Nagy várakozások és félelmek előzték meg az új EU-s Általános Adatvédelmi Rendeletnek, közismertebb nevén a GDPR-nak a 2018. május végi kötelezővé válását: a gigabírságokról szóló cikkek megjelenése, a GDPR alkalmazásával kapcsolatos jogértelmezési kérdések, az eddig sosem alkalmazott adatkezelési jogalapok bizonytalanságai, valamint a jogi környezet felülvizsgálatának elhúzódása – mind komoly fejtörést okoztak az adatkezelőknek, akik sokszor azzal sem voltak tisztában, hogy a GDPR tényleg alkalmazandó-e rájuk és ha igen, akkor hogyan álljanak neki a feladatnak.
A GDPR alkalmazásának egy éves tapasztalatairól kérdeztük dr. Bárányos Krisztinát, a GDPR-ra specializálódott Smart Specialist Zrt. szakmai igazgatóját, aki az Európai Unió Alapjogi Ügynökségének (FRA) munkatársaként 2012-2014 között rész vett a GDPR Rendelet jogi előkészítésében és 7 éve kizárólag a GDPR a szakterülete.
Portfolio: Már több, mint egy éve alkalmazandó a GDPR. Változott-e, illetve mi változott az azt megelőző időszakhoz képest?
Bárányos Krisztina: Habár a magyar adatvédelmi szabályozás már a GDPR előtti időszakban is igen szigorú volt, ugyanakkor a GDPR is nagyon sok mindenben változást hozott a korábbiakhoz képest. A hazai jogszabályok egy jelentős részének ez év áprilisában történt felülvizsgálatáig (az ún. GDPR-salátatörvényig) sok bizonytalanság volt, amit a hazai jogszabályok és a GDPR logikája közötti eltérés okozott. A vállalkozásoknak ilyen környezetben kellett elvégezni azt a feladatot, hogy adatkezeléseiket 2018. május 25-re a lehető legnagyobb mértékben hozzáigazítsák az új jogi környezethez, ugyanakkor azt látni kell, hogy hosszabb időbe fog telni, amíg az adatkezelők és az érintettek is megszokják, hogy nem csak „hozzájárulás” vagy „törvény” lehet az alapja egy adatkezelésnek. Ezzel párhuzamosan a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is felkészült a GDPR alkalmazására: a szakmai stáb létszáma jelentősen emelkedett, megjelentek az első állásfoglalások, határozatok, illetve van már – igaz, még csak minimális – bírságolási gyakorlata is, amiből következtetéseket lehet levonni arra, hogy hogyan is kellene a GDPR-hoz alkalmazkodni.
Mennyiben felelnek meg a cégek a szabályozásnak?
Vegyes a kép, ami részben függ a cégek méretétől és a „megfelelési hajlandóságától” is. A kisebb cégek (egyéni vállalkozók, bt-k, stb.) – akiknek csak minimális adatkezelési tevékenységük van – „megúszhatták” egy jó adatkezelési tájékoztatóval és a megfelelő adatbiztonsági szabályok alkalmazásával. A nagyobb cégek is igyekeztek 2018. május 25-ig legalább a „kötelező minimumot” hozva megfelelni és a további teendőket elvégezni. Számos olyan tényező volt, illetve van, ami miatt azonban túlzás lenne azt hinni, hogy a megfelelés feladata egyszer s mindenkorra el van végezve. Sőt, azt sem állíthatjuk, hogy egyáltalán van egy kiforrott szabályrendszer, ami mindig, mindenben iránytűként szolgál. A cégeknek tehát az elkövetkezendő időszakban is folyamatosan kell foglalkozniuk a GDPR-nak való megfeleléssel, akár szabályzataik, adatkezelési tájékoztatóik és eljárásaik módosításával.
Mondana erre példát?
Természetesen. Egyrészt a NAIH már közzétett egy tucatnyi határozatot, köztük számos bírságoló határozatot is, amelyekből többek között az látszik, hogy egyrészt az adatbiztonsági intézkedések megfelelősége és az adatvédelmi incidensek megfelelő kezelése egy fontos szempont. Ezekből a határozatokból minden adatkezelő leszűrheti, hogy megfelel-e a NAIH elvárásainak, és ha nem, akkor bizony érdemes a gyakorlatát, adatkezelési tájékoztatóit és szabályzatait ennek megfelelően módosítani. Másrészt a NAIH az adatkezelés feltételeit (pl. milyen adatot lehet vagy nem lehet kezelni, mennyi ideig lehet az adatokat tárolni, stb.) illetően is tanulságos döntéseket hozott, amit nyilván más adatkezelők esetében is hasonlóképpen fog értelmezni és alkalmazni. A „más kárán tanul az okos” nem csak egy közmondás, de szinte egy kötelező stratégia: figyelni kell a változásokat és a hatósági gyakorlatot, és időben lépni, módosítani a vállalkozás eljárásait, dokumentumait és szabályzatait.
Számos esetben azt is tapasztaltuk, hogy a cégek „biztos, ami biztos” alapon olykor túlságosan is szűken értelmezték a GDPR nyújtotta lehetőségeket (pl. hozzájárulást kértek olyankor is, amikor akár a szerződés teljesítése, akár a jogos érdek is alkalmazható lett volna), vagy akár túlságosan szigorúan értelmezték a GDPR rendelkezéseit és emiatt ügyfeleket és üzleteket veszítettek el. A kibontakozó gyakorlat tükrében és a saját jól felfogott üzleti érdekükben is érdemes lesz a korábbi gyakorlatot felülvizsgálni. A jó hírem az, hogy a saját üzleti érdekeinket és a GDPR szabályait a legtöbb esetben össze lehet egyeztetni egymással.
Az sem hallgatható el, hogy a GDPR nagyon jó piacot nyitott számos cégnek, akik „sablonokat”, néhány saját adat beírásával „testre szabható” „szabályzatokat” kínálnak. Sok esetben üzleti lehetőséget látva készítettek dokumentumokat olyan cégek is, amelyek a saját szakterületükön profik – például könyvelők, tűzvédelemi és munkavédelemi szakemberek, kontrollerek, stb. – viszont a GDPR-ból – finoman szólva – nincsenek felkészülve. Ezeknek az anyagoknak a minősége bőven hagy kívánnivalót maga után. Aki ilyet használ vagy használt, ugyan „kipipálhatta” a kötelező feladatot, de egy hatósági eljárás során nagy bajba kerülhet. Jobbik esetben az ügyfeleiket óvatosságra intették, súlyosabb esetekben viszont a cégeket komoly bevételektől fosztották meg, vagy jól működő és profitáló üzleti folyamatokat akasztottak meg. A profi szakértőket ezen a piacon is meg lehet találni, így célszerű, ha a cégvezető a mintasablonokat kínáló cégek helyett a saját működésére, szokásaira szabott GDPR megfeleltetést választja egy külsős GDPR tanácsadó bevonásával.
Mennyi idő van ezekre az újabb változtatásokra?
Ez nagyban függ a joggyakorlat alakulásától is. Nyilván, ha egy vállalkozás egy elmarasztaló hatósági döntésben ráismer a saját (helytelen) gyakorlatára, azt érdemes minél hamarabb megváltoztatni. De látni kell, hogy ez nem egyszeri, hanem folyamatos változtatási és alkalmazkodási kényszert jelent a vállalkozások életében. Mint a cégek működésének minden más területén is, elég csak az adójogszabályok változásaira gondolni. A helyzet annyival izgalmasabb, hogy a GDPR sem egy kőbe vésett, kiforrott szabályrendszer, még szakmai körökben is késhegyre menő viták vannak egyes kérdésekről.
Egy ilyen képlékeny helyzetben elkerülhető-e a bírság, illetve hogyan kerülhető el a büntetés?
Vannak, akik azt mondják, hogy a GDPR-t csak megsérteni lehet, illetve hogy egy vállalkozás csak abban választhat, melyik hatóság büntesse meg egy adatkezeléssel kapcsolatos ügyben (pl. a munkaügyi felügyelet, vagy a NAIH), de talán nem ilyen sötét a helyzet. Az adatkezelőknek alaposan fel kell készülniük, végig kell gondolniuk jogi, IT, IT biztonsági és üzleti oldalról egyaránt, hogy hogyan kezdjenek neki egy adatkezeléssel járó folyamatnak, illetve hogyan menedzseljék azt. A felkészültség, a törvénynek való megfelelés erős szándéka, a NAIH Hatósággal való jóhiszemű együttműködés mindenesetre alapvető követelmény egy hatósági vizsgálat esetén. Minden vállalkozásnak lehetősége van a piacról olyan profi adatvédelmi szakértők szolgáltatását igénybe venni, akik az elmúlt években kizárólag ezzel a területtel foglalkoztak jogi szempontból is. Ezáltal biztosítva, hogy az elkészült dokumentumok pajzsként védjék a cégüket és ügyfeleiket.