Május 25-től immár kötelezően alkalmazni kell az új európai Általános Adatvédelmi Rendeletet, amelyet angol neve (General Data Protection Regulation) után előszeretettel nevezünk GDPR-nak. Az európai szabályrendszer már évek óta rendelkezésre áll ugyan, a magyar jogalkotók és a hazai vállalkozások is lemaradtak a felkészüléssel. Dr. Péterfalvi Attila szerint a jogalkotók határidőre elvégzik a szükséges módosításokat, az üzleti szférának pedig muszáj felkészülnie az új előírásokra. A Nemzeti Adatvédelmi és Információszabadsági Hatóság (NAIH) elnökével a GDPR előnyeiről, hátrányairól, az esetleges következményekről beszélgettünk.
Miért vált szükségessé, hogy új, méghozzá egységes, európai szintű szabályozás szülessen az adatvédelem területén?
– Egyszerű a válasz erre a kérdésre: mert a világ egyre digitalizálódik és globalizálódik, amely folyamatok eltüntetik a határokat. A nagyobb, nemzetek közötti összefogásra annak érdekében van szükség, hogy az állampolgárok biztonságban tudhassák személyes adataikat. A technológia fejlődése könnyebbé tette az adatok gyűjtését, és lehetségessé a profilalkotást, azaz egy-egy fogyasztó szokásainak átfogó feltérképezését. Márpedig senki sem szeretné, hogy beleavatkozzanak a magánéletébe. Az új szabályozás arra teremt lehetőséget – és nem utolsósorban eszközt –, hogy megvédjük adatainkat akár a globális óriáscégekkel szemben. Ritkán hangoztatott tény, de az uniós adatvédelmi kezdeményezésnek a GDPR csak az egyik, talán jelenleg a leginkább előtérbe került eleme. Ezt kiegészítik a büntető irányelvek, illetve készülőben van az úgynevezett e-privacy rendelet, amely a telekommunikációs szektorra vonatkozik majd.
A GDPR európai szabályozás, míg a fogyasztók adatait a világ minden pontján gyűjtik.
– Ugyan a GDPR uniós szabály, de globális szinten kikényszeríthető: nemcsak az európai cégekre vonatkozik, hanem minden olyan vállalkozásra vagy szervezetre is, amely európai polgároknak szolgáltat. Lehet tehát az Egyesült Államokban az Amazon vagy Kínában az Alibaba, az európaiakkal szemben a GDPR szabályainak megfelelően kell eljárnia. Ez teszi lehetővé, hogy az uniós állampolgár akár az olyan multinacionális óriásokkal szemben is fellépjen, mint a Facebook vagy a Google.
– Egyrészt pontosabb tájékoztatást fogunk kapni az adatainkat kezelő szervezetektől arra nézve, hogyan és meddig kezelik a személyes adatainkat. Ezt ellenőrizhetjük is, sőt az adataink hordozhatóságát is biztosítaniuk kell az adatkezelőknek. Azonban a legfontosabbnak azt tartom, hogy belép az elszámoltathatóság elve. Ez ugyanis nemcsak azt mondja ki, hogy az adatkezelőknek meg kell felelniük a rendelet szabályainak, hanem ezt bizonyítaniuk is kell. Tehát rendelkezniük kell azokkal a dokumentumokkal, amelyek a megfelelést igazolják. Így könnyen és gyorsan elszámoltathatóvá válnak az adatkezelők. Mindenkinek át kell vizsgálnia a jelenlegi adatkezelési gyakorlatát: milyen adatokat kezel, milyen jogalappal kezeli azokat, megvan-e a megfelelő tájékoztatás, az adatbiztonsági követelményeknek megfelel-e. Ha május huszonötödike után megyünk ellenőrizni, kérni fogjuk ezeket a dokumentumokat.
Egy februári felmérés szerint a vállalkozások harmada azt sem tudja, mi az a GDPR, nemhogy milyen kötelezettségei vannak. Hogyan értékeli felkészülésünk helyzetét ennek fényében, alig három hónappal a derogációs határidő lejárta előtt?
– Nagyon remélem, hogy ez csak arra vonatkozik, hogy a vállalatvezetők nem tudnak róla, és a cégnél vannak olyan munkatársak, akiknek ezzel foglalkozniuk kell, és ők tisztában vannak a kötelezettségeikkel. Nem akarunk milliárdos büntetéseket kiszabni, sem cégeket csődbe vinni, ezért nem fenyegetésként mondom, de ellenőrizni fogjuk, hogy rendben megy-e az adatok kezelése.
– Úgy vélem, igen. Elsősorban az infotörvény (2011. évi CXII. törvény – a szerk.) és az ágazati jogszabályok módosításai maradtak el. Nem kis feladat áll a jogalkotók előtt, mert többek között a NAIH jogkörét is érintő módosításokra lesz szükség, nem is beszélve a GDPR kiegészítő szabályairól és a büntető irányelvek implementációjáról. Azonban ezeknek mindenképpen meg kell születniük május huszonötödikéig, mint ahogy - a jogalkotók tervei szerint – a legfontosabb szektoriális szabályozások módosításainak is. Úgy becsülöm, a módosításokra mindenképpen a választások után fog sor kerülni, az új parlament felállását követően, tehát legkorábban május elején.
Mit javasolna, ebben a helyzetben, a gazdasági szervezeteknek?
– Nyilván az lenne az optimális, ha a jogszabályi módosítások már megtörténtek volna, de a GDPR szabályait már most is lehet értelmezni. Azt javaslom, hogy mindenekelőtt nézzék át, hogy a jelenlegi eljárásaik megfelelnek-e az új szabályoknak. Külön kiemelném, hogy nagy hangsúlyt fektessenek az IT-biztonság kérdésére. Aki otthonról működtet például webshopot, az rengeteg érzékeny adatot kezel, de nem biztos, hogy biztonságos körülmények között, pedig rendkívül fontos, hogy ezek az adatok ne kerüljenek illetéktelen kezekbe. Nézzük meg, hogy megfelelő-e a hardver, a szoftver, a tűzfal, a vírusölő. Ez nem úszható meg, része az elszámoltathatóságnak! Ha valaki nem tudja bemutatni a felkészülést igazoló dokumentumokat május huszonötödike után egy hatósági ellenőrzésnél, az nem számíthat a jóindulatunkra az eljárás során. Egyébként a hatóság a honlapján széleskörűen tájékoztat, több GDPR-szabály, rendelet fordítása is megtalálható az oldalunkon, illetve feltettünk részletes tájékoztató anyagokat is. (A NAIH első állásfoglalásáról készült összefoglaló írásunkat itt találja!)
A NAIH jogköre is kiszélesedik majd. Önök felkészültek a határidőre?
– Úgy hiszem, igen, bár persze még előttünk is állnak feladatok, de május huszonötödikéig mindent meg fogunk oldani. Nyilván nekünk is meg kell növelnünk a szakértői gárdát, ennek kapcsán negyven fővel bővül a NAIH személyi állománya. Nemcsak jogászokat, hanem informatikusokat is toboroztunk, és kiépült az incidensbejelentési rendszer is.
– Nem fogjuk május huszonötödike után lerohanni az adatkezelőket. Akkor ellenőrzünk, ha panaszbeadványokból vagy incidensjelentés kapcsán értesülünk az adatbiztonsági eseményről. Nyilván nem mi mondjuk meg, hogyan kell elhárítani az incidenst, de ellenőrizni fogjuk, hogy az adatkezelő megtette-e a szükséges lépéseket.
Mire ügyelnek majd az ellenőrök?
– Az elszámoltathatóság, átláthatóság az alapelv. Persze elkérünk minden olyan dokumentumot, amelyet az adatkezelőknek vezetniük kell. A központi adatvédelmi nyilvántartás megszűnik, ezentúl az adatkezelőknek kell vezetniük a dokumentációt.
Mi a helyzet a kkv-kkal? Eddig elsőre csak figyelmeztetett a hatóság. Változik ez a gyakorlat, és akár első alkalommal is büntetést szabnak majd ki?
– Félreértés ne essék, nem az a célunk, hogy sorban szabjuk ki a bírságokat, és csődbe vigyük a cégeket. De a kkv-k kapcsán az adatvédelmi hatóság jogköre tekintetében fontos kiemelni, hogy a GDPR uniós rendeletként felette áll a magyar szabályozásnak, így a szabályokat megszegő kis- és középvállalkozások esetén nincs lehetőség a mentesítésre, vagyis annak a szabálynak az alkalmazására, amely megtiltotta első alkalommal a bírság kiszabását. Május huszonötödike után ez a kör nem számíthat erre a védelemre.
Eddig nem túl gyakran szabtak ki több tízmilliós bírságokat, de az új tételek akár a milliárdos nagyságrendet is elérhetik.
– Ez egy európai rendelet, és a bírságok is európai mértékű bírságok lesznek, így Magyarországon is annyi bírságot kell kiszabni, mint Hollandiában. Az egységes szabályozás másik hatása – az nézőpont kérdése, hogy ez áldás vagy átok –, hogy nem feltétlenül annak az országnak az adatvédelmi hatósága jár majd el érdemben, amelyik országban a panaszt benyújtották. Álláspontom szerint az egyablakos ügyintézés – one-stop-shop mechanizmus – nem az érintettek jogvédelmét szolgálja. Ha például befut hozzánk egy panasz, a példánál maradva, a holland webshoppal kapcsolatban, akkor mi megtesszük a lépéseket, de a holland hatóság fogja eldönteni, hogy eljár az ügyben, vagy mi járjunk el. Az is előfordulhat, hogy több adatvédelmi hatóság együttesen jár majd el, közös műveleteket végez. Az osztrák adatvédelmi hatóságnál például már több ízben vettünk részt ilyen próbagyakorlatokon. Nem tudnám megtippelni, hány ilyen eset lesz. A tendencia, úgy tűnik, az, hogy a nemzeti hatóságok próbálják leszorítani ezeknek az ügyeknek a számát. Persze még az is a jövő zenéje, hogy milyen gyorsan fog kialakulni az egységes jogalkalmazás a GDPR mint egységes szabály- és szankciórendszer alapján.
Ön szerint az elhangzottak fényében, használható lesz ez az egységes rendelet?
– Mindenképpen. Az állampolgárok is eszközt kapnak a kezükbe, hogy rendelkezzenek az adataik felett, és nem csak az országhatáraikon belül. Azt azért látnunk kell, hogy egy európai állampolgár vagy akár egy nemzeti hatóság is önmagában nem biztos, hogy képes érvényesíteni az érdekeit egy Facebookhoz hasonló céggel szemben. Csak egy ilyen, egységes fellépést lehetővé tevő, erős szabályozással tudjuk kikényszeríteni az adataink megfelelő védelmét. De ez a hazai cégek számára is jelzi a probléma komolyságát: az, amiről eddig azt hittük, hogy minden további nélkül megtehetjük arra hivatkozva, hogy „belefér adott ország kultúrájába”, a jövőben nem fog menni. Ezzel legyünk tisztában!