GDPR: Nagy (és nehezen teljesíthető) változások vagy nincs ok az aggodalomra?

Több vállalatvezetővel beszélgettünk az utóbbi hetekben, akik egymástól függetlenül meglehetősen feszülten várják az új GPDR szabályait, és annak hatályba lépését. Mások viszont legyintettek és úgy fogalmaztak, hogy semmi ok az aggodalomra, mivel a magyar Info. törvény eddig is a legszigorúbbak közé tartozott (és tartozik) Európában: aki eddig megfelelt a szabályoknak, annak nem okoz majd nehézséget eleget tenni az új rendeletnek sem.

Jelen pillanatban valószínűleg egyik álláspont sem igaz általánosan (különösen a kiegészítő magyar szabályozás hiánya és a kapcsolódó hatósági és bírósági gyakorlat hiánya miatt): viszont olyan sokan tesznek fel kérdéseket, hogy bejegyzés-sorozatot indítunk az adatvédelem mai helyzetével kapcsolatban, melynek első eleme ez az összefoglaló.

Nem állítjuk, hogy nem hoz újat az Európai Unió Parlamentjének és Tanácsának General Data Protection Regulation (GDPR, avagy Általános Adatvédelmi Rendelet) című rendelete. De azt nem gondoljuk, hogy emiatt rettegve kellene konzultálnunk a tanácsadóinkkal. Megértjük, hogy a hírzajból csak olyan címekkel lehet kitűnni, amiben szerepelnek a „szigorúság”, a „hatalmas bírság”, a „nagy változások” szavak és szókapcsolatok, a frászt hozva még a tájékozott vállalatvezetőkre is, a valóság azonban árnyaltabb. Mi szeretnénk a valós kérdésekre irányítani a figyelmet.

Fontos tudni, hogy az adatvédelem elsődleges szabályozója Magyarországon az ún. Info törvény. Ez a törvény valóban a legszigorúbbak egyike Európában. Fontos tudni azt is, hogy a magyar Infotörvényt a GDPR-hez kell igazítani a magyar jogalkotónak (az Országgyűlésnek). Erre még nem került sor (de a törvény jogharmonizációs célú módosítása szerepel a kormány őszi törvényalkotási programjában is) a poszt írásakor. Lényeges eleme az uniós rendeletnek, hogy több esetben (pl. az adatkezelés jogalapja, a különleges adatok, a szankcionálás terén, a foglalkoztatással összefüggő adatkezelés terén) részletes szabályok kidolgozásának teret enged  a tagállamoknak. Például a foglalkoztatással összefüggő adatkezelés tekintetében ez szükséges is. Az adatvédelemmel foglalkozó jogászok és az adatkezelők is várják a törvénymódosítási javaslat benyújtását és Parlament általi elfogadását, e nélkül kétségtelenül kaotikussá válhat a hazai jogszabály-értelmezés a tárgyban, ami remélhetőleg rendezi a részletszabályokat is a kérdésben.

Egyezések és különbségek:

A magyar Infotörvény és az új GDPR alapelvei megegyeznek. Ahogy eddig is kötelező volt hazánkban eljárni a kezelt adatokkal (célhoz kötötten, korlátozottan tárolva, jogalappal, megfelelően tájékoztatva, stb.), úgy továbbra is kötelező ugyanezen alapelveket figyelembe venni. Az elvek megfogalmazásában vannak eltérések, amik okozhatnak gyakorlati különbségeket is, de ehhez a joggyakorlat megszilárdulására is szükség van (ami egy években mérhető folyamat).

Az adatkezelés jogalapja tekintetében jelentősebb különbségeket fedezhetünk fel. Az Infotörvény jelenleg is alkalmazott jogalapjai (érintett hozzájárulása, kötelező adatkezelés, a különleges adat jogcímei, továbbá a jogi kötelezettség vagy jogos érdekek érvényesítése okán végzett adatkezelés, létfontosságú érdekből végzett adatkezelés, stb.) a GDPR-ben is megjelennek, ugyanakkor a GDPR a részletes szabályokat illetően jelentős eltéréseket tartalmaz (valójában az Infotörvény nem fejti ki részletesen az alapelveket). Pl. az érintett hozzájárulása alapján kezelt adatok kapcsán a GDPR szabályozza az adatkezelő felelősségét: nem várja el ugyan az írásbeliséget (a hozzájárulással kapcsolatban), de az adatkezelőnek bizonyítania kell tudni azt, hogy az érintett hozzájárult a személyes adatok kezeléséhez (ezt a jogszabályi környezettől függetlenül a NAIH eddig is igyekezett érvényre juttatni).

Az érintettek jogainak viszonylagos új (más) szemlélete, az adatkezelő felelősségének erősítése (ez lépten-nyomon megjelenik a GDPR-ben, pl. az adatvédelmi incidens fogalmának átalakításában is) mellett jelentős és gyakorlati újdonságnak minősül a DPIA (Data Protection Impact Assessment), az előzetes adatvédelmi hatásvizsgálat eljárása.

Összességében nem az a valódi felvetés, hogy szigorúbb lesz vagy nem lesz szigorúbb, illetve, hogy egyszerűsödik vagy komplexebbé válik a szabályozás (mert mindkettőre az a válasz, hogy igen is meg nem is), hanem az, hogy az adatkezelő miként tud megfelelni az új szabályozásnak. Nincsenek instant megoldások: lesznek olyan cégek, intézmények, amelyekre nagyobb hatással lesznek a változások és lesznek olyanok, amelyekre nem. Nagyon fontos, hogy a hazai (harmonizált) szabályozásnak lényegi elemeit még nem ismerjük. A törvény elfogadásával okosabbak leszünk, és választ adhatunk az egyes adatkezelőkkel kapcsolatos kérdésekre is.

Mindaddig a blogon a következőkkel kapcsolatban szeretnénk segíteni a tisztánlátást:

  • Változások a jogalap tekintetében, miért más a GDPR szemlélete a magyar Info törvényhez képest?
  • Kiket érint az új szabályozás? Az adatkezelőket. Ki az adatkezelő?
  • Gyermekek adatai, bűncselekmények, egyéb perek, hatósági nyilvántartások, stb. Milyen típusú adatkezelőnek milyen feladatai lehetnek az új jogi környezet kapcsán.
  • Érintettek: kik az érintettek, milyen jogaik vannak?
  • Egy olyan cégben dolgozom, amelyikben nincs (eddig sem volt) adatvédelmi szabályzat, mi a teendő? Hangsúlyozzuk, hogy ebben az esetben jelenleg is törvénysértést követ el az illető.
  • Egy olyan cégben dolgozom, amelyik eddig megfelelt a hatályos jogszabályoknak, mi a teendő?

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.