hatósági oldal képviseletében dr. Péterfalvi Attila adatvédelmi biztos, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke tartott előadást, ismertetve az intézmény szerepét a folyamatokban a jogértelmezéstől kezdve a jogalkalmazáson át a szankcionálásig. Dr. Kéri Ádám ügyvéd, adatvédelmi szakértő a változó jogalapoktól indult ki, az érintetti jogok elemzésével folytatta, s az adatkezelés és adatfeldolgozás új mechanizmusát is bemutatta. Dr. Amigya Andrea adatvédelmi, adatbiztonsági szakjogász pedig még inkább a gyakorlat területére helyezte a hangsúlyt, az ügyféladatok kezelésétől a hírlevél-küldéseken át a honlapok kezeléséig terjedt átfogó bemutatója.

Dr. Péterfalvi Attila elnök az állásfoglalásokat és ajánlásokat, illetve a szankciókat ismertette, azaz részben általános, részben egzakt tanácsokkal szolgált a jogalkalmazók számára, segítségül a NAIH elvárásainak való megfeleléshez. A GDPR életbe léptetése egy nagy, átfogó európai reform egyik, de talán a legfontosabb eleme. A fő célja a magánemberek kiterjesztett védelme az adatbiztonság optimális biztosítása által. Fő elve pedig, hogy a különféle irányelvek helyett egy mindenre és minden tagállamra kiterjedő rendelet szabályozza az adatvédelmet. Az adatforgalom hatalmas üzlet, azzal összefüggésben 1000 Mrd euró éves pénzmozgást prognosztizálnak elemzők már napjainkban, ennek fényében annak megfelelő és kellően szigorú szabályozása igen fontos tényező. Péterfalvi leszögezte, hogy sürgős törvénymódosításokra van szükség a jogharmonizáció kialakításához, aminek még a határidő előtt végbe kellene mennie. Elsősorban az Infotörvényről (Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. tv.) van itt szó, illetve alsóbb szinten az ágazati jogszabályok GDPR-kompatibilissé tétele is elengedhetetlen hosszabb távon. Emellett szükséges az egyes szektorok esetében Magatartási Kódexek megszerkesztése is. Utóbbiak kialakításánál a NAIH-hal történő folyamatos konzultáció biztosított, majd az engedélyezés jóváhagyása következhet. Az intézmény egyébként intézkedési jogkörrel felruházott szerv, a háztartási ügyek és a bírói gyakorlat eseteinek kivételével minden ügy hozzájuk tartozik. A GDPR szabályozási pontjai közül Péterfalvi kiemelte a tisztességes adatkezelés elvét és a gyermekek kiemelt védelmét. Előbbinél hozzátette, hogy nincs még egységes megítélés, azt majd a gyakorlat hozza el.

Fontos az adatvédelmi tisztviselő (DPO) fogalmának kötelező bevezetése. Ez egy olyan szakember, aki az egész adatvédelemért felelős koordinátor egy adott cég, intézmény keretein belül, az adatkezelés és az adatfeldolgozás területeit fogja össze. Optimális esetben jogász és IT-szakember egy személyben. Megtalálása és megbízása természetesen megnövekedő adminisztrációt és többletkiadást von maga után. Egyelőre még nincs hazánkban egységes, központi incidens-bejelentési rendszer, de egy Köfop-pályázat keretében már folyik a szervezése és a tesztüzem is beindult.

Az adatvédelmi biztos az általánosan terjedő, bírságolást érintő ijedelmekre is reflektált. (Az aggodalmakat a bírság felső határának megemelése váltotta ki, mely összegszerűen azt jelenti, hogy az eddigi 20 millió forintos limit 20 millió eurósra, azaz kb. 6 Mrd euróra változott.) Kiemelte, hogy a NAIH bírságolási gyakorlata eddig is enyhe volt, ezután sem az elrettentés lesz a fő céljuk, hanem a jogkövető magatartás ösztönzése. Az új rendszer bevezetésének elszenvedői csak a huzamosan jogszabályellenesen működő, vagy többszörösen visszaeső adatkezelők/adatfeldolgozók lesznek.

A GDPR bevezetésének alapja a digitalizáció, mely költségmegtakarítást eredményez, így a KKV-knak mint költségérzékeny vállalkozásoknak ez jó hírrel szolgálhat. Péterfalvi végül utalt arra, hogy még sok tekintetben a tájékozatlanság az általános, de ez a NAIH segítségével is orvosolható, az intézmény honlapján minden fontos anyag és adat megtalálható, a dátumoktól kezdve az állásfoglalások leiratáig.

Dr. Kéri Ádám adatvédelmi szakértő szerint a rendeleti szabályozás bevezetése egyelőre újdonságként hat. A folyó év január 24-én, a luxemburgi bíróság által kiadott uniós határozat azt is deklarálja, hogy a GDPR közvetlenül alkalmazandó jog, amely azt jelenti, hogy tilos az egyéni értelmezése tagállami szinten. A kivételeket is maga a GDPR határozza meg, megjelölve egyúttal a hatálya alá nem eső területeket (munkajogi- és szociális szféra, államigazgatás és a büntetőjog területei — bíróság, büntetésvégrehajtás, stb.). A szakértő megadta a tájékozódási forrásokat is a tárgykörben:  a 2016/679. rendelet, az Infotörvény, a NAIH esetjoga és állásfoglalásai, a W29 (Adatvédelmi Munkacsoport), illetve a még élő ágazati szabályok a jelen viszonyítási alapjai.

A jogalapok is bővültek az új szabályozás által, a régi három helyett (törvény, hozzájárulás, jogos érdek) hatra bővült azok száma. Ezek: a jogi kötelezettség, a hozzájárulás, a szerződés teljesítése, a jogos érdek pedig kiegészült a létfontosságú érdekkel, illetve a közhatalmi jogosítvány gyakorlásával. A visszavonás tényének feltételeiről tudni kell, hogy önkéntes, határozott, nincs formai és időbeni megkötése – szabadabban alkalmazható. Viszont kiemelendő, hogy emellett a jogos érdek érvényesítésének köre is kibővült, hogy az adatkezelők keze ne legyen teljesen megkötve. Így például a direkt marketing esetében is a jogos érdek alkalmazható, ami szabadabb megkereséseket eredményezhet, ami ellen az érintett természetesen tiltakozással élhet.

Még fontosabbakká válnak ezek következtében az érdekmérlegelések lépései. A szigorítás is megjelenik az üzleti szféra fékjeként a profilalkotás és az automatikus döntéshozatal eseteiben (pl. tiltakozás esetén kötelező törlés előírása). Több kötelező előírás is vár az adatkezelőkre ezentúl, a már említett DPO kijelölése mellett a nyilvántartások kötelező bevezetésével kell számolnunk (többek közt az átláthatóság mint alapelv megléte miatt), illetve adatvédelmi tájékoztatók szerkesztése is előírás, melyből külsőt és belsőt egyaránt kell készíteni, előbbit lehet a honlapon, utóbbit az intraneten megjelentetni. Kiemelt esetekben hatásvizsgálat elkészítése is szükséges. Incidens megtörténte után pedig az adott protokoll szerint kell eljárni, az incidenskezelést meg kell kezdeni (72 óra áll rendelkezésre a bejelentéshez), és az iránymutatások alapján lefolytatni (besorolás, adatkezelő felelősségének megállapítása, értesítés, hatósági bejelentés, kárelhárítás, stb.) Kéri szerint a feladatok száma megnőtt, olykor bonyolultabbá vált, de a megfelelő jogértelmezéseket követően a szabályok betartásával a problémák továbbra is megelőzhetőek lesznek.

Dr. Amigya Andrea a gyakorlati szempontokat vette figyelembe és azokat a tudnivalókat és esetleges buktatókat vázolta fel, amelyek egy munkájából adódóan napi szinten adatokat kezelő, tároló vagy felhasználó ember hasznára válnak. A témákat munkaadói oldalról közelítette meg, természetesen folyamatosan utalva a munkavállalói és ellenőrző oldalakra is. Egyik fő elemzendő kör a munkavégzés ellenőrzésének mikéntje. Oda vonatkozó tanács, hogy személyes adatok kezelése nélkül igyekezzünk a tevékenységeket folytatni. Megjegyzendő, hogy a titkos megfigyelés mellett a totális megfigyelés is kizárt lehetőség. A levéltitok megőrzésére is figyelmet kell fordítani, amit elő lehet segíteni belső szabályozással is (pl. a dolgozó nem használhatja magánlevelezésre az e-mailfiókját, így egy átnézés során nem juthat magántitok birtokába a cégvezetés). A vállalatot elhagyó kolléga leveleit archiválni lehet, de megosztani nem, átutalni kezelését más ember illetékességébe szintén tilos. Amennyiben a fiókja engedélyezve volt magánlevelezés folytatására is, akkor tartalmi ellenőrzést nem lehet csinálni, csak fejléc és tárgy alapján lehet archiválni.

Az internethasználat korlátozásának kérdése megosztó lehet, de ha az információ-kezelés és -biztonság szempontjából tekintünk rá, akkor a korlátozás jó választás is lehet. Ugyanis a social media oldalak és a magánlevelezések céges nethasználatból való kizárása az ellenőrzés menetét egyszerűsítik, ezáltal a konfliktushelyzetek számát csökkenthetik. Itt is kerülendő a totális megfigyelés, például azoknak a ”láthatatlan” szoftvereknek a telepítése, melyek a munkavállaló billentyűleütéseit vagy egérmozgását figyelik meg, hogy általa szokásait, elköteleződéseit elemezhessék. A céges autóhasználat feltételrendszere is módosult a digitalizáció korában, itt elsősorban a GPS-ek meglétére kell gondolnunk.

Értelemszerűen nem lehet magánútjain megfigyelni a dolgozót, de a munka során és a gépjármű esetleges eltulajdonítása során bármikor követhetik az adatkezelők a GPS-jeleket. Az iratmegőrzési időtartamok kezelését sem lehet rutinszerűen végezni, egyfelől igen különbözőek, másfelől az új szabályozás módosíthatta némelyiküket. (A vagyonvédelmi kamera felvételének három napos megőrzésétől kezdve az egy-két éves határidőkön át a nyugdíjbiztosító egyes tételekre vonatkozó ötven éves intervallumáig igen széles a paletta.)

Az adatvédelmi szakjogász szerint a biztonsági kamerák ügyét megkülönböztetett figyelemmel kell kezelni. A kamerák ugyanis kétféle szerepet töltenek be, a vagyonvédelmi szerepük mellett a dolgozók megfigyelésére is alkalmasak. A gyakorlati alkalmazás során figyelemmel kell lenni a vonatkozó törvényekre (pl. a Munka Törvénykönyve lesz a jogalap egy eljárás esetén és nem a Vagyonvédelmi tv.), illetve a NAIH előírásokra szintúgy (pl. kötelezően osztott tárolási mód eltérő megsemmisítési idővel, mondjuk külön-külön winchesteren a munkavállalókat és az esetleges betolakodókat rögzítő felvételek). A túlzó adatkezelést el kell kerülni, így nem kamerázhatóak be az öltöző- és mosdó helyiségek, sőt még az ételek elcsenése okán érkezett dolgozói feljelentés esetén sem engedélyezett a hűtőszekrénynek és környezetének a megfigyelése.

Amigya Andrea kitért az alkohol- és drogtesztek kérdéskörére is. Míg előbbi bizonyos helyeken engedélyezett (pl. gépjármű- vagy metróvezetők esetén), akár napi jelleggel, akár szúrópróba szerűen alkalmazva, addig utóbbi nem engedélyezett, egyfelől a nem világos jogalap miatt, másfelől a pontatlan, nem eléggé egzakt eredményt produkáló drogtesztek miatt. A szakértő hangsúlyozta, hogy minden adatkezelő rendelkezzen egy iratkezelési szabályzattal, mely a hatályos jogszabályokon alapul, de a munkáltató érvényre tudja benne juttatni az érdekeit, akinek tájékoztatási kötelezettsége ugyan továbbra is fennáll, de bizonyos pontokban saját meghatározásaival működtet és ellenőriz. A jogásznő alapelve szerint ha „a minimális feltételeket maximálisan teljesítjük” tevékenységünk gyakorlása folyamán, akkor teljesítjük a jogkövető magatartás folytatására vonatkozó kritériumokat, és mindeközben nem veszünk el az új szabályok és a megnövekedett adminisztráció okozta sokk tengerében.

Unger Zsolt

Jöjjön el szakmai napunkra, hogy az eddigi, indokoltnak tűnő félelem helyett közelebb kerüljön a tényleges GDPR-felkészüléshez. Ne számítson hosszas jogszabályismertetésre, ehelyett inkább gyakorlati megoldási javaslatokkal készülünk.

KATTINTSON IDE ÉS JELENTKEZZEN MOST MÁJUS 22.-i SZAKMAI NAPUNKRA, MIELŐTT BETELNEK A HELYEK!