Sokan hallottak már arról, hogy 2018. május 25. napja fordulópontnak tekintendő az adatvédelem területén. Ekkortól alkalmazandóvá válik ugyanis az Európai Unió Általános Adatvédelmi Rendelete (GDPR), mely közel két évvel ezelőtt lépett hatályba. Az Európai Unió éppen azért hagyott két évet a felkészülésre, hogy a vállalkozások az adatkezeléseiket az új szabályozási alapokon nyugvó előírásrendszerhez tudják igazítani. Ahogyan azonban az lenni szokott, a cégek döntő többsége nem foglalkozott az adatvédelemmel, s csak most ébrednek rá arra, hogy egyre kevésbé lesz teljesíthető az előírásoknak való megfelelés a fenti határidőig. Ha viszont a vállalkozás a megváltozott szabályoknak nem tesz eleget, 2018. május 25. napjától akár 20 millió euró összegű bírságra is számíthat. A szankciók alkalmazására a felügyeleti hatóságként eljáró Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke is ígéretet tett. Nézzük, milyen téves elképzelések állnak a felkészülés útjában!

„Mi nem kezelünk személyes adatokat”

Az adatvédelmi megfelelés ellenőrzésére az auditok szolgálnak, melyek keretében teljeskörűen feltérképezik a vállalkozás adatkezeléseit. Megvizsgálják, hogy mely szervezeti egység milyen személyes adatokat kezel, kezel-e esetlegesen különleges kategóriába tartozó vagy bűnügyi felelősségre utaló személyes adatokat, milyen adatbázisokban tárolják a kezelt személyes adatokat, kiknek továbbítják, valamint, hogy hogyan valósítják meg az adatbiztonság követelményét.

Kaspersky Lab

Auditok során mind gyakrabban hallani a meghallgatott szervezeti egységek vezetői részéről azt a kijelentést, hogy ők személyes adatokat nem kezelnek. Ez azonban gyakorlatilag kizárt egy gazdasági vállalkozás életében. Személyes adatnak minősül ugyanis az azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ. Azonosítható pedig az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható. Aki tehát ilyen adatokkal dolgozik, az kezeli is őket. Adatkezelésnek minősül ugyanis a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés. A vállalkozások pedig többségükben kezelnek munkavállalói adatokat, rendelkeznek ügyfelekkel és ügyféladatokkal, folytatnak marketing tevékenységet, küldenek hírlevelet, valamint megfigyelőrendszerrel vizsgálhatják az épületbe belépő személyeket, így több szempontból is alkalmazandó rájuk a GDPR szabályrendszere.

 „Jelenleg is megfelelünk a szabályoknak”

További gyakori félreértés, hogy ha a vállalkozás jelenleg is megfelel a hatályos szabályoknak, akkor további lépésekre nincs szükség. Ennek az érvelésnek több fogyatékossága van. Az eddigi szabályrendszer az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. tv. (Infotv.) szabályain alapul, mely 2018. május 25. napjától alapvetően módosulni fog. Ezt támasztja alá az Európai Bizottság 2018. január 24. napján közzétett COM(2018) 43. számú közleménye, melyben a Bizottság rámutat arra, hogy az egységes belső piac kikényszerítése céljából született rendelet közvetlen alkalmazása minden tagállamban kötelező, egyéni jogértelmezésre a rendelet nem biztosít terepet. A hatályos szabályozás így a GDPR szabályrendszerének nem felelhet meg. Átalakul a belső és a hatósági nyilvántartások rendszere, más esetekben válik kötelezővé adatvédelmi tisztviselő kijelölése, módosuló szabályrendszert vezetnek be adatfeldolgozás, illetve közös adatkezelés esetére, bevezetésre kerül az adatvédelmi hatásvizsgálat, megjelenik az adatvédelmi incidenskezelés új rendszere, sőt az érintetti jogok is módosulnak.

Ezen túlmenően a NAIH eddigi visszafogott bírságolási gyakorlata sem ösztönözte a jogkövetést, így a vállalkozások többségét a rendeleti szigor váratlanul éri. Május 25. napjával már nem lesz elfogadható, hogy egy pénzintézet 16 éve hatályon kívül helyezett jogszabályra hivatkozzon, adatvédelmi tájékoztatója pedig a jogszabályi előírások szó szerinti ismertetésében merüljön ki. A háromszázszorosára emelkedő bírságok tehát merőben más helyzetet teremtenek.

 „Megoldjuk magunk, vagy segít a »szakértő«”

A piac a tavalyi év végétől elkezdte „ontani” magából az adatvédelmi szakértőket, akik közül sokan korábban nem foglalkoztak adatvédelemmel, illetve nem rendelkeznek jogi végzettséggel. Ennek kapcsán rá kell mutatni a nagyon magas kockázatra, hiszen a GDPR téves értelmezése, illetve alkalmazása komoly bírság- és/vagy kártérítési kockázattal járhat. A növekvő számú jogalap helyes kiválasztása, a megfelelő érintetti jogok jogalapokhoz való „hozzászabása”, az adatkezelő jogos érdekén alapuló adatkezelés esetében az érdekmérlegelés megfelelő lefolytatása, az adatvédelmi hatásvizsgálatok elvégzése, az adatvédelmi incidensek kezelési rendszerének felállítása, az adattovábbítások mögött meghúzódó szerződésrendszer átvilágítása, az adatvédelmi tisztviselő kijelölésének mérlegelése mind olyan feladatok, melyek megfelelő jogtudás nélkül nem oldhatóak meg megfelelő színvonalon. Hasonlóképpen kerülendő gyakorlat az önjelölt, belső adatvédelmi „szakértő”, mely más vállalkozások adatvédelmi szabályait kritika nélkül lemásolja. A GDPR esetjogi alapokon nyugvó szabályrendszere ugyanis kiterjedt nyilvántartási, mérlegelési, indokolási kötelezettségeket vezet be, a konkrét szabályokat pedig sok esetben mellőzi. Konzerv megoldásokkal így a rendelet alapján nem lehet dolgozni.

Készüljön fel velünk a GDPR-ra! Rendelje meg kedvezményesen az ADATVÉDELEM A GYAKORLATBAN című kiadványt, vagy keresse az újságárusoknál.