Portfolio: Miről szól a GDPR illetve az európai adatvédelmi reform, milyen változásokra készülhetünk?
Péterfalvi Attila:Az európai adatvédelmi reformnak három eleme van: a kötelezően alkalmazandó GDPR rendelet, az ún. büntetős irányelv, amelyet a nemzeti jogba kell átültetni, illetve az e-privacy rendelet, amely jelenleg elfogadás alatt áll. Utóbbi egy szektorális adatkezelést - a telekommunikációst - szabályozza rendeleti formában, így ez is kötelezően alkalmazandó. A rendelet tervezete szerint az adatvédelmi hatóságok fogják felügyelni ennek alkalmazását, végrehajtását is. Az új európai adatvédelmi rezsim tehát ebből a három elemből áll. Az adatvédelmi rendelet most már két éve ismert, hatályban is van, de majd csak május 25-től kell alkalmazni. A büntetős irányelv nemzeti jogba ültetése mellett, amely az Infotv. (Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény) módosításával történik, a nemzeti jogalkotóknak azokat az adatkezeléseket is szabályozniuk kell, amelyek nem uniós kompetenciák: ezek a nemzetbiztonság és a honvédelem. Minden tagállamban meg kell alkotni és hatályba kell léptetni május 25-ig a GDPR-t kiegészítő eljárási szabályokat, illetve azokat, ahol a közhatalmi adatkezelésekre vonatkozóan a GDPR eltérést enged és a jogalkotó élni kíván ezzel a lehetőséggel. A jogalkotónak ugyanakkor választási lehetősége van abban, hogy a kiegészítő szabályokat, illetve az eljárási szabályokat egy törvényben, vagy külön jogszabályban ülteti át a nemzeti jogba.
Van erre kialakult gyakorlat a többi tagországnál?
A tagországok majdnem felénél külön törvénnyel egészítik ki a GDPR-t, és néhány esetben külön törvénybe ültetik át a büntetős irányelvet. Magyarországon annyival bonyolultabb a helyzet, hogy az Infotörvény lefedi az információszabadságot is, illetve a titokfelügyeleti hatósági eljárást. Nálunk a két terület egy törvénymódosítással kerül elfogadásra úgy, hogy ez a változás nem érinti az információszabadságra vonatkozó részt, ugyanakkor kismértékben érinti az adatvédelmi hatóság szervezetére vonatkozó szabályokat. A hatóság szervezetére vonatkozó szabályok viszont sarkalatosak, kétharmadosak, így már önmagában az is, hogy a jogalkotó a GDPR kapcsán ellátandó feladatokra kijelölje a Nemzeti Adatvédelmi és Információszabadság Hatóságot.
Ezen nem változtat az a tény sem, hogy ebben a kérdésben nincs is választási lehetőség vagy mozgástér: egy felügyelő hatóság van Magyarországon, és ezt az Alaptörvény tartalmazza.
Tehát nem is lehetne más szerv, de akkor is formálisan ki kell jelölni a NAIH-ot, mint nemzeti felügyelő hatóságot. Az Infotv. módosításának tervezete szerint bizonyos esetekben a jövőben is megmarad a vizsgálati típusú eljárás, ami indítható lesz hivatalból is, mely szintén a sarkalatos részt érinti. Mindezek rendkívül megnehezítették a jogszabálymódosítás előkészítését.Példaként elmondható, hogy az Infotörvényből ki kell gyomlálni minden olyan szabályt, amely benne van a GDPR-ban, de egy következő pillanatban vissza kell tennünk, mert a büntetős irányelv beültetése során annak fogalmi rendszere (értelmező rendelkezések, adatkezelés elvei stb.) ezt megköveteli. A jogszabály-előkészítésért az Igazságügyi Minisztérium a felelős, de természetesen a tervezet elkészítésében szoros együttműködésben voltunk. Olyan javaslat született, amely teljes egészében bírja az adatvédelmi hatóság véleményét és az álláspontját is.
Milyen kiegészítő szabályokat kell még elfogadni, átalakítani a GDPR miatt?
A szektorális adatkezelések szabályainak még a tervezete sem született meg, noha május 25-től át kell alakítani a teljes jogszabályi hátteret. Ahol nem lesznek meg a szektorális szabályok, és erre viszonylag nagy tétben mernék fogadni, hiszen gyakorlatilag sem oldható meg már a választásokra való tekintettel, ott az esetek jogértelmezéssel kerülnek megoldásra.
Egy szektorális adatkezelésnél fontos, hogy mihez képest véleményezzük, és ez a GDPR lesz. Mögöttes szabályként ugyan ott lesz az Alkotmánybíróság gyakorlata és az Alaptörvény, de alapvetően a GDPR-kompatibilitását fogjuk vizsgálni. Ha viszont a büntetős irányelvről vagy a nemzetbiztonságról, honvédelemről van szó, akkor egyértelműen az Infotörvény az, amihez igazítjuk a véleményünket.
Mely szektorális szabályok változhatnak meg?
A GDPR és az Infotörvény, mint az általános adatkezelési szabályokat tartalmazó rendelkezések alatt vannak azok a konkrét törvények, amelyek az adott terület adatkezelési szabályait tartalmazzák, lásd az egészségügyi adatok védelméről és kezeléséről szóló törvény, az e-kereskedelmi szolgáltatásokról szóló törvény, de mondhatnánk a pénzügyi tárgyúakat - például a pénzmosási törvényt - is. Több száz szektorális szabály van, amelyek adatkezelésekről rendelkeznek. Ezeket mind végig kell nézni, hogy összhangban vannak-e, megfelelnek-e a GDPR rendelkezéseinek.
A közhatalmi adatkezeléseknél a jogalkotó élt azzal a lehetőséggel, hogy a bírság összegénél eltérjen, így a jövőben is megmarad a jelenlegi 100 ezer és 20 millió forint közötti szinten. Ez jelentős eltérés, hiszen a GDPR a kiszabható bírság maximumát 10, illetve 20 millió euróban vagy az éves árbevétel 2, illetve 4 százalékában határozza meg. Ez logikus is, semmi értelme nem lenne annak, hogy az állam túl nagy összegeket pakoljon egyik zsebéből a másikba, hiszen költségvetési szempontból ez nem jelent többletet, ugyanakkor a közhatalmi adatkezelések esetén azt gondolom, hogy sokkal fájóbb presztízsveszteség szempontjából a jogellenes adatkezelés megállapítása, mint a bírság megfizetése. Az előterjesztés tehát teljes egészében tükrözi a mi álláspontunkat is. A tervezetet a kormány már megtárgyalta és egyetértett a szabályokkal, de azért csúszott át a benyújtása a tavaszi ülésszakra, hogy egyúttal sor kerüljön a szektorális törvények előkészítésére is.
A piaci szereplőkkel is zajlanak egyeztetések?
Egy kerekasztal alakult az Igazságügyi Minisztérium vezetésével, egyéb minisztériumok, az adatvédelmi hatóság és érdekképviseleti szervek részvételével, hogy minél zökkenőmentesebb legyen az átállás. A mai szabályoktól való eltérésnél a magyar jogszabályalkotó nem használta ki az összes lehetőséget, amit a GDPR felajánlott, nem volt alapvető cél a jelenlegi struktúra gyökeres megváltoztatása. Így alapvetően “csak" annyi változás lesz, amennyit a GDPR megkövetel, illetve amennyi feltétlenül szükséges.
Például milyen alapelvek változnak meg?
A GDPR például kifejezetten megtiltja a felügyelő hatóságoknak azt, hogy hatáskörük legyen a bíróságok peres és nem peres ítélkezésével kapcsolatos adatvédelmi panaszok kivizsgálására. Ma ilyen szabály nincs, mert az adatvédelmi hatóság hatásköre alól csak egyetlen terület van kivéve, az ún. háztartási célú adatkezelés, vagyis a természetes személyek saját célú adatkezelése. Ugyanakkor a bíróságok adatkezelésével kapcsolatban a hatáskörünket mindig megszorítóan értelmeztük, pl. soha nem foglaltunk állást abban, hogy egy személyes adat bizonyítékként felhasználható-e, minden esetben általános megközelítést alkalmazva javasoltunk egységes jogalkalmazást. Példaként említhetném azt az esetet, amelyben úgy foglaltunk állást, hogy a tárgyaláson elég azt ismertetni, hogy az eljárásban szereplő valamelyik személy megjelenésében akadályoztatva van egészségügyi okokból, de nem szükséges a betegsége adatait ismertetni. A jövőben azonban a GDPR miatt - a bíróságok függetlenségére való tekintettel - a bírósági eljárással kapcsolatos panaszok kivizsgálására nem lesz hatáskörünk, azt maguk a bíróságok fogják kivizsgálni a bírósági szervezetrendszeren belül.
Az eljárások során külön nehézség, hogy nálunk nemcsak az anyagi jogi jogszabály lesz új, a GDPR, hanem január 1-jével új e-közigazgatási szabályok, új Pp. (polgári peres eljárás - a szerk.) lépett életbe és ezek mind érintik az adatvédelmi hatóság eljárását, illetve a jogorvoslati eljárásokat is. Tavaly 1500 vizsgálati eljárást indítottunk, és kb. 40 hatósági eljárást. Nekünk nagyon fontos kérdés volt, hogy amikor nem kötelező hatósági eljárást idítani, továbbra is legyen lehetőségünk vizsgálati típusú eljárásra is, hiszen 1500 vizsgálati ügyet nem lehet azonnal 1500 hatósági üggyé konvertálni. Az adatvédelmi hatósági ügyek speciálisak, akár azért, mert bizonyos engedélyezési eljárásokat folytatunk, akár azért, mert ezek során az egységes európai jogalkalmazás kialakítása érdekében uniós egyeztetésekre van szükség. Az uniós együttműködésnek többfajta mechanizmusa van, melyeket nem lehet beszorítani nagyon szűk időkeretek közé.
Az e-ügyintézésben Magyarországon egy minőségi szintet léptünk január 1-jével, és nyilván az ezekre vonatkozó szektorális szabályoknak is meg kell felelnünk. Kodifikációs szempontból a speciális szabályokat úgy alkottuk meg, hogy mögöttes szabályként megmarad az e-közigazgatási eljárási törvény, így nem kellett teljesen új szabályokat írni. Azt kell mondanom, hogy ebben is példás együttműködés volt a kormányzat és a hatóságunk között. Fontosnak tartjuk begyűjteni a nemzetközi tapasztalatokat is, mert olyan szigorú határidőkkel, mint például a 72 órás incidensbejelentési kötelezettséggel működő rendszer eddig nem dolgoztunk.
A hatalmas adatbázisokat kezelő multiknak vagy a felkészületlen KKV-nak okoz nagyobb gondot a GDPR szabályoknak való megfelelés? Mely területen látják azt, hogy gond lehet a megfeleléssel?
A multinacionális cégeknél látom a legkevesebb problémát, ők már régóta készülnek a GDPR alkalmazására. Probléma abban lehet, ha május végéig nem történik meg a teljes szektorális szabályrendszer változása, mert akkor nem marad más megoldás, mint a jogértelmezés (pl. a hitelintézeti törvénynél még nem volt teljes revízió a GDPR-nak való megfelelésről). Fontosnak tartom külön is kiemelni a GDPR talán legfontosabb újítását, az elszámoltathatóságot, ami az eljárási szabályokban azonban egy az egyben nem jelenik meg abban a formában, hogy a bizonyítási terhet átterhelné az adatkezelőre. Ezen alapelv, amely szerint nemcsak meg kell felelni a rendelet szabályainak, hanem ezt bizonyítani is tudni kell, a május 25. után induló eljárásban azt fogja jelenteni, hogy első körben az adatkezelőnek be kell mutatnia azokat a dokumentumokat, amelyek szerint a cég adatkezelése megfelel a GDPR-nak. Így az adatkezelőknek alapjaitól át kell nézniük az adatkezeléseiket: milyen adatokat kezelnek, milyen jogalappal, milyen tájékoztatást adnak az érintetteknek, milyen módon fogják az érintetteknek biztosítani a tájékoztatási kötelezettséget, milyen adatbiztonsági megoldásokat alkalmaznak, tehát milyen intézkedéseket tettek arra vonatkozóan, hogy a jelenleg folytatott adatkezelések megfeleljenek a GDPR-ban foglalt szabályoknak.
Ebben segíthet egy adatvédelmi audit elkészítése?
Ahogy említettem, a felkészülés folyamatában nem úszható meg a hatályos adatkezelések teljes auditja. Ebből a szempontból jobb helyzetben vannak a “nagyok", akik ezt meg tudják finanszírozni akár külső szakértőkkel vagy azért, mert multinacionális cégek, ahol ezt minden országban el kell végezni, vagy azért, mert méreteinél és bevételeinél fogva meg tudja finanszírozni ezt a vizsgálatot. Ahol probléma lehet, az a mikro-, kis- és középvállalkozások, márpedig a foglalkoztatásban ők jelentős százalékban vesznek részt. Egy informatikai rendszer cseréje, egy új biztonsági rendszer kialakítása sok pénzbe kerülhet. Az is kérdés, hogy ezt egyáltalán betervezték-e a költségvetésükbe, ha nem, akkor milyen forrást tudnak erre biztosítani. Számukra az is rossz hír lehet, hogy eddig őket megillette egy olyan védelem a kialakult bírói gyakorlat értelmében, hogy első ízben nem voltak bírságolhatók. Ugyan ezzel én nem értek egyet, mert ha például egy adatkezelő olyan adatkezelést folytat - és erre lehet példát említeni akár a közelmúltból is - amely súlyos jogsértést, megkockáztatom: akár bűncselekményt is megvalósíthat, például diáklányok hiányos öltözetben töltsenek fel képeket magukról, mi az indoka annak, hogy nem bírságolhatók? Május 25-tel azonban ez a védelem megszűnik, hiszen ez nem egyeztethető össze a kötelezően alkalmazandó európai szabályozással, ami persze nem azt jelenti, hogy első ízben milliárdos bírságokat fogunk kiszabni. Előfordulhat azonban, hogy befolyásolta az adatkezelőt az a tény, hogy eddig a hatóság legfeljebb elmarasztalhatta, de anyagi érvágásra nem kellett számítania.
Ha a jövőben egy adatkezelő vagy feldolgozó elveszít személyes adatokat, és azokat más jogellenesen megszerzi, tehát adatvédelmi incidens történik, akkor ahogy említettem, új szabályként ezt be kell jelenteni az adatvédelmi hatósághoz. Bizonyos esetekben az érintetteket is értesíteni kell, illetve a nyilvánosságot is tájékoztatni szükséges. Ez nemcsak jelentős presztízsveszteség, de adott esetben hatósági eljárás is indulhat, mely jelentős bírsággal is járhat. A bírság összegét az nem befolyásolja, hogy az incidens az unió szegényebb vagy a leggazdagabb országában történik, hiszen a bírság kiszabásának szempontjai a GDPR-ban adottak, az az éves árbevételhez igazodik, nem pedig az adott ország GDP-jéhez.
A GDPR ugyanakkor vonatkozik a Google-ra, Facebookra is, akik rengeteg uniós állampolgár adatait kezelik?
Igen, az európai adatvédelmi reform célja egyértelműen a digitalizáció és a globalizáció jelentette kihívásra való válaszadás és az azonos védelem megteremtése volt. Egy internetes hír szerint 2020 után évente kb. 1000 milliárd euróra becsülik a személyes adatok összértékét, amit ki kellene aknázni az unióban. Erről szólnak az okos eszközök, okos városok, bigdata elemzések. Ez ugyanakkor veszteség is lehet, ha ezeket az adatokat más szerzi meg, illetve nem jogszerűen dolgozza fel. A GDPR legnagyobb újítása éppen az, hogy nemcsak azoknak az adatkezelőknek kell alkalmazniuk a rendelkezéseit, akik az EU-ban rendelkeznek székhellyel, vagy itt fejtik ki a gazdasági tevékenységüket, hanem mindazoknak, akik az EU területén lévő polgárok számára nyújtanak szolgáltatásokat vagy akik ezek megfigyelését végzik. Az európai jogot tehát alkalmazni kell Amerikától kezdve Kínán át Japánig mindenütt, így a Facebook, Google, Microsoft stb. adatkezelései során is a GDPR szabályai a meghatározóak.
Az egységes európai jogalkalmazás elérése érdekében olyan új megoldásai vannak a GDPR-nak, mint a one stop shop mechanizmusa (az egyablakos ügyintézés) vagy a kölcsönös segítségnyújtás. De ugyanezért kerül megerősítésre a WP 29-es bizottság is, amely az adatvédelmi hatóságok képviselőit egyesíti Brüsszelben. Ez ma tanácsadó, véleményező szerv, de a jövőben egyfajta másodfokú jogkörrel fog rendelkezni pl. azokban az ügyekben, melyekben a nemzeti felügyelő hatóságok között vita van. Ha nagyon sarkosítva fogalmaznék, akár azt mondhatnám, hogy igazából egy adatvédelmi hatóság lesz az EU-ban, a European Data Protection Board, és minden országban lesz egy-egy fiókszervezet. Az ugyanis nem fordulhat elő, hogy azonos tényállás mellett más döntés szülessen Magyarországon, Hollandiában vagy Franciaországban.
Sokak szerint nagyon hamar meglesz az első gigabírság a GDPR életbe lépése után. Mi a tapasztalat, magyar viszonylatban a közelmúltban volt-e olyan súlyos incidens, ami egy nagyobb bírságot vonna maga után?
A sajtóban megjelentek különböző tippek. A magyarországi szcientológiai egyház, illetve a szcientológiai egyház központi szervezete esetében is maximális bírságot szabtunk ki, 20-20 millió forintot, illetve az OMV-vel szemben 18 millió forintot. Ezek után jelent meg a sajtóban, hogy május 25-e után a szcientológia kétszer 6 milliárdos bírságot kapott volna, az OMV meg 5 milliárdosat. Ez abból a szempontból érdekes felvetés, hogy valóban a május 25-e után indult eljárásoknál, amikor bírságot fogunk kiszabni, mint ahogy említettem, biztosan nem lesz abban különbség, hogy ezt a magyar, a német vagy a francia hatóság szabja ki.
Ugyanakkor azt is szeretném megjegyezni, hogy élni fogunk a kölcsönös segítségnyújtási mechanizmus keretében azzal a lehetőséggel, hogy információt kérjünk más hatóságtól az alkalmazott bírság mértékére, de számos egyéb esetben is, hiszen - többek között - ezen a mechanizmuson keresztül lehet elérni az egységes jogalkalmazás kialakítását. A platformot a European Data Protection Board fogja üzemeltetni, ami azt jelenti angol nyelven kommunikálunk egymással és a kérdésekre 30 napon belül kell válaszolni. Ez nekünk is érdekes tanulási folyamat lesz.
Ha egy kkv-nak most jut eszébe, hogy rengeteg adatot kezel, még fel tud készülni májusig?
Az elmúlt év végén az adatvédelmi hatóság honlapján egy külön fület nyitottunk mindazoknak a dokumentumoknak az elérhetővé tételére, amelyek a GDPR felkészülése szempontjából fontosak. Ezek egy része magyarul is rendelkezésre áll. Mi igyekszünk minden információt megadni, így bízom abban, hogy a kkv-khoz is ejutott már az új szabályozás híre. Az idő azonban egyre rövidül, amely a felkészüléshez rendelkezésre áll. Ezért ezt a kkv-knak is minél előbb lépniük kell, mert aki nem készül fel, az nagyon rossz pozícióból indul májusban.
Február 27-én Péterfalvi Attila nyitóelőadást tart GDPR-konferenciánkon, ahol az új adatvédelmi rendelet részleteiről, a szabályszerű felkészülés menetéről, gyakorlati teendőkről lesz szó. A jelentkezést hamarosan megnyitjuk, a részletekről rendezvény aloldalunkon tájékozódhat majd.
Legutóbbi GDPR konferenciánk képgalériáját itt tekintheti meg: