Az új rendelet egyik célja, hogy az emberek visszanyerjék ellenőrzésüket személyes adataik felett. Az információs önrendelkezés alapgondolata egyszerű: bármelyik cég bármilyen rendszere kezeli is a személyes adataimat, attól még ezek a sajátjaim, én döntöm el, hogy használhatók-e, és hogy mire használhatók. Az új adatvédelmi rendelet 4. cikke szerint személyes adat az „azonosított vagy azonosítható természetes személyre vonatkozó bármely információ”; az azonosítás alapja lehet „név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező”. Mivel gyakorlatilag nincs olyan cég, amely ne kezelne egy vagy több adattípust a felsoroltak közül, a szabályozás változását szinte senki sem hagyhatja figyelmen kívül.

A rendelet szerint a személyes adatok felhasználásáról egyértelműen és érthetően kell tájékoztatni, és csak akkor lehet őket felhasználni, ha a hozzájárulás önkéntes, konkrét és egyértelmű. Törölni kell az adatokat, ha megőrzésüket nem támasztják alá jogos érdekek, vagy ha ez az ügyfél kifejezett kérése. Meg kell könnyíteni a szolgáltatók közötti adathordozást. Az adatok feltöréséről 72 órán belül tájékoztatni kell. Ahol ez lehetséges, például számos big data alkalmazásnál, álnevesítést célszerű alkalmazni – csak néhány a GDPR-ben ismertetett feladatok közül. Az adatvédelmi biztosítékokat már a folyamatok legkorábbi szakaszában be kell építeni, ami szintén azt jelzi, hogy az új szabályozás gyökeres változásokat hoz.

A szabályozás az európai cégek érdekeit is védi. A korábbi, országonként eltérő szabályozás mellett működő felügyeletek helyébe egyetlen uniós felügyeleti hatóság lép (az egyablakos ügyintézés uniós szinten önmagában több milliárd eurós megtakarítást jelent). Az EU-n kívüli cégeknek – amennyiben az EU-ban szolgáltatnak – ugyanazoknak a szabályoknak kell megfelelniük, mint az itt működőknek. A kkv-k számára további könnyítés, hogy hatásvizsgálatot csak magas kockázat esetén kell végezniük, és – ha nem az adatfeldolgozás a fő tevékenységük – nem kell kijelölniük adatvédelmi tisztviselőt sem, a nagyvállalatoknak azonban kötelező.

A rendelet szankciókat is kilátásba helyez: arra a társaságra, amely nem felel meg az új előírásoknak, vagy kárt okoz, akár globális éves árbevétele 4 százalékára rúgó (vagy 20 millió eurós) büntetés is kiszabható. Ez sok cégnél a profit jó részét elviheti, nem érdemes tehát félvállról venni a dolgot.

A felkészülés több hónapot is igénybe vehet, lassan tehát az utolsó pillanatokhoz érkezünk. Magyarországon azt látjuk, hogy a cégek egy része már megkezdte a felkészülést az átállásra, sok szervezet azonban még az első lépéseket sem tette meg. A feladat nem lehetetlen, megfelelő IT-eszközökkel tíz hónap alatt megoldható. Kísérletezésre azonban már nincs idő: a fejlesztés megvalósításakor azokat a szolgáltatókat kell előnyben részesíteni, amelyek már sok hasonló projektben részt vettek, és rendelkeznek a kellő tapasztalattal.

Az új uniós adatvédelmi szabályozás szigorúbb lesz ugyan a korábbinál, de az egységes feltételrendszer akár versenyelőnyt is jelenthet az európai – köztük a magyarországi – cégeknek. Ahhoz azonban, hogy ezzel élni tudjanak, előbb meg kell felelniük az új előírásoknak.