Magyarország "közepesen megfelelt" a GDPR-vizsgán
Mindent összevetve a cégek szerint kevés volt a két év a GDPR-felkészülésre, mivel a valódi elvi változtatások helyett csak látszatintézkedéseket sikerült sok helyen végrehajtani. Emellett pedig az ágazati jogszabályok felülvizsgálata sem tart még ott, ahol ideális lenne.
Még mindig sok a bizonytalanság a GDPR kapcsán, ahogy az kiderült a Joint Venture Szövetség és a Baker McKenzie november 15-én közösen szervezett az "Adatvédelem, mint versenyképességi tényező" konferencia előadásaiból. A rendezvényen szóba került többek közt a hazai adatbiztonsági oktatás általános hiánya, a látszatpapírozás problémája, a jogalkotás nehézségei, és hogy tulajdonképpen mi történt az incidensbejelentés frontján az elmúlt félévben.
Talán az egyik legfontosabb, hogy már elindult a NAIH honlapján az Adatvédelmi Incidensbejelentő Rendszer, amelyen keresztül az adatkezelőnek jelezni kell azokat az adatvédelmi incidenseket a hatóság felé, amelyek valószínűsíthetően kockázattal járnak a természetes személyek jogaira és szabadságaira nézve. A GDPR ugyanis megköveteli az adatkezelőtől, hogy az incidenseket legkésőbb 72 órával azután jelentse az illetékes hatóságnak, amint az tudomására jutott. Dr. Péterfalvi Attila, a NAIH elnöke előadásában azt is hozzátette, hogy nem szeretne még egy olyan esetet, mikor az adatkezelő csak az iratbetekintés után ismeri meg, hogy egyáltalán incidens történt - utalhatott például a BKK jegyértékesítési rendszerének esetére.
Jobbra Dr. Péterfalvi Attila, a NAIH elnökének előadása (Fotó: JVSZ)
Péterfalvi elmondta, hogy a bejelentések száma szeptember vége óta emelkedett 190-200 incidensre, melyek kapcsán a NAIH a hatósági ellenőrzést alkalmazza. Összességében azonban 1642 ügy indult idén május 25-e, azaz a GDPR alkalmazásba lépése óta október 29-ig bezárólag az Adatvédelmi Főosztályon, amelyek egyaránt magukba foglalják a konzultációs, a vizsgálati típusú, valamint a hatósági ügyeket.
Az első két hónapban, azaz május 25. és július 25. között 840 új ügy indult, fele-fele részben a konzultációs és a vizsgálati típusú kategóriában. Ezt követően viszont jelentősen változott az arány, a júliusi-októberi időszakban 802 ügyet tekintett át a főosztály, melyek közül csak 17 százalék volt konzultációs, 80 százalék vizsgálati típusú. Továbbá 3 százalék (25 ügy) esetében hatósági eljárás indult, például munkahelyi email-fiók kezelésével, egészségügyi adatkezeléssel és társasházi kamerázással kapcsolatban. Ezek közül azonban még egyik sem lezárt ügy - szögezte le a NAIH elnöke.
EU: közel 190 ezer bejelentés
Összevetve az európai uniós adatokkal, eddig 45,5 ezer panasz beadvány érkezett az uniós adatvédelmi hatóságokhoz, valamint 189 ezer incidens bejelentés. Ehhez képest a magyarországi 190 bejelentés nem annyira nagy arányú, ami nem azt jelenti, hogy Magyarországon ennyivel jobb az adatbiztonság helyzete - tette hozzá Péterfalvi.
A NAIH elnöke az EU-s ügyek kapcsán a Belső Piaci Információs rendszer (IMI) használati tapasztalatait is említette, amely a nemzeti illetékes hatóságainak egymás közötti kommunikációját hivatott segíteni. Az IMI-n keresztül is elég sok ügy érkezik a NAIH-hoz a kölcsönös segítségnyújtás céljából (eddig összesen 401), főleg olyanok, amelyek hazánkban is előfordulhatnak. Legtöbb ügy a Facebookkal kapcsolatban érkezett (22), második a sorban a PayPal (21), harmadik a Google (16), majd holtversenyben az Amazon és a WhatsApp (15-15) követi.
A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.
Péterfalvi hozzátette, hogy a Google egyedül az adatvédelmi incidenseknél szokta a központjaként megjelölni Írországot, de más esetekben jellemzően nem adja meg, hogy Európa mely országához tartozik. Utóbbi eset a Google számára azért jelenthet problémát, mert ekkor az adatvédelmi hatóságok egymástól független is indíthatnak eljárásokat. Azonban ahol a vállalatok megadják a központjukat, ott a különböző tagállamoknak érdemes lenne tárgyalásokat indítani a NAIH elnökének tanácsa szerint, hogy megosszák egymás közt a bevételt, mivel ha az adatvédelmi hatóság jól működik Írországban, akkor az állami költségvetést képes lesz (részben) fedezni.
Folyamatban az ágazati jogszabályok felülvizsgálata
Az Infotv. két frissítését (a NAIH kijelölését rendező és az irányelvi részeket teljességében átültető törvény) követően elindult az ágazati jogszabályok felülvizsgálata is, amelybe az Igazságügyi Minisztérium a tárcáktól kapott javaslatokat szándékozott beépíteni. Azonban ahonnan nem érkezett javaslat, azt a törvényt nem akarta változtatni, mivel nem tudta bizonyosan megállapítani a jogalkotó célját és feltételeit - fejtette ki előadásában Dr. Salgó László Péter, az Igazságügyi Minisztérium jogszabály-előkészítés összehangolásáért és közjogi jogalkotásért felelős helyettes államtitkára.
A törvények módosítása eléggé bonyolult feladat az államtitkár elmondása szerint, mivel "sokszor túl vannak írva" és nem felelnek meg jelenleg a GDPR-nak. Úgyhogy a nem megfelelő rendelkezéseket először hatályon kívül kell helyezni, majd jogot kell alkotni, és emellett a kiegészítő szabályokat is át kell nézni. Ennek következtében az ágazati jogszabályok felülvizsgálata jelenleg is zajlik, melynek részeként a kormány október elején bocsátotta társadalmi egyeztetésre a csomagot, amelyet a minisztérium stratégiai partnereknek is elküldött. Már jelenleg is nagyon sok észrevétel érkezett, ami alapján további kiegészítések lesznek szükségesek - mondta Salgó.
A NAIH és a partnerek több törvény felülvizsgálatát is javasolták, mint például a személyszállítási törvény, a civil törvény, a postai szolgáltatásokról szóló törvény vagy például az elektronikus hírközlésről szóló törvény. Ezeknél jelenleg még vita folyik, amelyhez egy egységes álláspontot szeretnének először kialakítani. Az ágazati "saláta" benyújtása jövő februárban várható, az elfogadás pedig jövő márciusban, de addig még "nagyon rögös út vezet".
Salgó szerint Magyarország GDPR-tevékenysége jelenleg a közepesen megfelelt és a jó között van valahol, mivel az Infotv. módosítása hazánkban már megtörtént. A 28 EU-s tagállam közül viszont 7 országban még a horizontális törvény frissítése is hiányzik, például Bulgáriában, Csehországban, Finnországban vagy Portugáliában. Az ágazati jogszabályoknál pedig még senki nem tette meg a teljes körű összehangolást, mint ahogy hallhattuk Magyarország sem.
Vállalati nézőpont
Az elhangzott előadások "párhuzamos valóságaként" a konferenciát különböző nagyvállalatok szakértőinek panelbeszélgetése zárta a GDPR-ral kapcsolatos meglátásaikról és tapasztalataikról. A MOL adatvédelmi jogtanácsosa szerint a hazai vállalatok a pánik-közöny-tudatosság-bosszú skálán mentek végig, ők pedig a Multipont kártya ügyfeleinek újranyilatkoztatásával küzdöttek meg. A bosszú például akkor nyilvánul meg, ha valaki egy céget szeretne nehéz helyzetbe hozni, mivel akkor felteszi a kérdést: "hogy néz ez ki GDPR-szempontból".
A vállalatok számára a nehézséget leginkább a sokféle feladat jelenti, mivel egyszerre kellene például a pénzmosás elleni törvényre, bankoknak a PSD2-re, a GDPR-ra, koncentrálni az üzlet növekedése mellett. Bár vannak párhuzamosságok, de a vonatkozó rendszerek fejlesztése erőforrásokat (emberi, anyagi) igényel, és összességében nehéz egyensúlyt találni - mondta a Raiffeisen Bank adatvédelmi tisztviselője. Majd a Spar Magyarország ügyvédje hozzátette, hogy "a kérdések ott kezdődnek, ahol a válaszok véget érnek", mivel a hatóságnál van a vizsgálati és az ellenőrzési jogkör egyszerre. Ez a helyzet "határt szab a bizalomnak", mert a cégek nem szívesen fordulnak értelmezési kérdésekben a hatósághoz, hogy ezzel felhívják magukra a figyelmet.
Nem csak gyakorlatban, hanem elméletben sem sikerült felkészülni - mondta ki a Magyar Posta adatvédelmi tisztviselője. Az adatkezelők elkezdtek dolgozni a 20 milliós bírság félelme miatt, és bár kaptak valamilyen támogatást, de a nemzeti jogalkotás és a hatóság által a folyamatok kiépítése is még csak eközben zajlott. A bírság túlságos hangoztatása miatt a szakértő szerint elindult egy „lepapírozási kényszer”, ami után rengeteg erőforrásba került elmagyarázni, hogy nem mindenre volt szükség, vagy nem ebben a formában. Mindeközben pedig elveszett a lényeg, hogy a folyamatokat kellene az adatvédelemnek megfelelően alakítani, vagyis a a cégeknek a valós átalakításokkal kellene foglalkozni a papírozás helyett.