Az adatvédelem fogalma a kezelt személyes adatok megóvása mellett a személyes adatokkal bíró ember védelme, hiszen így kisebb eséllyel eshet áldozatául egy bűncselekménynek. Emellett a bankok és más fontosabb intézmények által alkalmazott identifikáció is egy komoly védőhálót jelent a GDPR és más jogszabályok betartása mellett.
Az adatvédelem kitér a személyes adatok és az érzékeny személyes adatok gyűjtésének, felhasználásának, illetve feldolgozásának módjára. Ebben a kérdéskörben a vonatkozó jogszabályok szerint járhatsz el megfelelő módon: amennyiben az EU-ban gyűjtöd és kezeled a személyes adatokat, úgy a GDPR szabályai vonatkoznak rád. Az adatvédelemre ugyanis országonként vagy területenként eltérő jogszabályok vonatkoznak.
Az adatvédelem fogalma tehát segít megérteni az adatok megóvásának fontosságát, és eszközt ad számodra a jogszabályok betartásához. Cikkünkben részletesen bemutatjuk a jogszabályok legfontosabb kérdéseire a válaszokat!
Védett adatok
Az adatvédelemben megkülönböztetünk személyes és érzékeny személyes adatokat. Az első csoportba tartozik minden olyan információ, amivel azonosítható az adott személy. A második csoportba pedig az érzékenyebb információk tartoznak, melyek jellemzően az egyén valamilyen hovatartozására vagy irányultságára vonatkoznak.
Pontosan mi tartozik a csoportokba?
Az adatvédelem számos olyan területre is kitér, amiről nem is gondolnád, hogy védett adatokat tartalmazhat. Az adatvédelem jogszabály az alábbi eseteket határozta meg:
- Személyes adatok: például vezetéknév és utónév, lakcím, magán e-mail cím, IP-cím, helymeghatározást segítő adatok, süti azonosító, telefon hirdetési azonosítója, egyedi azonosítást lehetővé tevő adatok, például az egészségügyi ellátás során. Ezeken felül azok a vállalkozással kapcsolatos e-mail címek is ide tartoznak, melyekben szerepel a személy saját neve.
- Érzékeny személyes adatok: például bőrszín, genetikai és biometrikus adatok, faji vagy etnikai hovatartozás, vallási vagy világnézeti meggyőződés, politikai vélemény, szexuális irányultság, egészségügyi állapot, valamint szakszervezeti tagság.
A fentiekből tehát láthatod, hogy az adatvédelem szerves része az életünknek. Azonban jó tudni, hogy nem tartoznak a személyes adatok körébe azok a személyes adatok, melyek egy vissza nem fordítható anonimizáláson mentek keresztül. Az anonimizálás egy technikai eljárás az adatvédelemben, amivel biztosítható, hogy a természetes személy és az adat közötti kapcsolat véglegesen megszakad és nem állítható vissza semmilyen módon.
Mutatunk néhány főbb módszert:
- Általánosítás: Amikor minden számokból álló személyes adatot egy adott számsorral helyettesítünk a technikai eljárás során.
- Kitakarás: Amikor az érzékenyebb adatokat eltakarjuk.
- Véletlen zaj: Amikor nem pontos értékeket adunk meg például egy könnyen beazonosítható, kisebb terület valamilyen betegségben szenvedők csoportjára.
Ki a felelős az adatvédelemért?
A GDPR kitér arra is, hogy kinek mit kell tenni annak érdekében, hogy a megfelelő keretek között valósuljon meg az adatvédelem. A felelős személyek az adatkezelő, az adatfeldolgozó és a harmadik felek. Nézzük meg őket egyesével!
Adatkezelő
Ez a személy, vállalkozás vagy szervezet határozza meg a személyes adatkezelés célját és módját az adatvédelem jogszabály alapján. Amennyiben a cégedben vagy szervezetedben dolgozó munkavállalók teljesítik ezt a feladatot, attól még a te céged vagy szervezeted lesz az adatkezelő. Ők csak teljesítik a rájuk bízott feladatokat.
Emellett van egy olyan adatvédelmi fogalom is, hogy közös adatkezelő. Ekkor egy vagy több cég, illetve szervezet határozza meg az adatkezelés módját és célját. Mindezt úgy, hogy a fennálló felelősség megoszlásáról szerződést írnak egymás között.
Tegyük fel, hogy szeretnél létrehozni egy olyan honlapot, ami a te és másvalaki vállalkozásainak szolgáltatásait ötvözi. Ekkor a kombinált szolgáltatások egy honlapon jelennek meg, így az adatvédelmi feladatok és a felelősség is közös lesz.
Adatfeldolgozó (belső és külső)
Egy vállalkozáscsoporton belül az egyik vállalkozás adatfeldolgozást végezhet a másik vállalkozás számára a GDPR szerint. Emellett az adatkezelő önmagában is lehet adatfeldolgozó, amennyiben ezt a tevékenységet elvégzi. Ekkor belső adatfeldolgozásról beszélünk. Emellett a vállalkozás megbízhat egy harmadik felet is, ekkor külső adatfeldolgozásról lesz szó.
Harmadik fél
Olyan harmadik fél (vállalkozás), aki (ami) csak és kizárólag az adatkezelő megbízásából végzi a személyes adatok kezelését. Erről a felek minden esetben szerződést kötnek, hogy ezzel megfelelően járjanak el az adatvédelmi jogszabálynak.
Amennyiben adatfeldolgozó vállalkozásod van, és szeretnéd kiadni az adatfeldolgozást egy alvállalkozónak, úgy köteles vagy előzetes írásbeli engedélyt kérni az adatkezelőtől. Ha nem egyezik bele, akkor nem adhatod ki az adatokat az adatvédelem miatt.
DRIVE-on videó
Forrás: https://elements.envato.com/script-digital-data-protection-concept-CPYK9J4
Alt text: Fontosak az adatvédelmi intézkedések
Image title: kek-lakat-adatvedelmet-szimbolizalja
Adatvédelem az EU-ban: The General Data Protection Regulation (GDPR)
A GDPR első megjelenését illetően homályos adatok állnak rendelkezésre. Egyes források szerint már az 1940-es években is fellelhető az Emberi Jogok Egyetemes Nyilatkozatában egy említés az adatvédelemről: mégpedig a titkos szavazást biztosító választások lehetősége. Az első GDPR-szerű szabályok az 1970-es években láttak napvilágot Európában.
Ekkor terjedtek el ugyanis a számítógépes nyilvántartások, amelyekben személyes adatokat kezeltek az illetékesek. A következő korszak az 1980-90-es évekre tehető, amikor már az adatkezelés technikájára is adatvédelmi törvények születtek. (Európai Tanács adatvédelmi egyezménye 1981, Magyarországon ugyanez 1988)
Az első modern GDPR törvényrendelet 2016. május 24-én lépett hatályba, azonban a jogalkotók egy két éves türelmi időszakot is elrendeltek, amíg mindenki átállt az új rendszerre. Azóta bizonyára már te is használod a kötelező elemeket a vállalkozásodban, hiszen ezek nélkül nem kezelhetsz személyes adatokat.
Mik a GDPR alapelvei és kikre vonatkozik?
Az adatvédelmi törvények tisztán és világosan megfogalmazzák az alapelveket, így könnyebbé válik a jogszabályok értelmezése is. Az adatvédelem mindenkire vonatkozik, aki adatokat kezel. Még arra is, aki ingyenes anyaghoz gyűjt e-mail címeket. Nézzük meg, hogy mit kell tudnod az alapelvekről!
Transzparencia, jogszerűség és tisztességes eljárás elvei
Az átláthatóság érdekében lényeges, hogy nyomon követhető legyen az adatok kezelése. Emellett fontos, hogy az adatkezelés során megfelelj a vonatkozó jogszabályoknak, ezen kívül még jóhiszeműségből sem adhatod ki a kezelt személyes adatokat egy harmadik fél számára.
Célhoz kötöttség, adattakarékosság, pontosság elvei
Az adatvédelem szerint csak és kizárólag jogszerű és egyértelmű célok érdekében gyűjthetőek személyes adatok, és ennek megfelelően is kell kezelni ezeket. Adattakarékosság alatt pedig azt értjük, hogy csak a feltétlenül szükséges mennyiséget gyűjtheted. Emellett lényeges, hogy az adatbázisodnak pontosnak és naprakésznek kell lennie a GDPR szerint.
Korlátozott tárolhatóság, integritás és bizalmasság elvei
Amennyiben a szerződések vagy más személyes adatot tartalmazó iratok már elévültek, abban az esetben meg kell semmisítened ezeket. Az adatok ugyanis csak a feltétlenül szükséges ideig tárolhatóak az adatvédelem elvei alapján. Ezen felül fontos, hogy az adatok megfelelően biztonságos helyen és módon legyenek tárolva. Ilyen például egy jelszóval védett és elzárt winchester vagy akár egy kétfaktoros azonosítás, amennyiben digitális adatokról van szó. Papír alapú tárolás során pedig a megfelelően őrzött épület zárható irodájának a számzáras vagy kulcsos szekrénye is mérvadó. Így nem férhet hozzá arra jogosulatlan személy, és nem fenyegeti az elvesztés vagy a megsemmisülés lehetősége sem.
Mit kell tenned weboldal-tulajdonosként?
A GDPR szempontjából fontos, hogy egyértelműen és jól látható helyen tájékoztasd a weboldaladra érkezőket az adatgyűjtésről és feldolgozásról.
A weboldal kötelező tartalmi elemei:
- A vállalkozásod adatai, elérhetőségei, és engedélyköteles tevékenység esetén az engedély száma és az engedélyező hatóság adatai;
- Az Adatvédelmi Nyilatkozat elfogadásáról szóló üres checkbox az űrlapokon, valamint ugyanitt be kell linkelned az Adatvédelmi Tájékoztatót is. Emellett szükség van egy tájékoztató jogi szövegre.
- A feliratkozás után biztosítani kell az egy kattintással történő leiratkozási lehetőséget a hírlevélben, és erről értesíteni kell a felhasználót egy jogi szöveg küldésével;
- Legyen egy cookie-sáv, ahol a felhasználó elfogadhatja vagy elutasíthatja az adatgyűjtést;
- Webáruházi rendelés esetén, ha a felhasználó töröltetni szeretné az adatait, úgy értesíteni kell arról, hogy bizonyos adatokat a számviteli törvénynek megfelelően 8 évig meg kell őrizned;
- A weboldalad láblécében fel kell tüntetned az Adatvédelmi Tájékoztató aloldalra vezető linkjét, melynek szövegezése: Adatkezelés vagy Adatvédelmi Tájékoztató.
További adatvédelmi rendeletek
A személyes adatok védelme nemcsak Európában és hazánkban lényeges, hanem a világ más országaiban is. Ennek megfelelően többféle rendelet is létezik az adatvédelemre, melyek közül összegyűjtöttünk néhányat.
Melyek ezek?
- California Consumer Privacy Act (CCPA): Kalifornia állam 2020-ban életbe lépett törvénye, ami a kaliforniai fogyasztók adatvédelméért felel.
- Brazil General Data Protection Law (LGPD): Az adatgyűjtő vállalat székhelyétől függetlenül minden olyan Brazíliában tartózkodó személyre vonatkozik, akiről az adat gyűjtése vagy feldolgozása történik.
- Personal Information Protection and Electronic Documents Act (PIPEDA): Alapvető szabályokat ad arra, hogy hogyan kell kezelnie a vállalkozásoknak a személyes adatokat, illetve az elektronikus dokumentumokat.
- Personal Data Protection Act (PDPA): 2012. évi törvény, ami kitér a személyes adatok védelmére, valamint a felhasználó ezzel kapcsolatos jogaira.
A meg nem felelés következményei
Komoly következményei vannak, ha egy vállalkozás nem felel meg az adatvédelem követelményeinek. Lássuk a számokat!
- GDPR: A jogszabály alapján akár 20 millió eurós (kb 7,5 milliárd forintos) bírsággal vagy a teljes éves bevételük 4%-ával is büntethetőek a szabályszegők.
- CCPA: Jogsértésenként 7500 dolláros (több, mint 2,5 millió forint) bírság is járhat. Emellett a kaliforniai főügyészség akár keresetet is indíthat.
- LGPD: A brazil bevételek 2%-ára bírságolják a szabályszegő vállalkozásokat, ami jogsértésenként maximum 50 millió brazil real (majdnem 4 milliárd forint).
- PIPEDA: A kanadai jogszabályok szerint az adatvédelmi biztos kivizsgálhatja a beérkező panaszokat, amire megfelelőségi utasításokat adhat a vállalkozásnak. Ennek be nem tartása bírósági eljárás és bírság is lehet.
- PDPA: Szingapúrban is komolyan veszik az adatvédelmi szabályokat, hiszen jogsértésenként 10.000 szingapúri dollár (ami több, mint 2,5 millió forint) is lehet a büntetés. Amennyiben visszaesőkről van szó, úgy ez az összeg akár 1 millió is lehet, ami több, mint 258 millió forint.
Konklúzió
Összegzésül az adatvédelem tehát a személyes adatokon és az érzékeny személyes adatokon keresztül hivatott védeni magát az embert. Ennek érdekében számos jogszabályi kötelezettségnek kell megfelelniük a vállalkozásoknak és weblap-tulajdonosoknak.
Segítség azonban, hogy az adatvédelmi alapelvekben tisztán és érthetően kifejtésre került a GDPR és más jogszabályok fő irányvonala. Amennyiben ezeket nem tartja be egy vállalkozás, úgy súlyos büntetésekre számíthat az adott ország adatvédelmi hivatalától.
Te is kezelsz adatokat? Esetleg használod a Google Analytics-et is? Amennyiben többet szeretnél tudni a közelgő GA4-re történő áttérés körülményeiről, úgy érdemes elolvasnod az ebben a témában írt részletes cikkünket!
