Hatósági adatvédelmi audit – avagy róka a tyúkólban - Az első év tapasztalatai - Szabályozási és gyakorlati ellentmondások

2014.02.18. Jogi Fórum / dr. Takács Tamás

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 69. §-a szabályozza az ezen törvény alapján létrehozott Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által végzett, már több mint egyéves tapasztalatokat is nyújtó hatósági adatvédelmi audit jogintézményét.

Az esetlegesen létrejövő jogviszony polgári jogi jogviszony, de a jogszabály szövege mintha szándékosan kerülne olyan kifejezéseket, hogy az adatkezelő "megbízza" a Hatóságot vagy hogy a Hatóság "vállalja", hogy az auditot a szakmai szabályok szerint elvégzi, tehát nem derül ki elsőre, hogy ez megbízási vagy vállalkozási jogviszony. Ellenben a fizetendő ellenérték kérdése túl van hangsúlyozva, mi szerint a Hatóság csak akkor végzi el a szolgáltatását, ha a megegyezés, pontosabb a díj elfogadása (és megfizetésének legalább ígérete) megtörténik.

Nem állapítható meg, hogy a Hatóságnak eredmény- vagy gondossági kötelme van, bár a jogszabály a tanúsítvány kifejezést is mintha kerülné, s csak értékelést jelöl meg, mint az igénybe vett szolgáltatásának végeredményét. Erről az értékelésről, mint szakmai ellenszolgáltatásról nem is tudunk meg többet: a tartalmáról, szakmai elvekről, az elkészítéshez esetleg igénybe vett európai és (nem létező) magyar szabványokról, felhasználási lehetőségeiről, jogi kötőerejéről semmiféle információ nincsen.  Még utalás sincs arra sem, hogy ezen "áltanúsítvány"-nak van-e időbeli érvényességi köre, s egyáltalán köti-e a Hatóságot bármilyen eljárásában. A NAIH honlapján található mindössze egy viszonylag általános összefoglaló, szakmai szempontrendszer néven.

A belső adatvédelmi felelősök IV. konferenciáján idén januárban külön programpont volt a Hatóság által elvégzett audit témaköre, az előadó a terület Hatóságon belüli vezetője volt.

Az elhangzottak szerint a gyakorlatban a Hatóság havi 1-2 megkeresésnek tud eleget tenni, illetve tudna, ha lennének ilyen megkeresések, bár tájékoztatás nem hangzott el arról, hogy a Hatóság hány ilyen ügyben jár és járt el, milyen díjbevétele van ebből a tevékenységből. Természetesen pont ezen törvény alapján közérdekű adatigénylés útján meg lehet szerezni az információt. Ez az azért is bírhat érdekességgel, mert ez a díjbevétel a Hatóság saját bevétele, szemben a bírságbevételekkel. S a bajok nem is itt kezdődnek a rókával és a tyúkóllal...

A Hatóság külön hangsúlyozta, hogy a folyamatban lévő audit nem érinti a gyakorlatban sem egyéb jogosítványait, eljárási lehetőségeit, ahogy ez a törvényben is benne van. Ezt ugye nem lehet félreérteni, elég egyértelmű!?

A szerv adatvédelmi hatósági eljárása hivatalból indulhat, ha a Hatóság bármilyen okból, szempontból szükségesnek tartja saját észlelése, információja alapján. Bár az elnökhelyettesének adott napon elhangzott másik előadásából megtudtuk (sejtettük is), hogy bizony vannak olyan adatkezelési ügyek, amelyek súgásra, magyaros "feljelentősdi" alapján kerülnek fókuszba, még ha ez finomabban is volt megfogalmazva.

Fentiek alapján akkor a Hatósághoz önként bekopogtató, jogkövetésre és az audittal szakmai iránymutatásra vágyó, valamint több millió forintos díjat megfizetni hajlandó adatkezelő mit is kockáztat? Minimum azt, hogy köznapi értelemben felkínálja saját magát, azt, hogy  az adatkezelők nagy homályából, sűrű takarásból kikerül a fénybe, úgymond "képbe" kerül, s ezen túl meg egy ugyanazért fizethet a polgári jog szerint díjat és a hatósági eljárás alapján esetleg bírságot. Ennek a folyamatnak az a nem kívánt végeredménye, hogy az adatkezelő egyben már akár megkaphatja a közismert jogsértő titulust is, ügyének bármilyen módon történő nyilvánosságra kerülésével, a határozat felfedésével.

A cikk szerzője szerint a hatósági audit kurta-furcsa szabályai nem kellően átgondoltak. Nem kell hozzá sok, hogy éljünk a gyanúperrel, mi szerint az uniós szabályok megfelelésének néhány esetében elnagyolt szabályozás született, s ilyen lehet még a nyilvántartások és az adatvédelmi felelősök konferenciájának kérdése is.

Maradva a kaptafánál vagy pontosabban a tyúkólnál: a polgári jog és a Ket. is nevesíti a tisztességes eljáráshoz való jogot, joggal való visszaélés tilalmát, még magasabb szinten alapvető emberi jogként is definiálva van az Alaptörvényben is (XXIV. cikk. (1).)

Hogyan lehetne tisztességes az a hatósági eljárás, ahol a Hatóság egy polgári jogviszonyából szerzett információja alapján - bár róka fogta csuka szemlélettel- , de "saját" észleléséből aztán közigazgatási eljárást indít a partnere ellen?

És a további lényeges kérdések még csak ezután következnek. Mennyire szolgálja a jogkövető adatkezelési gyakorlat általános formálását ez a fenyegetettség? Nincs összefüggés a Hatósági audit ügyek alacsony száma és az üzleti racionalitás között, mi szerint felelős tisztségviselőként miért akarná megbírságoltatni bárki a saját cégét? Főleg úgy, hogy a Hatóság nézőpontja szerint nagyobb cégek, tipikusan multik hatalmas nagyságú adatnyilvántartásának és kezelésének auditálását csak részekre  bontva vállalják, nem teljesen egészében nézve a cégre és eljárásukra vonatkoztatva, mert "akkor az auditnak soha nem lenne vége". Tehát egy magyar viszonylatban is nagyobbnak számító cég az adatvédelmi auditjára szánhat akár többször 4-5 millió forintot, s kap érte egy kétes felhasználhatóságú, értékelésnek nevezett iratot.

Az adatvédelmi kultúra célzott irányba történő fejlesztése, javítása ügyében talán szakmaibb, célszerűbb és tisztességesebb lett volna az auditálás jövőbeni piaci folyamatát, személyi, szakmai, infrastrukturális feltételeit meghatározni, hogy legyenek audit szervek, akik felelősen tanúsítanak és szakmailag beszámoltathatók. A Hatóságnak elég lenne az auditáló szervek tevékenységét felügyelni, mert akkor még valós statisztikák, szakmai tapasztalatok és a következő évek, évtized szabályozását megalapozó kellő mennyiségű információ származna az adatkezelői szférából.

Az audit szervekhez ebben az esetben önként, saját jól felfogott érdekük alapján jutnának el sokkal nagyobb számban a jogkövető adatvédelmi eljárásra törekvő adatkezelők, akik a piaci szabályok, felelősségi szabályok alapján szintén elszámoltathatóak lennének tevékenységük színvonaláért.

Ebben a majdani idilli helyzetben az adatkezelők már nem féltenék a saját tyúkólukat, még az egyébként barátságosnak, szelídnek tűnő rókától sem.

  • kapcsolódó anyagok
ADATVÉDELEM