Az adatvédelem terén 2018 májusától már az EU Általános Adtavédelmi Rendelet szabályait kell alkalmazni. Itt az ideje annak, hogy az adatkezelők elkezdjenek felkészülni az új követelmények teljesítésére. Tíz kérdés köré csoportosítottuk a rendelet főbb szabályait, amely kérdésekre tíz neves adatvédelmi szakértő válaszol.
A válaszokat szóban, részletesen is kifejtik az előadók a 2017. január 20-án megrendezésre kerülő egész napos adatvédelmi konferencián, ahol 10 vezető adatvédelmi szakember beszél majd a rendeletről. A konferencia honlapja és jelentkezés: http://www.dataprotection.eu/konferencia
1. Összességében, az EU Rendelet szigorítja vagy enyhíti majd azokat a szabályokat, amik jelenleg hatályosak?
Dr. Jóri András, volt adatvédelmi ombudsman: Szigor és könnyítés egyszerre jellemzi majd az új szabályozást. Számos új adatkezelési jogalap is bekerül majd a magyar szabályozásba, amelyek alkalmazása jelenleg meglehetősen kétes (pl. a jogos érdeken alapuló adatkezelésé), tehát az adatkezelők lehetőségei bővülnek. Ugyanakkor a megemelt szankciók sokkal erősebb kockázatokat hordoznak majd az adatkezelők számára: gondoljuk csak végig, a bírságmaximum 20 millió euró, több, mint 6 milliárd forint! Várható az is, hogy a Rendelet alkalmazása az európai hatóságok közötti szakmai együttműködés miatt jobban egységesül, így a magyar hatóság is szigorúan alkalmazni fogja a szankciókat; központi kérdés lesz tehát, hogy valamennyi adatkezelő megfeleljen az új rendelkezéseknek. Úgy is fogalmazhatnék: az adatvédelmi jog most lép majd igazán felnőtt korba, a megfelelési szankció miatt még az eddigieknél is komolyabban kell majd venni ezt a szabályrendszert.
2. Mi lesz a tagállami szabályozás sorsa? Ezentúl nem lesz magyar adatvédelmi törvény?
Dr. Sonnevend Pál, az ELTE docense részletesen beszél majd azokról a jogi keretekről, amelyek az európai unió jogalkotásában megkülönböztetik a rendeletet és az irányelveket. Önmagában az, hogy egy jogterületre európai szintű jogszabály vonatkozik nem zárja ki a tagállami jogalkotás lehetőségét az egyes részletszabályokra vonatkozóan (ráadásul a legtöbb tagállam alkotmánya rögzíti a személyes adatok védelméhez / magánszférához való jogot). A Rendelet külön meghatároz egyes kérdéseket, amelyeket a tagállamoknak kell szabályozniuk, kiemelendő ezek közül a munkajogi szabályozás, és a különleges adatok bizonyos körének a szabályozása, amelyeket tagállami szabályozás szerint még az értinett hozzájárulásával sem lehet majd kezelni. A nemzetközi jogász arról is beszél majd, helyes-e az adatvédelmi hatóság jelenlegi jogalkalmazása az adatvédelmi jogalapokat illetően.
Kérdés, hogy a Kis- és közepes méretű vállalkozásokat jelenleg megillető bírság-immunitas megilleti-e majd 2018 májusát követően? Konferenciánkon erre is is választ kap.
3. Az adatkezelők jelenleg minden adatkezeléshez hozzájárulást szereznek be, sokszor egyszerre többet is. Ez várhatóan a jövőben is így marad?
Dr. Soós Andrea Klára ügyvéd: 1992 óta Magyarországon megszoktuk, hogy minden adatkezelés elsődleges jogalapja az érintett megfelelő módon adott, és megfelelő szövegű hozzájárulása. Ezzel szemben az európai adatvédelmi jog mindig is hat lehetőséget biztosított a jogszerű adatkezelésre, amelyek közül a hozzájárulás „csak” egy volt, bár kétségkívül fontos jogalap. A korábban megszokott törvényi hozzájárulás az európai szabályok között például nincs nevesítve, 2-3 másik jogalap közé is sorolható az ezen alapuló adatkezelés. A hozzájárulást az európai jog úgy kezeli, hogy akkor van rá szükség, ha nincs másik jogalap, amely az adatkezelés jogszerűségét biztosítaná. A gyakorlat egészen odáig megy, hogy megtévesztő az érintettel szemben, ha más jogalapot jelöl meg az adatkezelő, mint ami valójában a jogszerűséget biztosítja.
A jogalap-változás nemcsak alapjaiban változtatja meg az adatkezeléseket 2018-tól, de a korábbi más jogalapon nyugvó adatbázisok létét is megkérdőjelezheti. Konferenciánkon segítséget adunk a változtatáshoz.
4. A NAIH gyakorlatában nagy szerepet játszik az érdekmérlegelés, különösen a munkaügyi adatkezelések során. Ön publikált is a jogos érdeken alapuló adatkezelésről. Ön szerint milyen szerepe lesz a gyakorlatban Rendelet ezen új jogalapjának?
Dr. Liber Ádám ügyvéd, a Baker & McKenzie munkatársa: A Rendelet szerint a jogos érdek is alapot teremthet személyes adatok kezelésére. Ekkor az adatkezelő felméri az adatkezelés kockázatait és érdekmérlegelés eredményeként maga dönti el, hogy kezeli-e az adatokat. A Rendelet preambuluma számos lehetséges jogos érdeket említ, így a csalások megelőzését, vállalkozáscsoporton belüli adattovábbításokat és az informatikai biztonság védelmét, konkrétumokat azonban nem rögzít. Kiemelt szerepe lesz ezért a felügyeleti hatóságok útmutatásainak, továbbá az érdekmérlegelés bizonyítási kérdéseinek, hogy az adatkezelő megfelelően dokumentáltan és helyesen mérte-e fel az adatkezelés kockázatait, melynek bizonyítási terhe mindenkor az adatkezelőé.
5. Változnak az Adatvédelmi Rendelet miatt az adatvédelmi jog alapelvei? Milyen jelentősebb elmozdulás látható ezen a téren? Jogszerű marad a régi alapelvek alapján kezelt adatbázis?
Dr. Domokos Márton ügyvéd (CMS Cameron McKenna LLP): Az adatvédelmi jog alapelvei alapvetően nem változnak. Az adatokat jogszerűen, átlátható módon kell kezelni, egyértelmű célból, minimális mértékben. Az érintettek csak az adatkezelés céljához szükséges ideig maradhatnak azonosíthatók. Az adatokat naprakészen kell tartani, biztonságukat pedig technikai vagy szervezési intézkedések védik. A GDPR azonban egy új alapelvet is bevezet – ez az „elszámoltathatóság”. Ennek alapján az adatkezelőnek ténylegesen igazolni is kell tudni a fenti alapelveknek való megfelelést. Ennek konkrét módját az adatkezelés jellegével kapcsolatban várható kockázatokra figyelemmel lehet meghatározni, esetről esetre. Várakozásaink szerint az ezzel kapcsolatos szabályozói gyakorlat a GDPR alkalmazásával párhuzamosan fog kialakulni, így annak elbírálása is, vajon jogszerűen használhatóak-e a meglévő adatbázisok. A megfelelés érdekében a társaság például belső nyilvántartásokat vezet, adatvédelmi tisztviselőt nevezhet ki, termékeivel és szolgáltatásaival kapcsolatban adatvédelmi hatásvizsgálatot végezhet, vagy adatvédelmi szempontból is ellenőrzi szerződéses partnereit.
Konferenciánkon az adatvédelmi tisztviselő (felelős) kinevezésének a kötelező eseteit is áttekintjük.
6. Mi a felejtés joga? A magyar adatkezelőket mennyiben érinti az EU bírósága által megfogalmazott új jogosultság?
Dr. Orbán Zsombor ügyvéd (Andrékó Kinstellar): Mindannyian tapasztalhatjuk, hogy a fokozódó online jelenlétünk következményeként egyre nagyobb nyomot (tartalmat) hagyunk magunk után a digitális térben. Jogosan merülhet fel az igény az érintettek részéről, hogy amennyiben az ilyen tartalmak aktualitásukat veszítik (pl.: az érintett nevére a keresőben megjelenő régi találatok), úgy ezek törlését kérjék. A „Google Spanyolország” ügyben először került deklarálásra a „felejtés joga” amelyet az Általános Adatvédelmi Rendelet már önálló nevesített intézményként tartalmaz. A „felejtés joga” alapján az érintett kérheti a személyes adatainak a törlését, ha az adatkezelés jogalapja megszűnt, és a törlés más érdeket nem sért.
A rendelet hatálybalépésével valamennyi, így a magyar adatkezelőnek is biztosítania kell a megfelelő technikai és jogi keretet ahhoz, hogy az ilyen „törlési igényeket” fogadják és a rendeletben lefektetett szabályokkal összhangban elbírálják. Ehhez nyújtunk gyakorlati segítséget konferenciánkon.
7. A rendelet bevezeti az álnevesítés fogalmát, lehet ezt majd használni a törlés helyett is?
Dr. Kozma Zoltán (Horváth és Társai DLA Piper Ügyvédi Iroda): A Rendelet alapján az álnevesítés személyes adatok olyan módon történő kezelése, amelynek következtében további – elkülönítetten tárolt – információk felhasználása nélkül az adatok nem kapcsolhatók össze a természetes személlyel. Az álnevesítés útján a személyes adatok kezeléséhez kapcsolódó kockázatok mérsékelhetők, és ez a megoldás szerepet játszhat például az eredeti céltól eltérő célból történő adatkezelés, a privacy by design elv érvényesítése, és az adatbiztonsági követelményeknek való megfelelés során is. Az álnevesítés azonban a törlés helyettesítésére nem alkalmas, mivel az álnevesítéstől függetlenül az adatok ilyenkor is megőrzik a személyes adat minőségüket, és az adatkezelőnek az álnevesített adatok vonatkozásában is meg kell felelnie a rendelet követelményeinek.
Speciális szabályok vonatkoznak arra az esetre, ha az adatkezelő már nem rendelkezik az álnevesített adatoknak az érintettel való összekapcsolásához szükséges információkkal, ebben az esetben ugyanis a rendeletnek az érintett jogaira, így többek között a törlésre vonatkozó rendelkezése nem alkalmazandók. Erre a rendelkezésre azonban csak akkor lehet hivatkozni, ha az adatkezelőnek az érintett azonosítása már nem áll módjában. Konferenciánkon ennek értelmezéséhez kap segítséget.
8. Ön az incidens-jelentések egyik vezető magyarországi szakértője. Összefoglalná az incidens-jelentések történetét? Hoz jelentős újabb kötelezettségeket a Rendelet szabályozása?
Dr. Szőke Gergely László egyetemi adjunktus (Pécsi Tudományegyetem): A jelenlegi szabályozáshoz képest igen jelentős kötelezettség az adatvédelmi incidensek esetére bevezetendő – a hatósághoz vagy magához az érintetthez címzett – értesítési kötelezettség (data breach notification). Az Egyesült Államokban már létező, szigorú követelményként megfogalmazott jogintézmény 2009 óta az európai adatvédelmi jogban is ismert: a hírközlési szolgáltatókra a hatályos hírközlési adatvédelmi irányelv már előírja e kötelezettséget. A Rendelet az értesítési kötelezettséget általános, minden adatkezelőre kiterjedő követelményként vezeti be. Ezzel kapcsolatban számos jogalkalmazási nehézséget azonosítottam az alkalmazás terén, ezekről is beszélek majd a konferencián.
Mi az „indokolt késedelem” a bejelentések esetén? Mi a bejelentendő incidensek „alsó határa”, mely incidens nem jár kockázattal és melyik jár magas kockázattal a rendelet alkalmazásában? Konferenciánkon e kérdésekre is választ kap.
9. A Rendelet egyik nagy újdonsága, hogy a nagy számú érintett megfigyelésén alapuló adatkezelést nem tartja eleve jogellenesnek. Felismeri a profilalkotás jelentőségét, és bár erősen korlátok közé is szorítja, kereteket ad a jogszerű profilalkotásnak. Jogellenes a nagy számú érintett magatartásából új adatbázisokat építeni?
Kovács Gyula (Andego Kft.), a hazai adatbányászat egyik vezető képviselője, előadónk válasza: A hatályos jogszabályok nem zárják ki ennek lehetőségét. Rendkívül fontos kérdés a személyes adatok kezelése, egyáltalán ki az adatok gazdája, illetve hogy maga az adatok gyűjtése milyen célból történik. A magatartás (vagy másképp viselkedés) alapú adatbázisok gyűjtésének elsődleges célja, hogy a vállalatok növeljék az ügyfelekkel történő kommunikáció hatékonyságát. Ezt lehet úgy is értelmezni, hogy az adatgyűjtés célja az ügyfelek általános elégedettségének (komfortérzetének) növelése, de lehet úgy is értelmezni, hogy az vállalatok ezen adatok felhasználásával növelni szeretnék az árbevételüket. Nyilván utóbbi eset sem tekinthető jogellenesnek, de bizonyos esetekben felvethet etikai kérdéseket. Van egy olyan speciális területe az adatgyűjtésnek (és ehhez kapcsolódó adatelemzésnek), ahol kérdések sem merülnek, ez pedig a csalás-detektálás.
Sok szerző egyenesen az „etikus adatbányászat” elismerésének tekinti a Rendeletet. Igaz ez? Konferenciánkon erre is választ kap.
10. Magyarországon a külföldre irányuló adattovábbítás magyar szabályai sokáig szigorúbbak voltak, mint az EU szabályozás. Változik ez a Rendelet szabályaival?
Halász Bálint (Knight Bird & Bird Iroda) szakértői blogjában így fogalmaz: E téren a jelenleg hatályos rendszer lesz meghatározó továbbra is, pár újítással kiegészülve. Az adattovábbítás jelenleg fennálló módjait (kivéve Safe Harbor) megtartja a Rendelet. Az általános szerződési feltételek (SCCs) és a Bizottság listáján szereplő országok továbbra is megfelelő szintű védelmet jelentenek, ugyanakkora Bizottság köteles folyamatosan felülvizsgálni e státuszukat. Hasonlóképpen a kötelező szervezeti szabályozás (Binding Corporate Rules, BCRs) is megjelenik a Rendeletben, amelyek ezzel immár jogszabályi szinten lesznek szabályozva. A Rendelet ugyanakkor eltörli az általános szerződési feltételek (SCCs) hatóságok részére történő bejelentését, illetve azok által történő jóváhagyását. Újdonság, hogy az adatátruházások engedélyezése a Rendelet 39. Cikkében meghatározott tanúsítványok kibocsátásával történik majd, mely szerint az adatkezelők és adatfeldolgozók kötelező erejű és kikényszeríthető vállalásokat tesznek az adatvédelmi intézkedések és az érintettek jogainak biztosítása érdekében.
A Rendelet egyértelművé teszi, hogy nem minősül jogszerűnek a személyes adatok EU-n kívüli továbbítása, amennyiben arra harmadik ország jogszabályi előírásainak történő megfelelésre hivatkozva kerül sor. Ezentúl tilos a kiszervezés olyan országokba, amelyek nem biztonságosak? Konferenciánkon erre is válaszolunk.
