Új korszak kezdődik az adatvédelemben: gigabírság, félelem és kapkodás

Két éve tudjuk, hogy jön, mégse állunk sehogy a felkészüléssel, de legalább maga a törvény is annyit csúszik, hogy már EU-s büntetéstől kell félni – mi az?

  1. Egy régóta érő, fontos új szabályozás, amely végre rendesen megvédi az emberek jogait. Vagy:
  2. Egy bürokratikus rémálom, ami már akkor elavult volt, amikor kitalálták, és azóta csak nyúlik, mint a rétestészta, és többet árt, mint használ.

Hazai szakértőkkel és a felelős hatóság elnökével beszélgettünk a megosztó új szabályozásról. Van, aki szerint cégek tucatjai rokkanhatnak bele, mások úgy gondolják, aki eddig betartotta a szigorú magyar szabályokat, nincs félnivalója. Bemutatjuk a GDPR-t, azaz az új európai adatvédelmi rendeletet.

A SZEMÉLYES ADATOK VÉDELME OLYAN, MINT A GÁZSZÁMLA: NEM HANGZIK TÚL IZGALMASAN, PEDIG MINDENKIT ÉRINT, ÉS HA MEGFELEDKEZÜNK RÓLA, AZ ELÉG SOK KELLEMETLENSÉGET SZÜLHET.

Az utóbbi pár évben a témának mégis sikerült elérnie a szélesebb közönség ingerküszöbét. Ez egyrészt annak köszönhető, hogy manapság szinte hetente hallani valamilyen nagyobb netes adatlopásról vagy megfigyelési balhéról. Másrészt egyre többeket kezd zavarni, hogy a nagy techcégek gyakorlatilag az ő adataikból élnek. Újabban pedig az is az adatbiztonságra irányítja a figyelmet, hogy hamarosan életbe lép az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation), vagyis a GDPR, amelynek az eljövetelét sokan úgy harangozták be, mintha legalábbis az apokalipszis ötödik lovasáról lenne szó.

 

Túlzottnak tartom azt az ijesztgetésre alapuló kampányt a GDPR körül, amely azt sugallja, hogy aki nem világíttatja át a cégét, az gyakorlatilag tönkremegy május 25. után. A GDPR-nak van számos újítása, de semmiképpen nem forradalmi, hanem a több évtizede szinte változatlan adatvédelmi jog folytatása. Viszont annyira megemelte a bírság összegét, hogy az is odafigyelt rá, akit eddig nem érdekelt az adatvédelem. Gondolok itt elsősorban nagy tanácsadó cégekre, ügyvédi irodákra, akiknek hirtelen kiemelt szakterületük lett az adatvédelmi jog, és ma mindenhol van legalább egy adatvédelmi szakértő. Átestünk a ló túlsó oldalára

– mondta erről az Indexnek Freidler Gábor adatvédelmi jogász.

A GDPR az EU tagállamainak adatvédelmét hivatott közös nevezőre hozni. Célja, hogy több kontrollt adjon a felhasználóknak, az adataiknak pedig nemcsak a hekkerekkel, de magukkal az adatokat kezelő cégekkel szemben is komolyabb védelmet biztosítson. Még 2016-ban lépett életbe, de kétéves türelmi idő után csak idén május 25-től kezdik alkalmazni, vagyis a gyakorlatban ekkor kezdődik az európai adatvédelem új korszaka – amelyet már jó előre elég sok kritika ér, mert többen túl bonyolultnak, korszerűtlennek, sőt kontraproduktívnak tartják.

Tényleg új korszak jön vagy csak túllihegjük?

Annyi biztos, hogy bő két évtizede nem történt ekkora változás Európában az adatvédelem terén. Eddig egy 1995 óta érvényes irányelv szolgált az EU-s adatvédelem alapjául, amelyet minden országnak külön át kellett ültetnie a maga nemzeti jogrendszerébe, tehát az uniós szabályozás nem volt egységes, még ha a joggyakorlat az évek során igyekezett is rendet vágni ezen a téren. A legfontosabb újdonság, hogy mivel a GDPR nem irányelv, hanem rendelet, minden tagországban közvetlenül alkalmazandó.

Arról viszont megoszlanak a vélemények, hogy a rendelet valóban egyszerűsödést hoz-e, vagy még tovább bonyolítja az eddigi helyzetet.

Mindkét állítással egyet lehet érteni. Hosszú távon a jogalkotó célja szerint egységesedik az európai jogalkalmazás, így a multinacionális nagyvállalatoknak nem kell országok szintjén egyénileg foglalkozniuk az adatvédelemmel. Ez egyszerűsítés. Azonban a szabályoknak az adatkezelők döntő többsége nem felel meg, így a megfelelésre fel kell készülni. Ez bonyolult, bürokratikus és drága. És sajnos a rendszerek fenntartása is az lesz, összességében sok-sok milliárd forintot elköltöttek már most a GDPR-ra való felkészülésre a magyar vállalatok

– mondta az Indexnek Kulcsár Zoltán, a PPOS adatvédelmi jogásza.

Az nyilvánvaló, hogy több adminisztratív terhet ró az adatkezelőkre és adatfeldolgozókra, mint eddig, és ezt kellő fenyegetettséggel alá is támasztja. De akik eddig betartották a szabályokat, azoknak viszonylag könnyű lesz alkalmazni a GDPR előírásait, mert nagy vonalakban a jelenlegi szabályokra és joggyakorlatra épül

– nyilatkozta Vári Csaba, a DLA Piper adatvédelmi jogásza.

Az egyébként általánosan elfogadott nézet, hogy az eddigi magyar adatvédelmi szabályozás – az Infotörvény – uniós szinten eddig is szigorúnak számított, így ilyen szempontból mi jó esélyekkel vágunk neki a változásnak. Csakhogy a gyakorlatban azért akad probléma itthon is.

Ha egy adatkezelő korábban betartotta az Infotörvény szabályait, számára valóban nincs sok változás. A fő probléma az, hogy a többség a mai adatvédelmi szabályoknak sem felel meg

– foglalta össze a helyzetet Kulcsár.

Péterfalvi Attila, a GDPR magyarországi végrehajtásáért felelős Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke szerint ez azért túlzás, de az tény, hogy a hatóság az adatvédelmi vizsgálatok jelentős részénél állapított meg jogellenes adatkezelést, ami szerinte nem is feltétlenül fog azonnal megváltozni a GDPR-ral sem. Abban viszont ő is egyetért, hogy az eddigi szabályozáshoz és a kialakult gyakorlathoz képest – a büntetés mértékén túl – kevés lényegi változást hoz az új rendelet.

Az adatbiztonság kérdését, az adatok informatikai védelmét viszont Péterfalvi szerint sokkal komolyabban veszi az új rendelet.

Ami lényeges eltérés, az az elszámoltathatóság elve. A GDPR azt mondja, hogy nemcsak meg kell felelni az adatkezelés szabályainak, hanem ezt bizonyítani is tudni kell. Ezért nem spórolható meg, hogy az adatkezelő megnézze a mai adatkezelését, hogy az GDPR-kompatibilis-e, illetve hol kell változtatnia rajta. Ebbe beletartozik az adatbiztonság követelménye is, hiszen azzal nagyot lehet bukni, ha valakinek meghekkelik az informatikai rendszerét.

Ezt szolgálja a beépített adatvédelem (Privacy by Design) nevű alapelv is, amely a gyakorlatban nehezen megfogható, de már a magyar hatóság is hivatkozik rá egyes döntéseiben. A lényege, hogy az adatbiztonság nem lehet puszta utógondolat, bármilyen új rendszer vagy szolgáltatás fejlesztésekor már a tervezés fázisában szem előtt kell tartani.

De nézzük szépen sorjában, hogy mit érdemes tudni a GDPR-ról: mi fogja leginkább érinteni az átlagembereket, mi mindennel kell megbirkózniuk a cégeknek, és hogy állunk itthon a felkészüléssel.

Egyáltalán mi az a személyes adat, és kinek kell?

rendelet szövege szerint minden személyes adat, ami alapján egy ember azonosítható, például a név, telefonszám, lakcím, helyadatok, emailcím és más online azonosítók ugyanúgy, mint az illető "testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó" tényezők. Ezen belül külön kategóriát és extra védelmet élveznek az olyan érzékeny adatok, mint a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra, szexuális életre vagy szexuális irányultságra vonatkozó adatok, illetve a genetikai, biometrikus és egészségügyi adatok.

Elektronikus személyazonosító igazolványt tart kezében tulajdonosa az első új típusú okmány átadása alkalmából tartott sajtótájékoztatón a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatalában 2016. január 11-én. Fotó: Máthé Zoltán / MTI

Egyes kritikák meg is jegyzik, hogy túl nagy a merítés, vagyis a rendelet túl széles körben határozza meg a személyes adatok fogalmát. Kulcsár Zoltán szerint viszont ez éppen a rendelet egyik előnye:

Munkám során sokszor találkoztam azzal a felfogással, hogy mivel én nem tudom beazonosítani az egyént, ezért az adott adatot nem kezelem személyes adatként. Így a cégek akár óriási, egészségügyi adatokat is tartalmazó adatbázisokat is kezeltek, és mivel szerintük az adatvédelemre vonatkozó szabályozást nem kell alkalmazni, az adatbiztonságra sem fordítottak különösebben nagy súlyt. Ha ez az adatbázis kikerül a nagyvilágba, akkor vannak módszerek, amelyekkel az adatbázisban szereplő egyének mégis beazonosíthatók.

A GDPR tehát az egyik oldalról mindenkit érint, hiszen ilyen-olyan személyes adatait mindenkinek kezeli valamilyen szervezet. A másik oldalról pedig minden olyan cégre, szervezetre vonatkozik, amely személyes adatot gyűjt, kezel, tárol, dolgoz fel vagy használ.

Mivel a rendelet célja az uniós állampolgárok adatainak védelme, új elem, hogy az EU-n kívüli országok cégeire is vonatkozik, ha azok EU-s magánszemélyek vagy cégek adatait kezelik. Újdonság az is, hogy egyablakos lesz a rendszer, vagyis egy-egy cég esetében egyetlen – a központi ügyintézés helye szerinti – adatvédelmi hatóság jár majd el a határon átnyúló ügyekben, nem országonként más-más hivatal.

Fontos feltétel, hogy az adatokat csak célhoz kötötten és csak az ahhoz a célhoz szükséges mértékben, módon és ideig lehet gyűjteni, kezelni és megőrizni. Vagyis a cégek csak azt gyűjthetik majd be, amire tényleg szükségük van a kínált szolgáltatás teljesítéséhez, és ha ez megtörtént, az adatokat törölniük kell.

Ahhoz, hogy egy cég megkaphassa az adatainkat, valamilyen jogalapra van szüksége. A GDPR értelmében megfelelő jogalap az adatkezeléshez, ha:

  • kifejezett hozzájárulásunkat adjuk az adataink felhasználására (ha például egy oldalon előre be van jelölve egy négyzet, hogy csak a tovább gombra kelljen kattintani, az nem elég),
  • az adatkezelés szükséges egy minket érintő szerződés teljesítéséhez,
  • az adatkezelő jogi kötelezettségéből fakad (például meg kell őriznie a számlákat),
  • a mi vagy egy másik ember létfontosságú érdekeinek védelméhez szükséges (például egészségügyi adatok esetében),
  • közérdekű feladat végrehajtásához kell (például önkormányzatok esetében), vagy
  • jogos érdek fűződik hozzá (például számla kiállításához van szükség az adatokra).

Mi az, ami az átlagembernek is fontos?

Elsősorban nyilván az, hogy milyen jogokat ad neki a rendelet. Ezek közül a legunalmasabban hangzó, egyben mégis a legszembetűnőbb, hogy átlátható tájékoztatást kell kapniuk arról, ki, miért és hogyan kezeli az adataikat. Ezeket az információkat egyszerű és közérthető formában kell tálalni és könnyen hozzáférhetővé kell tenni.

A Cambridge Analytica-Facebook-botrány kapcsán is felmerült, hogy a különböző hozzájárulások, amiket a felhasználók adnak ezeken a felületeken, nem biztos, hogy kellően megalapozottak. Ezentúl olyan nyelven kell megfogalmazni a tájékoztatást, hogy az ne csak az adatvédelemmel foglalkozó jogászok számára legyen érthető, hanem a laikus embereknek is

– mondta Vári Csaba, aki szerint a megfelelő tájékoztatás eddig is jogszabályi követelmény volt, de az elszámoltathatóság követelménye és a GDPR nagy büntetési tételei miatt várhatóan ezt komolyabban fogják venni a cégek, így valóban növekedni fog a transzparencia. A Facebook például épp az elmúlt hetekben tette átláthatóbbá az adatvédelmi beállításait és az adatkezelési szabályzatát is – amiben nyilván a Cambridge Analytica-botrány miatti nyomás is közrejátszhatott, de a cég már az előtt bejelentette a módosítások tervét, éppen a GDPR-ra hivatkozva.

Fontos újdonság lesz, hogy minden adatkezelőnek bejelentési kötelezettsége lesz adatvédelmi incidens esetén. Vagyis ha egy céget mondjuk meghekkelnek és ellopják a felhasználók adatait, a cégnek, amint erről tudomást szerez, de lehetőség szerint legkésőbb 72 órán belül jelentenie kell ezt a NAIH-nak, illetve az érintett felhasználók felé is, ha az incidens valószínűsíthetően magas kockázatot jelent rájuk nézve.

Az Infotörvény alapján cégen belül eddig is vezetni kellett az incidenseket, és kérésre tájékoztatást adni róluk, de bejelentési kötelezettség – egy-egy szektortól eltekintve – nem volt se a hatóság, se az érintett felhasználók felé. Bizonyos esetekben ezután is mentesülhet a cég az érintett felhasználók tájékoztatásáról, ilyen például az, ha az adatokat megfelelően titkosította, így hiába fért hozzájuk valaki, nem tud vele mit kezdeni.

Ezen kívül minden érintett

  • kérhet hozzáférést, vagyis tájékoztatást az adatai kezeléséről;
  • kérhet helyesbítést, ha valamilyen adata nem stimmel;
  • kérheti az adatkezelés korlátozását;
  • töröltetheti az adatait, ha azokat jogellenesen kezelték, vagy ha megszűnt az adatkezelés jogalapja (például ha visszavonta a hozzájárulását, és más jogalap nem maradt) – ez az úgynevezett "elfeledtetéshez való jog";
  • hordozhatja az adatait, vagyis kérheti a kezelt adatokat "tagolt, széles körben használt, géppel olvasható formátumban", hogy azokat egy másik szolgáltatóhoz átvihesse; illetve
  • tiltakozhat az adatai kezelése ellen.

Ez utóbbi vonatkozik a profilalkotásra is. Ez az a sokat kritizált gyakorlat, amikor egy cég a személyes adataink automatizált kezelésével alkot képet rólunk, hogy ez alapján ajánljon vagy szabjon személyre egy-egy szolgáltatást, a banki hitelbírálattól az Amazon termékajánlatain át a Facebook targetált hirdetéseiig. Az érintettek arról is kérhetnek tájékoztatást, hogy egy cég profilozza-e őket, és ha ezt jogosulatlanul teszi, tiltakozhatnak ellene. Külön kérhetik azt is, hogy a profilalkotás ne legyen teljesen automatizált, vagyis hogy mindenképpen legyen a folyamatban emberi közreműködés. (Ez olyan esetekben számíthat, amikor a gépi döntésből valamilyen hátrányunk származna, és meg akarunk győződni arról, hogy nem egy rossz algoritmus szúrt csak ki velünk.)

A gyerekek személyes adatait fokozottan védi a GDPR, mivel tőlük kevésbé várható el, hogy ilyesmire figyeljenek. Ezért hozzájárulás alapján csak 16 éves kor felett lehet adatot kezelni, 16 év alatt szülői engedély kell hozzá. A GDPR nyitva hagyja a lehetőséget, hogy a tagállamok ezt a korhatárt lejjebb vigyék – legfeljebb 13 éves korig –, de itthon marad a 16 év, ahogy az egyébként az Infotörvényben eddig is szerepelt. Az adatkezelésről szóló tájékoztatást a gyerekeknek számukra is érthető módon kell megadni, az adatkezelőnek pedig "ésszerű erőfeszítéseket" kell tennie, hogy megbizonyosodjon a felhasználó életkoráról.

Na és a cégeknek mitől ilyen félelmetes?

Mert biztosítaniuk kell a fenti jog érvényesülését, aminek – függetlenül attól, hogy ezekből mennyi az újdonság – komoly jogi és technikai feltételei is vannak. Na jó, de mindenkinek volt két éve arra, hogy felkészüljön, ennyi bőven elég lehetett mindenre, nem? – kérdezhetnék, a tapasztalat viszont azt mutatja, hogy egyáltalán nem.

Két éve lehet tudni, hogy a GDPR 2018. május 25-étől lép hatályba. Ennek ellenére elmondható, hogy a magyar vállalatok túlnyomó része még egyáltalán nem készült fel. 2016-ban még nagyon távolinak tűnhetett ez a határidő. Ennek hatásaként viszont most, pár héttel 25-e előtt sokan kapkodnak, hogy meg tudjanak felelni a szigorú elvárásoknak

– mondta az Indexnek Zala Mihály, az EY kibervédelmi üzletágának igazgatója.

Munkatársak a British Telecom Magyarországon működő Európai Szolgáltató Központjában Budapesten 2014. május 9-én. Fotó: Soós Lajos / MTI

Ugyanerre enged következtetni több felmérés is. A Microsoft február közepén kiadott elemzéseszerint például a magyar cégek harmada még csak nem is hallott a GDPR-ról, és döntő többségük "azt sem tudja, vonatkoznak-e rá ezek az egyébként kötelező érvényű előírások, így a legtöbbjüknek semmiféle terve sincs arra, hogyan feleljen meg ezeknek a szabályoknak". A felmérés szerint a magyar cégek kétharmadának nincs kész terve arra, hogyan feleljenek meg a GDPR-nak, miközben a régió más országaiban csak a cégek fele ilyen felkészületlen. A Gartner összeurópai előrejelzése pedig arra jutott, hogy a GDPR által érintett cégeknek több mint 50 százaléka még 2018 végére se fog teljesen megfelelni az új előírásoknak.

A legfontosabb teendő, hogy a GDPR-ra készülve minden cégnek át kell világítania az IT-rendszereit, meg kell állapítania, hogy mi számít a GDPR hatálya alá tartozó személyes adatnak és mi nem, előbbieket hol tárolják és hogyan, megfelel-e a gyakorlatuk az új szabályoknak, és ha nem, min kell változtatni.

Az átvilágítás módszertana sok esetben indokolatlanul bonyolult, nehezen átlátható, aminek kétségkívül előnye az átvilágítást végző részéről, hogy nagyon sok munkaórát lehet rá elszámolni. A mesterségesen gerjesztett hájp létrehozta az igényt arra a szolgáltatásra, amelyet rögtön ki is lehet elégíteni. Ez viszont rámutat egy problémára: a sokak által minimumként kommunikált átvilágítási feladatok az adatkezelők jelentős része, a kkv-szektor túlnyomó többsége számára gyakorlatilag végrehajthatatlanok, részben egyszerűen azért, mert nincs rá pénz. Nem hinném, hogy az lenne a jogalkotó (és a jogalkalmazó) célja, hogy tönkretegye mindazokat, akik nem tudják az éves árbevételük jelentős részét elkölteni most egy átvilágításra és fejlesztésre

– mondta a felkészülés nehézségeiről Freidler Gábor.

A fő újdonságok:

  • Az átvilágítást az új szabályokra készülve mindenkinek el kell végeznie.
  • Emellett szükség lehet adatvédelmi hatásvizsgálatra is, de ezt nem minden cégnek és nem csak a GDPR bevezetése előtt kell elvégezni. "Ha valaki mondjuk egy új technológiával járó üzleti folyamatot akar bevezetni, és ez előreláthatólag nagy kockázatot jelent az érintettek számára, akkor mindig előzetes hatásvizsgálatot kell készítenie arról, hogy mik ezek a kockázatok és hogy lehet ezeket mérsékelni" – magyarázta Vári Csaba.
  • Azoknál a szervezeteknél, amelyek közfeladatot látnak el, jellegükből adódóan "rendszeres és szisztematikus, nagymértékű" megfigyelést folytatnak vagy különösen érzékeny személyes adatokat kezelnek, külön adatvédelmi tisztviselőt is ki kell nevezni.
  • A már említett incidensbejelentési kötelezettség ezentúl minden céget érinteni fog. Az Infotörvény alapján eddig csak az állami szervekre vonatkozott, a GDPR ezt a vállalati szférára is kiterjeszti.

Az igazi terhet azonban a jogi kötelezettségek technológiai megvalósíthatósága jelenti.

A legnagyobb kihívás valószínűleg a helyes technológiai megoldások megválasztása. A GDPR terjedelmes dokumentum, amely több különböző elvárást fogalmaz meg a személyes adatokat kezelő szervezetekkel kapcsolatban. Ezeket többnyire valamilyen technológiai megoldással kell alátámasztani és megvalósítani. A rendelkezés viszont nem részletezi, hogy pontosan hogyan kell ezt megtenni

– mondta Zala Mihály.

A legtöbb fejfájást a szakértők szerint a személyes adatok törlése fogja okozni, mert egyáltalán nem magától értetődő, hogy egy rendszer képes-e erre.

A GDPR által meghatározott „elfeledtetéshez való jog” biztosítása rendkívül nehezen megoldható feladat. Rengeteg olyan IT-rendszer létezik (például archiválási rendszerek, adattárházak, data lake-ek, stb), ahol a törlési funkció egyszerűen nincs definiálva. Ez abból adódik, hogy sokkal olcsóbb eltárolni az adatokat, mint törölni, ez utóbbinak ugyanis nagy az emberierőforrás-igénye, ennek megfelelően rendkívül költséges is. Ez sokaknak jelent majd problémát

– mondta az Indexnek Csillag Péter, a fél Szilícium-völgynek adatokat bányászó magyar cég, a Starschema alapító-ügyvezetője.

A Solix felmérése szerint az adattörlési kérések teljesítésére az érintett cégek kétharmada nem áll készen: nem tudják biztosan, hogy egy adott felhasználó adatai mindenhonnan és véglegesen törlődnek-e a rendszereikből; 82 százalék pedig nem tudja azt sem, hol tárolja a legérzékenyebb adatokat. És akkor az olyan triviálisabb problémákról még nem is beszéltünk, mint hogy egy cégnek tudnia kell igazolni azt is, hogy tényleg egy adott ügyfél kéri az adatok törlését, nem valaki más a nevében – mint amikor egy kollégánknak sikerült véletlenül túljárnia a BKK eszén.

Az adatbiztonság fokozására a GDPR többféle technológiát is ajánl. Ilyen az álnevesítés, amikor az érintettek valódi nevét a hozzájuk kapcsolódó adatoktól elkülönítve tárolják. A rendelet szerintugyanakkor az álnevesített adatokat továbbra is személyes adatnak kell tekinteni – akárcsak a titkosított adatokat –, mert végső soron a kellő információk birtokában azonosítható a gazdájuk. Nem vonatkozik viszont az adatvédelem az anonimizált adatokra, mert ezek eredete elvileg nem követhető vissza – más kérdés, hogy a gyakorlatban az anonimizálás nem feltétlenül elegendő, hiszen többször bebizonyosodott már, hogy bizonyos esetekben mégiscsak kikövetkeztethető, kit takarnak az adatok.

Vári Csaba szerint a jogalkotóknak mindig nehézséget okoz, hogy lépést tartsanak a technológiai fejlődéssel, egy ilyen európai szintű egyeztetési folyamat meg pláne elég lomhának számít. Szerinte a GDPR-nak már eleve azt a kiindulópontját sok bírálat éri, hogy az adatkezelőt helyezi a középpontba; a kritikusok szerint ezt az egész látásmódot módosítani kéne, és "az lenne a jó, ha az érintettek rendelkezhetnének a saját adataik felett, és nem az adatkezelőkre bíznák ezt".

A GDPR alapjait érintő kritikákkal Freidler Gábor is egyetért:

Az egyik legnagyobb problémám a GDPR-ral, hogy nem korszerű. Több évtizedes elveket és intézményeket alkalmaz egy olyan területen, ahol óriási volt a változás az elmúlt időszakban. Amikor ezek a jogintézmények kialakultak, egy nagy cégnél volt egy irattár, ahol ott volt az összes munkavállaló aktája A-tól Z-ig, esetleg volt pár számítógép, jó esetben lokális hálózatban. Ha valaki itt kérte az adatai törlését, egyszerűen kivették az aktáját, ledarálták, és megnyomták a delete gombot a program megfelelő rekordja fölött. Most ezek az adatok ott vannak a munkatársak egymásnak küldött emailjeiben, a biztonsági mentésekben, a törlés így gyakorlatilag lehetetlen. És ez egy olyan gyakorlati probléma (a sok közül), amelyet a GDPR betű szerinti értelmezésével nem lehet megválaszolni. Abban különösen bizonytalan vagyok, hogy a GDPR alkalmas lesz-e arra, hogy az adatvédelem újabb kihívásaira megfelelő választ adjon.

A kutatók kiakadtak

Több biztonsági szakértő aggodalmát fejezte ki, mert szerintük a GDPR szigora el fogja lehetetleníteni a munkájukat azzal, hogy hozzáférhetetlenné tesz eddig szabadon elérhető információkat egy-egy weboldal tulajdonosáról (az úgynevezett WHOIS információkat), és ezzel végső soron a csalóknak kedvez.

Zala Mihály ennél optimistább, szerinte a megerősített adatvédelem összességében inkább pozitív irányba fog hatni az internetes csalások számára: "A WHOIS jegyzékek nagy része az Európai Unión kívül, tipikusan az USA-ban van, így a rendelet csak közvetve hat rájuk. Ugyanakkor a GDPR sok más módon lehetetleníti el az internetes csalók dolgát, például a személyes adatokkal való visszaélést azok többszörös védelmével próbálja nehezíteni. Reményeink szerint a szélhámosok dolgát összességében hátráltatni fogja az új szabályrendszer, míg a biztonsági szakértők munkáját csak elhanyagolható mértékben befolyásolja. A valóságról viszont csak néhány hónappal május után lehet majd pontos képet alkotni."

Jöhet a gigabüntetés

A GDPR legnagyobb és legtöbbet emlegetett újdonsága, hogy brutálisan megemeli a lehetséges bírság mértékét: az eddigi – európai viszonylatban enyhének számító – maximális hazai büntetés 20 millió forint volt, az új rendelet szerint ez 20 millió euróra (6,2 milliárd forintra) emelkedik, vagy a jogsértést elkövető cég előző pénzügyi évi teljes forgalmának 4 százalékára (amelyik a magasabb).

Az extrém magas bírságtól azt várják, hogy kellő elrettentő erőt fog kölcsönözni az új rendeletnek, bár nem mindenki ért egyet azzal, hogy ez a legjobb eszköz az adatvédelmi hatékonyság fokozására.

Hiába létezik több évtizede adatvédelmi szabályozás Európában és itthon is, az adatkezelői kultúrát nem sikerült megváltoztatni. Ehhez csak egy nagy bírság fenyegetettsége volt elég. Ez mindenképpen az adatvédelmi jogalkotás és jogalkalmazás elmúlt évtizedeinek a kudarca. Kérdéses, hogy mennyire lesz pozitív és hiteles a változtatás, amelyet kizárólag a bírság fenyegetettsége vált ki

– mondta Freidler Gábor.

A bírság mértéke persze a jogsértés súlyától függ, a kevésbé komoly ügyeknél maximum 10 millió euró vagy 2 százalék lesz. Egyébként is törekszik az arányosságra a rendelet, és ehhez szempontokat is kínál, figyelembe kell venni például, hogy milyen volt a jogsértés jellege, súlyossága, időtartama, milyen adatokat érintett, szándékos vagy gondatlan volt-e, mennyi érintettje volt, volt-e már korábban ilyen jogsértése az adott cégnek, és így tovább.

Vári Csaba szerint a legfenyegetőbb büntetés a csak legkirívóbb eseteket fogja érinteni. "A GDPR felsorolja azokat az előírásokat, amiknek a megsértése ide tartozik. Például ha az adatkezelés elveit sérti meg az adatkezelő, ha az érintettek jogai gyakorlását nem teszi lehetővé vagy ha a külföldre történő adattovábbítással kapcsolatban van szabályszegés. Viszont önmagában az, ha valaki például nem válaszol az érintettnek egy személyes adat javítására vonatkozó kérelmére, nyilvánvalóan nem fogja megalapozni a 20 millió eurós bírságot."

Ezzel együtt a magyar cégeknek is számolniuk kell azzal, hogy az eddigieknél jóval komolyabb következménye lehet a szabálysértésnek.

Ha jelentősen emelkedik a maximális összeg, akkor emelkedni fognak a bírságok is. Mivel nem a nemzeti GDP a bírság kiszabásának a szempontja, a bírságoknak is közelíteniük kell egymáshoz, ha nem is lesznek azonnal azonos mértékűek. Egész egyszerűen az nem lehet, hogy azonos jogszabály mellett ugyanolyan jogsértéseknek a szankcionálásánál jelentős különbségek maradjanak a tagországok között

– mondta Péterfalvi Attila.

Különösen a mikro-, kis- és középvállalkozások számíthatnak érzékeny változásokra. A kkv-k a Kúria korábbi döntése értelmében ma első körben nem bírságolhatók. Péterfalvi szerint ez a kivétel nem kerül be az Infotörvényt a GDPR-hoz igazító módosításba, mert az uniós szabályokba ütközne. "Ez nem azt jelenti, hogy azonnal milliárdos bírságokat fogunk kiszabni rájuk, de azt nem gondolhatják, hogy bármit megtehetnek, mert első ízben úgyse lehet őket bírságolni."

Persze sok múlik majd azon, milyen lesz a hatósági gyakorlat.

A hatóság is késésben van

Nemcsak a cégek futnak versenyt az idővel, hanem a NAIH, illetve a törvényhozás is. A GDPR élesedéséig ugyanis a parlamentnek mindenképpen el kellene fogadnia az Infotörvény módosítását, egyúttal hivatalosan is ki kellene jelölnie a NAIH-ot mint végrehajtó hatóságot, ez viszont a mai napig nem történt meg. (A további szektorálistörvény-módosításokról nem is beszélve.)

A 2012-től működő adatvédelemmel foglalkozó Nemzeti Adatvédelmi és Információszabadság Hatóság épülete a Szilágyi Erzsébet fasorban. Fotó: Kovács Attila / MTI

Pedig ha kicsúszunk a határidőből, az EU kötelezettségszegési eljárást indíthat Magyarország ellen.

Egy ideális világban a hatóságok 2016 tavaszán közzétették volna az elvárásaikat, és onnantól kezdve lett volna két évük az adatkezelőknek a felkészülésre. Ilyen értelemben a NAIH és az összes hatóság elkésett. A szükséges jogszabály-módosítások közül a legfontosabb, az Infotörvény tervezete már augusztusban napvilágot látott, és először őszi ülésszaki elfogadást ígértek. Mai állás szerint örülünk, ha május végéig meglesznek

– mondta Kulcsár Zoltán.

Maga Péterfalvi Attila is hasonlóan értékelte a helyzetet:

Nincs még benyújtva a törvénytervezet, ami azt jelenti, hogy már csak a választások után felálló új parlament elé kerülhet be. Akkor viszont azonnal be kell kerülnie, mert május 25-ig meg kell lennie a jogszabálynak, ezt árgus szemekkel figyeli az Európai Bizottság. Nem vagyunk egyedül egyébként, több tagországban sincs még meg a törvény.

Biztosan meglesz viszont az új online incidensbejelentő felület, amelyet kifejezetten a GDPR-hoz fejleszt a NAIH. "Zajlik a tesztelése, tehát május 25-ig mindenképp üzembe fog lépni. Érdekes, hogy az egész GDPR elfogadásának az indoka a digitalizáció-globalizáció, mégis a Bizottság ragaszkodott ahhoz, hogy nem elegendő csak elektronikus úton a bejelentések lehetővé tétele, így megmarad a papíralapú bejelentés is. Nyilván a hatóság az elektronikus utat preferálja majd" – tette hozzá Péterfalvi.

Még ha sikerül is időben átverni minden módosítást, a legnagyobb kérdés az, hogy maga a NAIH gyakorlata milyen lesz az új érában, mennyivel várható több vagy szigorúbb ellenőrzés.

A GDPR értelmében a hatóság bejelentés alapján és hivatalból is indíthat majd vizsgálatot (eddig ez csak bejelentésre történt), és az érintett kérelmére és hivatalból is kezdeményezhet hatósági eljárást (ma erre csak hivatalból van lehetőség). Mindehhez az eddiginél több erőforrásra lesz szükség, amelyet meg is ad a NAIH-nak az állami költségvetés.

Jelentős létszámfejlesztést kapunk, hiszen összességében a GDPR miatt 40 fővel lesz több munkatárs a hatóságnál. Ebből 5 főt megkaptunk tavaly, és idén még 35 fővel bővülünk. Ezzel az adatvédelmi ügyekkel foglalkozók létszáma körülbelül megduplázódik. De egy csomó új feladatunk is van, az engedélyezési eljárásoktól az incidensjelentések kezelésén át az uniós egyeztetési mechanizmusokig. A bővítés tehát nem jelenti azt, hogy meg tudjuk duplázni a vizsgálatok számát is

– mondta Péterfalvi.

"Ma az ügyeink jelentős része panaszbeadvány alapján indul, ez a jövőben is így lesz, tehát május 26-án nem fogunk kirohanni mindenhová és hivatalból ellenőrzést indítani. Ilyen téren nem várható semmiféle változás a NAIH hozzáállásában" – tette hozzá. Szerinte a fő változás a sokkal szorosabb európai együttműködés lesz: folyamatos egyeztetés lesz, és több közös vizsgálatban fognak részt venni.

Abban viszont senki ne reménykedjen, hogy csak azért, mert sokan nincsenek még felkészülve, bármiféle extra türelmi idő lenne várható a NAIH-tól.

A felkészülési időszak lejár, május 25-étől a GDPR-t kell alkalmazni, itt egész egyszerűen nem lehetünk elnézőek.

Dübörög az uniós adatvédelmi reform

Bár most mindenki a GDPR-ral elfoglalva, ezért ez a cikk is elsősorban erről szól, az új rendelet valójában az EU átfogóbb adatvédelmi reformjának csak az egyik építőeleme, még ha a legfontosabb is.

  • Szintén május 25-én élesedik a bűnüldözési célú adatkezeléseket szabályozó irányelv. Ennek a célja az ilyen típusú személyes adatok védelme mellett az is, hogy a tagországok bűnüldöző szervei közötti gördülékenyebb adatmegosztással hatékonyabbá tegye a határokon átnyúló bűnesetek, például a terrorizmus felderítését. Mivel itt nem rendeletről van szó, a közvetlenül alkalmazandó GDPR-rel szemben ezt országonként át kell ültetni a nemzeti jogrendszerbe.
  • A GDPR fontos kiegészítésének szánja az EU az ePrivacy (becsületes nevén: elektronikus hírközlési adatvédelmi) rendeletet, amely a netes szolgáltatásokat és az online kommunikációt szabályozná: fokozottabban védené a magánszférát; korlátozná a metaadatok felhasználását; egyszerűsítené a weboldalak sütikezelési szabályait; illetve védene a kéretlen marketinges emailek és telefonhívások ellen. Bár eredetileg ezt is májusra tervezték, csúszik az elfogadása. Péterfalvi Attila "nagyon bízik benne, hogy 2018-ban meglesz", más vélemények szerint akár 2019-re is áttolódhat.
  • Az adatvédelmi kirakós fontos darabja a külföldi adattovábbítás, vagyis amikor egy cég uniós állampolgárok adatait az EU-n kívülre akarja vinni. Ennek a lehetőségeiről a GDPR elfogadásakor írtunk, a vonatkozó rész ide kattintva közvetlenül elérhető. Mivel a legtöbbeket a Facebook, Google és társaik esete érdekli – és mivel az amerikai adatvédelmi szabályok már most is sokkal lazábbak az európainál –, érdemes külön is megemlíteni az EU–USA adattovábbítási keretmegállapodást, amelynek a neve Privacy Shield, és ebben a cikkben külön is írtunk róla.
  • Nem kifejezetten a felhasználók adatainak védelméről szól, mégis említést érdemel a NIS, vagyis a hálózati és információs rendszerek biztonságáról szóló irányelv is. A GDPR-hoz hasonlóan ezt is 2016-ban fogadták el, idén májusig kell átültetni a nemzeti jogrendbe, és a célja a kritikus infrastruktúra és a digitális szolgáltatók védelme. Ebben a cikkben foglalkoztunk vele részletesen.

Forrás: Index