Idén tavasszal elfogadta az Európai Parlament az Európai Unió új, általános adatvédelmi rendeletét, amely 2018. május 25-étől válik majd kötelező érvényűvé. A messzinek tűnő dátum miatt talán korainak tűnhet most foglalkozni a kérdéssel, valójában viszont most vagyunk időben.
A 88 oldalas jogszabály meglehetősen általános, a gyakorlat és a hatósági állásfoglalások fogják részletes tartalommal megtölteni. Emellett egy Európai Adatvédelmi Testület jön létre (hasonló most a 29-es munkacsoport, ami a nemzeti adatvédelmi hatóság képviselőiből áll), ők adnak majd ki ajánlásokat, az ő feladatuk lesz a gyakorlati iránymutatások kiadása.
Annyi azonban már most látszik, hogy komoly változásokra és súlyos adminisztrációra kell felkészülniük a cégeknek, a mostaninál fenyegetőbb mértékű bírságok mellett.
Dr. Domonkos Márton adatvédelemmel foglalkozó szakjogász a Direkt Marketing Szövetség által a témában szervezett beszélgetésen azt is hozzátette, ez minden idők leginkább lobbizott jogszabálya az EU történetében, ami jó is és rossz is. Egyrészt azt jelenti, hogy sok szakmai szervezet véleménye benne van, de számos kompromisszumot is tartalmaz az érdekegyeztetések következményeként.
„A rendelet alapcélja, hogy egységes adatvédelmi keretet biztosítson uniós szinten. Erre szükség is volt, hiszen jelenleg egy 1995-ös uniós direktíva alapján dolgozunk, azóta rengeteg minden változott mind technikai, mind üzleti értelemben. Így az akkor előremutatónak számító jogszabály már nem nagyon működik” – hangsúlyozta a szakember.
Lássunk néhány fontos újdonságot, amik indokolttá teszik a másfél éves felkészülési időszakot!
Beépített és alapértelmezett adatvédelem
Az új szabály szerint, ha egy terméknek, szolgáltatásnak lehet adatvédelmi vonatkozása, akkor már a fejlesztés során ezzel foglalkozni kell. Például, ha egy reklámkampányt tervezünk, akkor a tervezés során is figyelni kell rá, hogy megvalósuljon a minimális adatkezelés elve. Ez a megközelítés eddig is létezett, de alapelvként nem volt előírva.
Ez komoly adminisztrációs kötelezettséget is jelent, hiszen dokumentálni is kell, hogy az adatvédelmi szempontokat megfelelően figyelembe vették. A jogszabály általánosságát mutatja viszont, hogy arról, hogy ezt hogyan kell megtenni, nincs szó. Egyelőre nem tudjuk, jogásszal kell konzultálni, elemzést készíteni vagy mi más módon bizonyítani az elv figyelembe vételét.
Személyes adat lehet akár egy e-mail cím, IP-cím, de akár GPS koordináta is.
Súlyosabb bírságok
A bírságok tekintetében nagyon szigorú az új rendelet, árbevételhez igazítja a bírságok összegét, ez a mostaninál jelentősen magasabb összegeket jelent. Ez nem véletlen, hiszen kimondott cél, hogy az adatvédelmet a versenyjoghoz hasonló komolyságúvá emeljék – hangsúlyozta a jogász. De a cégek a bírságoknál súlyosabb dolgot is kockáztatnak az adatvédelmi hibákkal, mostanra a fogyasztók elvárásai is nőttek ezen a területen, így a bírságnál súlyosabb következményei is lehetnek egy hibának.
Nem tudni, mi lesz azzal a mostani magyar jogszabállyal, amely szerint a kkv-k első jogsértés esetén nem bírságolhatók adatvédelmi ügyekben (sem). A jogász szerint a kérdés várhatóan az Európai Bíróságnál fog kikötni, tehát jó pár évet várhatunk, mire kiderül, mi lesz.
Az adatvédelmi felelős létét a magyar szabály egyelőre csak speciális szektorokban teszi kötelezővé, az új szabály viszont a kezelt adatok érzékenysége alapján határozza meg, mely cégeknél kell létrehozni ilyen pozíciót. Továbbra is igaz marad, hogy ha 250 fő foglalkoztatottnál kevesebb van a cégnél (kkv), akkor nem kötelező, de a jogszabály tesz kivételt az érzékeny adatokat kezelő szervezeteknél, ahol mérettől függetlenül létre kell hozni az adatvédelmi felelős pozíciót. Ráadásul fontos pozícióról van szó – hangsúlyozza dr. Domonkos Márton. A belső adatvédelmi felelős nem szankcionálható a cégen belül, külön erőforrást kell biztosítani a működésére (pl. külső jogászt, továbbképzést, ha igényli stb.), és kötelező elfogadni, amit mond.
Az adatvédelmi felelős kötelességeiről azonban nem ejt szót a jogszabály, az a cég felelősségét szögezi le. Céges belső szabályozással kell majd megoldani, hogy adott esetben az adatvédelmi felelős felelősségre vonható legyen.
Hogy mennyire minősül kockázatosnak egy cég, az függ a kezelt adatok mennyiségétől, milyenségétől – összetetten kell kezelni, de kis cégeknek van mozgástere.
Komolyabb belső szabályozások kellenek
Mivel a jogszabály szerint az adatvédelemért maga a cég felelős, sokkal szigorúbb és jobban átgondolt belső szabályokra is szükség lesz. A személyes adatokkal ugyanis általában a marketing, a HR dolgozik, akiktől nem várható el, hogy ezt a 88 oldalas jogszabályt ismerjék, ezért a cégeknek be kell vezetni olyan szabályozási folyamatokat, amelyek alapján ezek az osztályok eljárhatnak. Check listek kellenek, illetve pontos meghatározása annak, hogy milyen esetekben ne hozzanak saját döntést, hanem kérjék az adatvédelmi felelős segítségét.
Az adatkezelő rendszerek fejlesztőinek is biztosan szüksége lesz speciális oktatásra, illetve az ezzel kapcsolatos szerződésekben is célszerű tisztázni, hogy mi az, amivel foglalkozni kell a fejlesztés során, mi az, amit elvárunk. Ha a cég nem teszi ezt meg, nem kéri a fejlesztőktől, akkor az adatvédelmi hatóság ebbe beleköthet. A cég a felelős, nem a fejlesztő.
Külön engedély profilalkotáshoz
A rendelet bevezeti a profilalkotás fogalmát. A koncepció szerint ha valaki ügyfélprofilt készít marketing- vagy más okokból, arra külön rendelkezések vonatkoznak – az ügyfélprofil készítése minden esetben az érintett személy kifejezett hozzájárulásához kötött! Nem működik majd úgy, mint most, hogy az ÁSZF részévé tesszük. Kivételt csak az jelent, ha a profil készítése kifejezetten kell a szerződés teljesítéséhez, de ez esetben bele kell foglalni a szerződésbe, hogy ügyfélprofil készül majd.
Ez a nem egyszerű szabály sok céget érint majd, a jogász véleménye szerint már az is profilkészítésnek számít, ha ugyanazt a csoportot (pl. a törzsvásárlókat) újra és újra megkeressük egy kérdőívvel. Érdemes előre gondolkodni, sokan nem gondolják végig előre, hogy szükségük lesz ügyfélprofilra, pedig sokkal egyszerűbb, ha eleve belefogalmazzuk a szerződésekbe, és nem utólag kell majd módosítani azokat.
Az ügyfél jogai
Ha az ügyfelek adatait bármilyen módon automatikusan feldolgozzák, az ügyfél jogosult információt kérni, hogy milyen logika szerint történik az adatfeldolgozás. A rendelet nem fejti ki, hogy ennek a tájékoztatásnak mennyire részletesnek kell lennie, pedig ez fontos, mert ezen algoritmusok működése a legtöbb esetben üzleti titok.
Emellett előzetes hatásvizsgálatot kell készíteni az adatkezeléssel kapcsolatban. Ezt most is sokan megteszik, de még nem kötelező, a hatálybalépéstől viszont az lesz. Ez újabb komoly adminisztrációt jelent, lassíthatja az üzleti folyamatokat. Még nincs minta arra, hogy hogy kell kinéznie ennek a dokumentációnak, de meg fogják határozni azt is, hogy milyen adatkezelés esetében kötelező, és mikor nem (ha az adatok érzékenysége nem indokolja). A jogász szerint érdemes már most elkezdeni kidolgozni az erre vonatkozó rendszert, tesztelni, hogy milyen erőforrások kellenek hozzá, mennyi idő.
Fontos alapvetés az is, hogy a rendelet előírja, közérthető és személyre szabott tájékoztatót kell adni a fogyasztóknak az adatkezelésről – tehát például egy gyerekeknek üzemeltetett honlap adatvédelmi tájékoztatójának egészen másmilyennek kell lennie, mint egy általános szövegnek.
Újfajta dokumentáció az adatkezelési nyilvántartás helyett
A belső adatkezelési nyilvántartás is fontos dokumentációs kötelezettség lesz a jogszabály hatálybalépése után. A sokak által utált adatvédelmi nyilvántartás megszűnik, nem kell bejelentkezni a hatósághoz. Helyette házon belül nyilván kell tartani az összes adatkezelést. A magyar cégek előnye, hogy a NAIH szigorúbb az átlagnál, rengeteg dokumentációs kötelezettséget elvár, amit a jogszabály most nem rögzít. Minden típusú adatkezelést nyilván kell majd tartani – az incidenseket, a munkatársak adatait és azt, hogy ezt adott esetben kinek adták tovább (pl. könyvelő, bérszámfejtés), üzleti adatok (pl. ha felhőszolgáltatót használunk, számos érzékeny adatot átadunk!). Itt is kérdés még, hogy ennek pontosan hogyan kell kinéznie. Amíg nincs európai szintű ajánlás, addig a cégeknek kell kitalálni, hogy mi az, ami működhet, hogyan hozható létre olyan belső nyilvántartás, ami még nem bénítja meg a folyamatokat.
Mi lesz a felhővel?
A hatóságok általában már elfogadóbbak a felhőszolgáltatókkal kapcsolatban, és a szolgáltatók is jobban felkészültek adatvédelmi válaszokkal. A felhőszolgáltató jogilag adatfeldolgozónak számít, a rendelet felsorolja az adatfeldolgozói szerződés kötelező elemeit. (Az Infotörvény ilyet nem tartalmaz, NAIH-állásfoglalások voltak, mostantól viszont jogszabályban lesz.) A kötelező elemek között lesz például az utasításadási jog az adott szolgáltató irányába, auditjog a szolgáltató tekintetében – ezek elméletileg elképzelhetőek, de ha belegondolunk, hogy pl. a Google van a másik oldalon, kérdés, hogy mennyire működhetnek valóban.
Valószínűleg minden cégnek muszáj lesz leülnie szakjogásszal, és adatvédelmi auditot végezni. A nehéz, hogy összeszedjék a cégek, hogy milyen adatokat kezelnek, ha ez megvan, onnantól már sokkal könnyebb a dolog – nyugtatta meg végül a kedélyeket a jogász.
Ugyanakkor fontos azt is tudni, hogy milyen célra kezeljük az adott adatokat! A gyakorlat alapján ez utóbbi hiányzik inkább. Sokszor „majd jó lesz valamire” alapon minden lehetséges adatot gyűjtenek a vállalatok, ez a rendelet hatálybalépése után nem fog menni. Ha ezt az ugrást meg tudjuk tenni, a problémák legnagyobb része megoldódna. Ez azonban az üzletet gátolhatja, hiszen üzleti megközelítéssel az adatkezelés célja nyilván változhat, így a jogszabály az üzleti kreativitást gátolhatja.