontos meghatározása. 

Az új adatvédelmi irányelv célja, hogy az adatvédelmi intézkedések szigorítása mellett növelje az adatvédelmi rendeletek rugalmasságát az új technológiákra való minél gyorsabb és hatékonyabb reagálás érdekében. Ezzel kívánják garantálni az érintettek személyes adatainak minél magasabb szintű védelmét. 

Az új technológiák és az adatvédelmi aggályok miatt a GDPR szabályozás folyamatosan változik, és további szigorításokra lehet számítani az arcfelismerő technológiák és a biometrikus adatok kezelésére vonatkozóan. 

Gyakorlati lépések, amiket meg kell tenned weboldal-tulajdonosként

Weboldal-tulajdonosként számos lépést kell megtenned annak érdekében, hogy biztosítsd magadat és a látogatóidat arról, hogy a weboldalad valóban GDPR kompatibilis.  Minden vállalkozás  más-más tevékenységet végez, így a weboldalukra vonatkozó GDPR-előírások betartásának módjában is lehetnek eltérések. 

Ezen előírások betartásához érdemes az alábbi lépéseken végigmenned, és testreszabott eljárásokat kidolgoznod  – akár jogi és IT-s szakember bevonásával – a legmagasabb mértékű adatbiztonság érdekében. 

• Ellenőrizd le, hogy milyen személyes adatokat tárolsz az alanyokról, és azokhoz ki férhet hozzá.
• Vizsgáld felül a weboldalad biztonságát. Nem csupán a weboldalon tárolt adatokat, hanem magát a weboldalt is védeni kell a különböző külső támadásoktól. Az ilyen jellegű támadások kivédésére telepíts SSL-tanúsítványt, használj erős rendszergazdai jelszavakat és víruskereső szoftvereket. Csak annyi személyes adatot tárolj, amennyi szükséges, és csak akkor oszd meg harmadik féllel, ha feltétlenül szükséges.
• Frissítsd az adatvédelmi nyilatkozatodat. A szabályzat elsődleges célja, hogy közérthető módon tájékoztassa a látogatókat az adatgyűjtés céljáról, tárolásáról és a felhasználók jogairól. 
• Alakíts ki egyértelmű és világos beleegyezési mechanizmusokat, amelyek segítségével a felhasználók valóban csak akkor adnak hozzáférést a személyes adatokhoz, ha tényleg így szeretnének tenni. 
• Ha e-mail listával is rendelkezel, akkor engedélyt kell kérned a felhasználóktól az e-mailek küldéséhez. Lehetőséget kell biztosítanod a hívlevelekről való leiratkozásra is az e-mailekben található leiratkozási link segítségével. 
• Használj cookie-bannert a GDPR cookie-hoz való hozzájárulás elfogadásához. A cookie-banner tájékoztatja a weboldalad látogatóit arról, hogy milyen információkat tárolnak a sütik. Emellett lehetőséget kell biztosítani a cookie-k megtagadására is.

• Ha űrlapok is szerepelnek a weboldaladon, akkor ne felejts el gondoskodni az adatvédelmi nyilatkozatról és szabályzatról. Kérj hozzájárulást az adatgyűjtéshez, valamint add meg a felhasználóknak a döntési jogot a kapcsolódó szolgáltatásokkal kapcsolatos levelek küldéséhez egy jelölőnégyzet segítségével. 

• Kiemelten fontos szempont a harmadik féltől származó szolgáltatások és adatfeldolgozók GDPR szempontok szerinti értékelése. Ha egy szolgáltató a te nevedben végez munkát, akkor a tevékenysége során meg kell felelnie az adatvédelmi szabályzatodnak és a GDPR előírásainak is. 
• A webes felhasználók jogai közé tartozik a róluk tárolt személyes adatokhoz való hozzáférés, valamint azoknak a helyesbítése és törlése. Fontos, hogy ezen jogokat könnyen érvényesíteni tudják az alanyok. A GDPR nem határozza meg, hogy miként kell biztosítani ezen jogok gyakorlásának lehetőségét, de egy egyszerű mód lehet a weboldal láblécében elhelyezett link vagy gomb.  
• Készíts cselekvési tervet az esetleges adatvédelmi incidensek esetére. Ez tartalmazza az adatszivárgás esetén szükséges vizsgálatok menetét, a letiltandó hozzáféréseket, a felügyeleti hatóság értesítésének lépéseit és az érintett felhasználók értesítésének menetét.
• EU-n kívüli országokba történő adatátvitel esetén végezz kockázatelemzést, vizsgáld meg a fogadó ország adatvédelmi rendszerét és a nélkülözhetetlen megállapodások meglétét.

Összefoglalás

Összességében elmondható, hogy a GDPR fő célkitűzése az egyének jogainak védelme a személyes adataik kezelésével kapcsolatban. A GDPR szigorú követelményeket támaszt a vállalkozásokkal szemben a személyes adatok kezelése során, és nagyobb átláthatóságot biztosít az egyéneknek az adataik feldolgozásakor.

A GDPR rendelkezései az EU összes tagállamára nézve kötelezően betartandó szabályoknak minősülnek, azonban az EU-n kívüli vállalkozásokra is kiterjed, ha az adott cég az EU állampolgárainak adatait kezeli. 

A GDPR adatvédelmi előírásainak megszegése súlyos pénzbírsággal, akár hírnévromlással is járhat. Emiatt minden szervezet kénytelen arra törekedni, hogy minden tekintetben megfeleljen a GDPR előírásainak.