A GDPR egy rövidítés, ami az EU-s Adatvédelmi Rendelet angol nevéből ered: General Data Protection Regulation. A fenti rendelet pontos neve az alábbi: a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló 2016/679 az Európai Parlament és a Tanács rendeletének (ún. általános adatvédelmi rendelet).
A GDPR-t az Európai Parlament 2016 áprilisában fogadta el, és a jogszabály már 2016-ban hatályba is lépett. A GDPR-t azonban csak 2018. május 25-től kell kötelezően az egész Európai Unióban alkalmazni.
A GDPR-t kötelezően alkalmazni kell az egész Európai Unió területén. Az EU-s rendelet megelőzi a magyar jogi normákat, így közvetlenül kötelező a GDPR szabályainak alkalmazása Magyarországon. A magyar adatvédelmi törvény, az ún. Infotv. 2. § rögzíti is a GDPR és az Infotv. viszonyát. Különösen fontos az Infotv. 2. § (2) bekezdése, amelyben a magyar adatvédelmi törvény előírja, hogy a GDPR hatálya alá tartozó adatkezelésekre az Infotv. melyik szakaszait szükséges a GDPR mellett alkalmazni még, mint kiegészítő rendelkezéseket.
Bármilyen természetes személyhez vagy vállalkozáshoz kapcsolódó információ, aminek segítségével közvetve vagy közvetlenül azonosítani lehet a személyt. Bármi lehet ez, példálózva a névtől kezdődően egy fényképig, e-mail címig, banki adatokig, közösségi médián megjelenő posztokig, orvosi információkig vagy egy számítógép IP-címéig, de ide tartoznak a tanulók, hallgatók érdemjegyei és vizsgateljesítményei, az önéletrajzi adatok, vagy a hangfelvétel is.
Mindazon tevékenység, mely a személyes adat kezelésével foglalkozik, tehát az is, ha valaki pusztán megtekinti a személyes adatot, vagy tárolja, begyűjti, rendszerezi.
A GDPR nemcsak az EU-ban elhelyezkedő adatkezelést végzőkre vonatkozik, hanem az EU-n kívüli szervezeteket is érinti, ha árukat vagy szolgáltatásokat ajánlanak EU-s adatalanynak, vagy amennyiben az érintett az EU-ban tartózkodik. Vonatkozik minden olyan adatkezelőre, amely az Európai Unión belüli adatalanyok személyes adatait kezeli, függetlenül attól, hogy az adatkezelő maga nem az EU-n belül van.
Az érintettek azon természetes személyek (emberek), akiknek személyes adatát kezelik. Lényegében az adatvédelmi folyamatok jogosultjaként definiálhatók ők. Számos érintetti jogot definiál a GDPR – köztük a személyes adatokhoz való másolati jogot, az adatkezelés elleni tiltakozás jogát, vagy a személyes adatok törlésére irányuló kérés jogát.
Az adatkezelést végzők akár az éves árbevételük 4%-ával vagy 20 millió euróval is megbírságolhatók, ha megsértik a GDPR-t. Ez a maximális bírság, amit ki lehet szabni a legsúlyosabb jogsértésekért, például az adatvédelmi alapelvek megsértése esetén, vagy az érintetti joggyakorlás sérüléséért.
Az adatkezelő az a személy vagy szervezet, aki vagy amely meghatározza az adatkezelés céljait, feltételeit és a személyes adat kezelésének eszközeit. Az adatfeldolgozó egy olyan közreműködő személy vagy szervezet, aki vagy amely az adatkezelő utasításai alapján kezeli a személyes adatokat az adatkezelő nevében, és az adatkezelőtől jogilag elkülönül.
Az alapelvek az adatkezelések jogszerűségének kereteit határozzák meg. Ezen alapelvek betartásának kötelezettsége elsődleges a személyes adatokat kezelők számára.
Az alapelvek az alábbiak.
Tehát az érintett számára transzparens módon kell eljárni, megfelelő jogalap mentén, az adatkezelés során nem lehetnek az érintettek jogvédelmében „kiskapuk”, rejtett elemek.
Az adatgyűjtés jól meghatározott, jogszerű célból történhet, a kitűzött célokkal össze nem egyeztethető módon nem lehet ezeket kezelni.
Csakis az igazán szükséges és az adott cél megvalósulása tekintetében még éppen elégséges személyes adatokat lehetséges kezelni. Tilos a készletező, „jó lesz az majd a jövőben valamire”-típusú adatkezelés.
Az adatoknak a valósággal megegyezőnek kell lennie, ellenkező esetben mindent meg kell tenni annak érdekében, hogy az adatokat korrigálják vagy töröljék.
Az érintetteket csak addig lehessen beazonosítani személyes adataik mentén, míg a személyes adatok kezelésének célját el nem éri az adatkezelést végző.
A személyes adatok tárolását oly módon kell végrehajtani, hogy védve legyenek jogosulatlan vagy jogellenes kezeléstől, illetve ne lehessen elveszteni, megsemmisíteni vagy károsítani.
A GDPR nagy újítása az elszámoltathatóság bevezetése. Az adatkezelő a fentebb részletezett pontoknak köteles megfelelni, és megfelelőségét dokumentumokkal alátámasztani. Tehát itt fordított bizonyítási kényszer áll fenn, azaz nem az adatvédelmi hatóságnak, érintettnek kell bizonyítania, hogy jogszerűtlen kezelés történt, hanem az adatkezelést végzőnek szükséges igazolni azt, hogy megfelel az előírásoknak. Ezt megfelelő eljárásrendek kialakításával, nyilvántartás-vezetéssel, adatvédelmi dokumentációs anyagok használatával és ezek alkalmazásának belső ellenőrzésével, továbbá dokumentált tudatosság-növeléssel tudja megtenni.
