Rövidesen hatályba lép az Unió új, egységes, szigorú adatvédelmi rendelete, a GDPR. A hazai adatkezelők egyáltalán nem állnak jól a felkészüléssel, a Parlament adós még néhány jogszabály módosításával, a piacon ugyanakkor egyre több a GDPR elvárásai köré épülő sikerbiznisz.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) áprilisi közleményében beszámolt arról, hogy jelenleg számos piaci szereplő kínál képzéseket leendő adatvédelmi tisztviselők számára. Fontos, hogy ezek a képzések széles körben és magas színvonalon rendelkezésre álljanak – hangsúlyozták. Képzésekben pedig nincs hiány, bár az árak elég borsosak, függetlenül attól, hogy adatvédelmi tisztségviselővé képzésről, vagy egyszerűen csak a GDPR előírásaira való felkészülésről van szó. Számos képzésen a NAIH szakemberei is megjelennek előadásokkal. Mindemellett a NAIH hivatkozott közleményében leszögezte: a hatóság „a GDPR által támasztott tartalmi követelményeknek való megfelelést ajánlja az adatkezelőknek és az adatvédelmi tisztviselői szerepre készülőknek ahelyett, hogy különböző, kétes értékű igazolások beszerzésére törekedjenek. Néhány napos tréningek ugyanis alkalmatlanok arra, hogy az adatvédelmi tisztviselői kinevezés feltételeit pótolják, még ha ezt állami regisztrációra hivatkozva ígérik is.” A tényleges felkészülésre kell összpontosítani, nem a “papír” a lényeg – hangsúlyozza a NAIH.
A hatóság rendszeres, szigorú ellenőrzéseket és a GDPR előírásainak be nem tartása esetére igen magas bírságokat helyezett kilátásba. És mivel már most nyilvánvaló, hogy egy átlagos kivállalkozás nem fog tudni megfelelni a GDPR rendelkezéseinek az uniós norma szimpla elolvasásával, a képzésekre – akármilyen borsosak is az árak – szükség lesz.
Számos GDPR által előírt szabály alkalmazását már most is megköveteli az adatvédelmi előírásokat tartalmazó magyar Infotörvény, sok adatkezelő azonban jelenleg még ezeknek sem tud eleget tenni. A NAIH érdemének tekinthető, hogy honlapján külön menüpont alatt ad egy általános tájékoztatót a felkészülésre és közzéteszi az adatvédelmi reformmal kapcsolatos állásfoglalásokat, illetve a 29-es cikk szerint létrehozott Adatvédelmi Munkacsoport iránymutatásait is – bár ez utóbbiak közül több egyenlőre csak angol nyelven érhető el.
Ahhoz, hogy megértsük, milyen kötelezettségek terhelik az adatvédelmi tisztviselőt, egyáltalán ki köteles ilyen személyt kijelölni vállalkozásában, intézményében, egy kicsit távolabból érdemes megismerni a szabályozási rendszert. A Tanács és az Európai Parlament, mint társ-jogalkotók 2016-ban két jogszabály elfogadásáról döntöttek. Egyik a 2016/679 európai parlamenti és tanácsi rendelet (GDPR), másik pedig a 2016/680 európai parlamenti és tanácsi irányelv (a továbbiakban: Irányelv). A személyes adatok tömeges – főként elektronikus – kezelése, a gyors technológiai fejlődés számos adatvédelmi problémát generálnak. Egész üzletágak épülnek a személyes adatok kezelésére és szinte minden személyes ügyintézésnél, vagy csak a világháló böngészése során is felmerülhet visszaélés és áldozatai, vagy akár még elkövetői is lehetünk jogosulatlan adatkezelésnek. A két uniós norma közül a GDPR közvetlenül alkalmazandó jogszabály, és május 25-ei hatálybalépésétől kezdve – a magyar jogba való átültetés nélkül is – kötelező betartani a rendelkezéseit. Ezzel szemben az Irányelv – melynek célja, hogy az adatvédelem magas szintjét garantálja a rendőrségi és igazságügyi együttműködés során, továbbá megkönnyítse az adatok szabad áramlását a tagállamok hatóságai között – nem közvetlenül szabályoz, hanem szükséges azt beépíteni a nemzeti jogrendszerbe. Főként ebből az okból, illetve a GDPR végrehajtásának megkönnyítése érdekében a magyar jogalkotó az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) és egyes ágazati jogszabályok módosítását is elrendelte. Mivel ezek még nem történtek meg kellőképpen, így nyilvánvaló, hogy Magyarország a május 25-én hatályba lépő GDPR előkészületeiben jelentősen le van maradva.
A 29. cikk szerinti adatvédelmi munkacsoport kiadott egy igen részletes iránymutatást az adatvédelmi tisztviselőkkel kapcsolatban. Ebben sorra veszi a tisztviselő kijelölésének kötelező eseteit, melyek eldöntése valójában nem is annyira egyszerű. Közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek adatkezelése mindig igényli az adatvédelmi tisztviselő kijelölését, és a bűncselekményekre vonatkozó adatok nagy számban történő kezelése is. Nehezebb a helyzet viszont akkor, ha egy vállalkozás magánszemélyek adatait kezeli, és ezeket rendszeresen megfigyeli (pl. online nyomon követést végez). A jogszabály úgy fogalmaz, hogy kötelező adatvédelmi tisztviselő kijelölése olyan esetben is, „ha az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé”. A munkacsoport iránymutatása szerint az egyes fogalmi elemek vizsgálatát kell elvégezni, elsőként, hogy mi a fő tevékenysége a cégnek, illetve milyen megfigyelést végez a személyes adatok tekintetében. Példaként hozza, hogy egy kórház fő tevékenysége maga az egészségügyi ellátás, ám mindezt nem tudná elvégezni a betegek adatainak nyilvántartása nélkül, így az adatkezelés a kórház esetében fő tevékenységnek minősül, és adatvédelmi tisztviselőt kell kijelölni. Ugyancsak ez a helyzet egy biztonsági felügyeletet ellátó vállalkozásnak, ahol kamerarendszer is üzemel, de nem kell például csak azért adatvédelmi tisztviselőt kijelölni egy cégnél, mert ahhoz, hogy fizetést tudjon adni az alkalmazottjainak, kezeli azok személyes adatait. A következő fogalmi elem a „nagy mértékű/ nagy számban történő” megfigyelés. A GDPR nem határozza meg, hogy mit ért nagymértékű, illetve nagy számban történő adatkezelésen, a munkacsoport ad hozzá némi támpontot, mi alapján döntse el ennek fennállását az adatkezelő. A „rendszeres és szisztematikus megfigyelés” pedig egyértelműen magában foglalja az interneten történő nyomon követés és profilalkotás valamennyi formáját, de ez a kritérium nem korlátozódik az online környezetre, tehát papír alapú nyilvántartással is lehet ilyen megfigyelést végezni.
A tisztviselő feladata, hogy információt gyűjt az adatkezelési tevékenységek meghatározása érdekében, elemzi és ellenőrzi az adatkezelési tevékenységek megfelelőségét, tájékoztatást, szakmai tanácsadást nyújt és ajánlásokat bocsát ki az adatkezelő vagy az adatfeldolgozó részére. Fontos, hogy ha nem nevezünk ki adatvédelmi tisztviselőt a cégnél, akkor dokumentálni kell ennek tényét, s azt is, mi alapján jutottak erre a döntésre. Lényeges azt is észben tartani, hogy az adatvédelmi tisztviselő kinevezése nem jelenti azt, hogy a cég eleget tett a GDPR-ra való felkészülésnek, és a felelősség is az adatkezelőt terheli az által elmulasztott számtalan kötelezettségért, amit a hatálybalépésig teljesíteni szükséges.
Kapcsolódó interjú: