GDPR – még most is érdemes átgondolni

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Számos cikk jelent meg az utóbbi időben az Európai Unió 2018. május 25. napjától alkalmazandó új adatvédelmi rendeletéről (General Data Protection Regulation, GDPR) azt is hangsúlyozva, hogy a rendelet számos nagy horderejű, új kötelezettséget tartalmaz, amelyeknek az adatkezelők csak hosszas felkészülés és adatvédelmi szakértők támogató közreműködése mellett tudnak eleget tenni. Bár a „nagy napon” túlvagyunk, még most sem késő a megfelelést biztosító intézkedéseket meghozni.

A személyes adatok védelmével kapcsolatos teendők szempontjából – tapasztalatom szerint –a vállalkozások, intézmények két nagy csoportba oszthatóak. Az egyik csoport esetében a személyes adatok védelme már a vállalati kultúra részévé vált. Ők azok, akik kialakították a jogszerű adatkezelés folyamatait, személyi és tárgyi feltételeit, ügyelnek arra, hogy maradéktalanul megfeleljenek az uniós és magyar adatvédelmi jogszabályoknak, talán még adatvédelmi felelős is kinevezésre került.  Esetükben az adatvédelmi tudatosság nagyon magas szintű, számukra nem ismeretlenek a GDPR-ban lefektetett adatkezelési elvek, és sok szabályozási elem is ismerősen hangzik. Vélhetően ők azok, akik külső szakértő bevonása nélkül is képesek voltak a GDPR-nak való megfelelés érdekében elvégzendő feladatok végrehajtására, mert az ehhez szükséges speciális tudás a szervezetben rendelkezésre áll.

Ennél sokkal komolyabb teendőjük volt/van azon intézményeknek, vállalkozásoknak, amelyek a másik csoportba tartoznak: egyfelől azok akik, egyáltalán nem foglalkoztak ez idáig az adatvédelem kérdésével, másfelől, akik csak nagyon marginális szinten kezelték e kérdéskört és alakítottak ki részfolyamatokat a személyes adatkezelés kapcsán – eddigi jogszabályi megfelelőségük és adatvédelmi tudatosságuk is csak látszólagos volt. Ennek nyilván sok oka lehet, így például a vállalkozás mérete, (a mikro –és kisvállalkozások esnek jellemzően e csoportokba), tevékenységének jellege és ebből fakadóan a vállalkozás által végzett adatkezelés igen csekély mértéke, vagy bármilyen más körülmény, ami az „utolsó helyre” rangsorolta a személyes adatok kezelésével összefüggő jogszabályi követelményeknek való megfelelés szükségességét. Tekintettel arra, hogy a jogi környezet megváltozása erős reflektorfénybe helyezte a személyes adatok védelmének kérdéskörét, azon vállalkozások és intézmények is cselekvési kényszerbe kerültek, amelyek eddig a „radar alatt repültek”, hiszen május 25-ét követően az ellenőrzési kockázat (és itt igen jelentős bírságtételekkel kell számolni, amennyiben a hatóság jogellenes adatkezelést tár fel) az ő esetükben is realitássá válik. Számukra a GDPR-nak való megfelelés valóban nagy kihívás, hiszen most szinte a semmiből kellett létrehozni egy olyan állapotot (folyamatok, szabályzatok, személyi és tárgyi feltételek stb.), ami kiállja a hatósági ellenőrzés próbáját. Amennyiben ezt még nem tették meg, úgy esetükben egy külső adatvédelmi szakértő igen gyors bevonása indokolt és nagyon hasznos lehet.

Fontos, hogy a GDPR szerint az adatkezelés kérdéskörébe minden olyan magánvállalat, közintézmény vagy civil szervezet által kezelt személyes információ beletartozik, amely az adatkezelő tudomására jut. A szabályozás tehát lefedi az ügyfél, partner, kliens stb. adatok mellett a munkavállalók teljes személyesadat-állományát is, időbeli dimenziója mentén pedig a teljes adat-életciklust, vagyis az adatok gyűjtésétől a megsemmisítésig végrehajtott valamennyi adatkezelési cselekményt, függetlenül attól, hogy az papíralapú vagy elektronikus formában történik. A GDPR-ban megfogalmazott adatvédelmi elvek lényegi hasonlóságot mutatnak az 1995-ös Adatvédelmi Irányelvben rögzítettekkel, továbbá az Infotv. és a GDPR adatkezelésre vonatkozó alapelvei is – kevés kivétellel – szinte teljesen megegyeznek. Ugyanakkor teljesen új alapokra helyezi a GDPR a jogérvényesítés rendjét azzal, hogy bevezeti az elszámoltathatóság követelményét, ami egyfelől azt jelenti, hogy az adatkezelő felelős az alapelvi elvárásoknak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására. Ezen elszámoltathatóság jelentősége a gyakorlatban az, hogy 2018. május 25-től nem a hatóságnak kell bizonyítania, hogy az adatkezelés jogellenes volt, hanem az adatkezelőnek kell azt bizonyítania, hogy az adatkezelése jogszerű volt.

Az alapvető követelmények közé új elem került: az adatkezelőtől elvárt, hogy megfelelő technikai és szervezési intézkedéseket hajtson végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a GDPR-al összhangban történik. Követelmény, hogy ezeket az intézkedéseket az adatkezelő rendszeres időközönként vizsgálja felül és szükség esetén tegye naprakésszé. Az említett intézkedések magukban foglalhatják például a személyes adatok kezelésének minimálisra csökkentését, a személyes adatok mihamarabbi álnevesítését, a személyes adatok funkcióinak és kezelésének átláthatóvá tételét. Ugyancsak újdonság a GDPR-ban az adatvédelmi hatásvizsgálat bevezetése, amely alapján az adatkezelő köteles hatásvizsgálatot végezni, ha a tervezett, új technológiát alkalmazó adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve.

A GDPR a korábbi adatkezelési jogcímekhez képest is tartalmaz újítást, így mindenképpen javasolt az eddig alkalmazott adatkezelési jogcímek újra gondolása és indokolt esetben módosítása. Változást hozott a GDPR az érintetti jogok tekintetében is néhány új jogosultság (így például az elfeledtetéshez való jog, adathordozhatósághoz való jog, automatizált döntéshozatallal és a profilalkotással kapcsolatos jogok) bevezetésével. A GDPR további új eleme az adatvédelmi incidensek szabályozása. Az adatvédelmi incidenseket észlelésüket követő 72 órán belül be kell jelenteni a felügyeleti hatóság Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)] felé, továbbá bizonyos feltételek fennállása esetén az érintettek viszonylatában is értesítési kötelezettség áll fenn. Az adatvédelmi tisztviselő vonatkozásában a GDPR a korábbi szabályozáshoz képest szélesebb körben határozza meg azon eseteket, amelyekben kötelező adatvédelmi tisztviselő kijelölése: nem csupán a közhatalmat gyakorló szervezetek adatkezelésére és néhány speciális szektorra vonatkozik, hanem mindenkire, aki olyan adatkezelést végez, amely az érintettek nagymértékű, szisztematikus és rendszeres megfigyelését teszi szükségessé, illetve, ha az adatkezelő tevékenysége különleges adatok és bűncselekményre vonatkozó adatok nagy számban történő kezelését foglalja magában. Adatkezelők és adatfeldolgozók egyaránt kötelezettek lehetnek adatvédelmi tisztviselő kinevezésére.

Amint az a fenti – teljesség igénye nélkül összeállított – rövid ízelítőből is kitűnik, a GDPR a személyes adatkezelésekre vonatkozó szabályozás újragondolásával megkerülhetetlenné teszi, hogy a hatálya alá tartozó valamennyi szereplő újraértékelje saját működését. A jogszabályi követelményeknek való megfelelés érdekében még most sem késő egy helyzetfelmérést végezni, amelynek keretében megtörténik minden folyamat beazonosítása, amelynek során személyes adatok kezelése valósul meg. Beazonosításra kerül adatkezelési célonként a kezelés alá vont adatok köre, minden adatkezelési cél tekintetében felmérik az alkalmazott adatkezelési jogalapot, az adatkezelésekhez tartozó adattárolási időket, továbbá, hogy történik-e adattovábbítás, adatfeldolgozás (e körben kinek, milyen célból, mennyi időre kerülnek átadásra az adatok, biztosítottak e a megfelelő garanciák, van e hatályban szerződés az adatfeldolgozásra, adatkezelésre stb.). A hozzáférésre jogosultak beazonosításra kerülnek, felmérik az alkalmazott adatbiztonsági intézkedések szintjét, és mindezekkel párhuzamosan a meglévő szabályozások, nyomtatványok, hozzájárulás minták stb. tartalmának felmérése is megtörténik. E helyzetfelmérés eredménye alapján határozható meg az esetleges „hiányosságok” mértéke, a további feladatok tartalma, terjedelme, erőforrásigénye, időigénye, és kerülhet sor akár külső szakértő bevonására. Bármilyen volumenű is legyen a feltárt hiányosság, érdemes mihamarabb nekilátni a jogszerű állapot „megteremtésének”.

 

A cikk szerzője dr. Lencse Katalin ügyvéd (Dr. Lencse Katalin Ügyvédi Iroda),  a Magyar Könyvvizsgálói Kamara Oktatási Központ oktatója.

---