Utánajártunk

62_Depositphotos_184875060_original.jpg
Forrás: ITB
Komoly hajrá kell

GDPR: jogszabályok lemaradásban

Nemcsak a vállalkozásoknak kell felkészülniük a GDPR május végi hatályba lépésére, hanem a magyar államnak is. Számos jogszabályt kell(ene) addig módosítani – a munka már halad, de a választások nem segítenek a felgyorsításban. Gond azért így sem lesz belőle.

Hiába számít közvetlenül alkalmazandó joganyagnak a GDPR (General Data Protection Regulation), vagyis hatályba lépéséhez nem szükséges, hogy átültessék a tagállami jogrendszerbe, mégis ad munkát a tagállami jogalkotóknak. Sok esetben szükség van a helyi törvények módosítására, hogy ne kerüljön ellentmondásba például a korábbi magyar és a mostani uniós joganyag.

Magyarországon az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (szakmai körökben csak „Infotörvény”) érintett elsősorban. Ahogy az Igazságügyi Minisztérium tájékoztatásából megtudtuk, a törvény jogharmonizációs célú módosításáról (vagyis a GDPR-hoz való igazításáról) szóló előterjesztés társadalmi egyeztetése megtörtént, de a kormány elé még nem került. Emiatt az Országgyűlés csak a közelgő választások után tudja majd elfogadni a javaslatot – de akkor már nem sok idő lesz a GDPR május 25-i hatályba lépéséig.

 

Közvetett hatások

Az adatvédelmi reform minden európai, így magyarországi adatkezelőt érint. Mindazt, amit közvetlenül alkalmazniuk kell – anyagi jogi rendelkezéseket, az adatkezelés elveit és szabályait, az adatbiztonságról szóló követelményrendszert –, a GDPR szövege tartalmazza, azt pedig nem kell átemelni a magyar jogszabályba, mondta el kérdésünkre Péterfalvi Attila, az Infotörvény módosításában aktív szerepet játszó Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke.

A tervezett módosítás nagy része az uniós, úgynevezett „rendőrségi irányelvet” ülteti át a magyar jogba, vagyis azokat az előírásokat, amelyek a rendőrségi és bírósági eljárások (felderítés, vádemelés, büntetés-végrehajtás) során követendő adatkezelési szabályokat tartalmazza.

A módosítások másik nagy halmaza közvetetten érinti a hazai vállalkozásokat, adatkezelőket – ezek azok a rendelkezések, amelyek a NAIH munkáját szabályozzák, és ezen keresztül hatnak mindenkire. Az új szabályokra azért van szükség, mert a hatóság olyan jogköröket is kap a GDPR alapján, amelyekkel eddig nem rendelkezett. Ilyen például az engedélyezési jogkör, amely alapján a NAIH különböző iparágak számára speciális adatkezelési rendelkezéseket, magatartási kódexeket hagyhat jóvá, hoz egy példát Péterfalvi Attila.

Szintén új lesz az incidensbejelentési rendszer, hiszen a rendelet egyik fő újítása éppen az, hogy az adatvédelmi incidenseket 72 órán belül be kell jelenteni a hatóságnak. Az erre szolgáló online felület létrehozása már folyik, készen van a bejelentéshez szükséges űrlap. „Mi természetesen az online bejelentéseket részesítjük előnyben, hiszen a GDPR egyik indoka is éppen a digitalizáció által teremtett új helyzetre megfelelő, 21. századi választ adni, mégis az Európai Bizottság tiltja meg az elektronikus csatorna kizárólagosságát, így a papíralapú bejelentésre is lehetőséget biztosítunk majd” – teszi hozzá a NAIH elnöke.

NAIH: új emberekkel

A GDPR jelentette többletterhekre való felkészülés jegyében a Nemzeti Adatvédelmi és Információszabadság Hatóság lehetőséget és költségvetési kiegészítést kapott 40 új munkatárs felvételére. „Ennek köszönhetően az adatvédelemmel foglalkozó szakembergárdánk létszáma csaknem duplájára emelkedik” – mondja Péterfalvi Attila, a hatóság elnöke.

A létszámbővülés mellett szervezeti változások is lesznek, például új egység foglalkozik majd az adatvédelmi incidensek bejelentésével. Különválasztják a büntetési irányelv hatálya alá tartozó adatkezelésekkel kapcsolatos panaszok kivizsgálását, illetve a GDPR hatálya alá tartozó panaszokat.

 

Ördög a részletekben

Az Infotörvény azonban még csak az első lépés, szükség lesz a különféle szektorális jogszabályok módosítására is. Ezeket az eredeti, 1992-es adatvédelmi törvény hívta életre; az ugyanis csak kétféle jogalapot ismert el az adatkezeléshez, az érintett hozzájárulását vagy egy erről szóló törvényt – világítja meg a történelmi hátteret Jóri András volt adatvédelmi ombudsman, ügyvéd, a dataprotection.eu tanácsadó cég vezetője. Emiatt közel száz(!) ilyen szektorális jogszabály született, és ezeket most mind összhangba kell hozni a GDPR-ral. Ennek az előkészítő munkája is megkezdődött, folynak az egyeztetések, de a tervezetek még nem nyilvánosak.

Ezeknek a jogszabályoknak a kiigazítása szintén nélkülözhetetlen, mert jelenlegi állapotukban számos helyen összeegyeztethetetlenek a GDPR-ral. Van például külön törvény az egészségügyi adatkezelésről – ez viszont teljesen másképp definiálja az egészségügyi adat fogalmát, mint a GDPR. „Ha nem történik meg időben az összehangolás, akkor a magyar jogban két, egymásnak ellentmondó definíciója lesz az egészségügyi adatnak, ami lehetetlen helyzetbe hozná a szektor szereplőit” – magyarázza ennek jelentőségét Jóri András.

De ugyanez áll a direkt marketingről és a közvéleménykutatásról szóló 1995-ös törvényre is. Ez a jogszabály szigorúan definiálja, hogyan és milyen feltételek mellett vásárolhatnak a cégek adatokat az állami nyilvántartásokból és használhatják fel a nyilvános adatbázisokat vagy cserélgethetik egymás között az adatokat, egyáltalán, hogyan lehet ilyen tevékenységeket folytatni. „Ehhez képest a GDPR a preambulumában kifejezetten utal arra, hogy a direkt marketing jogos érdeken alapuló tevékenység, és ez önmagában jogalap lehet az ilyen tevékenység folytatásához. Vagyis van egy új, megengedő szabályozás, miközben a korábbi törvény számos egyéb kötelezettséget is meghatároz. Ilyen példákat lehetne hozni a hitelintézeti, a biztosítási vagy az elektronikus hírközlési törvényből is” – teszi hozzá a szakember.


 

Szorít az idő

Mindezek alapján (is) nyilvánvaló, mennyire fontos lenne, hogy mind az Infotörvény, mind a szektorális törvények módosításait még a GDPR május 25-i hatályba lépése előtt elfogadják. A küszöbön álló országgyűlési választások azonban nem segítik ezt. A régi országgyűlés már nem ülésezik a választásokig, az új felállásához pedig hetekre lesz szükség április 8-a után. Mindeközben – mikor a politikai szereplők figyelmét a voksolásra való felkészülés köti le – megfeszített erővel kellene folytatni a szakmai előkészítő munkát.

További nehezítő tényező, hogy az Infotörvény NAIH-ra vonatkozó rendelkezéseit kétharmados többséggel kell elfogadnia a parlamentnek – a piacról származó, meg nem erősített hírek szerint ez is oka volt annak, hogy nem terjesztették az előző országgyűlés elé. Péterfalvi Attila minden kihívás ellenére bizakodó: szerinte az új Infotörvényt és az ágazati törvények módosítását egy csomagban be fogják tudni nyújtani és el is fogadják május 25-e előtt.

Érdekes kérdés, hogy mi történik akkor, ha mégsem. Akkor beáll az a helyzet, hogy a korábbi (de hatályukat nem vesztett) magyar jogszabályok és a GDPR eltérő definíciókat, rendelkezéseket, kötelezettségeket és bírságokat írnak elő a magyar szervezetek, adatkezelők számára. „Az egyértelmű, hogy május 25-e után az adatkezelőknek alkalmazniuk kell a GDPR előírásait, nem hivatkozhatnak arra, hogy nem léptek hatályba a magyar jogszabályok módosításai. Az is biztos, hogy a mi munkánkat megnehezítené egy ilyen helyzet, mert törvényi kijelölés és felhatalmazás híján nem láthatnánk el az amúgy ránk háruló ügyekben” – érzékelteti a NAIH problémáját Péterfalvi Attila.

Auditálás majd később

A GDPR lehetőséget teremt arra, hogy az adatkezelők önkéntesen tanúsítsák megfelelőségüket és erről hivatalos igazolást kapjanak (hasonlóan ahhoz, mint ahogy a különféle ISO auditok zajlanak). Egy adatfeldolgozással foglalkozó cég számára kimondottan versenyelőnyt jelenthet, ha „pecsétes papírt” tud felmutatni arról, hogy gyakorlata mindenben megfelel a GDPR előírásainak. GDPR-megfelelőségi tanúsítást az arra felhatalmazott szervezetek adhatnak ki. Az Infotörvény módosítása alapján ilyen tanúsító szerv lesz maga a NAIH, de más szervezetek is nyerhetnek akkreditációt. Ennek pontos menetét is a módosítás szabályozza, de magát az akkreditációt a Nemzeti Akkreditáló Testület folytatja le, szakhatóságként bevonva a NAIH-ot.

Vagyis először el kell fogadni az Infotörvény módosítását, hogy valaki egyáltalán jelentkezhessen tanúsító szervnek. Ezek után meg kell szervezni az akkreditációs folyamatot, azt le kell vezényelni a jelentkezők esetében – ha minden jól megy, akkor is legkorábban az év vége felé kaphatják meg a tanúsításra jogosító akkreditációt az első szervezetek.

 

Másképp szigorú

Sokakban felmerülhet a kérdés, hogy összességében végül is szigorúbb vagy megengedőbb lesz-e magyar adatvédelmi gyakorlat a GDPR alkalmazása után. Könnyebbséget jelent majd talán, hogy megszűnik a kötelező adatvédelmi nyilvántartás, tehát egy adatkezelőnek nem kell nyilvántartásba vétetnie magát a NAIH-nál. Cserébe az adatkezeléshez és az adatvédelemhez kapcsolódó belső céges adminisztráció összetettebb lesz, és többféle kötelezettség terheli majd a vállalkozásokat. Nőni fog az adatkezelők felelőssége és elszámoltathatósága, hiszen nem elég megfelelni a rendelet előírásainak, de ezt a megfelelést dokumentumokkal alá is kell tudni támasztani. Ezen felül terheket ró majd a cégekre az adatokkal való önrendelkezési jog kiszélesítése, illetve a tájékoztatási kötelezettség, valamint az incidensek bejelentési kötelezettsége.

A GDPR szigorúságának jelképe lett a kiszabható legmagasabb büntetés mértéke: 20 millió euró vagy az éves globális árbevétel 4 százaléka. Ekkora büntetési tételek a magyar vállalkozásokat (különösen a kisebbeket) aligha fenyegetik, viszont egy eddig létező, fontos mentesség meg fog szűnni. A jelenlegi szabályozás szerint a mikro-, kis- és középvállalkozások nem bírságolhatók, ha először vétenek a szabályok ellen. Ez a védelem május 25-e után már nem illeti meg őket, mert az ilyen kategorikus kivétel ellentmond a GDPR szellemének és betűjének – tehát már az első lebukás is jelenthet anyagi kockázatot.

Ez persze nem jelenti azt, hogy a NAIH minden esetben már az első körben szigorúan bírságolni fog, de automatikusan nem jár a könnyebbség – árnyalja a képet Péterfalvi Attila. A hatóság elnöke ehhez még azt is hozzáteszi, hogy a NAIH nem tartott és ezután sem fog véletlenszerűen kiválasztott cégeknél meglepetésszerű ellenőrzéseket végrehajtani; sokkal inkább panasz vagy beadvány alapján indít majd vizsgálatot, ahogyan azt eddig is tette. Mindemellett a nemzetközi együttműködés keretében, más uniós vagy tagállami hatóságokkal karöltve sor kerülhet célzott vizsgálatokra.

Jóri András azonban óva inti attól a vállalatokat, hogy a fentiekben bízva megpróbálják elbliccelni a megfelelést. „Reményt adhat ez a gyakorlat, de nem mentesít a megfelelés kényszere alól” – mondja. Ráadásul nem minden iparág és nem minden vállalkozás kockázata egyenértékű ezen a téren. Vannak iparágak, vállalatok, ahol a nagy ügyfélkör miatt sok személyes adatot kell kezelni és az ügyfelek körében esetenként nem feltétlenül pozitív a megítélésük (mint mondjuk a követeléskezelő társaságoké). Ezen cégek ellen várhatóan akkor is számos panaszt nyújtanak be, ha amúgy mindent szabályosan csinálnak – nekik a magas kockázat miatt semmiképpen nem érdemes a megúszásra játszani.