A GDPR betűszó az angol General Data Protection Regulation kifejezésből származik; a rendelet a személyes adatok védelmét hivatott biztosítani az Európai Unió és Tanács által elfogadott irányelvek alapján. A GDPR közvetlen hatállyal rendelkezik az EU minden tagállamában, így kötelező érvényűnek tekintendő.
A GDPR hatályba lépése előtt a tagállamok saját adatvédelmi gyakorlattal rendelkeztek; noha létezett európai uniós irányelv a személyes adatok védelmére vonatkozóan, a tagállamok ezt a saját direktíváiknak megfelelően kezelték és alkalmazták. Az információtechnológia fejlődése a személyes adatok fokozottabb védelmét követelte meg: szükség volt egy olyan szabályozási folyamatra és egy olyan adatvédelmi rendeletre, ami a természetes személyek részére nagyobb fokú rendelkezést biztosít a saját személyes adataik felett. A GDPR jogot biztosít a természetes személyek számára, hogy bármikor megtekinthessék és törölhessék személyes adataikat, vagy épp kifogásolják azok kezelését.
Fontos tudni, hogy a személyes adatok körébe a név, a lakcím, a személyi szám, a TB szám mellett olyan adatok is tartozhatnak, mint a munkaügyi és egészségügyi adatok, az online azonosítók vagy akár a szállításhoz szükséges információk.
Nem szabad megfeledkezni arról sem, hogy a személyes adatok védelméről szóló rendelet minden olyan cselekményre vonatkozik, amely adatkezeléssel kapcsolatos, legyen szó akár felvételről, tárolásról vagy felhasználásról. Amennyiben a vállalkozás legalább egy olyan dokumentummal rendelkezik, ami személyes adatot tartalmaz – legyen szó munkavállaló, partner, alvállalkozó, vevő vagy ügyfél adatairól – abban az esetben a vállalkozás köteles betartani a személyes adatok védelméről szóló rendelkezéseket.
Fontos tudni továbbá, hogy a GDPR hatályba lépésével a NAIH szám szükségtelenné vált, viszont adatvédelmi incidens esetén az adatkezelőnek 72 órán belül jelentenie kell az esetet, illetve a vizsgálatok során bizonyítania kell, hogy mindent megtett a kezelt személyes adatok védelmének érdekében. Adatvédelmi incidensként értelmezendő minden olyan eset, ami a személyes adatok elvesztését, módosulását vagy illetéktelen kezekbe jutását jelenti, legyen szó akár adathalászat által feltört adatbázisokról vagy adathordozók fizikai eltulajdonításáról.
