Mi az általános adatvédelmi rendelet (GDPR)?
Az általános adatvédelmi rendelet (GDPR) egy jogi keret, amely iránymutatásokat határoz meg az Európai Unióban (EU) élő személyektől származó személyes adatok gyűjtésére és feldolgozására. Mivel a rendeletet a webhelyek alapjától függetlenül kell alkalmazni, azt minden olyan oldalnak figyelembe kell vennie, amelyek vonzzák az európai látogatókat, még akkor is, ha nem árukat vagy szolgáltatásokat hoznak kifejezetten az EU-ban élők számára.
A GDPR előírja, hogy az EU látogatóinak számos adatot közöljenek. A weboldalnak lépéseket kell tennie az ilyen uniós fogyasztói jogok megkönnyítése érdekében, mint a személyes adatok megsértése esetén történő időben történő értesítés. A 2016. áprilisában elfogadott rendelet teljes mértékben hatályba lépett 2018. májusában, kétéves átmeneti időszak után.
A GDPR ügyfélszolgálati követelményei
A szabályok szerint a Látogatás gombra kattintással vagy más intézkedéssel a látogatókat értesíteni kell a weboldal által tőlük gyűjtött adatokról, és kifejezetten hozzájárulniuk kell az információgyűjtéshez. (Ez a követelmény nagymértékben magyarázza a közzétételek mindenütt jelenlévő jelenségét, amely szerint a webhelyek „sütiket” gyűjtenek - olyan kis fájlokat, amelyek személyes információkat tartalmaznak, például a webhely beállításait és beállításait.)
A webhelyeknek időben értesíteniük kell a látogatókat is, ha a weboldalon tárolt személyes adataik megsértésre kerülnek. Ezek az EU-követelmények szigorúbbak lehetnek, mint amelyeket a telephely elhelyezkedésének joghatósága előír.
Ugyancsak megbízást kell adni a webhely adatbiztonságának felmérésére, és arra, hogy fel kell-e bízni egy adatvédelmi tisztviselõt (DPO), vagy egy létezõ alkalmazott képes ellátni ezt a funkciót.
Az adatvédelmi tisztviselővel és más releváns személyzettel való kapcsolatfelvételre vonatkozó információknak hozzáférhetőeknek kell lenniük annak érdekében, hogy a látogatók gyakorolhassák az EU adatvédelmi jogaikat, ideértve többek között azt a képességet, hogy a webhelyen való jelenlétüket töröljék. (Természetesen a webhelynek személyzettel és egyéb erőforrásokkal kell kiegészítenie az ilyen kérések teljesítéséhez.)
Az általános adatvédelmi rendelet (GDPR) egyéb szabályai és megbízatásai
A fogyasztók további védelme érdekében a GDPR azt is megköveteli, hogy a webhelyek által gyűjtött személyes azonosításra alkalmas információkat (PII) anonimizálják (anonimvá tegyék, ahogy a kifejezés azt sugallja), vagy álnévvel (a fogyasztó személyazonosságát álnévvel helyettesítsék). Az adatok álnévbevonása lehetővé teszi a cégek számára, hogy valamilyen szélesebb körű adatelemzést végezzenek, például egy adott régióban működő ügyfelek átlagos adósságrátájának felmérésekor - olyan számításnál, amely egyébként meghaladhatja a kölcsön hitelképességének felmérésére gyűjtött adatok eredeti céljait.
A GDPR az ügyfelektől gyűjtött adatokat meghaladó mértékben érinti. Különösen figyelemre méltó, hogy valószínűleg a rendelet az alkalmazottak emberi erőforrás nyilvántartására vonatkozik.
A GDPR-rel kapcsolatos viták
A GDPR néhány negyedévben kritikát vonzott. Egyesek szerint az adatvédelmi tisztviselők kinevezésének követelménye, vagy egyszerűen azért, hogy felmérjék őket, szükségtelen adminisztratív terhet ró egyes társaságokra. Néhányan azt is kifogásolják, hogy az iránymutatások túlságosan homályosak abban, hogy miként lehet a legjobban kezelni az alkalmazottak adatait.
Ezen túlmenően az adatok nem továbbíthatók az EU-n kívüli más országokba, kivéve, ha az átvevő társaság garantálja az EU által megkövetelt szintű védelmet. Ez panaszokat eredményezett az üzleti gyakorlatok költséges megszakításával kapcsolatban.
További aggodalomra ad okot, hogy a GDPR-hez kapcsolódó költségek az idő múlásával növekedni fognak, részben azért, mert egyre növekszik az igény az ügyfelek és a munkavállalók számára az adatvédelmi fenyegetések és jogorvoslatok vonatkozásában. Szkepticizmus is az, hogy az adatvédelmi ügynökségek az EU-ban és azon kívül megvalósíthatóan hogyan tudják összehangolni végrehajtásukat és a rendeletek értelmezését, és így biztosítják az egyenlő versenyfeltételeket, mivel a GDPR teljes mértékben érvényesül.
