Az ilex-iratmintak.hu mai szakértői cikkében, a 2018. november 08.-i iLex Gyógyszertári Adatkezelési Konferenciára előzményeként – mintegy a felkészülést segítendő – fontos körülményekre hívja fel a figyelmet dr. Szőke Gergely László, a Pécsi Tudományegyetem adjunktusa és adatvédelmi felelőse.
Az iLex jogi iratminta cikk-adatbázisában, az iLex-iratmintak.hu oldalon a vállalkozók, gazdálkodó szervezetek, intézmények, szervezetek számára legfontosabb dokumentumokról jogi szakértők foglalják össze az alapvető tudnivalókat, a szakértői cikkek mellékletét képező iratmintákat pedig ugyancsak az ilex-iratmintak.hu oldalon érik el kedvezményesen /első iratminta letöltése térítésmentes) Olvasóink.
Az elmúlt időszakban négy betű: G D P R tartja szinte „rettegésben” azon szervezeteket, akik komolyabban foglalkoznak az adatvédelmi kérdésekkel, vagy azért, mert a tevékenységük, üzleti sikereik szorosan összefüggenek a személyes adatok kezelésével, vagy azért, mert kellően nagy szervezetek ahhoz, hogy a jogi megfelelésre megfelelő erőforrásuk legyen.
De a változások híre eljutott a szélesebb közönséghez is, aminek részben az is az oka, hogy a konferenciaszervezéssel, oktatással és tanácsadással foglalkozó vállalkozások, ügyvédi irodák is sokat tettek azért, hogy az EU új általános adatvédelmi rendelete közismert legyen: konferenciákon, workshopokon, képzéseken igyekeztek bemutatni és elemezni a főbb változásokat, sokszor felajánlva a tanácsadás-szolgáltatásaikat is. Őszintén szólva, nem emlékszem olyan jelentősebb jogszabályváltozásra az elmúlt bő évtizedből, amely ennyire bekerült volna a köztudatba, és amely körül ekkora lett volna a „felhajtás”, pedig lényegében az összes nagy kódexünk újrakodifikálásra került nemrégiben. A változások tehát igen széles körben ismertek lettek; igaz, néha olyan formában, hogy sokan a GDPR kapcsán veszik észre, hogy egyáltalán létezik adatvédelmi szabályozás (Magyarországon egyébként 1992-es az első adatvédelmi törvény).
Mi lehet ennek a felhajtásnak az oka? Valóban ennyire drasztikusak a GDPR okozta változások az adatvédelem területén? És valóban szinte mindenkit érintenek ezek a változások? És ha igen, kell-e félni ettől?
A változások jelentőségét tekintve a válasz: igen is és nem is. A GDPR valóban hoz tartalmi jellegű változásokat, ám ezek száma nem olyan jelentős, mint ahogy elsőre tűnik. Különösen a számos hazai szektorális törvényi szabályozásnak köszönhetően a legtöbb adatkezelési folyamat tartalmilag – és itt hangsúlyos, hogy tartalmilag – vélhetően meg fog felelni az új szabályozásnak is. A szigorítás és annak érzése alapvetően két tényezőnek köszönhető:
- Dokumentálási kényszer. Az elszámoltathatóság elve, azaz hogy nem csak meg kell felelni az adatvédelmi szabályoknak, de igazolni is kell tudni e megfelelés, sok esetben olyan adminisztrációval teljesíthető csak, amelyre eddig nem volt feltétlen szükség. A GDPR ezen elv emellett is számos dokumentálást igénylő konkrét kötelezettséget ír elő, elég csak az adatkezelési tevékenységek nyilvántartására vagy az adatvédelmi hatásvizsgálat lefolytatására gondolni.
- Megerősített felügyeleti rendszer. Az adatvédelem felügyeleti rendszere számos szempontból megerősödött, de a legjelentősebb kétségkívül a korábban szokatlanul nagy bírságösszegek megjelenése. Ez egyszerűen arra készteti az adatkezelőket, hogy komolyabban kezdjenek el foglalkozni az adatkezelési rendszerükkel. Sok esetben a GDPR-átállás azért jelent erőn felüli feladatot, mert valójában a meglévő szabályozás szerint is jogsértő napi gyakorlatot kell átalakítani, és – az elszámoltathatóság elvével összehangban – szemmel jól láthatóan is jogszerűvé tenni.
Az érintett alanyi kör tekintetében is azt kell mondjam, hogy a GDPR valóban érinti az adatkezelők döntő többségét. A személyes adatokat gyűjteni tervezett startupoktól a nagy multinacionális cégeken át a pár fős alkalmazottal működő KKV-kig, az üzleti szférán kívül pedig a civil szervezeteket és nem utolsó sorban az állam különböző szervei egyaránt a szabályozás hatálya alá tartoznak: ha más nem, ügyféladatok (vagy épp támogatók adatai), marketingtevékenység vagy a foglalkoztatottak adatainak kezelése szinte mindenhol felmerül.
És végül: kell-e ettől félni?
Az kétségtelenül igaz, hogy a GDPR-nak való megfelelés – így vagy úgy – jelentős erőfeszítést igényel. Az erőfeszítés mértéke azonban nagyon nagy szórást mutathat, és persze rengeteg tényezőtől függ, de van egy olyan, ami talán kevesebb figyelmet kap: az adott szervezet működési rendje. Röviden: ahol alapvetően „rend van”, a tevékenységek jól definiáltak, a folyamatok átgondoltak, a feladat és felelősségi körök egyértelműek, és mindezek legalább tűrhetően dokumentáltak is, ott az adatvédelmi szabályoknak való megfelelés sokkal kisebb erőfeszítésbe fog kerülni, mind az olyan szervezet esetén, ahol a működés kevésbé átgondolt, netán egyenesen kaotikus.
Ugyanezt a logikát meg is lehet fordítani. A GDPR-ra nem érdemes „felesleges adminisztratív feladatként”, az „állami pénzbeszedés újabb területeként”, a „bürokratikus terhek további növeléseként” vagy mint „pénzügyi hatással is fenyegető jogi kockázatra” tekinteni. Sokkal előre mutatóbb lehetőségként rá gondolni. Olyan lehetőségként, amely jótékony hatással lehet a szervezetrendszer fejlesztésére, az ügyfelek, partnerek bizalmára, nem mellékesen pedig egy olyan alapvető jog mindennapi érvényesítésére, amely a demokratikus jogállamok egy fontos értékét, a magánszférához való jogot hivatott biztosítani.
Jelen írásban az első tényező kap hangsúlyt. A GDPR-nak való megfelelés ugyanis arra készteti a vállalkozásokat, hogy fejlesszenek a szervezetrendszerükön. A személyes adatok kezelése szorosan összefonódik a szervezet folyamataival, legyen szó az ügyfelekkel való kapcsolatról, a HR tevékenységről az informatikai szolgáltatásaik üzemeltetéséről vagy azon üzleti folyamatokról, amelyekhez a személyes adatok kapcsolódnak. Az adatok értéke egyre nő, de azok csak akkor hasznosíthatók, ha az adatkezelő kellően tudatosan kezeli az adatvagyonát.
A GDPR összességében arra ösztönzi az adatkezelőket, hogy igyekezzenek hatékonyabbá, egyszerűbbé és átláthatóbbá tenni az adatkezelési folyamatokat. Nézzünk néhány példát.
- Az adatkezelési tevékenységek nyilvántartása eleve kikényszeríti, hogy az adatkezelő áttekintse, egyáltalán milyen célokból, milyen személyes adatokat kezel. Kiderülhet, hogy egyes adatokra nincs is szüksége, vagy az adatkezelési (és a mögötte zajló) folyamatokban olyan párhuzamosságok zajlanak, amelyek felesleges erőforrásokat kötnek le. A folyamat rávilágíthat a meglévő adatvagyon jelentőségére, amellyel kapcsolatban újabb hasznosítási lehetőségek (új adatkezelési célok) merülhetnek fel.
- Ha végiggondolja az adatkezelő, hogy miként felelhet meg az adatok pontosságára és naprakészségére vonatkozó elveknek, olyan új folyamatokat vezethet be, amelyek révén jobb minőségű, és ezáltal jobban hasznosítható adatokkal fog rendelkezni.
- Az érintetti jogok biztosítása, a megfelelő, az érintettek számára is könnyen emészthető tájékoztatók bizalmat ébreszthetnek az ügyfelekben, partnerekben, vagy éppen a munkavállalókban.
- A beépített adatvédelem elvével összhangban nagyobb hangsúly kerül a proaktivitásra, arra, hogy eleve csak olyan folyamatokat tervezzen vagy olyan eszközöket szerezzen be az adatkezelő, amely biztosítja a jogszerű működést. Megfelelő eszközökkel ráadásul technikailag megakadályozható, hogy a munkatársak – akár figyelmetlenségből, akár szándékosan – jogsértést kövessenek el. Ennek ellentéteként, igen kellemetlen, amikor jól bejáratott, régóta használt rendszerekről derül ki, hogy bizony csak jogilag kétes napi gyakorlat folytatható velük.
- Az adatbiztonsági követelmények meglehetősen általánosak ugyan, de az elszámoltathatóság elvével összhangban mégiscsak arra készteti az adatkezelőket, hogy foglalkozzanak e kérdéssel. Könnyen kiderülhet, hogy az eddigi megoldások nem voltak kielégítők, és másfajta intézkedésekre lehet szükség. A szabályozás több ponton ösztönzi titkosítási megoldások alkalmazását, amely ugyan nem csodafegyver, de sokszor valóban nagyságrendekkel növeli annak esélyét, hogy az adatok ne kerülhessenek illetéktelen kezekbe (illetve ne legyenek értelmezhetők számára).
- Az adatbiztonsági intézkedések ráadásul nem csak a személyes adatok, hanem a szervezet számára fontos más adatok védelmére, különösen az üzleti titokra is kiterjedhetnek. Úgy általában is: a személyes adatokkal való foglalatosság a szervezet egyéb adatai és dokumentumai kapcsán is nagyobb átláthatóságot és tudatosságot eredményezhet.
- Az egyik leginkább kellemetlennek megélt új jogintézmény az adatvédelmi incidensek kezelése. Sokan érveltek amellett, hogy vagy a bagatell incidenseket vagy egyes (kisebb) adatkezelőket mentesíteni kell a szabályrendszer hatálya alól. Ez nem történt meg, így kétségkívül jelentős adminisztratív terhet ró a szervezetkre az összes incidens nyilvántartása, a kockázatot jelentő incidensek hatósági bejelentése, végül – és üzleti szempontból talán ez a leginkább kellemetlen – egyes esetekben maguknak az érintetteknek az értesítése. Ugyanakkor a szabályozás célja egyértelmű: legyen kevesebb incidens, akár kis súlyú, akár jelentős. Nyilvánvaló, hogy a szervezet akkor jár el ésszerűen, ha az incidenskezelésre fordított energiáit arra is felhasználja, hogy feltárja azokat a folyamatokat, rendszerhibákat, amelyek az incidenshez vezettek, és kiküszöbölje azokat. Így előbb-utóbb valóban csökkenhet az incidensek száma és az ezzel járó adminisztratív teher is.
- Az adatvédelmi hatásvizsgálat pedig egy olyan kérdésekre segít választ adni, amelyek kicsit is tudatosabb adatkezelőknél eddig is felmerültek, ha valamilyen újdonságot vezettek be: Nem lesz ebből baj? Biztos, hogy ezt jogszerűen meg lehet csinálni? Mit lehetne tenni, hogy csökkentsük a kockázatokat?
A GDPR- nak megfelelni nem könnyű, de mintadokumentumokkal, átgondolt, automatizált és átláthatóbbá tett folyamatokkal, az informatikai megoldások és a technológia legújabb vívmányainak alkalmazásával nem csak e kötelező feladat oldható meg ésszerű ráfordítással, de a folyamat végén egy átláthatóbban működő, hatékonyabb és így jövedelmezőbb szervezet jöhet létre.
Avagy Kubrick után szabadon: rájöttem, hogy nem kell félni a GDPR-tól, meg is lehet szeretni.