GDPR: szakítani kell a szabad-tilos szemlélettel

2018. május 15. kedd - 07:30 / kfarkas
  •    

Május 25-e, az új uniós adatvédelmi szabályozás hatálybalépésének napja közel van, de azért utána is fel fog kelni a nap, ezért még most sem késő elkezdeni a felkészülést a megfelelésre, főleg azért, mert előbb utóbb úgyis mindenkinek meg kell felelnie az új előírásoknak – figyelmeztetett Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda partnere. Már csak azért is érdemes foglalkozni a megfeleléssel, mert a GDPR a kötelezettségek mellett számos lehetőséget is tartogat a cégek számára.

Halász Bálint:

Halász Bálint:

„Fel fog kelni a nap május 26-án is. Az EU-s adatvédelmi hatóságok többsége azt kommunikálja, hogy meg kell felelni a május 25-i határidőig, mert két év volt a felkészülésre. Azonban számos hatóság tudja és érti, hogy a helyzet ennél árnyaltabb, hiszen bizonyos részletkérdésekben csak néhány hónapja jelentek meg iránymutatások és ajánlások, ezért a 100 százalékos megfelelés május 25-én sok cég számára szinte lehetetlen. Bízom abban, hogy a korábbi kemény nyilatkozataival ellentétben a magyar adatvédelmi hatóság is megfelelő rugalmasságot fog tanúsítani olyan szervezetek esetében, amelyek elindultak a megfelelés útján. Azonban vannak olyan banánhéjak, amelyeken bármikor el lehet csúszni, de ezeket ki lehet védeni” – mondta Halász Bálint, a Bird & Bird innovatív technológiákra szakosodott ügyvédje a hamarosan életbe lépő uniós adatvédelmi rendelet kapcsán. A köznyelvben GDPR-nak (General Data Protection Regulation) hívott szabályozással kapcsolatban sokan, sokszor elmondták már, milyen nehézségeket támaszt a vállalkozások előtt, milyen sokrétű a kötelezettségek köre, milyen magasak a bírságok, azonban a szakember néhány olyan pontra is felhívta figyelmünket, amelyek kimondottan jó lehetőségeket kínálnak a cégeknek.

„Egyrészt végre szakíthatunk a magyar szabályozás egyik rákfenéjével, a hozzájárulás-fixációval. Ez idestova két évtizede megtalálható a magyar adatvédelmi jogban, és azt jelenti, hogy a magyar jog két jogalapot preferált a személyes adatok kezelésére: a hozzájárulást vagy a jogszabályi kötelezettségnek való megfelelést” – mondta Halász Bálint. A 90-es években ezzel még nem volt gond, de az élet mára már számtalan területen egyszerűen meghaladta ezt a hozzáállást, egyre több adatkezelés jelent meg, ahol az érintett előzetes hozzájárulásának beszerzése nem volt életszerű vagy éppen a hozzájárulás esetleges visszavonása okozott volna problémákat.

Péterfalvi Attila: nem fenyegetésként mondom, de ellenőrizni fogunk
Május 25-étől immár kötelezően alkalmazni kell az új európai Általános Adatvédelmi Rendeletet, amelynek angol neve (General Data Protection Regulation) után előszeretettel nevezünk GDPR-nak. Péterfalvi Attila, a NAIH elnöke szerint nincs tovább, aki nem felel meg az előírásoknak, az nem számíthat a hatóság jóindulatára.

A magyar jogalkotó megoldása erre a helyzetre az volt, hogy ezeket az adatkezeléseket ágazati jogszabályokban engedte meg. Csakhogy ez több szempontból sem ideális: egyrészt ezek többsége nem valódi jogi kötelezettséget ír elő, hanem csak lehetőséget, másrészt nem rugalmas, mert gyakran nem fed le minden adatkezelést, amit egy cég végezni szeretne. Így például egy telekommunikációs szolgáltató esetében – amely ma már nem csak hagyományos telekommunikációs, hanem televíziós szolgáltatásokat is nyújt, vagy készülékek értékesítésével is foglalkozik – , bizonytalanságot okoz, hogy az elektronikus hírközlési törvény, amely csak elektronikus szolgáltatásokra vonatkozik, rugalmatlanul írja elő, hogy milyen adatokat és milyen célra kezelhet a szolgáltató. Továbbá számos ágazati adatkezelési jogszabály egymással ellentétes rendelkezéseket is tartalmaz. Az, hogy a magyar jogszabályi rendszer ebben a tekintetben nem rugalmas, és nem koherens, óriási versenyhátrányt jelent a magyar vállalkozásoknak. A GDPR ebből a szempontból egységes és jóval rugalmasabb, hiszen új jogalapokat (is) teremt az adatkezelésre.

A jogalapok közül külön kiemelendő a jogos érdek fogalma, ami újdonság lesz a magyar vállalkozások többsége számára, mert jogos érdek esetében a jogalap kérdése nem fekete-fehér, mint a hozzájárulás vagy a jogi kötelezettség esetében, hanem egy érdekmérlegelési tesztet kell elvégezniük: össze kell vetniük a saját jogos üzleti érdekeiket az érintettek, azaz pl. az ügyfelek, munkavállalók érdekeivel. Erre a legtöbb cég nincs felkészülve. Ugyanakkor a cégek egy része azzal sincs tisztában, milyen adatokat kezelnek és milyen célból. „A GDPR sokkal nagyobb önállóságot kíván meg a cégektől: kezdésnek alaposan fel kell térképezniük, mit és miért kezelnek. Szerződéskötésre vagy szerződésteljesítésre kezelik az adatokat? Esetleg marketingcélokra?

Nagyon nem mindegy, mert amennyiben más az adatkezelés célja, más a jogalapja, más a megőrzési idő és az is, hogy az érintetteknek milyen jogaik vannak. Ha egy felhasználó adatait a szolgáltatáshoz kapcsolódóan kezeli egy cég, az rendben van, de ha a felhasználóknak hírlevelet is küld, az már más adatkezelési cél, és ezért más adatkezelés. Az ilyen eltérő adatkezeléseket külön kell kezelni, azaz külön kezelni az egyes felhasználók marketingcélú és külön a  szolgáltatás teljesítéséhez kötődő adatait. Vegyük például az elektronikus direkt marketing célú adatkezeléseket, ami a legtöbb esetben e-mail hírlevelek küldését jelenti. Eddig ezt csak előzetes hozzájárulás alapján lehetett végezni. A GDPR alatt azonban már lehetőség lesz választásra, mert bizonyos esetekben lehet hivatkozni a cég jogos érdekére, és nem lesz feltétlenül szükség a felhasználó előzetes hozzájárulására. Ez azt jelenti, hogy adott esetben a cég a meglévő ügyfeleinek külön hozzájárulásuk nélkül is küldhet ki hírlevelet. Természetesen az egyszerű leiratkozás lehetőségét ebben az esetben is mindenkor biztosítani kell.

Adatkezelés jogos üzleti érdek alapján
  • az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. [GDPR 6. cikk (1) bekezdés f) pont]
  • Személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető. [GDPR (47) preambulumbekezdés]

Más területeken is egyértelmű helyzetet hoz a GDPR: például, ha egy cég saját kamerarendszert használ, amelyet nem biztonsági cég vezet, akkor arra a gyakorlatban nincs külön magyar szabályozás, a NAIH szerint analógiaként a vagyonbiztonsági cégekre vonatkozó szabályozást kell használni, így életszerűtlen helyzetek jönnek létre, hiszen a felvételt néhány napnál tovább nem szabad tárolni. Ugyanakkor, ha például egy raktárban havi leltározás van, akkor csak havonta derül fény egy esetleges lopásra, ekkor pedig nem sokat érnek az előző három nap felvételei. Ezzel szemben a GDPR jogos érdeke elméletileg lehetővé teszi, hogy ilyen esetekben a kellő mértékig meghosszabbítsák a felvételek tárolását. De minden esetben mérlegelésre van szükség, és ebben áll a GDPR fő kihívása. Vagyis hogy egyfajta szemléletmódváltásra van szükség: eddig azt szokták meg a vállalkozások, hogy valamit lehet, vagy nem. A GDPR nem ilyen igen-nem gondolkodásmódot kíván meg: folyamatos mérlegelési és döntési szituációkkal jár.

GDPR: felkészületlenül futnak neki a magyar cégek
Kevés felmérés mérte eddig a magyar vállalkozások felkészültségét az új uniós adatkezelési rendelettel, a GDPR-al kapcsolatban, de ami adat a rendelkezésünkre áll, az nem túl biztató a TMSI Kft. által most közzétett kutatás is azt mutatja: vannak még fehér foltok.

Magyarországon azonban jelentős probléma, hogy az ágazati jogszabályok adatkezelési előírásait egyelőre nem hozták összhangba a GDPR-ral. A jogszabályi hierarchiában a GDPR mint EU-s rendelet magasabb szinten áll, mint a tagállami törvények és egyéb alacsonyabb rendű jogszabályok. A gond ugyanakkor az, hogy a GDPR – a nevéből is következően – általános szabályokat tartalmaz, amelyek nem adnak, nem adhatnak választ minden részletkérdésre. Ezzel szemben az ágazati jogszabályok ezt megteszik, de ezek számos esetben a GDPR általános szabályaitól eltérő megközelítést alkalmaznak. „A minisztériumok ígérete szerint gyors ütemben sor kerül majd az ágazati jogszabályok rendbetételére, de május 25. után még jó darabig előállhat az a helyzet, hogy a GDPR engedne valamit, de egy évtizedes magyar szabály nem. Ha ezen a helyzeten nem változtat gyorsan a jogalkotó, akkor a magyar cégek komoly versenyhátrányba kerülhetnek, ugyanis több uniós tagállamban már tényleges előrelépéseket tettek a bizonytalanságokat okozó anomáliák felszámolása érdekében” – figyelmeztetett Halász Bálint.

A szemléletváltást még egy fontos területen nem lehet megkerülni: ez pedig az incidensek kezelése. „Itt jelentkezik a GDPR egy újabb előnye, helyre teszi az adatvédelmi incidens fogalmát: a korábbi magyar szabályozással ellentétben itt már valóban csak a szó szoros értelmében vett incidensekre kell gondolni. Emiatt és számos egyéb okból kifolyólag a cégeknek fel kell ismerniük, hogy az incidenseket nem szabad a szőnyeg alá söpörniük, hanem megfelelően kell kezelniük, máskülönben komoly kockázatokkal kell számolniuk” – hangsúlyozta a szakember. Akár véletlen, akár szándékos az adatvesztés, azt a főszabály szerint be kell jelenteni a hatóságnak, és ha az incidens valószínűsíthetően magas kockázattal jár az érintettekre nézve, akkor őket is közvetlenül értesíteni kell. „Akkor nem kell jelenteni az incidenst a hatóságnak, ha az valószínűsíthetően nem jár kockázattal az érintettekre nézve. Ha például valaki elveszít egy USB-s adathordozót, rajta érzékeny adatokkal, az egyértelműen kockázat. De ha ez a pendrive titkosított, jelszóval van védve, akkor ott csekély az adatvesztés kockázata. Ez jól példázza, hogy egyrészt tudnia kell egy cégnek, hogy milyen adathordozókon, milyen adatokat tárolnak, kinél/kiknél vannak ezek az adathordozók, ezek voltak-e titkosítva, azaz tökéletesen tisztában kell lenni az adatok helyzetével, másrészt újra belép a mérlegelési kötelezettség, hogy milyen szintű az adatvesztésből eredő kockázat” – hívta fel a figyelmet a szakember. Ha egy incidens magas kockázati szintű, tehát mondjuk bankkártyaadatokat loptak el, akkor az érintetteket is értesíteni kell, jelezve nekik, hogy hogyan csökkenthetik a kockázatokat! „Felmerülhet, hogy lesz olyan cég, amelyik inkább nem jelenti be az incidenst, de ez komoly kockázat. Erre nemrég volt példa Magyarországon, ami miatt végül 10 millió forintos bírságot szabott ki a NAIH, és a cég komoly reputációs veszteséget is szenvedett” – mondta a szakember, aki szerint az őszinte, azonnali kommunikáció az egyetlen megoldás. „Minél inkább átláthatóan kommunikál egy cég, annál kisebb a kockázat. Erre azonban fel kell készülni, mert ez nem kizárólag jogi kérdés, hanem PR is, amihez adott esetben kommunikációs szakember segítségére is szükség van, és a rendkívül rövid határidők miatt ezekre is előre fel kell készülni” – vélekedett Halász Bálint.

Május 25 a határidő! - kép: Pixabay

Május 25 a határidő! – kép: Pixabay

A jogsértéseknél – és a kiszabható bírságok mértékében is – vannak enyhébb és súlyosabb tételek. Az adatvédelmi incidenseknél a bejelentés elmulasztása például az enyhébb kategóriába esik. De vannak olyan esetek, amiket nem fognak tolerálni a hatóságok: ilyen lesz a valós cél nélkül tárolt adat, azaz a készletező adatkezelés, az érintettek jogainak megsértése, a tájékoztatás megadásának vagy éppen az adattörlésnek az elmulasztása. Szintén vörös posztó lesz az adatok Európai Gazdasági Térségen kívülre történő továbbítása megfelelő védelem vagy jogalap hiányában, de ilyen lesz a hatóság utasításának be nem tartása is. Az enyhébb jogsértéseknél a bírságtétel az előző pénzügyi év teljes éves világpiaci forgalmának 2 százalékáig, míg a súlyosabb jogsértéseknél 4 százalékáig terjedhet. A GDPR 10, illetve 20 millió eurós (mintegy 6 milliárd forintos) bírságösszegeket is tartalmaz, ezek azonban nem képeznek felső korlátot az előbbi százalékos, árbevétel alapú bírságokon, tehát adott esetben a bírság 10, illetve 20 millió eurónál magasabb is lehet.  „Ezek nemcsak a magyar cégek többségének horribilis nagyságrendek, de európai szinten is fájó összegek. Nem utolsósorban ez az oka annak, hogy a GDPR-nak való megfelelést komolyan veszi a cégek többsége. De nem szabad elfelejteni, hogy a GDPR-ra nem lenne szabad csak úgy tekinteni, mint egy újabb felesleges adminisztratív elvárásra, kvázi adóra. A célja az, hogy az Európai Unió biztonságos terület legyen adatvédelmi szempontból, egy olyan egységes régió és piac, ahol az érintettek, így az ügyfelek és a felhasználók tudják, hogy biztonságban vannak az adataik, és ezek felett rendelkezhetnek. „Ha ez a cél megvalósul, Európa példátlan versenyelőnyhöz jut különösen az IT szolgáltatások területén” – hangsúlyozta Halász Bálint.

Adatvédelmi incidens: mit tanulhatunk a Facebook-botrányból?
A személyes adatok kezelésének és védelmének kérdése talán még soha nem volt annyira a középpontban, mint az elmúlt hetekben: a GDPR szinte minden gazdálkodószervezetet, közintézményt érint, a világsajtóban végigsöprő Facebook–Cambridge Analytica-ügy pedig sajátos megvilágításba helyezi az új rendelkezések aktualitását és lehetséges hatásait is.
Jogi kisokos
Kedves Olvasónk!
Ha érdekli ez a téma, és szeretne heti hírlevelet kapni a témában, vagy értesítést a megjelent új cikkekről, kérjük, adja meg nevét és e-mail címét!

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor