Péterfalvi Attila: itt az idő

2018. május 25. péntek - 07:30 / kfarkas
  •    

Eljött a dátum, amiről idestova két éve beszélünk, mától élesben kell alkalmazni az uniós adatvédelmi rendelet, közismertebb nevén a GDPR szabályait. Az uniós szabályozás készen áll, a magyar jogalkotás azonban lemaradt a dátumról, ami okozhat némi zavart a hazai cégek körében. Péterfalvi Attila, a NAIH elnöke azonban óva int attól, hogy bárki erre hivatkozva megszegje adatkezelői kötelezettségeit.

Eljött a nap: mától kötelezően alkalmazandó az uniós adatvédelmi rendelet, azaz a General Data Protection Regulation, a GDPR. Annak ellenére, hogy még néhány hónappal ezelőtt is arra számíthattunk, hogy a magyar jogalkotó elkészül a szükséges módosításokkal, sem a Büntető Irányelv implementálása, sem az infotörvény módosítása, sem az ágazati jogszabályok kitisztítása nem történt meg. Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke azonban óva intette az adatkezelőket attól, hogy erre hivatkozva megszegjék az új uniós szabályokból fakadó kötelezettségeiket.

GDPR szótár: 15 fontos alapfogalom, amit jó, ha ismersz
Vészesen közeledik az uniós adatvédelmi rendelet hatálybalépésének időpontja. Nem könnyű eligazodni a rendelet előírásai között, ebben nyújthat segítséget az alábbi GDPR szótár, amelyben szakértőnk a legfontosabb alapfogalmakkal ismerteti meg, a teljesség igénye nélkül.

Itt olvashatja a témában a Piac & Profit összes cikkét!

Mikor két hónappal ezelőtt beszélgettünk (Péterfalvi Attilával készült korábbi interjúnkat ITT olvashatja), akkor azt valószínűsítette, hogy a határidőre elfogadják az infotörvény módosítását. Most hogy látja, mikor kerülhet erre sor?

– Nem szeretnék találgatni, ezek fontos jogszabályi változások, prioritást élveznek a kormányzat oldaláról. Abban bízom, ahogy a költségvetés benyújtása – sajtóértesülések szerint – még a nyári szünet előtt megtörténik, úgy a Büntető Irányelv implementálására (amelynek határideje május 6. lett volna) és az infotörvény módosításának benyújtására az Országgyűlés elé is sor kerülhet a következő hetekben, a legfontosabb szektoriális szabályozásokkal egyetemben.

Kép: PP, Fotó: Bánkuti András

Kép: PP, Fotó: Bánkuti András

>

Melyiket tartja a legfontosabbnak?

– A magunk részéről az infotörvény módosítását tartanám a legfontosabbnak, mivel ez a NAIH működése szempontjából is létfontosságú. Ahhoz ugyanis, hogy a NAIH be tudja tölteni azt a feladatkört, amelyet a GDPR előírásai szerint be kell töltenie, hiányzik a jogköreinek kiterjesztése, rendezése.

GDPR: amit tudnod kell az adathordozhatóságról
A GDPR bevezeti az adathordozhatóság fogalmát, és előírásokat tartalmaz arra vonatkozóan, hogy az érintettek mikor gyakorolhatják ezt a jogot. Ez azonban új fogalom a felhasználók és az adatkezelők számára is: szakértő segítségével próbálunk válaszolni a legfontosabb felmerülő kérdésekre.

Miben befolyásolhatja ez a működésüket?

– Bizonyosfajta eljárások lefolytatására még nincs lehetőség. Ilyen például, az incidensbejelentés utáni ellenőrzés lefolytatása, a vizsgálati típusú eljárások lefolytatása, de például az ágazati magatartási kódexek véleményezésére, jóváhagyására sincs még megfelelő felhatalmazásunk.

A NAIH oldaláról felkészültek a feladatok ellátására?

– Amit lehetett, azt megtettük. Elvégeztük a szükséges informatikai fejlesztéseket, folyamatosan zajlik az állásfoglalások, tájékoztató anyagok közzététele, folyik a nemzetközi kapcsolatok kialakítása más országok adatvédelmi hatóságaival, az osztrák hatóságokkal közösen nemrégiben például a közelmúltban közös gyakorlatokat is végeztünk. Nyilván a jogszabályi háttér hiányosságai miatt vannak területek, amelyeken elmaradtunk, de emögött nemcsak a magyar jogszabályokat értem, uniós szinten sincs még minden tekintetben kibontva a GDPR sok részlete, és sok más tagállam is lemaradt a felkészüléssel.

És ez még csak a GDPR! A Büntető Irányelv implementálása is létfontosságú lenne például a bűnüldözési célú adatkezelések szempontjából, így hamar sort kell keríteni a rendőrségi törvény módosítására is.

Ebben a helyzetben mit tehetnek a vállalkozások?

– Be kell tartaniuk a GDPR előírásait. Minden céges adatkezelőt óva intenék attól, hogy az elmaradt jogszabályokra hivatkozva megsértse a GDPR-ból fakadó kötelezettségeit. Senki sem mondhatja mától egy adatalanynak azt, hogy nem ad tájékoztatást a kezelt adatairól, mert nem készült el az infotörvény. A GDPR-ból eredő közvetlen kötelezettségeknek meg kell felelni, akár van nemzeti szabályozás, akár nincs. Továbbmegyek: mától ezt a bíróságoknak is figyelembe kell venniük.

GDPR: szakítani kell a szabad-tilos szemlélettel
Május 25-e, az új uniós adatvédelmi szabályozás hatálybalépésének napja közel van, de azért utána is fel fog kelni a nap, ezért még most sem késő elkezdeni a felkészülést a megfelelésre, főleg azért, mert előbb-utóbb úgyis mindenkinek meg kell felelnie az új előírásoknak – figyelmeztetett Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda partnere. Már csak azért is érdemes foglalkozni a megfeleléssel, mert a GDPR a kötelezettségek mellett számos lehetőséget is tartogat a cégek számára.

De ha a NAIH nem rendelkezik a megfelelő ellenőrzési jogkörrel…

– Az ellenőrzés eddig sem úgy működött és ezután sem lesz olyan, hogy 27-én rátörjük valakire az ajtót. A panaszbeadványok kapcsán eddig is volt és ezután is lesz lehetőségünk ellenőrizni. Mint említettem, egyes esetekben, mint például az incidensek bejelentése után, hiányoznak az ezt követő hatósági ellenőrzés bizonyos feltételei, de azért eljárási szabályok eddig is voltak. De tény, hogy egyértelműbb lenne a helyzet, és ilyen téren hiányosságként jelenik meg az infotörvény módosításának elmaradása.

Hogyan látja most, a célvonalban, az üzleti szektor felkészültségét?

– Nincsenek megbízható információink arról, hogy az adatkezelők közül hányan végezték el a szükséges feladatokat, tehát hányan tekintették át az adatkezelési gyakorlatukat, és alakították át úgy folyamataikat, hogy az megfeleljen a GDPR-nak. De amit lehetett az elmúlt időszakban, megtettünk: sorra járjuk a konferenciákat, jelenítjük meg a tájékoztatókat. Egyébként a tapasztalataim szerint a nagyvállalatok, különösen a multinacionális cégek elvégezték a házi faladatot, de tartok tőle, hogy a kvv-szektor érzékenyebb kérdés lehet.

Több iparági szervezet is jelezte, hogy szívesen veszi a NAIH útmutatásait, és szorosabb együttműködést, rendszeres konzultációt szorgalmaznak. Lát erre lehetőséget?

– Ami azt illeti, eddig is így jártunk el, és ezután is így fogunk. Azonban nagy kérdés, hogy a konzultációk milyen szinten zajlanak majd. Ezután nagyobb szerepet kap majd az uniós tagállamok más hatóságaival, ágazati érdek-képviseleti szerveivel folytatott együttműködés, hiszen egy-egy felmerülő problémára egységes választ kell adnia Európának, sok esetben nem a nemzeti megoldások fogják a megoldást jelenteni. Ugyanakkor a GDPR-on belül is vannak olyan területek, ahol a nemzeti jogalkotásnak nagy szerepe van, itt viszont olyan szabályozást kell létrehozni, ami a nemzeti érdekeket szolgálja. Ehhez azonban idő kell: évekbe fog telni, amíg valóban egységes, jól működő rendszer állhat fel.

Ön személy szerint hogyan éli meg a mai napot?

– Számomra is fontos dátum ez. Már a nyolcvanas évek óta foglalkozom adatvédelemmel, részt vettem az első, még a szocialista érában fogant törvény kidolgozásában is. Azután az ombudsmani rendszerben az első perctől kezdve részt vettem az adatvédelmi biztos munkájában is, megéltem az uniós csatlakozásunkat, a schengeni rendszerbe történő belépésünket, az ombudsmani rendszer hatósággá alakulását. Azt, hogy most a NAIH elnökeként az új egységes szabályozás bevezetésében vehetek részt, óriási szerencsének és kegynek tartom.

A GDPR tulajdonképpen a technológia fejlődésére adott válasz. A fejlődés azonban nem áll meg, sőt egyre gyorsul. Elképzelhetőnek tartja, hogy  előbb-utóbb, ahogy most az infotörvény, úgy a GDPR is elavulttá válik?

– Ennek a szabályozásnak pont az az egyik szerepe – és egyik legfontosabb megközelítése –, hogy technológiasemleges. A rendelet azért annyira általános, hogy megpróbálhat reagálni az új kihívásokra. Ami nagy kihívás a jövőben, az az, hogy ez a típusú szigorú adatvédelem mennyiben válhat globálissá. A GDPR ugyanis megpróbál egybeterelni, nyomon követhetővé és számon kérhetővé tenni minden olyan tevékenységet, ami az európai polgárok adatainak kezelésével, megfigyelésével jár. De az, hogy ezt mennyire sikerül unión kívüli országokban is „átvinni”, az még nyitott kérdés. Hogyan fog ez a gyakorlatban működni Oroszországban vagy Kínában? Hogyan lesz az európai polgárok adatainak ottani kezelése ellenőrizhető? A világban jelenleg több szemléletmód is uralkodik, ami az adatkezelést illeti, de ahogy a globalizáció gyorsul, előbb-utóbb ki fog alakulni egy egységes, világszintű adatvédelmi mechanizmus, amely majd kiegészítheti vagy felválthatja a GDPR-t, de azt hiszem, ez már egy következő generáció feladata lesz.

Péterfalvi Attila
1957-ben született, jogász. Pályáját a veszprémi tanácsnál kezdte, 1986 óta oktat az Államigazgatási Főiskolán (ma Közszolgálati Egyetem). 1996-tól az adatvédelmi biztos irodájának szakértője volt, 2001 decemberétől hat éven át adatvédelmi ombudsman. Mandátumának lejártakor Sólyom László köztársasági elnök újra őt jelölte a tisztségre, ám az Országgyűlés nem választotta meg. 2008 és 2011 között az ombudsmani hivatal vezetője. 2012. január 1-jétől az ombudsmani hivatalt váltó Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke.

Feliratkozom a(z) Jogi kisokos téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor