2018. május 25. napjával új korszak köszönt be az adatkezelés területén: hatályba lép az Európai Unió általános adatvédelmi rendelete! A jogszabály nem nélkülözi az általános és konkrét tartalommal nehezen megtölthető megfogalmazásokat. Az előírások több, mint feléhez ráadásul komoly hatósági bírságolási jog is kapcsolódik.
Az elkövetkezendő 8 hónapban egyre növekvő gyakorisággal fogunk hallani az Európai Unió általános adatvédelmi rendeletének hatályba lépéséről (GDPR). A szabályozás megértéséhez nem kevés időre lesz szükség, hiszen csupán a bevezető rendelkezések 170 bekezdést tesznek ki, s a mintegy 100 további cikkbe tömörített érdemi előírások több, mint feléhez pedig komoly hatósági bírságolási jog is kapcsolódik. A 88 oldalas szabályozás ráadásul nem nélkülözi az általános és konkrét tartalommal nehezen megtölthető megfogalmazásokat, így azok konkrét tartalommal való felruházása a hatósági és bírósági jogalkalmazás izzadságos feladata lesz. Csak remélhetjük, hogy az adatvédelmi hatóság a vállalkozásokhoz is türelmes lesz. Nézzünk akkor egy kis ízelítőt a hamarosan hatályba lépő uniós szabályozás legfontosabb elemeiből:
Az adatkezelés alapelvei érdemben nem változnak
A jelenleg hatályos Info tv-ben nevesített adatkezelési elvek a továbbiakban is fenn fognak maradni. Az adatkezelésnek így jogszerűnek, tisztességesnek és átláthatónak kell lennie. Megmarad a célhoz kötöttség alapelve is, azaz az adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet. Az adatkezelésnek pedig meg kell felelnie a szükségesség-arányosság elveinek is, azaz nem gyűjthetünk más, illetve több adatot, mint amire feltétlenül szükségünk van. Az adatoknak ezen túlmenően pontosaknak is kell lenniük, és csak addig kezelhetőek, ameddig rájuk feltétlenül szükség van. Végezetül az adatkezelő köteles gondoskodni az adatok védelméről, és az adatkezelés során bármikor igazolnia kell tudnia az adatvédelmi rendeletnek való megfelelést. Ez utóbbira számos mechanizmus fog vonatkozni (adatvédelmi hatásvizsgálat, előzetes konzultáció, belső szabályzat, tanúsítás, tájékoztatások, tisztviselők stb.).
Beköszönt az adatvédelmi tavasz: két és fél jogalap helyett hat jogalap lesz
Eddig az adatkezelésnek jogszabályon vagy az érintett felhatalmazásán kellett alapulnia. Emellett az Info tv. és az irányelv lehetővé tette az un. jogos érdeken alapuló adatkezelést is, mely bizonyos területeken az uralkodó adatkezelési jogalap (pl: foglalkoztatás) annak ellenére, hogy a hatályos szabályozásban ennek a jogalapnak az alkalmazhatósága egyértelmű jogi szabályozás hiányában jelenleg még kérdéseket vet fel. Ez a bizonytalanság azonban jövő év közepétől megszűnik, hiszen rendelet fogja elismerni jogalapként a jogos érdeket. Jövő májustól ugyanis a következő jogalapokra lehet támaszkodni adatkezelés esetén. Az első jogalap marad az érintett adatkezelési célonként adott, megfelelő hozzájárulása. További jogalapot szolgáltat, amennyiben az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges. Jogalapot jelent az is, ha az adatkezelés jogi kötelezettség teljesítéséhez lesz szükséges. Marad az adatkezelő vagy harmadik fél jogos érdeke, mint jogalap, mellé azonban új jogalapként bejön az érintett vagy másik természetes személy létfontosságú érdekeinek a védelme is. Végezetül jogalap lesz a közhatalmi jogosítványok gyakorlása is.
Az érintettnek (és a hatóságnak) mindenről tudnia kell
A rendelet kiterjedt tájékoztatási kötelezettséget telepít a vállalkozásokra. Tájékoztatni kell az érintetteket az adatkezelőnek, képviselőjének, az adatvédelmi tisztségviselőnek az elérhetőségeiről, az adatkezelés céljáról, jogalapjáról, időtartamáról, a személyes adatok kategóriáiról, a személyes adatok címzettjeiről, azok kategóriáiról, a harmadik országba történő adattovábbításokról, az érintett jogairól, a magas kockázattal járó adatvédelmi incidensekről, s mindezt tömören, átláthatóan, érthetően, könnyen hozzáférhető formátumban, világosan, közérthetően, lehetőség szerint a megkereséssel azonos formátumban. Az adatvédelmi incidensekről azonban természetesen az adatvédelmi hatóságot is tájékoztatni szükséges, amely majd szépen megvizsgálja, hogy hol, mit rontottunk el. Ennek során felteheti a 20 millió eurós összegű találós kérdést is, mely a maximális bírság mértéke. Ezen túlmenően az adatkezelőnek az adatkezelési tevékenységekről nyilvántartást is kell vezetnie, illetve, amennyiben az adatkezelés valószínűsíthetően magas kockázattal jár, abban az esetben adatvédelmi hatásvizsgálatnak is készülnie kell. Amennyiben pedig az adatvédelmi hatásvizsgálat magas kockázatot valószínűsít, az adatkezelés megkezdése előtt az adatvédelmi hatósággal konzultálni is szükséges.
Az értelmezési viták garantáltak
Már a munka törvénykönyve, illetve a polgári törvénykönyv legújabb változatai is sokaknál kiverték a biztosítékot, éppen amiatt, hogy konkrétumok helyett előszeretettel alkalmaznak általános szabályokat (méltányos mérlegelés, előreláthatóság), illetve a pontos határokat sok esetben a jogalkalmazásra bízzák. A GDPR elolvasását követően azonban az Mt. és a Ptk. garantáltan érthetőnek fognak tűnni. A rendelet ugyanis hemzseg az olyan előírásoktól, melyeknek pontos tartalma egyértelműen nem állapítható meg.
Ide sorolnám azt a rendelkezést, mely szerint adatvédelmi hatásvizsgálatot kell végezni abban az esetben is, amennyiben természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése történik, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek. Az első három értelmi megfejtőnek adatvédelmi incidenst küldünk ajándékba.
Ezen túlmenően az adatkezelő vagy egy harmadik fél jogos érdeke mellet jogalapként emeli be a rendelet például az érintett vagy másik természetes személy létfontosságú érdekét.
Számos kötelezettséget pedig az adatvédelmi kockázat fokához köt, amelyet gondolom, hogy a hatóság és a vállalkozások nem fognak azonos módon megítélni. Az adatkezelési tevékenységek nyilvántartására előírt kötelezettségek például nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általuk végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár (de hát mi nem jár azzal), ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.
Adatvédelmi hatásvizsgálatot abban az esetben kell végezni, amennyiben az adatkezelés hatókörére, céljára, illetve körülményeire tekintettel feltehetően magas kockázattal jár a természetes személy jogaira vagy szabadságára nézve.
Az adatvédelmi incidenseket pedig indokolatlan késedelem nélkül, de legfeljebb 72 órán belül be kell jelenteni az adatvédelmi hatóságnak kivéve, ha valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságára nézve. Késedelem esetén ugyanakkor az azt igazoló indokokat tanúsítani szükséges.
Remélhetően a NAIH proaktív lesz
A tagállami adatvédelmi hatóságok sorra bocsátják ki az állásfoglalásokat arról, hogy pontosan milyen követelmények érvényesülnek az egyes adatkezelések vonatkozásában (direkt marketing, harmadik országba irányuló adattovábbítás stb.). A NAIH 2017. május 25. napján egy rövidke tájékoztatóban foglalta össze a GDPR lényegét, melyben egyben arra hívta fel az érintett adatkezelők figyelmét, hogy költségvetésükbe tervezzék bele a megfeleléshez szükséges humán, szervezeti és anyagi erőforrásokat. Remélhetőleg ezt konkrét tájékoztatók sora fogja követni.