Április óta folyamatosan erről beszélnek, a csapból is ez folyik, és még ha valaki nem is olvas híreket, május 25. óta akkor is találkozik vele így vagy úgy. Kis- és nagyvállalatok egyaránt mindent megtesznek annak érdekében, hogy megfeleljenek az új törvénynek. De mit kell tudni róla?
A GDPR egy angol rövidítés, nevezetesen a General Data Protection Regulation, vagyis Általános Adatvédelmi Rendelet betűszava. Az Unió fennállása óta eddig ez a legjelentősebb szabályozás, ami az internetet és a technológiát érinti, bár ha jobban megnézzük, lényegében több, már létező törvény egységesítése oly módon, hogy megfeleljenek az egész EU-ban fellelhető törvényi kereteknek. Ez egységesítést is jelent, tehát megszűnnek az eddigi eltérések a tagországok között.
Az egyik legfontosabb pontja az átlag felhasználók adatvédelmi jogainak érvényesítése, vonatkozzon ez a magánéletükre vagy a tartalomra, amit online előállítanak. A rendelet elsősorban azt kívánja szabályozni, hogy a különböző cégek hogyan gyűjtik, tárolják és kezelik ezeket az adatokat. A GDPR-nek köszönhetően minden adatbegyűjtésről kötelesek tájékoztatni az ügyfeleiket és a kifejezett hozzájárulásukat kérni arra, hogy felhasználhassák azokat. Mindemellett arról is teljes körű tájékoztatást kell adjanak, hogy milyen célra kívánják felhasználni a megszerzett információkat.
Ezeket a személyes adatokat kötelesek titkosítani egy ún. pszeudoanonimizációs folyamat részeként, ami lényegében annyit jelent, hogy egy-egy tárolt adat nem lehet összekapcsolható konkrét személlyel valamiféle plusz információ megadása nélkül. Személyes adatnak minősül egyébként szinte minden olyan infó, ami sikeresen beazonosít egy konkrét illetőt. Mi tartozik ebbe bele? Nevek, email címek, képek, banki információk, a közösségi oldalakon közzétett posztok, egészségügyi leletek és IP címek.
Emellett a felhasználóknak joguk van tudni, hogy melyik cég milyen személyes adatukat tárolja, és a legfontosabb, hogy bármikor kérhetik ezen adatok törlését, ha úgy érzik, hogy megsértik a személyiségi jogaikat.
Amennyiben a vállalatok által tárolt információk kiszivárognak – legyen az szándékos lopás vagy véletlen adatvesztés következménye –, a cégek kötelesek azt 72 órán belül jelenteni a hatóságoknak (bár a felhasználóknak csak abban az esetben, ha erre utasítást kapnak). De ezzel lényegében megszűnik az a veszély, hogy egyes cégek eltitkolhassák az ilyen incidenseket, többé nem lesz titok sem a versenytársak, sem a partnerek előtt.
Kikre vonatkozik egyáltalán ez a törvény?
Leegyszerűsítve: ha bármilyen terméket vagy szolgáltatást nyújt egy vállalat bárkinek az EU-n belül, akkor máris érvényes rá – értve ez alatt a NEM EU székhelyű cégeket is, ugyanis őket is megbüntethetik, amennyiben nem tartják be a rendeletet. Bizonyos cégek részéről komoly előkészületeket igényel, hogy összhangban legyenek a GDPR-rel. Akik eddig nem foglalkoztak azzal, hogy kiről milyen adatot tárolnak, jobban teszik, ha minél előbb leltározzák és összegyűjtik azokat – ellátva persze a megfelelő védelemmel. Mindemellett a munkatársakat is érdemes minél előbb megfelelő oktatásban részesíteni ami az alapvető adatbiztonsági kérdéskört illeti, és minél több hasznos információval ellátni őket, mert a GDPR-kompatibilitás bőven túlmutat az IT osztály feladatkörén, a cégek ugyanis egységesen vállalnak felelősséget a rendelet betartásáért.
Márpedig ha valaki nem áll megfelelően készen, akkor komoly büntetésekre számíthat. Bármely társaság, amit törvényszegésen kapnak május 25. után, vagy az éves forgalmának 4%-át vagy 20 millió eurót lesz kénytelen fizetni – a kettő közül mindig a nagyobbat.
Persze azt még nem lehet tudni, hogy miként fogják betartatni a rendeletet, és hogy ezek a szabályok egyformán érvényesek lesznek a kis- és nagyvállalatokra egyaránt, de nem árt felkészülni mindenre.
Forrás: techradar.com