Péterfalvi Attila: nem fenyegetésként mondom, de ellenőrizni fogunk

2018. április 16. hétfő - 07:30 / kfarkas
  •    

Május 25-étől immár kötelezően alkalmazni kell az új európai Általános Adatvédelmi Rendeletet, amelynek angol neve (General Data Protection Regulation) után előszeretettel nevezünk GDPR-nak. Péterfalvi Attila, a NAIH elnöke szerint nincs tovább, aki nem felel meg az előírásoknak, az nem számíthat a hatóság jóindulatára.

Május 25-től immár kötelezően alkalmazni kell az új európai Általános Adatvédelmi Rendeletet, amelyet angol neve (General Data Protection Regulation) után előszeretettel nevezünk GDPR-nak. Az európai szabályrendszer már évek óta rendelkezésre áll ugyan, a magyar jogalkotók és a hazai vállalkozások is lemaradtak a felkészüléssel. Dr. Péterfalvi Attila szerint a jogalkotók határidőre elvégzik a szükséges módosításokat, az üzleti szférának pedig muszáj felkészülnie az új előírásokra. A Nemzeti Adatvédelmi és Információszabadsági Hatóság (NAIH) elnökével a GDPR előnyeiről, hátrányairól, az esetleges következményekről beszélgettünk.

Miért vált szükségessé, hogy új, méghozzá egységes, európai szintű szabályozás szülessen az adatvédelem területén?

– Egyszerű a válasz erre a kérdésre: mert a világ egyre digitalizálódik és globalizálódik, amely folyamatok eltüntetik a határokat. A nagyobb, nemzetek közötti összefogásra annak érdekében van szükség, hogy az állampolgárok biztonságban tudhassák személyes adataikat. A technológia fejlődése könnyebbé tette az adatok gyűjtését, és lehetségessé a profilalkotást, azaz egy-egy fogyasztó szokásainak átfogó feltérképezését. Márpedig senki sem szeretné, hogy beleavatkozzanak a magánéletébe. Az új szabályozás arra teremt lehetőséget – és nem utolsósorban eszközt –, hogy megvédjük adatainkat akár a globális óriáscégekkel szemben. Ritkán hangoztatott tény, de az uniós adatvédelmi kezdeményezésnek a GDPR csak az egyik, talán jelenleg a leginkább előtérbe került eleme. Ezt kiegészítik a büntető irányelvek, illetve készülőben van az úgynevezett e-privacy rendelet, amely a telekommunikációs szektorra vonatkozik majd.

Péterfalvi Attila - Kép: PP, Fotó: Bánkuti András

Péterfalvi Attila – Kép: PP, Fotó: Bánkuti András

A GDPR európai szabályozás, míg a fogyasztók adatait a világ minden pontján gyűjtik.

– Ugyan a GDPR uniós szabály, de globális szinten kikényszeríthető: nemcsak az európai cégekre vonatkozik, hanem minden olyan vállalkozásra vagy szervezetre is, amely európai polgároknak szolgáltat. Lehet tehát az Egyesült Államokban az Amazon vagy Kínában az Alibaba, az európaiakkal szemben a GDPR szabályainak megfelelően kell eljárnia. Ez teszi lehetővé, hogy az uniós állampolgár akár az olyan multinacionális óriásokkal szemben is fellépjen, mint a Facebook vagy a Google.

Péterfalvi Attila
1957-ben született, jogász. Pályáját a veszprémi tanácsnál kezdte, 1986 óta oktat az Államigazgatási Főiskolán (ma Közszolgálati Egyetem). 1996-tól az adatvédelmi biztos irodájának szakértője volt, 2001 decemberétől hat éven át adatvédelmi ombudsman. Mandátumának lejártakor Sólyom László köztársasági elnök újra őt jelölte a tisztségre, ám az Országgyűlés nem választotta meg. 2008 és 2011 között az ombudsmani hivatal vezetője. 2012. január 1-jétől az ombudsmani hivatalt váltó Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke.

Mit fognak érzékelni a fogyasztók, illetve az adatok tulajdonosai?

– Egyrészt pontosabb tájékoztatást fogunk kapni az adatainkat kezelő szervezetektől arra nézve, hogyan és meddig kezelik a személyes adatainkat. Ezt ellenőrizhetjük is, sőt az adataink hordozhatóságát is biztosítaniuk kell az adatkezelőknek. Azonban a legfontosabbnak azt tartom, hogy belép az elszámoltathatóság elve. Ez ugyanis nemcsak azt mondja ki, hogy az adatkezelőknek meg kell felelniük a rendelet szabályainak, hanem ezt bizonyítaniuk is kell. Tehát rendelkezniük kell azokkal a dokumentumokkal, amelyek a megfelelést igazolják. Így könnyen és gyorsan elszámoltathatóvá válnak az adatkezelők. Mindenkinek át kell vizsgálnia a jelenlegi adatkezelési gyakorlatát: milyen adatokat kezel, milyen jogalappal kezeli azokat, megvan-e a megfelelő tájékoztatás, az adatbiztonsági követelményeknek megfelel-e. Ha május huszonötödike után megyünk ellenőrizni, kérni fogjuk ezeket a dokumentumokat.

Egy februári felmérés szerint a vállalkozások harmada azt sem tudja, mi az a GDPR, nemhogy milyen kötelezettségei vannak. Hogyan értékeli felkészülésünk helyzetét ennek fényében, alig három hónappal a derogációs határidő lejárta előtt?

– Nagyon remélem, hogy ez csak arra vonatkozik, hogy a vállalatvezetők nem tudnak róla, és a cégnél vannak olyan munkatársak, akiknek ezzel foglalkozniuk kell, és ők tisztában vannak a kötelezettségeikkel. Nem akarunk milliárdos büntetéseket kiszabni, sem cégeket csődbe vinni, ezért nem fenyegetésként mondom, de ellenőrizni fogjuk, hogy rendben megy-e az adatok kezelése.

GDPR: felkészületlenül futnak neki a magyar cégek
Kevés felmérés mérte eddig a magyar vállalkozások felkészültségét az új uniós adatkezelési rendelettel, a GDPR-al kapcsolatban, de ami adat a rendelkezésünkre áll, az nem túl biztató, a TMSI Kft. által most közzétett kutatás is azt mutatja: vannak még fehér foltok.

Nehéz a felkészülés, mert a jogalkotók is lemaradtak. Meglesznek a szükséges módosítások a határidőig?

– Úgy vélem, igen. Elsősorban az infotörvény (2011. évi CXII. törvény – a szerk.) és az ágazati jogszabályok módosításai maradtak el. Nem kis feladat áll a jogalkotók előtt, mert többek között a NAIH jogkörét is érintő módosításokra lesz szükség, nem is beszélve a GDPR kiegészítő szabályairól és a büntető irányelvek implementációjáról. Azonban ezeknek mindenképpen meg kell születniük május huszonötödikéig, mint ahogy – a jogalkotók tervei szerint – a legfontosabb szektoriális szabályozások módosításainak is. Úgy becsülöm, a módosításokra mindenképpen a választások után fog sor kerülni, az új parlament felállását követően, tehát legkorábban május elején.

Mit javasolna, ebben a helyzetben, a gazdasági szervezeteknek?

– Nyilván az lenne az optimális, ha a jogszabályi módosítások már megtörténtek volna, de a GDPR szabályait már most is lehet értelmezni. Azt javaslom, hogy mindenekelőtt nézzék át, hogy a jelenlegi eljárásaik megfelelnek-e az új szabályoknak. Külön kiemelném, hogy nagy hangsúlyt fektessenek az IT-biztonság kérdésére. Aki otthonról működtet például webshopot, az rengeteg érzékeny adatot kezel, de nem biztos, hogy biztonságos körülmények között, pedig rendkívül fontos, hogy ezek az adatok ne kerüljenek illetéktelen kezekbe. Nézzük meg, hogy megfelelő-e a hardver, a szoftver, a tűzfal, a vírusölő. Ez nem úszható meg, része az elszámoltathatóságnak! Ha valaki nem tudja bemutatni a felkészülést igazoló dokumentumokat május huszonötödike után egy hatósági ellenőrzésnél, az nem számíthat a jóindulatunkra az eljárás során. Egyébként a hatóság a honlapján széleskörűen tájékoztat, több GDPR-szabály, rendelet fordítása is megtalálható az oldalunkon, illetve feltettünk részletes tájékoztató anyagokat is. (A NAIH első állásfoglalásáról készült összefoglaló írásunkat itt találja!)

A NAIH jogköre is kiszélesedik majd. Önök felkészültek a határidőre?

– Úgy hiszem, igen, bár persze még előttünk is állnak feladatok, de május huszonötödikéig mindent meg fogunk oldani. Nyilván nekünk is meg kell növelnünk a szakértői gárdát, ennek kapcsán negyven fővel bővül a NAIH személyi állománya. Nemcsak jogászokat, hanem informatikusokat is toboroztunk, és kiépült az incidensbejelentési rendszer is.

GDPR: ha megszakadunk sem tudunk megfelelni?
Május 25-én lép életbe az Egységes Európai Adatvédelmi Rendelet (GDPR), ám egy szervezet sem tud rá 100 százalékosan felkészülni, és a jogszabály minden pontjának megfelelni. A cégek pedig, akik úgy gondolják, hogy az informatikusok majd gondoskodnak az adatok védelméről, nagyon rossz úton járnak – világít rá Solymos Ákos, a QUADRON Kibervédelmi Kft. szakértője.

A vizsgálatok hivatalból indulnak majd, vagy bejelentésre?

– Nem fogjuk május huszonötödike után lerohanni az adatkezelőket. Akkor ellenőrzünk, ha panaszbeadványokból vagy incidensjelentés kapcsán értesülünk az adatbiztonsági eseményről. Nyilván nem mi mondjuk meg, hogyan kell elhárítani az incidenst, de ellenőrizni fogjuk, hogy az adatkezelő megtette-e a szükséges lépéseket.

Mire ügyelnek majd az ellenőrök?

– Az elszámoltathatóság, átláthatóság az alapelv. Persze elkérünk minden olyan dokumentumot, amelyet az adatkezelőknek vezetniük kell. A központi adatvédelmi nyilvántartás megszűnik, ezentúl az adatkezelőknek kell vezetniük a dokumentációt.

Mi a helyzet a kkv-kkal? Eddig elsőre csak figyelmeztetett a hatóság. Változik ez a gyakorlat, és akár első alkalommal is büntetést szabnak majd ki?

– Félreértés ne essék, nem az a célunk, hogy sorban szabjuk ki a bírságokat, és csődbe vigyük a cégeket. De a kkv-k kapcsán az adatvédelmi hatóság jogköre tekintetében fontos kiemelni, hogy a GDPR uniós rendeletként felette áll a magyar szabályozásnak, így a szabályokat megszegő kis- és középvállalkozások esetén nincs lehetőség a mentesítésre, vagyis annak a szabálynak az alkalmazására, amely megtiltotta első alkalommal a bírság kiszabását. Május huszonötödike után ez a kör nem számíthat erre a védelemre.

Eddig nem túl gyakran szabtak ki több tízmilliós bírságokat, de az új tételek akár a milliárdos nagyságrendet is elérhetik.

– Ez egy európai rendelet, és a bírságok is európai mértékű bírságok lesznek, így Magyarországon is annyi bírságot kell kiszabni, mint Hollandiában. Az egységes szabályozás másik hatása – az nézőpont kérdése, hogy ez áldás vagy átok –, hogy nem feltétlenül annak az országnak az adatvédelmi hatósága jár majd el érdemben, amelyik országban a panaszt benyújtották. Álláspontom szerint az egyablakos ügyintézés – one-stop-shop mechanizmus – nem az érintettek jogvédelmét szolgálja. Ha például befut hozzánk egy panasz, a példánál maradva, a holland webshoppal kapcsolatban, akkor mi megtesszük a lépéseket, de a holland hatóság fogja eldönteni, hogy eljár az ügyben, vagy mi járjunk el. Az is előfordulhat, hogy több adatvédelmi hatóság együttesen jár majd el, közös műveleteket végez. Az osztrák adatvédelmi hatóságnál például már több ízben vettünk részt ilyen próbagyakorlatokon. Nem tudnám megtippelni, hány ilyen eset lesz. A tendencia, úgy tűnik, az, hogy a nemzeti hatóságok próbálják leszorítani ezeknek az ügyeknek a számát. Persze még az is a jövő zenéje, hogy milyen gyorsan fog kialakulni az egységes jogalkalmazás a GDPR mint egységes szabály- és szankciórendszer alapján.

Ön szerint az elhangzottak fényében, használható lesz ez az egységes rendelet?

– Mindenképpen. Az állampolgárok is eszközt kapnak a kezükbe, hogy rendelkezzenek az adataik felett, és nem csak az országhatáraikon belül. Azt azért látnunk kell, hogy egy európai állampolgár vagy akár egy nemzeti hatóság is önmagában nem biztos, hogy képes érvényesíteni az érdekeit egy Facebookhoz hasonló céggel szemben. Csak egy ilyen, egységes fellépést lehetővé tevő, erős szabályozással tudjuk kikényszeríteni az adataink megfelelő védelmét. De ez a hazai cégek számára is jelzi a probléma komolyságát: az, amiről eddig azt hittük, hogy minden további nélkül megtehetjük arra hivatkozva, hogy „belefér adott ország kultúrájába”, a jövőben nem fog menni. Ezzel legyünk tisztában!

Adatvédelmi incidens: mit tanulhatunk a Facebook-botrányból?
A személyes adatok kezelésének és védelmének kérdése talán még soha nem volt annyira a középpontban, mint az elmúlt hetekben: a GDPR szinte minden gazdálkodószervezetet, közintézményt érint, a világsajtóban végigsöprő Facebook–Cambridge Analytica-ügy pedig sajátos megvilágításba helyezi az új rendelkezések aktualitását és lehetséges hatásait is.

Feliratkozom a(z) Jogi kisokos téma cikkértesítőjére. A megjelenő új cikkekről tájékoztatást kérek

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor