Semmi ok a pánikra, az újdonságok nem tartalmaznak radikális változást a jelenleg hatályos hazai szabályokhoz képest, nehézséget okozhat azonban, ha az adatkezelő a kötelezettségeinek eddig csak módjával tett eleget – hívták fel a Világgazdaság figyelmét a május 25-től közvetlen hatállyal alkalmazandó uniós adatvédelmi rendelet, a GDPR kapcsán a Hargittay és Tóth Ügyvédi Iroda szakértői.
Kellő tudatossággal, megfelelő felkészültséggel, jól kezelt adatvagyonnal a GDPR végrehajtása nem kényes teher, hanem komoly üzleti előnyt jelenthet az adatkezelők és adatfeldolgozók részére Hargittay Szabolcs irodavezető ügyvéd és Selyem Tóth Sándor adatvédelmi szakértő szerint. Például a hatalmas adatvagyonnal rendelkező és azt tudatosan használó big data, illetve technológiai vállalatok részére a közös adatkezelés biztosít költségcsökkentési lehetőséget. De a lehetőségek kiaknázását a digitális személyazonosság létrehozásával, mesterkulcs alkalmazásával és szuperplatform megteremtésével üzleti előnnyé is lehet kovácsolni – húzták alá.
Fotó: Balogh Zoltán
Jelentős átfedésben az infotörvénnyel
A hasonlóságok kapcsán a szakértők kiemelték, hogy a GDPR 5. cikkében írt hét alapelv mindegyike pontosan megfelel az infotörvény 4. és 7. paragrafusának elveivel. Ezek a jogszerűség, a tisztességes eljárás, az átláthatóság, a célhoz kötöttség, az adattakarékosság, a pontosság, a korlátozott tárolhatóság, az integritás és a bizalmas jelleg, valamint az elszámoltathatóság elvei, melyeknek érvényesülniük kell a kötelezettségek teljesítése során. Az adatvédelmi incidens fogalmához, az adatbiztonság jogellenes sérelméhez kísértetiesen hasonló definíció is létezik a magyar jogban 2015 óta.
Hargittay és Selyem Tóth szerint a rendelet végrehajtásának sikeréhez elengedhetetlen tagállami szinten a jogszabályon alapuló adatkezelések egységesítése, például a foglalkoztatással összefüggő adatkezelés, az egészségügyi adatok kezelése, a mikrovállalkozások mentességi szabályainak pontosítása.
A bírságok rendszerének megalkotása ugyanígy szükséges, mindezzel azonban egyelőre adós a jogalkotó. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nyilvántartásba vételi feladata az új GDPR szabályozással jelenlegi formájában azonban okafogyottá válhat, erre vonatkozóan sem ismert a jogalkotó szándéka. Pedig a NAIH aktív szereplője az adatvédelmi „piacnak”. Honlapján tájékoztatást ad, a hatásvizsgálat elkészítéséhez támogatást nyújt, ellenőrzést végez, végső esetben bírságol az adatvédelmi hatóság – jegyezték meg.
Árulkodó a BKK-ügy kifutása
A bírság intézménye és túlzónak ható felső határa a szakértők szerint szintén aggodalomra adhat okot, de a rendelet alapján a bírságnak hatékonynak, arányosnak és visszatartó erejűnek kell lennie. A NAIH bírságolási gyakorlatát az EU munkacsoportjának iránymutatásai is segítik. Sokat árul el a várható gyakorlatról, hogy a BKK Zrt. online jegyértékesítési rendszerének elhíresült hibáiból bekövetkezett adatvédelmi incidens miatt a 20 millió forintos felső határ helyett mindössze 10 milliós bírságot szabtak ki. Ennek fényében nehéz értelmezni a 10 millió eurós vagy az éves árbevétel 2 százalékát elérő bírságot, ami súlyosabb esetekben akár ennek kétszerese, 20 millió euró vagy a forgalom 4 százaléka is lehet.
Az érintettek jogait egyértelműen meghatározták a GDPR rendeletben
– húzta alá Hargittay és Selyem Tóth. Az érintett jogosult az adatai kezeléséhez hozzáférni, az adatait helyesbíteni, azokat elfeledtetni, korlátozhatja az adatkezelést, tiltakozhat az adatkezelés ellen, illetve az adatait olvasható formában kikérheti az adatkezelőtől (adathordozás). Lényeges változás az adatkezelési hozzájárulásban, hogy ezentúl nem elegendő az előre pipált rubrika vagy a hozzájáruló gomb, hanem az érintett tevékeny beleegyezése szükséges, mégpedig az adatkezelés céljaihoz külön-külön. Az érintettek a jogaik és adataik sérelme esetén az adatvédelmi hatóság eljárásának kezdeményezésén túl kártérítési és sérelemdíj iránti igénnyel is élhetnek.
Nem kötelező 250 foglalkoztatott alatt
Az adatkezelőknek is megfelelő technikai és szervezeti intézkedésekkel kell biztosítaniuk a személyes adatok védelmét és az érintettek jogait. Az adatkezelők tájékoztatási kötelezettsége kettős, egyrészt előzetesen tájékoztatást kell nyújtaniuk az adatkezelés körülményeiről (adatkezelő, adatfeldolgozó megnevezése, elérhetőségei, az adatkezelés célja és jogalapja, adattovábbítás, tárolás tartama, az érintett jogai), másrészt az érintett kérésére is tájékoztatást kell adni az adatkezelés eseményeiről. A rendelet általános kötelezettségként írja elő az adatvédelmi szabályzat készítését, az adatkezelési nyilatkozat megfelelő alkalmazását, adatkezelési nyilvántartás vezetését, adatvédelmi tisztviselő megbízását, illetve hatásvizsgálat elvégzését, azonban kivételeket is megfogalmaz.
A szakértők kiemelték, hogy az adatvédelmi nyilvántartás vezetése bizonyos esetekben nem kötelező:
250 fő foglalkoztatotti létszám alatt, amennyiben az adatkezelés nem jár valószínűsíthető kockázattal, alkalmi jellegű, illetve nem terjed ki különleges vagy büntetőjogi adatra.
De megfelelő adatvagyonleltár nélkül a kötelezettségeknek, különösen az elszámoltathatóság elvének való megfelelés nehezen érvényesíthető. Adatvédelmi tisztviselő alkalmazása vagy megbízása továbbra sem általános előírás, akkor kötelező, ha az adatkezelést közfeladatot ellátó szervek végzik, vagy az érintettek rendszeres és szisztematikus, nagymértékű megfigyelése szükséges, vagy különleges, illetve büntetőjogi adatok nagy számban történő kezelése történik. Az adatvédelmi hatásvizsgálat alól is mentességeket ad a GDPR, de megfelelő kockázatelemzés és stresszteszt elvégzése nélkül a kötelezettségek fennállása és tartalma nem megállapítható.
Globális védelem az EU-ban tartózkodóknak
Fontos változás a kiterjesztett területi hatály, ami nemcsak az területén tevékenységi hellyel rendelkező adatkezelőkre és adatfeldolgozókra vonatkozik, hanem minden más, az EU-ban tartózkodó érintett személyes adatának kezelésére is kiterjed. Adattovábbítás harmadik országba szintén a védelem GDPR-rel azonos szintjének biztosítása mellett lehetséges, így megvalósul a globális adatvédelem az unióban tartózkodók számára.
