Felemásan indul a GDPR itthon - ingyenes segítség a betartásához!

Vágólapra másolva!

A Facebook adatkezelési botránya, mely kihathatott az amerikai elnökválasztási kampányra és a brit Brexit népszavazás kampányára is, különös aktualitást ad az adatvédelem európai erősítésének. Főleg, hogy ezeket a szabályokat épp a Facebookhoz hasonló méretű digitális mammutvállalatok megregulázása érdekében hozták létre. Bár ettől függetlenül a szabályozás a teljes hazai kkv állományra vonatkozni fog majd 2018 május 25-től. Mint a Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda szakértő ügyvédjei sajtóbeszélgetésen elmondták, koherenciazavarok miatti jogbizonytalansággal nézhetnek szembe az itthoni vállalatok, amennyiben nem kerül elfogadásra az európai adatvédelmi rendelet, vagyis a GDPR végrehajtását biztosító hazai jogszabály. Cikkünk végén az ügyvédi iroda segítségével gyakorlati támogatást is adunk a GDPR rendelkezéseinek betartásához.

Origo

Vágólapra másolva!

adatkezelés Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda gdpr

A GDPR a korábbiakkal ellentétben már nemcsak egy európai uniós irányelv, amit be kell építeni a nemzeti jogrendekbe, hanem az egész unió egységesen ezt a jogszabályt fogja használni az összes tagállamban, így Magyarországon is.

Itthon viszont a választások miatt már nem várható, hogy a GDPR hatályba lépéséig a törvényhozás elfogadja az ezt szabályozó végrehajtási rendeletet.

A jelenlegi infotörvény helyébe lépő egységes uniós adatvédelmi szabályozás, a GDPR minden cégre vonatkozik majd, mely természetes személyek adatait kezeli, legyen szó akár munkavállalóról, akár vevőről, tehát gyakorlatilag minden olyan vállalkozásra kiterjed az ország és az unió területén, amelyik letelepedési hellyel, tevékenységi központtal rendelkezik itt, sőt még letelepedési hely nélkül is kiterjed az unión kívüli vállalkozásokra, amennyiben azok az EU-ban személyes adatot kezelnek.

Bár a hazai sajtóban leggyakrabban a nagyon komoly szankciós rendszerrel riogatták az olvasókat, hiszen a maximális bírság 20 millió forintról 20 millió euróra, vagy a világszintű árbevétel 4 százalékára, illetve bizonyos esetekben 10 millió euróra vagy a világszintű árbevétel 2 százalékára nő,

de a GDPR-nak nem a büntetés fog a fókuszában állni, ez csak a jogsértés esetében alkalmazott szankció, ott is a legsúlyosabb.

A fókusz az adatkezelési tevékenységek nyilvántartásán lesz, és az adminisztratív kötelezettségek alól a kkv-k sem tudnak majd kibújni. (Annak ellenére, hogy a kkv-k kaphattak volna könnyítéseket vagy mentességeket a GDPR alól, hiszen alapvetően nem ők vannak a szabályozás célkeresztjében.) Az adatvédelmi incidenseket be kell majd jelenteni, ha azok kockázattal járnak, és ilyennek számíthat akár egy ártatlan e-mail félreküldése is, melyben személyes adatok szerepelnek. Ha pedig netán magas kockázattal jár majd egy incidens, akkor arról még az érintettet is értesíteni kell.

A GDPR fő hangsúlya nem a kkv-kon, hanem olyan digitális óriásvállalatokon lesz majd, mint például a Facebook vagy a Google Forrás: Origo

Csak késve fog Magyarországon hatályba lépni a GDPR végrehajtási rendelete - koherenciazavarok

A magyar kormány szerette volna elfogadni a GDPR hazai bevezetését biztosító jogszabályt, ez azonban a választások miatt nem sikerült. A választásokig már biztosan nem fog sorra kerülni, az új kormány megalakulásával pedig annyi idő el fog menni, hogy a rendelet várhatóan már nem fog tudni átmenni a törvényhozáson 2018 május 25-ig. Ráadásul külön problémát jelent, hogy a kormány megalakulását követően nagyon hamar beáll a nyári törvényhozási szünet, így jelen pillanatban még nem lehet előre látni, hogy pontosan mikor is várható a GDPR hazai bevezetését biztosító jogszabály megjelenése.

Ettől függetlenül a GDPR az Európai Unióban, így hazánkban is kötelezően érvénybe lép, viszont a fent tárgyalt új jogszabály megjelenéséig hatályban marad a jelenlegi Infotörvény is, amely több ponton ellentétes egymással.

De nem merül ki ennyiben a várható átmeneti időszak.

A vállalkozások számára talán legfontosabb probléma az, hogy

a felügyeleti hatóság nincs kijelölve.

Ez majd várhatóan a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) lesz, de amíg törvény nem jelöli ki, addig a NAIH-nak nincs joga bármit is tenni. Azaz 2018. május 25-től az adatvédelemnek és a GDPR-nak várhatóan nem lesz felügyelete Magyarországon és ez nem csak azt jelenti, hogy nem fordulhatnak majd panasszal az érintettek adatvédelmi kérdésekben egy állami hatósághoz, de így nem lesz olyan hatóság sem, amelyik bírságolhat.

Ahhoz, hogy a hatóságot kijelölje a jogalkotó, kétharmados parlamenti jóváhagyás szükséges. Ez tehát függ majd az új kormány többségétől és politikai alkupozícióitól is, nem csupán egy kormányzati döntés kérdése.

Dr. Liber Ádám, a Baker McKenzie szakértője azt is koherenciazavarnak látja, hogy az átmeneti időszakban, tehát a magyar jogszabály életbe lépéséig bűnügyi személyes adatok nem kezelhetők, azaz

nem lehet majd erkölcsi bizonyítványt sem kérni a leendő munkavállalótól. A jelenlegi törvények ezt csak egy-két apró kivétellel engedélyezik.

Szintén probléma lesz az átmeneti időszakban az egészségügyi személyes adatok kezelése, miután az Infotörvényben más az adatok fogalma, mint amit a GDPR meghatároz: írásbeli hozzájárulás helyett kifejezett hozzájárulás kell. A kettő között elsősorban a digitális eszközökön, okostelefonokon megadott egészségügyi személyes adatok jelentik a különbséget, ahol az írásbeliség nem értelmezhető, csak a kifejezett hozzájárulás.

De ugyanúgy problémás lesz több munkahelyi adatkezelés, hiszen a mai törvények már elavultak. Ide tartozik például a munkavállalók megfigyelése, amelyet szintén a magyar törvénynek kéne szabályoznia. A kamerás megfigyelés vagy az e-mail megfigyelés például jelenleg nincs szabályozva, és ez a szabályozatlanság inkább a munkavállaló számára hátrányos, bár a cégeknek sem jó.

Direkt marketing esetében szintén hiányozni fog az átmeneti időszakban a jogos érdek alapján történő adatkezelés, azaz feleslegesen kell kérni már meglévő partnerektől is hozzájárulást például reklám küldéséhez, holott ezt a jogos érdek külön hozzájárulás nélkül is lehetővé tenné.

Mit lehet tenni, ha a jogszabályt 2018 május 25-ig nem fogadják el?

Amennyiben nem kerül sor a GDPR hazai végrehajtási rendeletének megalkotására a GDPR hatályba lépéséig, akkor a jelenlegi Infotörvény és a GDPR közötti ellentéteket az oldja majd fel, hogy mindig az uniós jog az erősebb, tehát

ütközés esetén a GDPR rendelkezéseit kell alkalmazni az új hazai jogszabály megjelenéséig,

mely feloldja majd az ellentéteket.

Természetesen addig is lehet érvényt szerezni a GDPR rendelkezéseinek, amíg a hazai végrehajtási rendelet nem készül el és lép hatályba, azonban hatóság előtt nem, csak bíróság előtt. A bíróság viszont jellemzően hosszabb határidővel és bonyolultabb eljárás keretében dönt, mint egy hatóság.

Egy multinacionális cég elvileg fordulhat külföldi adatvédelmi hatósághoz is az Európai Unión belül, de annak nincs jogérvényesítési hatásköre Magyarországon, így ez sem lehet megoldás.

A magyar kkv-k ingyen kaphatnak mintákat, szoftveres segítséget a GDPR betartásához a francia vagy az angol adatvédelmi hatóságok honlapjain, a cikkünk alján elhelyezett linkeken át Forrás: Origo

Néhány gyakorlati példa, amire a GDPR alapján figyelni kell

Dr. Bereczki Tamás arról beszélt, hogy a Privacy-by-design hét alapelvét be kell tartani a GDPR-ban, azaz:

az adatkezelés proaktív, nem reaktív, és preventív nem pedig utólagos
az adatvédelem az alapértelmezett
az adatkezelés a tervezés folyamatába beépített
az adatkezelést a teljes funkcionalitás támogatja
end-to-end biztonsági megoldások a teljes adatkezelési életciklus alatt
transzparencia és átláthatóság
a felhasználók magánszférájánk védelme - minél felhasználóbarátabban

Az adatkezelést minden egyes esetben az érintett döntésére kell bízni, tehát nem szabad például előre bejelölni egy hozzájárulást. Az adatkezelésnek nem gátolnia kell az üzleti folyamatokat, inkább támogatnia.

A gyakorlatban olyan szempontokra kell figyelmet fordítani, mint például a fizikai tér és eszközök elrendezése, mit lát az ügyfél és mit látnak a munkatársak (például ügyfél az ügyféltérből nem láthat rá az ügyintéző képernyőjére), biztonsági zónák.

A GDPR alapján végzett hatásvizsgálat eredményét közzé kell tenni a felhasználók vagy a fogyasztók részére. Ebben benne kell lennie, hogy milyen adatokat kezel a vállalkozás és milyen biztonsági szinttel. A folytatáshoz (egy honlapon is) a felhasználó beleegyezését kell kérni.

A felhasználó által kért adattörléskor kizárólag a teljes anonimizálást vagy a tényleges törlést fogadja csak el a GDPR,

semmi más olyan megoldást nem, amelynél a személyes adatok visszaállíthatók.

Mit tehet egy kkv a GDPR rendelkezéseinek betartásáért?

Az Üzletrész kérdésére Dr. Liber Ádám elmondta, hogy a kkv-k esetében kicsi az esély arra, hogy valamilyen adatkezelési ellenőrzésbe fussanak bele, hiszen a NAIH eddig csak néhány tíz ellenőrzést végzett évente, amely a GDPR kapcsán legfeljebb duplázódni-triplázódni fog majd, és a GDPR amúgy sem a kkv-kra van kihegyezve. Egy kkv-nak még akkor sem kell tartania a jelentős összegű bírságoktól, ha valamely munkavállalója vagy ügyfele feljelenti majd a hatóságnál, hiszen a hatóságnak megvannak az eszközei arra, hogy ezeket az ügyeket gyakorlatiasan kezelje és ne egyből a bírságolás vagy a teljes adatkezelési ellenőrzés következzen egy ilyen feljelentésből.

Megéri azonban elkészíteni a GDPR rendelkezései szerinti nyilvántartásokat, hiszen amennyiben mégis ellenőrzést kap egy kkv, akkor kisebb a baj, ha megvan az adatkezelési nyilvántartás, de annak tartalma hiányos vagy rossz, mintha a vállalkozás vezetője csak széttárja a kezét, hogy nem volt hozzá szakértelme vagy nem volt rá ideje. A hatásvizsgálat, nyilvántartás megléte még jobb helyzetet eredményez.

A magyar hatóság, a NAIH gyakorlatilag nem tett közzé semmilyen tájékoztatót, amelyben segítené a kkv-k felkészülését a GDPR betartására. Igaz, mint kihangsúlyozta, ez nem is törvényi kötelezettsége, de más országokban az adatvédelmi hatóságok sokkal aktívabbak voltak a kkv-k megsegítése terén.

A magyarországi kkv-k számára ezért információbiztonsági szakértő és ügyvéd segítsége javasolt, ha fel szeretnének készülni a GDPR betartására.

Aki azonban egy kis kkv-ban, vagy családi vállalkozásban nem szeretne, vagy nem tud ilyen szakemberekhez fordulni, az sajnos magyar nyelven ingyen nem jut konkrét, gyakorlati segítséghez a GDPR betartásához.

A német, holland, angol, francia és spanyol adatvédelmi hatóságok azonban tettek közzé tájékoztatót, sablont, módszertant a kkv-k megsegítésére, sőt készített ilyet a román hatóság is.

Ezeket természetesen a magyar vállalkozások is használhatják, ha meg akarnak felelni a GDPR rendelkezéseinek, hiszen a GDPR az egész unióban egységes.

Ezek magyar nyelvű feldolgozásához online fordítóprogramok nyújthatnak ingyenes segítséget, de némelyik megoldáshoz még fordításra sincs feltétlenül szükség, tekintve hogy grafikai alapúak.

A francia adatvédelmi hatóság ment a legtovább, ők készítettek egy szoftvert, amelyik végigvezet a GDPR betartásához szükséges szabályokon és nyilvántartásokon, melyre cseh és lengyel nyelven már készült is közösségi fordítás.

Talán Magyarországon is indulhat ilyen kezdeményezés.

Addig is közöljük a Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda gyűjtései alapján azokat a linkeket, amelyeken a külföldi hatóságoknál a hazai kkv-k ingyenes segítséget kaphatnak a GDPR rendelkezéseinek betartásához:

A francia adatvédelmi hivatal (CNIL) Privacy Impact Assessment szoftvere:
https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment

Adatkezelési tevékenységek nyilvántartása - sablon a francia hatóságtól:
https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles

Mintatáblázat:
https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx

Az angol hatóság (ICO) sablonja az adatkezelési tevékenységek nyilvántartására:
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/documentation/

Mintatáblázatok:
https://ico.org.uk/media/for-organisations/documents/2172937/gdpr-documentation-controller-template.xlsx
https://ico.org.uk/media/for-organisations/documents/2172936/gdpr-documentation-processor-template.xlsx

Az angol hatóság adatvédelmi hatásvizsgálati sablonnal kapcsolatos oldala:
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/

A konkrét sablon (ez még egyeztetés alatt áll az Egyesült Királyságban)
https://ico.org.uk/media/about-the-ico/consultations/2258461/dpia-template-v04-post-comms-review-20180308.pdf