Az Európai Unió megújított adatvédelmi rendelete, a General Data Protection Regulation (GDPR) 2018. május 25-én lépett életbe. A GDPR rövidítéssel közismertté vált adatvédelmi szabályzat általános érvényű, így előírásait minden magyarországi szervezetnek alkalmaznia kellett. A rendelet betartását felügyelő szerv Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). A bevezetés óta eltelt időszak tapasztalatairól Péterfalvi Attilát, a hivatal elnökét kérdeztük.
— Magyarországon kiket érintett a rendelet?
— Minden hazai cégnek, szervezetnek alkalmaznia kell az EU általános adatvédelmi előírásait. Ez a gyakorlatban azt jelenti, hogy a GDPR szabályai adatkezelőként minden jogi személyt, adatalanyként pedig minden természetes személyt érint. A rendelet minden olyan jogi kapcsolatra vonatkozik, amely személyes adatok kezelésével is jár – ilyenek például a munkáltató-munkavállaló, vállalkozó-megrendelő, ügyfél-szolgáltató, állampolgár és állami vagy önkormányzati szerv közötti kapcsolatok. Az úgynevezett kockázatalapú megközelítés miatt azonban a rendeletből fakadó adminisztratív kötelezettségek az adatkezelés kockázataihoz igazodnak, tehát egészen más feladatai vannak a néhány vásárló adatait tároló kis péküzletnek, mint például a nagy adattömeggel foglalkozó direktmarketing-tevékenységet folytató vállalkozásoknak, vagy a szenzitív adatokat is kezelő egészségügyi szolgáltatóknak.
— A NAIH-tól milyen előzetes segítséget kaphattak a GDPR bevezetésére kötelezettek?
— Hatóságunk számos eszközzel segítette a felkészülést. Honlapunkon már jóval a rendelet életbelépése előtt létrehoztunk egy olyan fejezetet, ahol témakörönként csoportosítva, általában letölthető pdf-állományokban találhatók meg a szükséges információk. Még márciusban közzétettük többek között a GDPR alkalmazásával kapcsolatos általános tudnivalókat, egy másik dokumentumban tizenkét lépésben foglaltuk össze a rendelet alkalmazásának részleteit, illetve iránymutatást adtunk az adatkezelők és adatfeldolgozók számára. Egy másik aloldalon a jogalkalmazóktól érkezett kérdésekre, beadványokra, konzultációs megkeresésekre adott állásfoglalásokat tettük elérhetővé, ott hónapokkal a rendelet érvénybelépése előtt olvasható volt például az adatvédelmi tisztviselőkkel kapcsolatos állásfoglalás, egy másik dokumentumban a GDPR alkalmazását követően a korábbi adatvédelmi nyilvántartás megszűnéséről adtunk közre tájékoztatást. Külön figyelmet fordítottunk a kkv-szektorra, tájékoztató anyagot állítottunk össze a GDPR kis- és középvállalkozások esetében történő alkalmazhatóságáról, önálló anyagba rendeztük az ügyvédeknek, autószerelőknek, egyéni vállalkozásoknak szánt tudnivalókat, úgy vélem, minden érdekelt még időben kaphatott elegendő információt a felkészüléshez.
— Nyomtatott formában is megjelentek ezek a tudnivalók?
— Igen, munkatársaink ma is több – adatvédelmi ismereteket és végzettséget adó – graduális és posztgraduális képzés oktatói és szervezői, többen szerzőként jegyzik az egyetemi hallgatók számára összeállított tananyagokat. Ezeket a szakkönyveket használták például az ELTE Jogi Továbbképző Intézet adatbiztonsági és adatvédelmi szakjogászképzésében, a Nemzeti Közszolgálati Egyetem alapképzésében és szakirányú továbbképzésében, de több más felsőoktatási intézmény tananyagában is megtalálhatók ezek kiadványok. Szakértőink jó néhány helyen tartottak előadásokat, aktív résztvevői voltak a felkészülést célzó szakmai rendezvényeknek, konferenciákon, workshopokon, kerekasztal-beszélgetéseken személyesen válaszoltak a felmerült kérésekre.
— Arról készült összefoglaló, hogy a GDPR bevezetésére kötelezett cégeknek mekkora kiadást jelentett az előkészítés?
— Nem készítettünk ilyen összesítést, mivel ez nem feladata a hatóságnak. A jogalkotási javaslatot előterjesztő Európai Bizottság azonban előzetesen készített egy részletes hatástanulmányt, amelyből kiderült, hogy pluszköltségek helyett inkább megtakarítást jelent a GDPR bevezetése. Ugyanis azoknak az adatkezelőknek, akik a bevezetés előtt is maradéktalanul megfeleltek a korábbi adatvédelmi szabályoknak, semmilyen pluszkiadást nem jelentett a GDPR alkalmazása. Ugyanakkor a hatásvizsgálat szerint uniós szinten mintegy hárommilliárd eurós költségcsökkenéshez vezetett az egységes szabályozás bevezetése, mivel mérséklődtek az egyedi szabályozás miatti ügyvédi költségek, ennek következtében a weboldalak rendszergazdáinak is kevesebb lett a feladatuk.
— A rendelet értelmében a GDPR betartásának ellenőrzésére kijelölt felügyeleti hatóság Magyarországon a NAIH. Hogyan tudják ellenőrizni az alkalmazásra kötelezett cégeket és vállalkozásokat?
— A GDPR kiterjedt vizsgálati hatásköröket biztosít az EU országaiban működő adatvédelmi hatóságoknak. Utasíthatjuk például az adatkezelőket és az adatfeldolgozókat – vagy azok képviselőjét –, hogy a feladataink elvégzéséhez szükséges tájékoztatást megadják. Ugyanakkor az adatkezelőknél, adatfeldolgozóknál helyszíni vizsgálatokat is folytathatunk, elvégezhetjük a kiadott tanúsítványok felülvizsgálatát, és még számos egyéb jogosítványunk is van. Emellett a GDPR végrehajtását célzó magyar eljárásjogi szabályokat is alkalmazhatjuk, az infótörvény és az Általános közigazgatási rendtartás szabályai kiterjedt ellenőrzési lehetőségeket és eszköztárat biztosítanak számunkra.
— A bevezetés óta csökkent vagy növekedett a fogyasztói, felhasználói bejelentések száma?
— Érezhetően megemelkedett a bejelentések száma. 2017 második félévében 948 panaszt regisztráltunk, 2018 azonos időszakában már közel 1400 bejelentés érkezett. A GDPR alkalmazásával új kötelezettségként jelenik meg az úgynevezett adatvédelmi incidensek bejelentése és ennek a hatóság által történő kivizsgálása. A NAIH-hoz 2018. május 25-e óta év végéig összesen 239 esetben jelentettek be adatvédelmi incidenst a különböző adatkezelők – jellemző, és egyben a korszellemet is tükrözi, hogy ezek nyolcvan százalékát az interneten keresztül, online nyújtották be.
— Általában milyen adatokkal való visszaélés gyanúja merül fel a bejelentésekben?
— Az incidensbejelentések leggyakrabban a következő személyes adatok jogtalan tárolásának gyanújára vonatkoznak: személyazonossághoz kapcsolódó adatok – például név, születési adatok –, vagy olyan gazdasági, pénzügyi adatok, mint például a hitelfelvétellel vagy bankszámlával kapcsolatos adatok. De gyakran előfordul, hogy az elérhetőségi adatok – például telefonszám, lakcím, e-mail-cím – vagy az ügyfél-azonosítók szerepelnek a bejelentésekben. Az incidensbejelentéseket a NAIH hatósági ellenőrzés keretében kivizsgálja, és amennyiben jogsértést tapasztalunk, hatósági eljárást indíthatunk.
— A bevezetés óta szabtak ki büntetést? Ha igen, milyen szankciókat alkalmaztak?
— A GDPR alkalmazásához szükséges magyar törvények csak 2018. nyár végén léptek hatályba, az azóta érkezett incidensbejelentések kapcsán eddig hét alkalommal indítottunk formális hatósági eljárást – pénzbírság kiszabására egyetlen alkalommal sem került sor. A már lezárt eljárások végén elegendő volt az ombudsmani típusú eszközök alkalmazása, például az adatkezelőknek megküldött felszólítás is meghozta a kívánt eredményt.
–– Indítottak-e kártérítési pereket azok, akiknek az adataival visszaéltek, vagy akiknek az adatai illetéktelen kezekbe kerültek?
— A kártérítési perek az adatalanyok és az adatkezelők közötti magánjogi eljárások, így önmagukban is személyes adatok. Emiatt – a főszabály szerint – ilyen információk hivatalosan nem jutnak a NAIH tudomására, tehát azokkal kapcsolatban nem vezetünk nyilvántartást, semmilyen adatot nem kezelünk.
(Az interjú a Biztonságpiac 2019 évkönyvben jelent meg, tavaly februárban.)
