A GDPR-al kapcsolatos leggyakoribb tévhitek és kérdések kapcsán készített interjúban Nagy Tyukos Ádám a Crome Communication GDPR szakértőjével igyekszünk eloszlatni az esetleges szürke foltokat, és támogatni a vonatkozó követelmények betartását.

– A GDPR és a korábban meglévő hazai jogi szabályozás kapcsán vannak-e kiemelendő tudnivalók?

Ami a legfontosabb ebből a szempontból, hogy a GDPR egy Európai Uniós rendelet, ami a tagállami jogszabályok felett áll hierarchiában. Azaz amikor pl. egy EU tagállam bírósága egy ügyben döntést hoz, és az adott esetre egy EU rendelet és az adott ország egy vagy több jogszabálya is vonatkozik, és ezek eltérnek egymástól, akkor a bíróságnak az EU rendeletet kell figyelembe vennie. Ez azért fontos, mert a GDPR kötelező alkalmazásának időpontjára (2018.05.25) sem a személyes adatok védelmét most szabályozó Infotörvény nem módosult érdemben, illetve a kapcsolódó ágazati jogszabályok sem módosultak, melyek érintik a személyes adatok kezelését. Ilyenek pl. a Munka Törvénykönyve, a Reklámtörvény, az Elektronikus kereskedelmi törvény, és még sorolhatnánk. Így jelenleg egymás mellett és egymással szemben állnak magyar jogszabályok a GDPR-ral, ami nem teszi könnyűvé az adatkezelési szabályoknak való megfelelést. Az Infotörvény érdemi módosításáról várhatóan ősszel szavaz a parlament, a módosító javaslatot már benyújtották, az egyéb ágazati jogszabályok módosítása még itt sem tart.

Alapelveiben és tartalmában egyébként nem hatalmas az eltérés az Infotörvény és a GDPR között, van azonban pár elem, ami a cégek nagy részét érinti. Ilyen például a transzparencia, az az elvárás, hogy nem csak megfelelni kell az adatvédelmi előírásoknak, hanem bizonyítani is kell tudni a megfelelést, ami elsősorban dokumentációs terhet jelent. Jelentős változás még, hogy a központi NAIH-os adatkezelési nyilvántartás helyébe a saját, házon belüli nyilvántartás lép, illetve több esetben is adatvédelmi hatásvizsgálat elvégzésére, vagy adatvédelmi tisztviselő (Data Privacy Officer – DPO) kinevezésére lehet szükség.

– Mik a leggyakoribb tévhitek a GDPR kapcsán?

Főképp a GDPR-hoz kapcsolódó bírságokkal kapcsolatosan zavaros a kép, ami nem csoda, hiszen főleg a maximális büntetési tételek kapcsán került szóba a GDPR a sajtóban is, és a kormányzati kommunikáció is csavart egyet ezen. Így most sok KKV gondolhatja azt, hogy elsőre nem fogja megbüntetni a NAIH egy esetleges vizsgálat végén, csak figyelmeztetve lesz. Ez az Infotörvény szerint eddig így volt, azonban ennek helyébe az infotörvénybe – 2018.06.30-i hatállyal – egy sokkal kevésbé konkrét megfogalmazás került, mely csak azt mondja ki, hogy az első jogsértés esetén az arányosság elve alapján elsősorban figyelmeztesse az adatkezelőt a hatóság. Amiről nem szokott szó esni, hogy a szankcionálás az csak egy következménye a nem szabályszerű adatkezelésnek, emellett azonban a hatóság fő feladata a jogsértő adatkezelés megszüntetése. Egy direkt marketing cégnél például a pénzbüntetésnél is nagyobb üzleti kárt okozhat, ha a NAIH elrendeli az ügyféladatbázis egy részének, vagy akár egészének törlését.

Amit mi a GDPR-ral kapcsolatos munkáink során még félreértettnek látunk, az a weboldalak cookie kezelése. Nagyon sok weboldalon még mindig csak cookie tájékoztató van, nem valódi hozzájárulás kérés a cookie-k alkalmazásához, illetve maguk a cookie-k még azelőtt elhelyezésre kerülnek a felhasználó eszközén, mielőtt elfogadhatná azok alkalmazását. Az is széles körben probléma, mikor a cookie bar csak az elfogadással bezárható, addig -különösen mobilon- eltakarja a tartalmat, így nem tekinthető a hozzájárulás önkéntesnek.

– Mi a helyzet az EU-n kívül szolgáltatást nyújtó cégekkel?

Lehetőség szerint arra kell törekedni, EU-n belüli rendszereket, szolgáltatásokat, adatfeldolgozókat használjunk. A Google és a Facebook ilyen értelemben nem probléma, mivel az EU-s ügyfeleket EU-s leányvállalat, EU területén lévő szerverekkel szolgálja ki, de Magyarországon is nagyon elterjedt az USA-beli egyéb webes és marketing szolgáltatások igénybevétele, elég csak a Mailchimpet említeni példaként. A legtöbb ilyen cég a Privacy Shield megállapodás keretében kerüli ki azt, hogy harmadik országbeli adatfeldolgozó legyen a GDPR szempontjából, ami jelentős hátránnyal járna maga és szerződött partnerei számára. Azonban ahogy elődjét, a Safe Harbor konstrukciót elkaszálta az Európai Bíróság, úgy a Privacy Shield is ilyen sorsa juthat, különösen a kibontakozó USA-EU kereskedelmi szembenállást is figyelembe véve.

– Mi a DPO szerepe és miért érdemes külső DPO-t bevonni?

A DPO szerepe az, hogy különleges, pl. egészségügyi állapotra, pénzügyi helyzetre vonatkozó adatokat, vagy nagy mennyiségű személyes adatot kezelő szervezeteken, vállalkozásokon belül legyen egy olyan autonóm személy, aki felügyeli a szervezet adatkezelési tevékenységét, biztosítja annak jogszerűségét.

Épp ezért a DPO a szervezeten belül különleges státuszt élvez, közvetlenül a felső vezetés alá tartozik, a feladatához szükséges belső jogosítványokkal bír, és a munkakörével összefüggő tevékenységhez kapcsolódó indokkal nem lehet elmozdítani pozíciójából. Ugyanakkor viszont, mivel kontrollt gyakorol a szervezetén belül, nem lehet adatkezeléssel összefüggő döntési pozícióban, azaz a DPO nem lehet ügyvezető, IT, HR, sales vagy marketing vezető. Így különösen kisebb cégeknél, ahol a tevékenységből adódóan ki kell nevezni DPO-t (pl. egészségügyi szolgáltató cégek, adatbázis menedzsmenttel, direkt marketinggel foglalkozó vállalkozások), ez házon belül nehezen oldható meg. A DPO, mint szolgáltatás ezekben az esetekben kiváló megoldást jelent, mivel nem csak költséghatékonyabb tud lenni egy belső pozíció fenntartásánál, de szakmailag is sokkal felkészültebb és naprakészebb lesz az a DPO, aki ezt professzionális szinten végzi, mint az, akit kijelölnek erre házon belül, jó esetben egy egynapos képzésre beírtatják, és egyéb feladatai mellett kellene még a cég adatkezelését is felügyelnie.

– Ha valaki csak nemrég kezdte el a felkészülést (tegyük fel, hogy van ilyen :)) annak milyen lépéseket érdemes legelőször megtenni?

Először is fel kell mérni egyáltalán milyen személyes adatokat, milyen célból kezel a cég, jelenleg milyen módon, hol tárolják. Ezt követően ennek birtokában érdemes szakértővel konzultálni, mivel maga a GDPR nagyon sok esetben általánosságokat, elveket ír csak le és sok az egyéb jogszabály, amit be kell tartani. A szakértő meg tudja mondani milyen jogalapja lehet a cég egyes adatkezeléseinek, milyen módon kell változtatni egyes folyamatokon, hogy azok jogszerűek legyenek, milyen hatásvizsgálatokra, szabályzatokra, dokumentációra van szükség, és el is tudja készíteni ezeket. Szakértő igénybevétele nélkül elképesztő mennyiségű munkaórát lehet a GDPR megfelelésbe beleölni, a végén kétes eredménnyel.

– Melyek azok a szektorok, területek, amelyre a legnagyobb terhet róhatja a GDPR?

Elsősorban azokra a területekre rója a legnagyobb terhet, ahol különleges adatokat kezelnek, illetve az adatkezelés léptéke nagy. Pénzintézetek, egészségügyi szolgáltatók, big data szolgáltatásokat igénybe vevők. De emellett jelentősen növekedik azon civil szervezetek terhe is, ahol a források adománygyűjtésből származnak. Az is elmondható, hogy ha egy cég sok, egymással nem is feltétlenül összekapcsolt rendszerben tárol ügyféladatokat, akkor elképesztő erőforrást emészthet fel akár pár tucat, ügyfelek által kért adattörlési, vagy adatkiadási kérés szabályszerű teljesítése is. A GDPR is nagy lökést fog adni az integrált vállalatirányítási, adminisztrációs rendszerek terjedésének, mivel a külön CRM, számlázó, email marketing, logisztikai, ügyfélszolgálati rendszerekben végigvinni egy ilyen kérést megfelelő fejlesztések és kialakított, átgondolt folyamatok mellett is időigényes, azok nélkül pedig szinte lehetetlen.

Amennyiben további kérdése merül fel a GDPR kapcsán, vagy kihelyezett DPO szolgáltatásra van szüksége, úgy javasoljuk, hogy lépjen kapcsolatba a Crome Communication munkatársaival közvetlenül vagy a segítségünkkel.