Halász Bálint:

„Fel fog kelni a nap május 26-án is. Az EU-s adatvédelmi hatóságok többsége azt kommunikálja, hogy meg kell felelni a május 25-i határidőig, mert két év volt a felkészülésre. Azonban számos hatóság tudja és érti, hogy a helyzet ennél árnyaltabb, hiszen bizonyos részletkérdésekben csak néhány hónapja jelentek meg iránymutatások és ajánlások, ezért a 100 százalékos megfelelés május 25-én sok cég számára szinte lehetetlen. Bízom abban, hogy a korábbi kemény nyilatkozataival ellentétben a magyar adatvédelmi hatóság is megfelelő rugalmasságot fog tanúsítani olyan szervezetek esetében, amelyek elindultak a megfelelés útján. Azonban vannak olyan banánhéjak, amelyeken bármikor el lehet csúszni, de ezeket ki lehet védeni” – mondta Halász Bálint, a Bird & Bird innovatív technológiákra szakosodott ügyvédje a hamarosan életbe lépő uniós adatvédelmi rendelet kapcsán. A köznyelvben GDPR-nak (General Data Protection Regulation) hívott szabályozással kapcsolatban sokan, sokszor elmondták már, milyen nehézségeket támaszt a vállalkozások előtt, milyen sokrétű a kötelezettségek köre, milyen magasak a bírságok, azonban a szakember néhány olyan pontra is felhívta figyelmünket, amelyek kimondottan jó lehetőségeket kínálnak a cégeknek.

„Egyrészt végre szakíthatunk a magyar szabályozás egyik rákfenéjével, a hozzájárulás-fixációval. Ez idestova két évtizede megtalálható a magyar adatvédelmi jogban, és azt jelenti, hogy a magyar jog két jogalapot preferált a személyes adatok kezelésére: a hozzájárulást vagy a jogszabályi kötelezettségnek való megfelelést” – mondta Halász Bálint. A 90-es években ezzel még nem volt gond, de az élet mára már számtalan területen egyszerűen meghaladta ezt a hozzáállást, egyre több adatkezelés jelent meg, ahol az érintett előzetes hozzájárulásának beszerzése nem volt életszerű vagy éppen a hozzájárulás esetleges visszavonása okozott volna problémákat.

A magyar jogalkotó megoldása erre a helyzetre az volt, hogy ezeket az adatkezeléseket ágazati jogszabályokban engedte meg. Csakhogy ez több szempontból sem ideális: egyrészt ezek többsége nem valódi jogi kötelezettséget ír elő, hanem csak lehetőséget, másrészt nem rugalmas, mert gyakran nem fed le minden adatkezelést, amit egy cég végezni szeretne. Így például egy telekommunikációs szolgáltató esetében – amely ma már nem csak hagyományos telekommunikációs, hanem televíziós szolgáltatásokat is nyújt, vagy készülékek értékesítésével is foglalkozik – , bizonytalanságot okoz, hogy az elektronikus hírközlési törvény, amely csak elektronikus szolgáltatásokra vonatkozik, rugalmatlanul írja elő, hogy milyen adatokat és milyen célra kezelhet a szolgáltató. Továbbá számos ágazati adatkezelési jogszabály egymással ellentétes rendelkezéseket is tartalmaz. Az, hogy a magyar jogszabályi rendszer ebben a tekintetben nem rugalmas, és nem koherens, óriási versenyhátrányt jelent a magyar vállalkozásoknak. A GDPR ebből a szempontból egységes és jóval rugalmasabb, hiszen új jogalapokat (is) teremt az adatkezelésre.

A jogalapok közül külön kiemelendő a jogos érdek fogalma, ami újdonság lesz a magyar vállalkozások többsége számára, mert jogos érdek esetében a jogalap kérdése nem fekete-fehér, mint a hozzájárulás vagy a jogi kötelezettség esetében, hanem egy érdekmérlegelési tesztet kell elvégezniük: össze kell vetniük a saját jogos üzleti érdekeiket az érintettek, azaz pl. az ügyfelek, munkavállalók érdekeivel. Erre a legtöbb cég nincs felkészülve. Ugyanakkor a cégek egy része azzal sincs tisztában, milyen adatokat kezelnek és milyen célból. „A GDPR sokkal nagyobb önállóságot kíván meg a cégektől: kezdésnek alaposan fel kell térképezniük, mit és miért kezelnek. Szerződéskötésre vagy szerződésteljesítésre kezelik az adatokat? Esetleg marketingcélokra?

Nagyon nem mindegy, mert amennyiben más az adatkezelés célja, más a jogalapja, más a megőrzési idő és az is, hogy az érintetteknek milyen jogaik vannak. Ha egy felhasználó adatait a szolgáltatáshoz kapcsolódóan kezeli egy cég, az rendben van, de ha a felhasználóknak hírlevelet is küld, az már más adatkezelési cél, és ezért más adatkezelés. Az ilyen eltérő adatkezeléseket külön kell kezelni, azaz külön kezelni az egyes felhasználók marketingcélú és külön a  szolgáltatás teljesítéséhez kötődő adatait. Vegyük például az elektronikus direkt marketing célú adatkezeléseket, ami a legtöbb esetben e-mail hírlevelek küldését jelenti. Eddig ezt csak előzetes hozzájárulás alapján lehetett végezni. A GDPR alatt azonban már lehetőség lesz választásra, mert bizonyos esetekben lehet hivatkozni a cég jogos érdekére, és nem lesz feltétlenül szükség a felhasználó előzetes hozzájárulására. Ez azt jelenti, hogy adott esetben a cég a meglévő ügyfeleinek külön hozzájárulásuk nélkül is küldhet ki hírlevelet. Természetesen az egyszerű leiratkozás lehetőségét ebben az esetben is mindenkor biztosítani kell.

Más területeken is egyértelmű helyzetet hoz a GDPR: például, ha egy cég saját kamerarendszert használ, amelyet nem biztonsági cég vezet, akkor arra a gyakorlatban nincs külön magyar szabályozás, a NAIH szerint analógiaként a vagyonbiztonsági cégekre vonatkozó szabályozást kell használni, így életszerűtlen helyzetek jönnek létre, hiszen a felvételt néhány napnál tovább nem szabad tárolni. Ugyanakkor, ha például egy raktárban havi leltározás van, akkor csak havonta derül fény egy esetleges lopásra, ekkor pedig nem sokat érnek az előző három nap felvételei. Ezzel szemben a GDPR jogos érdeke elméletileg lehetővé teszi, hogy ilyen esetekben a kellő mértékig meghosszabbítsák a felvételek tárolását. De minden esetben mérlegelésre van szükség, és ebben áll a GDPR fő kihívása. Vagyis hogy egyfajta szemléletmódváltásra van szükség: eddig azt szokták meg a vállalkozások, hogy valamit lehet, vagy nem. A GDPR nem ilyen igen-nem gondolkodásmódot kíván meg: folyamatos mérlegelési és döntési szituációkkal jár. Magyarországon azonban jelentős probléma, hogy az ágazati jogszabályok adatkezelési előírásait egyelőre nem hozták összhangba a GDPR-ral. A jogszabályi hierarchiában a GDPR mint EU-s rendelet magasabb szinten áll, mint a tagállami törvények és egyéb alacsonyabb rendű jogszabályok. A gond ugyanakkor az, hogy a GDPR – a nevéből is következően – általános szabályokat tartalmaz, amelyek nem adnak, nem adhatnak választ minden részletkérdésre. Ezzel szemben az ágazati jogszabályok ezt megteszik, de ezek számos esetben a GDPR általános szabályaitól eltérő megközelítést alkalmaznak. „A minisztériumok ígérete szerint gyors ütemben sor kerül majd az ágazati jogszabályok rendbetételére, de május 25. után még jó darabig előállhat az a helyzet, hogy a GDPR engedne valamit, de egy évtizedes magyar szabály nem. Ha ezen a helyzeten nem változtat gyorsan a jogalkotó, akkor a magyar cégek komoly versenyhátrányba kerülhetnek, ugyanis több uniós tagállamban már tényleges előrelépéseket tettek a bizonytalanságokat okozó anomáliák felszámolása érdekében” – figyelmeztetett Halász Bálint.

A szemléletváltást még egy fontos területen nem lehet megkerülni: ez pedig az incidensek kezelése. „Itt jelentkezik a GDPR egy újabb előnye, helyre teszi az adatvédelmi incidens fogalmát: a korábbi magyar szabályozással ellentétben itt már valóban csak a szó szoros értelmében vett incidensekre kell gondolni. Emiatt és számos egyéb okból kifolyólag a cégeknek fel kell ismerniük, hogy az incidenseket nem szabad a szőnyeg alá söpörniük, hanem megfelelően kell kezelniük, máskülönben komoly kockázatokkal kell számolniuk” – hangsúlyozta a szakember. Akár véletlen, akár szándékos az adatvesztés, azt a főszabály szerint be kell jelenteni a hatóságnak, és ha az incidens valószínűsíthetően magas kockázattal jár az érintettekre nézve, akkor őket is közvetlenül értesíteni kell. „Akkor nem kell jelenteni az incidenst a hatóságnak, ha az valószínűsíthetően nem jár kockázattal az érintettekre nézve. Ha például valaki elveszít egy USB-s adathordozót, rajta érzékeny adatokkal, az egyértelműen kockázat. De ha ez a pendrive titkosított, jelszóval van védve, akkor ott csekély az adatvesztés kockázata. Ez jól példázza, hogy egyrészt tudnia kell egy cégnek, hogy milyen adathordozókon, milyen adatokat tárolnak, kinél/kiknél vannak ezek az adathordozók, ezek voltak-e titkosítva, azaz tökéletesen tisztában kell lenni az adatok helyzetével, másrészt újra belép a mérlegelési kötelezettség, hogy milyen szintű az adatvesztésből eredő kockázat” – hívta fel a figyelmet a szakember. Ha egy incidens magas kockázati szintű, tehát mondjuk bankkártyaadatokat loptak el, akkor az érintetteket is értesíteni kell, jelezve nekik, hogy hogyan csökkenthetik a kockázatokat! „Felmerülhet, hogy lesz olyan cég, amelyik inkább nem jelenti be az incidenst, de ez komoly kockázat. Erre nemrég volt példa Magyarországon, ami miatt végül 10 millió forintos bírságot szabott ki a NAIH, és a cég komoly reputációs veszteséget is szenvedett” – mondta a szakember, aki szerint az őszinte, azonnali kommunikáció az egyetlen megoldás. „Minél inkább átláthatóan kommunikál egy cég, annál kisebb a kockázat. Erre azonban fel kell készülni, mert ez nem kizárólag jogi kérdés, hanem PR is, amihez adott esetben kommunikációs szakember segítségére is szükség van, és a rendkívül rövid határidők miatt ezekre is előre fel kell készülni” – vélekedett Halász Bálint.

Május 25 a határidő! - kép: Pixabay

A jogsértéseknél – és a kiszabható bírságok mértékében is – vannak enyhébb és súlyosabb tételek. Az adatvédelmi incidenseknél a bejelentés elmulasztása például az enyhébb kategóriába esik. De vannak olyan esetek, amiket nem fognak tolerálni a hatóságok: ilyen lesz a valós cél nélkül tárolt adat, azaz a készletező adatkezelés, az érintettek jogainak megsértése, a tájékoztatás megadásának vagy éppen az adattörlésnek az elmulasztása. Szintén vörös posztó lesz az adatok Európai Gazdasági Térségen kívülre történő továbbítása megfelelő védelem vagy jogalap hiányában, de ilyen lesz a hatóság utasításának be nem tartása is. Az enyhébb jogsértéseknél a bírságtétel az előző pénzügyi év teljes éves világpiaci forgalmának 2 százalékáig, míg a súlyosabb jogsértéseknél 4 százalékáig terjedhet. A GDPR 10, illetve 20 millió eurós (mintegy 6 milliárd forintos) bírságösszegeket is tartalmaz, ezek azonban nem képeznek felső korlátot az előbbi százalékos, árbevétel alapú bírságokon, tehát adott esetben a bírság 10, illetve 20 millió eurónál magasabb is lehet.  „Ezek nemcsak a magyar cégek többségének horribilis nagyságrendek, de európai szinten is fájó összegek. Nem utolsósorban ez az oka annak, hogy a GDPR-nak való megfelelést komolyan veszi a cégek többsége. De nem szabad elfelejteni, hogy a GDPR-ra nem lenne szabad csak úgy tekinteni, mint egy újabb felesleges adminisztratív elvárásra, kvázi adóra. A célja az, hogy az Európai Unió biztonságos terület legyen adatvédelmi szempontból, egy olyan egységes régió és piac, ahol az érintettek, így az ügyfelek és a felhasználók tudják, hogy biztonságban vannak az adataik, és ezek felett rendelkezhetnek. „Ha ez a cél megvalósul, Európa példátlan versenyelőnyhöz jut különösen az IT szolgáltatások területén” – hangsúlyozta Halász Bálint.