Menü Bezárás

A GDPR mint lehetőség

Az ilex-iratmintak.hu mai szakértői cikkében, a 2018. november 08.-i  iLex Gyógyszertári Adatkezelési Konferenciára előzményeként – mintegy a felkészülést segítendő – fontos körülményekre hívja fel a figyelmet dr. Szőke Gergely László, a Pécsi Tudományegyetem adjunktusa és adatvédelmi felelőse.

Az iLex jogi iratminta cikk-adatbázisában, az iLex-iratmintak.hu oldalon a vállalkozók, gazdálkodó szervezetek, intézmények, szervezetek számára legfontosabb dokumentumokról jogi szakértők foglalják össze az alapvető tudnivalókat, a szakértői cikkek mellékletét képező iratmintákat pedig ugyancsak az ilex-iratmintak.hu oldalon érik el kedvezményesen /első iratminta letöltése térítésmentes) Olvasóink.

Az elmúlt időszakban négy betű: G D P R tartja szinte „rettegésben” azon szervezeteket, akik komolyabban foglalkoznak az adatvédelmi kérdésekkel, vagy azért, mert a tevékenységük, üzleti sikereik szorosan összefüggenek a személyes adatok kezelésével, vagy azért, mert kellően nagy szervezetek ahhoz, hogy a jogi megfelelésre megfelelő erőforrásuk legyen.

De a változások híre eljutott a szélesebb közönséghez is, aminek részben az is az oka, hogy a konferenciaszervezéssel, oktatással és tanácsadással foglalkozó vállalkozások, ügyvédi irodák is sokat tettek azért, hogy az EU új általános adatvédelmi rendelete közismert legyen: konferenciákon, workshopokon, képzéseken igyekeztek bemutatni és elemezni a főbb változásokat, sokszor felajánlva a tanácsadás-szolgáltatásaikat is. Őszintén szólva, nem emlékszem olyan jelentősebb jogszabályváltozásra az elmúlt bő évtizedből, amely ennyire bekerült volna a köztudatba, és amely körül ekkora lett volna a „felhajtás”, pedig lényegében az összes nagy kódexünk újrakodifikálásra került nemrégiben. A változások tehát igen széles körben ismertek lettek; igaz, néha olyan formában, hogy sokan a GDPR kapcsán veszik észre, hogy egyáltalán létezik adatvédelmi szabályozás (Magyarországon egyébként 1992-es az első adatvédelmi törvény).

Mi lehet ennek a felhajtásnak az oka? Valóban ennyire drasztikusak a GDPR okozta változások az adatvédelem területén? És valóban szinte mindenkit érintenek ezek a változások? És ha igen, kell-e félni ettől?

A változások jelentőségét tekintve a válasz: igen is és nem is. A GDPR valóban hoz tartalmi jellegű változásokat, ám ezek száma nem olyan jelentős, mint ahogy elsőre tűnik. Különösen a számos hazai szektorális törvényi szabályozásnak köszönhetően a legtöbb adatkezelési folyamat tartalmilag – és itt hangsúlyos, hogy tartalmilag – vélhetően meg fog felelni az új szabályozásnak is. A szigorítás és annak érzése alapvetően két tényezőnek köszönhető:

  1. Dokumentálási kényszer. Az elszámoltathatóság elve, azaz hogy nem csak meg kell felelni az adatvédelmi szabályoknak, de igazolni is kell tudni e megfelelés, sok esetben olyan adminisztrációval teljesíthető csak, amelyre eddig nem volt feltétlen szükség. A GDPR ezen elv emellett is számos dokumentálást igénylő konkrét kötelezettséget ír elő, elég csak az adatkezelési tevékenységek nyilvántartására vagy az adatvédelmi hatásvizsgálat lefolytatására gondolni.
  2. Megerősített felügyeleti rendszer. Az adatvédelem felügyeleti rendszere számos szempontból megerősödött, de a legjelentősebb kétségkívül a korábban szokatlanul nagy bírságösszegek megjelenése. Ez egyszerűen arra készteti az adatkezelőket, hogy komolyabban kezdjenek el foglalkozni az adatkezelési rendszerükkel. Sok esetben a GDPR-átállás azért jelent erőn felüli feladatot, mert valójában a meglévő szabályozás szerint is jogsértő napi gyakorlatot kell átalakítani, és – az elszámoltathatóság elvével összehangban – szemmel jól láthatóan is jogszerűvé tenni.

Az érintett alanyi kör tekintetében is azt kell mondjam, hogy a GDPR valóban érinti az adatkezelők döntő többségét. A személyes adatokat gyűjteni tervezett startupoktól a nagy multinacionális cégeken át a pár fős alkalmazottal működő KKV-kig, az üzleti szférán kívül pedig a civil szervezeteket és nem utolsó sorban az állam különböző szervei egyaránt a szabályozás hatálya alá tartoznak: ha más nem, ügyféladatok (vagy épp támogatók adatai), marketingtevékenység vagy a foglalkoztatottak adatainak kezelése szinte mindenhol felmerül.

És végül: kell-e ettől félni?

Az kétségtelenül igaz, hogy a GDPR-nak való megfelelés – így vagy úgy – jelentős erőfeszítést igényel. Az erőfeszítés mértéke azonban nagyon nagy szórást mutathat, és persze rengeteg tényezőtől függ, de van egy olyan, ami talán kevesebb figyelmet kap: az adott szervezet működési rendje. Röviden: ahol alapvetően „rend van”, a tevékenységek jól definiáltak, a folyamatok átgondoltak, a feladat és felelősségi körök egyértelműek, és mindezek legalább tűrhetően dokumentáltak is, ott az adatvédelmi szabályoknak való megfelelés sokkal kisebb erőfeszítésbe fog kerülni, mind az olyan szervezet esetén, ahol a működés kevésbé átgondolt, netán egyenesen kaotikus.

Ugyanezt a logikát meg is lehet fordítani. A GDPR-ra nem érdemes „felesleges adminisztratív feladatként”, az „állami pénzbeszedés újabb területeként”, a „bürokratikus terhek további növeléseként” vagy mint „pénzügyi hatással is fenyegető jogi kockázatra” tekinteni. Sokkal előre mutatóbb lehetőségként rá gondolni. Olyan lehetőségként, amely jótékony hatással lehet a szervezetrendszer fejlesztésére, az ügyfelek, partnerek bizalmára, nem mellékesen pedig egy olyan alapvető jog mindennapi érvényesítésére, amely a demokratikus jogállamok egy fontos értékét, a magánszférához való jogot hivatott biztosítani.

Jelen írásban az első tényező kap hangsúlyt. A GDPR-nak való megfelelés ugyanis arra készteti a vállalkozásokat, hogy fejlesszenek a szervezetrendszerükön. A személyes adatok kezelése szorosan összefonódik a szervezet folyamataival, legyen szó az ügyfelekkel való kapcsolatról, a HR tevékenységről az informatikai szolgáltatásaik üzemeltetéséről vagy azon üzleti folyamatokról, amelyekhez a személyes adatok kapcsolódnak. Az adatok értéke egyre nő, de azok csak akkor hasznosíthatók, ha az adatkezelő kellően tudatosan kezeli az adatvagyonát.

A GDPR összességében arra ösztönzi az adatkezelőket, hogy igyekezzenek hatékonyabbá, egyszerűbbé és átláthatóbbá tenni az adatkezelési folyamatokat. Nézzünk néhány példát.

  1. Az adatkezelési tevékenységek nyilvántartása eleve kikényszeríti, hogy az adatkezelő áttekintse, egyáltalán milyen célokból, milyen személyes adatokat kezel. Kiderülhet, hogy egyes adatokra nincs is szüksége, vagy az adatkezelési (és a mögötte zajló) folyamatokban olyan párhuzamosságok zajlanak, amelyek felesleges erőforrásokat kötnek le. A folyamat rávilágíthat a meglévő adatvagyon jelentőségére, amellyel kapcsolatban újabb hasznosítási lehetőségek (új adatkezelési célok) merülhetnek fel.
  2. Ha végiggondolja az adatkezelő, hogy miként felelhet meg az adatok pontosságára és naprakészségére vonatkozó elveknek, olyan új folyamatokat vezethet be, amelyek révén jobb minőségű, és ezáltal jobban hasznosítható adatokkal fog rendelkezni.
  3. Az érintetti jogok biztosítása, a megfelelő, az érintettek számára is könnyen emészthető tájékoztatók bizalmat ébreszthetnek az ügyfelekben, partnerekben, vagy éppen a munkavállalókban.
  4. A beépített adatvédelem elvével összhangban nagyobb hangsúly kerül a proaktivitásra, arra, hogy eleve csak olyan folyamatokat tervezzen vagy olyan eszközöket szerezzen be az adatkezelő, amely biztosítja a jogszerű működést. Megfelelő eszközökkel ráadásul technikailag megakadályozható, hogy a munkatársak – akár figyelmetlenségből, akár szándékosan – jogsértést kövessenek el. Ennek ellentéteként, igen kellemetlen, amikor jól bejáratott, régóta használt rendszerekről derül ki, hogy bizony csak jogilag kétes napi gyakorlat folytatható velük.
  5. Az adatbiztonsági követelmények meglehetősen általánosak ugyan, de az elszámoltathatóság elvével összhangban mégiscsak arra készteti az adatkezelőket, hogy foglalkozzanak e kérdéssel. Könnyen kiderülhet, hogy az eddigi megoldások nem voltak kielégítők, és másfajta intézkedésekre lehet szükség. A szabályozás több ponton ösztönzi titkosítási megoldások alkalmazását, amely ugyan nem csodafegyver, de sokszor valóban nagyságrendekkel növeli annak esélyét, hogy az adatok ne kerülhessenek illetéktelen kezekbe (illetve ne legyenek értelmezhetők számára).
  6. Az adatbiztonsági intézkedések ráadásul nem csak a személyes adatok, hanem a szervezet számára fontos más adatok védelmére, különösen az üzleti titokra is kiterjedhetnek. Úgy általában is: a személyes adatokkal való foglalatosság a szervezet egyéb adatai és dokumentumai kapcsán is nagyobb átláthatóságot és tudatosságot eredményezhet.
  7. Az egyik leginkább kellemetlennek megélt új jogintézmény az adatvédelmi incidensek kezelése. Sokan érveltek amellett, hogy vagy a bagatell incidenseket vagy egyes (kisebb) adatkezelőket mentesíteni kell a szabályrendszer hatálya alól. Ez nem történt meg, így kétségkívül jelentős adminisztratív terhet ró a szervezetkre az összes incidens nyilvántartása, a kockázatot jelentő incidensek hatósági bejelentése, végül – és üzleti szempontból talán ez a leginkább kellemetlen – egyes esetekben maguknak az érintetteknek az értesítése. Ugyanakkor a szabályozás célja egyértelmű: legyen kevesebb incidens, akár kis súlyú, akár jelentős. Nyilvánvaló, hogy a szervezet akkor jár el ésszerűen, ha az incidenskezelésre fordított energiáit arra is felhasználja, hogy feltárja azokat a folyamatokat, rendszerhibákat, amelyek az incidenshez vezettek, és kiküszöbölje azokat. Így előbb-utóbb valóban csökkenhet az incidensek száma és az ezzel járó adminisztratív teher is.
  8. Az adatvédelmi hatásvizsgálat pedig egy olyan kérdésekre segít választ adni, amelyek kicsit is tudatosabb adatkezelőknél eddig is felmerültek, ha valamilyen újdonságot vezettek be: Nem lesz ebből baj? Biztos, hogy ezt jogszerűen meg lehet csinálni? Mit lehetne tenni, hogy csökkentsük a kockázatokat?

A GDPR- nak megfelelni nem könnyű, de mintadokumentumokkal, átgondolt, automatizált és átláthatóbbá tett folyamatokkal, az informatikai megoldások és a technológia legújabb vívmányainak alkalmazásával nem csak e kötelező feladat oldható meg ésszerű ráfordítással, de a folyamat végén egy átláthatóbban működő, hatékonyabb és így jövedelmezőbb szervezet jöhet létre.

Avagy Kubrick után szabadon: rájöttem, hogy nem kell félni a GDPR-tól, meg is lehet szeretni.

dr. Szőke Gergely László Phd

dr. Szőke Gergely László Phd

Egyetemi adjunktus, adatvédelmi felelős, Pécsi Tudományegyetem.