5 tévhit az EU adatvédelmi rendeletével kapcsolatban
Sok érdekelt fél szólal meg a GDPR, az új európai uniós adatvédelmi rendelet kapcsán, és nem mindig a teljes tájékoztatás ezek célja. Ideje rendet tenni a fejekben és megnézni, Magyarországon a jelenlegi szabályozáshoz képest pontosan mekkora ugrást is jelent a GDPR jövő évi rajtja?
Az elmúlt hónapokban nem telt el úgy nap, hogy valamilyen hír ne jelent volna meg az Európai Unió új adatvédelmi rendeletéről. A legtöbb megjelenés, akár jogi, akár üzleti oldalról született, elsősorban arról próbálja meggyőzni a közönségét, hogy olyan nagy horderejű újdonságok és változások kerülnek bevezetésre ezáltal, amelyeket a cégek - különösen a kkv-k - csak nagyon nehezen, hosszú felkészüléssel tudnak teljesíteni. A valóság azonban az, hogy azok a vállalkozások, amelyek eddig is ügyeltek arra, hogy megfeleljenek a magyar adatvédelmi jogszabályoknak és a NAIH előírásainak, az új rendelet hatályba lépésével nem kényszerülnek gyökeres változtatásokra. Azok a cégek viszont, akik eddig sem foglalkoztak az adatvédelemmel és nem tanúsítottak jogkövető magatartást, tényleg újdonságokkal találkozhatnak – persze nem azért, mert annyira más lesz az új jogszabály, hanem azért, mert a régit sem ismerték és nem követték, és most egyszerre kell megfelelniük egy szigorúbb szankciót alkalmazó új rendeletnek.
A pánik eloszlatására dr. Horváth Katalin, a Sár és Társai Ügyvédi Iroda adatvédelemben jártas ügyvédje segítségével összeszedtük az adatvédelmi rendelettel kapcsolatos tévhiteket, beleértve az új rendelet azon rendelkezéseit, amelyek nem hoznak változást, hiszen eddig is léteztek és be kellett (volna) tartani őket, és azokat is, amelyek valóban újdonságot vagy eltérést fognak jelenteni az EU-s szabályozásban – nem árulunk el nagy titkot azzal, hogy az utóbbiak vannak kisebbségben.
1. tévhit: A rendeletre nincs elég idő felkészülni
A rendelet 2018. május 25-én, azaz több, mint egy év múlva lép hatályba, így sok idő áll még rendelkezésre ahhoz, hogy az eddig is gondos és jogkövető vállalkozások felkészüljenek az alkalmazására. Az egy éves időtartam elsősorban azoknak tűnhet rövidnek, akik nem foglalkoztak az adatvédelmi kérdésekkel az elmúlt években.
2. tévhit: Sokkal szigorúbb szabályokat ír elő a rendelet az adatkezelésre
A magyar adatvédelmi jogszabály, rövid nevén az Infotörvény eddig is a legszigorúbbak közé tartozott az Európai Unióban. A jelenleg hatályos magyar szabályozás alapjául eleve az uniós adatvédelmi rendelet szolgált, amelyet a magyar kormányzat a lehető legteljesebb mértékben átültetett, és a jogalkalmazásban az adatvédelmi hatóság (NAIH) is az egyik legrigorózusabban járt el, szűk értelmezésben és szigorúan alkalmazva az Európai Bizottság adatvédelmi munkacsoportja, az Article 29 Munkacsoport adatvédelmi véleményeit, amelyek egyébként több helyen is beépítésre kerültek az új uniós rendelet szabályai közé. A magyar szabályozás a 20 millió forintos bírságmaximummal eddig sem volt könnyen teljesíthető a KKV szektornak, a nagyvállalatok azonban gyakran bekalkulálták azt működési költségeikbe. Az új uniós rendelet fő szigorításai elsősorban ennek megakadályozását célozzák és eredményezik:
- az eddigi 20 millió forintos felső bírságlimitet kitolja kisebb súlyú jogsértés esetén 10 millió euróra, vállalkozások esetén legfeljebb az előző pénzügyi év teljes éves világpiaci forgalmának 2%-ára, míg súlyos jogsértés esetén ezek a határok 20 millió euróra és 4%-ra módosulnak, amely tényleges szigorítást jelent, és a nagyvállalati szektor számára is visszatartó erővel bír.
- az adatvédelmi felelős alkalmazásának kötelező eseteit a magyar jogszabálynál szélesebb körben vonja meg, nem csupán a közhatalmat gyakorló szervezetek adatkezelésére és néhány speciális szektorra vonatkozik, hanem mindenkire, aki olyan adatkezelést végez, amely az érintettek nagymértékű, szisztematikus és rendszeres megfigyelését teszi szükségessé, illetve, ha az adatkezelő tevékenysége különleges adatok és bűncselekményre vonatkozó adatok nagy számban történő kezelését foglalja magában.
- általános jelleggel korlátozza a hozzájárulás nélküli profilalkotást – amely azonban az automatikus adatkezelésről szóló szabályok közt részben helyet kapott már eddig is a magyar jogszabályban.
Ezen túlmenően azonban a rendelet inkább sok helyen enyhít a magyar szabályokhoz képest:
- a különleges adatok kezeléséhez az írásbeli hozzájárulás helyett csak kifejezett (explicit) hozzájárulást követel meg, ami jelentős könnyebbítés;
- az előzetes tájékoztatást nem az adatkezelés megkezdése előtt kell megadni, hanem elegendő legkésőbb az adatok megszerzésének időpontjában;
- meghatároz olyan esetköröket, amikor nem kell törölni az adatokat – ezek eddig a magyar jogban a törlési kötelezettség alá estek;
- az adatkezelés elleni tiltakozási jogot kötelezően csak a közvetlen üzletszerzés érdekében történő adatkezelésre, valamint a közérdekű adatkezelés és jogos érdeken alapuló adatkezelés esetén biztosítja, az egyéb célú adatkezelésre nem biztosít ilyen jogot kötelezően és általánosan, szemben a magyar jogszabállyal;
- nem írja elő a központi állami adatvédelmi nyilvántartásba történő adatkezelési bejelentést az adatkezelés megkezdése előtt, pusztán azt követeli meg, hogy az adatkezelők maguk vezessenek adatkezelési nyilvántartást.
3. tévhit: A rendelet alapjaiban változtatja meg az adatkezelés elveit és jogalapját
A magyar Infotörvény és az uniós jogszabály adatkezelésre vonatkozó alapelvei kevés kivétellel szinte teljesen megegyeznek, hiszen mindegyik megköveteli az alábbiakat az adatkezelőtől:
- személyes adatot csak előre meghatározott célból kezeljen (célhoz kötöttség elve),
- csak a cél megvalósulásáig (korlátozott tárolhatóság elve),
- csak a cél megvalósításához feltétlenül szükséges mértékben (adat takarékosság és alapértelmezett adatvédelem elve) kezeljen,
- az adatkezelésnek meg kell felelnie a tisztesség követelményének (tisztesség elve),
- jogszerűnek kell lennie (megfelelő jogalappal kell rendelkeznie),
- a kezelt adatoknak pontosaknak és hiánytalanoknak kell lennie (pontosság elve),
- az adatkezelésnek megfelelő, közérthető, részletes, teljes, könnyen hozzáférhető és előzetes tájékoztatáson kell alapulnia (előzetes tájékoztatás elve)
- a rendelet alapján az sem változik, hogy az érintetteknek ugyanúgy kérésükre tájékoztatást kell adni adataik kezeléséről, a tájékoztatás adás határideje és tartalma között sincs szignifikáns eltérés az új jogszabályban;
- a jogosultakat ugyanazok a jogorvoslati jogok illetik meg, mint a magyar törvény alapján: tiltakozhatnak adataik kezelésével szemben (tiltakozás joga), kérhetik azok törlését (feledés joga), helyesbítését és zárolását.
- ahogy eddig is kellett a magyar vállalkozásoknak az adatkezelés megkezdése előtt, már az adatkezelési eljárások kidolgozásakor az adatbiztonságról gondoskodniuk, úgy ebben a kötelezettségükben ezután sem lesz változás, hiszen a magyar Infotörvény ezt a követelményt is tartalmazta (privacy by design elve);
- az adatkezelőnek az adatvédelmi incidensekkel kapcsolatban nyilvántartási, értesítési és hatósági bejelentési kötelezettsége van, amely a magyar jogban eddig is létezett a legutolsó Infotörvény-módosítás óta (adatvédelmi incidenskezelés).
Vagyis aki eddig betartotta a magyar jogszabályt, annak az új rendelet alapján sem lesz félnivalója.
4. tévhit: Az új rendelet rengeteg újdonságot hoz
Kétségkívül hoz újdonságokat az adatvédelmi rendelet, de a magyar szabályozáshoz képest rengeteg nóvumról azért nem beszélhetünk – hangsúlyozta dr. Horváth Katalin ügyvéd.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A fent felsorolt szigorítások mellett az új rendelet bevezeti az elszámoltathatóság alapelvét, amely alapján az adatkezelő felelős az adatkezelés elveinek betartásáért (ez eddig is így volt), azonban most már ezt ténylegesen igazolnia is tudni kell (a NAIH gyakorlata pedig eleve ezt az elvet követte jogszabályi előírás nélkül is).
Új fogalmakat hoz az EU-s jogszabály, mint például a profilalkotás általános fogalmát, a genetikai, biometrikus és egészségügyi adat fogalmát, amely utóbbit a magyar Infotörvény részletesen nem tartalmazta (de magát a fogalmat használta), hanem csak az egészségügyi ágazati jogszabályban kapott definíciót.
A rendelet az önkéntes, tájékozott hozzájáruláson és a jogszabályi engedélyen alapuló adatkezelés mellé egy harmadik adatkezelési jogalapot is bevezet: a jogos érdeken alapuló adatkezelést, ami alapján az adatakezelés jogszerű, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.
Igazi újdonság viszont a rendeletben az adatvédelmi hatásvizsgálat (Data Protection Impact Assessment – DPIA) bevezetése, amely alapján az adatkezelő köteles hatásvizsgálatot végezni, ha a tervezett, új technológiát alkalmazó adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, és ha a magas kockázatot a vizsgálat kimutatja, akkor a felügyeleti hatósággal történő előzetes konzultáció lefolytatása is szükséges lesz.
5. tévhit: A felkészüléshez csak a rendelet szabályainak kell megfelelni
A legtöbb sajtóban megjelent összefoglaló, az adatkezelőknek tartott felkészítő kurzus, tanfolyam nem említi, hogy a rendelet egyes témaköröket tagállami hatáskörben tart, vagy legalábbis megengedi, hogy a tagállamok kiegészítő vagy esetleg szigorúbb, illetve eltérő szabályokat állapítsanak meg. Ez azt jelenti, hogy nem elegendő a vállalkozásoknak az új rendelet szövegének megfelelni, figyelemmel kell kísérni az adott tagállami jogalkotást is, amely pedig – legalábbis Magyarországon – nem kapkod, és még nem véglegesek a rendelet hatályba lépésével szükségessé váló vagy éppen ezen lehetőséget kihasználni törekvő kiegészítő jellegű jogszabály módosítások.
A tagállamok szabályozási hatáskörében maradnak például az alábbi témakörök:
- foglalkoztatással összefüggő adatkezelési kérdések (munkaviszonnyal kapcsolatos adatkezelés)
- gyermekek személyes adatainak információs társadalommal összefüggő szolgáltatásokkal kapcsolatos adatkezelési szabályai (például a kiskorúak mobilapplikációk által kezelt adatai)
- az adatvédelmi felelős alkalmazásának rendeletben nem szabályozott egyéb kötelező esetkörei
- genetikai, biometrikus és egészségügyi adatok kezelésére vonatkozó további szabályok és feltételek (ami például az mHealth applikációk fejlesztőit is érinthetik)
- jolly joker szabályként pedig általánosságban minden olyan kérdésben, amelyet nem szabályoz a rendelet.
A fenti tagállami hatáskör fennmaradása pedig azt jelenti, hogy a rendelet hatályba lépése előtt egy évvel a felkészüléshez csak a jogszabályok megközelítőleg 80%-a ismert, a többi 20% még nem tudható, és akár jelentős szigorítást, eltérést vagy kiegészítő feltételeket is magával hozhat. Különösen valószínűsíthető ez a magyar jogalkotásra és adatvédelmi hatósági törekvésre, amely a magyar jogszabály rendeletnél is szigorúbb előírásait továbbra is fenn kívánja tartani, amely azonban a rendelet eredeti céljával megy szembe: egy egységes európai szabályozás megteremtése a versenyképesség és az innováció növelése érdekében – emelte ki dr. Horváth Katalin ügyvéd.
A szerző dr. Horváth Katalin, a Sár és Társai Ügyvédi Iroda IT jogra szakosodott partnere, a Szerzői Jogi Szakértő Testület tagja.