A felmérések jellemzően azt mutatják, hogy a vállalkozások egy jelentős hányada nem hallott a rendeletről, illetőleg nem kezdte meg az új szabályozásra való felkészülést. Ennek komoly, adott esetben sok százmillió vagy akár milliárd forintban mérhető következményei lehetnek.
Mindez igaz egy olyan szabályozási környezetet jelentő EU rendeletre, amely rendelkezéseinek értelmezése sok esetben jogászok számára sem egyértelmű, illetőleg amely az EU adatvédelmi munkacsoportja által kiadott iránymutatások szerint is számos szürke zónát tartalmaz.
A rendelet előírásaiban rejlő bizonytalanság és a jogszabály körüli értelmezési nehézségek okkal jelentenek jogi aknamezőt, hiszen a felkészülést komolyan vevők számos nehézséggel szembesülnek munkájuk során.
Az alábbiakban vegyünk sorra néhány banánhéjat.
„Kis- és középvállalkozásokat első alkalommal nem bírságolhatja a hatóság, így ráérek egy esetleges hatósági eljárás során foglalkozni a felkészüléssel.”
Ez a kis- és középvállalkozásokat megillető kedvezmény a rendelet szabályaira tekintettel az adatvédelmi hatósági eljárások esetében május 25-étől meg fog szűnni, így kis- és középvállalkozások az első alkalommal is bírságolhatók lesznek.
„Családi vállalkozásomra nem terjed ki a rendelet hatálya, így nem kell megfelelnem a rendelkezéseinek.”
A rendelet hatálya az egyéni vállalkozóktól és kisvállalkozásoktól kezdve a legnagyobb multinacionális cégekig mindenkire kiterjed, hiszen valamilyen mértékben minden vállalkozás kezel személyes adatokat (pl. lehetnek munkavállalói, ügyfelei, szerződéses partnerei, kezelhetnek álláskeresőkre vonatkozó adatokat, működtethetnek webshop-ot, direkt marketing tevékenységet végezhetnek, követeléskezelést végezhetnek, stb.).
„Ha a jelenlegi szabályoknak megfelelek, akkor jó eséllyel megfelelek a rendeletnek is.”
Sajnos ez is egy közkeletű tévedés. A rendelet egyrészt számos, a jelenleg hatályos szabályokhoz képesti többlet kötelezettséget tartalmaz, másrészt az ún. „elszámoltathatóság” elve alapján nemcsak meg kell felelni az előírásoknak, hanem dokumentált módon kell tudni igazolni a megfelelést. Így amennyiben egy kötelezettség nem is vonatkozik az adatkezelést végzőre, dokumentálni kell annak elemzését, hogy miért nem áll fenn az adott kötelezettség (pl. miért nem kell adatvédelmi tisztviselőt választani vagy adatvédelmi hatásvizsgálatot készíteni, stb.).
„Ha van hozzájárulás az adatkezeléshez, akkor minden rendben van.”
A rendelet felsorolja az adatkezelés lehetséges jogalapjait, amelyek közül az egyik az érintett hozzájárulása. Azonban egy adatkezelés jogszerűségéhez szükséges többek között az, hogy a megfelelő jogalapot alkalmazza az adatkezelést végző. Hiába szerez be hozzájárulást az adatkezelést végző abban az esetben, ha az adatkezeléshez más jogalapot kell alkalmazni. Ilyen esetben hozzájárulás megléte esetében is jogellenes lesz az adatkezelés, amelynek bírság lehet a következménye.
„Ha beszereztem az adatkezeléshez hozzájárulást, akkor jogszerűen kezelhetem azokat az adatokat, amelyek kezeléséhez hozzájárult az érintett személy.”
Az adatkezelés mindenképpen jogellenes abban az esetben, ha olyan személyes adatok kezelése is folyik, amelyek kezelése nem szükséges az adatkezelés céljának eléréséhez. Ez hozzájárulás megléte esetén is így van.
„A munkavállalóim hozzájárultak az adatkezeléshez, így jogszerűen kezelem a személyes adataikat.”
Az adatvédelmi hatóság és az EU adatvédelmi munkacsoportja következetes gyakorlata alapján a hozzájárulás a munkaviszony függelmi jellege miatt az esetek döntő többségében nem lehet az adatkezelés jogalapja, mivel a hozzájárulás munkaviszonyban fogalmilag nem lehet önkéntes. Hozzájárulásra, mint jogalapra, a munkahelyi adatkezelések esetében csak kivételesen lehet hivatkozni, alapvetően akkor, amikor egyértelmű, hogy az adatkezelés során feltétel nélküli „előnyöket” szerez a munkavállaló, és nem érheti őt semmilyen hátrány a hozzájárulás megtagadása esetén. A hatóság azt a példát hozza, amikor a munkáltató futóversenyt szervez a munkavállalóknak és ennek érdekében kezeli a munkavállalók pólóméretét, mint személyes adatot. Ebben az esetben a hozzájárulás lehet megfelelő jogalap.
„Ha nem nyújtok szolgáltatást természetes személyek részére, akkor nem kell foglalkoznom a rendelettel.”
Attól, hogy egy vállalkozás nem nyújt szolgáltatást természetes személyek részére, még lehetnek például munkavállalói, ügyfelei és szerződéses partnerei, amely viszonyok tekintetében sor kerül személyes adatok kezelésére, így a rendelet alkalmazandó.
A fentiekben ismertetett példákon felül jónéhány további banánhéj is található még a rendelet jelentette aknamezőn. A GDPR-ral kapcsolatos kérdéseket a blog bejegyzések (eugdpr.blog.hu) kérdések és válaszok formájában dolgozzák fel. A bírsággal kapcsolatos bejegyzésért kattintson ide.
Szerző:
Kovács Zoltán Balázs (LL.M.),
Partner,
Szecskay Ügyvédi Iroda
A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.