Menü Bezárás

Tíz tévhit a GDPR alkalmazásával kapcsolatban

Az ilex-iratmintak.hu mai szakértői cikkében, a 2018. november 08.-i  iLex Gyógyszertári Adatkezelési Konferenciára előzményeként – mintegy a felkészülést segítendő – fontos tényekre hívja fel a figyelmet dr. Balogh Zsolt György, vezető kutató, programozó matematikus, jogász, a Corvinus Egyetem docense.

Az iLex jogi iratminta cikk-adatbázisában, az iLex-iratmintak.hu oldalon a vállalkozók, gazdálkodó szervezetek, intézmények, szervezetek számára legfontosabb dokumentumokról jogi szakértők foglalják össze az alapvető tudnivalókat, a szakértői cikkek mellékletét képező iratmintákat pedig ugyancsak az ilex-iratmintak.hu oldalon érik el kedvezményesen /első iratminta letöltése térítésmentes) Olvasóink

1        A GDPR csak egy felfújt probléma

1.1       Tévhit

Az adatvédelemmel kapcsolatos új rendelkezéscsomagot, melynek gyakorlati jelentősége nincs, az EU szeszélyei diktálják s egyetlen célja az, hogy a cégek, adatkezelők működését megnehezítsék, és újabb jogcímet teremtsenek velük szemben büntetések kiszabására.

1.2       Magyarázat

A személyes adatok védelme az információs társadalom, az információalapú gazdaság viszonyai között az egyik legfontosabb eszköz a személyiségi jogok védelmére, az állampolgári szabadságok megőrzésére. Az állami és magánszférában tevékenykedő adatkezelők részéről olyan nagy az igény a személyes adatokra, az elmúlt két évtized során annyira megnőtt az adatalanyokra irányuló nyomás, hogy a kockázatokkal arányos védelem érdekében szükség volt a korábbi szabályozás felülvizsgálatára, az adatkezelők felelősségének növelésére.

Napjainkban az adatkezelési, adatfeldolgozási folyamat nagy kapacitású, automatizált, intelligens eszközökkel zajlik, s ez nem egyszerűsíti le a helyzetet. A természetes személyről felvett primer adatok mellett az intelligens eszközökkel folytatott adatelemzés átfogó személyiségprofil kialakítására, további származtatott adatok megszerzésére ad módot. Ez fokozott erkölcsi felelősséget ró az adatkezelőre, s az új szabályozás ennek jogi eszközökkel szerez érvényt.

2        Ez most csak egy kampány

2.1       Tévhit

Az adatvédelmi követelmények teljesítése egy kampányszerű feladat. Az adatkezelőnek most csak annyi a dolga, hogy elkészíti, „legyártja” a szükséges dokumentációkat, szabályzatokat, és a téma ezzel hosszú időre meg van oldva.

2.2       Magyarázat

A valóságos helyzet az, hogy az adatvédelem a belátható jövőben folyamatos feladatot jelent minden adatkezeléssel foglalkozó szervezetnek. Mivel a szervezetek működése minden nap és minden új eset, ügyfél esetében új adatok felvételével, keletkezésével jár, a megfelelő adatkezelési jogcímek tisztázása, rögzítése, az ügyfél tájékoztatása, az adatkezelési incidensek felderítése, kiküszöbölése, a rendszer biztonságának fejlesztése folyamatos napi feladatot jelent. Ezért is szükséges sok szervezetnél, hogy megfelelő szakmai felkészültséggel rendelkező, állandó adatvédelmi tisztviselő gondoskodjon a személyi állomány képzéséről, a rendszer tisztességes és törvényes működtetéséről.

3        Elegendő a GDPR és a magyar Info-törvény követése

3.1       Tévhit

Az adatkezelő már azzal eleget tehet a tisztességes és törvényes adatkezelési követelményeknek, ha betartja a GDPR és az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény [Info-törvény] rendelkezéseit.

3.2       Magyarázat

Általánosságban valóban ezeket a jogszabályokat kell követni, ezek azonban csak az adatvédelmi rezsim alapkövetelményeit adják meg, és ebben a tekintetben csak keretjogszabályok. A személyes adatok kezelése igen sok ágazatban a mindennapi működés szerves része, elengedhetetlen feltétele, s az ágazati specialitásokra a mégoly terjedelmes GDPR és az Info-törvény sem tud tekintettel lenni, s nem lehet minden részletszabályt ezekbe a jogszabályokba belesűríteni. Az alapelvek érvényesülését az egyes ágazati törvények biztosítják az adott területen, s ezek figyelembevétele épp úgy mellőzhetetlen, mint a keretjogszabályoké. A munkavégzés, az oktatás, az egészségügyi ellátás, a kereskedelem, a reklámozás, a hírközlés, az adózás, a média, a társadalombiztosítás, az igazságszolgáltatás, a közigazgatás egészét és egyes szakágazatait, és megannyi egyéb területet rendező jogszabály tartalmaz adatkezeléssel és adatvédelemmel kapcsolatos rendelkezéseket, nem ritkán egész fejezeteket.

Megjegyzésre érdemes például, hogy a GDPR előkészítésével párhuzamosan készült egy kritikus ágazat, a büntető igazságszolgáltatás közösségi keretjogszabálya, az Európai Parlament és a Tanács 2016/680 irányelve a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról.

4        A GDPR csak a profi adatkereskedő cégeket érinti

4.1       Tévhit

A GDPR körüli felhajtás és a vele járó felkészülés csak a profi adatkereskedő cégeket érinti, nekik jelent feladatot és mindennapi kihívást az új szabályozásnak való megfelelés.

4.2       Magyarázat

A helyzet ennél sokkal összetettebb. Személyes adatokat szinte mindenki, a társadalom minden tagja, szervezete kezel. Természetesnek érezzük, hogy saját személyes adataival mindenki tisztában van, és elsősorban maga rendelkezik ezek sorsáról. Már ez is olyan körülmény, ami az adatvédelmi szabályozáson nyomot hagy. Gazdasági és új szabályozást kívánó ténnyé azonban az avatja, hogy gazdálkodó és igazgatási tevékenységet ellátó szervezetek sokasága kezel különböző célra személyes adatokat ügyfelekről, szerződött gazdasági partnerekről.

Tehát nemcsak azok a szervezetek viselnek fokozódó jogi felelősséget a személyes adatokért, amelyek kifejezetten adatkereskedelemmel foglalkoznak, hanem azok is, amelyeknél az adatkezelés csak a normál, egyéb célú működés velejárója. Nincs olyan munkáltató, amely ebből a körből kimaradhat, hiszen a munkavállalóival kapcsolatban akkor is kezel a munkaviszony létesítésével, a munkavégzéssel kapcsolatos adatokat, ha tevékenységének fő célja mondjuk a kiskereskedelmi értékesítés vagy az ipari gyártás.

5        A GDPR nem vonatkozik minden adatkezelésre

5.1       Tévhit

A GDPR csak az automatizált adatkezelésekre vonatkozik, a hagyományos eszközökkel, manuális technológiával folytatott adatkezelések nem esnek a szabályozás hatálya alá.

5.2       Magyarázat

Az automatizált adatfeldolgozó rendszerek léte és elterjedtsége, a társadalom létfontosságú infrastruktúrájába való szerves beépülése természetesen megnövelte a kockázatokat, és ezzel egyidejűleg felerősítette az adatkezelések iránti figyelmet is, de ez nem jelenti azt, hogy csak ezek az automatizált rendszerek állnának az adatvédelmi szabályozás hatálya alatt. Néhány évtizeddel ezelőtt – az 1970-es és ’80-as években – még valóban létezett ilyen korlátozás az adatvédelmi jogban. Ezt azonban bizonyos szakmai – és, nyugodtan mondhatjuk, történelmi – felismerések miatt felülvizsgálták és az 1990-es évek óta az újabb generációs adatvédelmi szabályok már az adatfeldolgozás módjára, eszközeire való tekintet nélkül, minden személes adatokat kezelő rendszerre egyaránt vonatkoznak, és velük szemben azonos törvényességi követelményeket támasztanak.

6        Adatvédelem ≠ Adatbiztonság

6.1       Tévhit

Az adatvédelem nem más, mint az adatok biztonságos kezelése, megóvása az illetéktelenek számára való hozzáférhetetlenné tételtől és az adatkezelő rendszer integritása, rendelkezésre állása.

6.2       Magyarázat

Különösen a műszaki gondolkodásban érhető tetten az a gondolat, hogy az „adatvédelem” és az „adatbiztonság” azonos fogalmak lennének. A két fogalom valóságos viszonyát azonban az egymásra épülés, a szoros összefonódás mellett bizonyos különbségek hangsúlyos megléte jellemzi.

Az adatvédelem azokat a jogi, törvényességi követelményeket jelenti, melyeket a jogrendszer a személyes adatok – és csak ezek(!) – tisztességes, célhozkötött, a céllal arányos, releváns, pontos, átlátható, felelős kezelésével szemben az adatalanyok személyiségi jogainak védelme érdekében támaszt.

Az adatbiztonság ennek a jogi követelményrendszernek az érvényesüléséhez szükséges szervezési, technológiai, műszaki feltételeket biztosítja. Ha az adatfeldolgozó rendszer nem képes az integritás, bizalmasság, sértetlenség, rendelkezésre állás követelményeinek eleget tenni, akkor az ilyen rendszert üzemeltető adatkezelő nyilván alkalmatlan arra is, hogy a személyes adatok megfelelő jogi védelmét biztosítsa. A kockázatokkal arányos adatbiztonsági rezsim fenntartása tehát szükséges – de nem elégséges – feltétele a személyes adatok törvényes állapotának, az elvárt adatvédelmi elvek érvényesítésének.

Az adatbiztonságról általános elvárásként megemlékezik az Info-törvény és a GDPR is, de az adatfeldolgozó rendszerek elvárt biztonsági megoldásait külön jogszabályok kodifikálják. A magyar jogban ilyen az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény. [Ibtv] Megjegyzendő, hogy az adatbiztonsági szabályozás tárgya nem a személyes adat, hanem az adatfeldolgozó rendszer, tekintet nélkül a rendszerben tárolt, feldolgozott, továbbított adatok tartalmára, személyes vagy nem személyes adat jellegére. Az adatfeldolgozó rendszer integritása egyaránt védi a személyes adatok és az üzleti titkok biztonságát.

7        A GDPR megalkotása következtében az adatvédelem területén minden megváltozott

7.1       Tévhit

A GDPR tejesen új követelményeket és keretrendszert hozott az adatkezelések és az adatvédelem világába.

7.2       Magyarázat

Felületes személő azt gondolhatja, hogy a GDPR megalkotása, hatályba lépése, és küszöbön álló alkalmazásba vétele előtt gyökeresen más elvek és elvárások jellemezték az adatkezelések és az adatvédelem világát. Bár van abban igazság, hogy a korábbi adatvédelmi jogot és gondolkodást sok új elemmel egészítette ki a GDPR, de az nem felel meg a valóságnak, hogy gyökeresen új megközelítést hozna erre a területre. A célhozkötöttség, a tisztességesség, átláthatóság, az információs önrendelkezési jog elve már évtizedek óta velünk van, és az adatvédelmi jog alappilléreit képezik. A fokozódó gazdasági és politikai jelentőségű digitális adatkezelés, a közösségi média, a felhőszolgáltatások és a virtualizáció teremtették meg azt a műszaki és társadalmi környezetet, amelyben ezeknek az elveknek, elvárásoknak a megfelelő érvényesítése úgy valósítható meg, ha az információs „önvédelem” mellett az adatkezelők fokozottabb felelősségére, működésük átláthatóságára tevődik a hangsúly. A GDPR kidolgozását, újszerű megoldásait ezek a jogalkotói célok motiválták.

8        Adatkezelési jogalapok a GDPR-ban

8.1       Tévhit

A GDPR új adatkezelési jogalapokat teremtett, s ezek nagyobb cselekvési szabadságot biztosítanak az adatkezelőknek.

8.2       Magyarázat

A GDPR az EU korábbi keretszabályozása, a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelv helyébe lép. Az Irányelv 7. cikkelye ugyanazokat az adatkezelési jogcímeket sorolja fel, melyeket lényegében azonos formában és tartalommal vett át a GDPR 6. cikkelye.

9        Elég a dokumentáció

9.1       Tévhit

A GDPR és általában az adatvédelem követelményeinek eleget tehetünk az adatkezelési folyamatok megfelelő dokumentálásával.

9.2       Magyarázat

Az adatkezeléssel foglalkozó cégek, szervezetek életében a GDPR alkalmazására való mostani felkészülési időszak valóban fontos mérföldkő. Rossz nyomon jár azonban az, aki abban ringatja magát, hogy ezzel letudta a házi feladatot és egyelőre nincs további teendője ezen a területen. Az adatvédelmi elvek, előírások, törvényi követelmények teljesítése folyamatos odafigyelést, állandó megfelelést kíván. A szabályok megszegése extrám esetben közigazgatási vagy peres eljárást is magával hozhat, ennél azonban sokkal fontosabb, hogy az adatkezelő tudatában legyen a felelősségének, és információs rendszerét ennek megfelelően, a jogi compliance szabályok szem előtt tartásával alakítsa ki. Valójában a szervezeti kultúra, a mindennapi rutin alapvető részévé kell válnia a törvényes adatkezelési rendszer fenntartásának.

10    Az adatvédelmi hatóság szerepe

10.1    Tévhit

Az adatvédelmi hatósággal csak törvénysértés vagy egyéb probléma esetén van dolga az adatkezelőnek, tehát az adatvédelmi hatóság szerepe a jogsértések szankcionálására korlátozódik

10.2    Magyarázat

A GDPR a tagállamok számára megfelelő kompetenciákkal rendelkező adatvédelmi hatóság felállítását írja elő. Magyarország esetében ez a szerv már létezik; ez a Nemzeti Adatvédelmi és Információszabadság Hatóság. [NAIH]. A gyakorlatban a NAIH – hatósági feladati mellett – sajátos partneri viszonyra is törekszik az adatkezelőkkel. Szerepének kulcsfontosságú eleme ugyanis a törvényes adatkezelés kultúrájának terjesztése is. Ennek keretében konzultációs feladatokat is előír számára a GDPR. Szakmai konzultációra kerülhet sor különösen akkor, ha magas kockázattal járó adatkezelési rendszer felállítására készül valamely szer. Az adatkezelőnek ugyanis ilyen esetben belső adatvédelmi hatásvizsgálatot kell lefolytatnia, és a ha ez a vizsgálat megerősíti a kockázat fennállását, akkor az adatkezelő szakmai konzultáció felvételét kezdeményezi a NAIH-nál.