Rafinált módon igyekszik elfedni a kormány az adatvédelemmel kapcsolatos mulasztásait. A kis és középvállalkozások (kkv) „félelmeire” hivatkozva ígéri: a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az adatvédelmi előírások megsértése esetén a kkv-kat csak figyelmeztetni fogja, szankcionálni nem. Erről beszélt legalábbis Gulyás Gergely, Miniszterelnökséget vezető miniszter a csütörtöki kormányinfón. Arra már nem tért ki, hogy a jelenlegi helyzetben a NAIH mást nem is tehet, éppen a kormány mulasztása miatt.
Az ügy hátterében az Európai Unió mától alkalmazandó új adatvédelmi rendelete, a GDPR (General Data Protection Regulation) áll, amelynek értelmében május 25-ig ki kellett volna jelölni egy kétharmados törvénymódosítással a nemzeti adatvédelmi hatóságot. Ezen jogtechnikai lépés hiányában hiába létezik már nálunk évek óta a NAIH, mától nem járhat el adatvédelmi ügyekben, így nem is bírságolhat. Márpedig sem az előző kormány, sem a mostani nem nyújtott be a határidőig ilyen irányú javaslatot, annak ellenére, hogy két évük volt erre.
Az új rendelet a személyes adatok kezelésére és védelmére vonatkozik. Ezek közé tartozik a név, a személyazonosító, az online azonosító és a tartózkodási hely. A szigorú előírásokat alkalmazni kell az úgynevezett érzékeny személyes adatok kezelésére is. Ilyenek a biometrikus adatok, továbbá a nemre, a politikai nézetekre, az egészségügyi állapotra és a vallásra vonatkozó információk.
Kerestük ezzel kapcsolatban az Igazságügyi Minisztériumot és a NAIH-ot is, mert szerettük volna megtudni, hogyan értékelik ezt a helyzetet és várhatóan mikorra születnek meg a GDPR alkalmazásához szükséges jogszabályok, de lapzártánkig egyik helyről sem kaptunk választ.
Ami a bírságokat illeti: nem kis pénzről van szó. A GDPR-nak talán az egyik legismertebb újítása, hogy az adatvédelmi előírások megsértése akár 20 millió eurós vagy az árbevétel 4 százalékáig terjedő bírságot vonhat maga után. Ráadásul az uniós rendelet értelmében megszűnik az a kkv-szektor számára eddig biztosított gyakorlat, amely alapján elsőre nem büntetett, csak figyelmeztetett a hatóság. Egy ilyen magas összegű bírság a padlóra küldené a kkv-kat, amelyek amúgy a hazai cégek több mint 95 százalékát teszik ki, és amelyek ráadásul teljes joggal tarthatnak a bírságtól. Becslések szerint 70 százalékuk ugyanis még a mostani előírásoknak sem felel meg, a GDPR-t illetően pedig még nagyobb a tájékozatlanság.
Gulyás Gergely joggal hivatkozik tehát a kkv-k félelmeire, amikor azt mondja: a kormány mindent megtesz annak érdekében, hogy a rendelet a kkv-szektor működését ne nehezítse meg, ezért a kamarákkal és a NAIH-hal közösen kidolgozott szabályozást szeretnének, amelyben osztrák mintára a hatóság csak figyelmeztethet, de nem szankcionálhat.
Nagy kérdés ugyanakkor, hogy ezek után a kkv-k mennyire lesznek motiváltak betartani a szabályokat. A másik problémára a lapunknak név nélkül nyilatkozó ágazati szakértő hívta fel a figyelmet. Ez pedig az, hogy az uniós rendelet magasabb szintű jogszabály, mint a nemzeti, ezért azt nemzeti szabályozással felülírni nem lehet. Magyarán a kormány nem hirdethet bírságolási moratóriumot a kkv-k számára, hiszen az ellentétes volna az uniós rendelettel. De még ha sikerülne is ezt kiharcolni Brüsszelben, nem egyértelmű, mi történne, ha egy másik uniós ország állampolgára élne panasszal egy magyar webshop adatkezelését illetően.
Mától az egész Európai Unióban alkalmazni kell az unió új adatvédelmi rendelete. Az Európai Parlament és a Tanács még 2016-ban fogadta el a jogszabályt, ami akkor hatályba is lépett, ám bevezetésére két év haladékot kaptak a tagállamok. A felkészülés élég komótosan haladt, fél-egy éve ébredtek rá a helyi hatóságok és a cégek is, hogy valamit kezdeni kell ezzel az adatkezelésben amúgy mélyreható változásokat előrevetítő csomaggal.
A felmérések azt mutatják, hogy az érintett vállalatoknak és szervezeteknek legalább a fele nem készült fel az új normák alkalmazására. De a tagállamok többsége sem sietett a nemzeti szabályok megalkotásával. Idén januárig a 28 országból csak Ausztria és Németország módosította a GDPR bevezetéséhez szükséges nemzeti törvényeit. A Baker McKenzie konzultációs cég szerint Bulgária, Görögország, Málta, Portugália és Románia még arról sem közölt információkat, hogyan fogja végrehajtani a rendeletet. Szakértők abban is kételkednek, hogy az adatvédelmi hatóságok bírni fogják-e szusszal a rendelet betartatásával járó többletmunkát.
Az új jogszabály pedig alapvetően megváltoztatja az európai adatvédelmet, és egységes előírásokat vezet be minden tagországban. Lehetővé teszi az európai polgárok számára, hogy ellenőrizhessék, mely adataikat és hogyan tárolják a velük kapcsolatban álló online cégek, ügynökségek. Átalakítja és korszerűsíti a vállalkozások és a kormányzati szféra adatkezelési szabályait. Emellett törvénybe foglalja a magánélet védelmét szolgáló titkosítás, illetve álnevesítés elvét.
Mostanáig az internetező európaiak simán megengedték az online platformoknak, hogy tárolják, kezeljék és eladják a róluk szóló személyes információkat, cserébe ingyen hozzáférhettek a cégek informatikai szolgáltatásaihoz. Például sem a Google, sem a Facebook nem kér pénzt azért, ha bárki letölti az alkalmazásaikat. De az adatbiztonság megsértéséből fakadó sorozatos botrányok — legutóbb a Cambridge Analytica ügye — súlyos aggodalmakat keltettek Európában és másutt. Amikor kiderült, hogy egyes online platformok engedély nélkül gyűjtik, kezelik és továbbítják az adatokat, sokan felhördültek: az eltulajdonított információkból vajon hányan fognak részletes személyiségrajzot alkotni a felhasználókról, majd azt akár nemtelen célokra felhasználni.
A skandalumok csak megerősítették az új szabályozás szükségességét. A mintegy 200 oldalas adatvédelmi rendeletet mától kötelező alkalmazni, s nemcsak az EU-ban működő jogi személyeknek, hanem minden olyan külföldi vállalkozásnak és szervezetnek, amelyek online szolgáltatásokat kínálnak a kontinensen. Jan Albrecht, a GDPR európai parlamenti jelentéstevője szerint a rendelettel az Európai Unió globális szabványt állít fel, amelyhez hamarosan több EU-n kívüli ország is csatlakozni fog. Szakértők szerint jelenleg ez a világ legszigorúbb adatvédelmi törvénye, amely kísérletet tesz a digitális Vadnyugat megregulázására. - Halmai Katalin (Brüsszel)
Vége a kéretlen e-maileknek
„Ha holnaptól nem rendelkezünk a hozzájárulásoddal, nem kezelhetjük tovább adataidat, végleg törölnünk kell a rendszerből, így minden korábbi vásárlásod eltűnik”– az elmúlt napokban sorra küldték ki a cégek az ilyen és ehhez hasonló értesítéseket ügyfeleiknek. Ugyanis a mától Magyarországon is alkalmazandó új uniós adatvédelmi rendelet értelmében a felhasználókat tájékoztatni kell személyes adataik kezelésének módjáról: hogyan, milyen célból és meddig tárolják ezeket az információkat. Mégpedig nem valami érthetetlen jogi nyelven: a GDPR értelmében az adatvédelmi tájékoztatók csak akkor megfelelőek, ha azok nyelvezete közérthető, és az adott cég honlapján könnyen megtalálható helyen teszik közzé.
Ami miatt azonban most sorra felkeresik ügyfeleiket a cégek, az az, hogy GDPR szigorítást hoz az adatkezeléshez való hozzájárulás tekintetében. Annak mindenképpen önkéntesnek kell lennie, vagyis nem lehet kötelezővé tenni például egy webshopban a személyes adatokkal történő regisztrációt a vásárláshoz, nem köthető a vásárlás a hírlevélre történő feliratkozáshoz, nem lehet előre kipipálni a hozzájárulást kérő négyzetecskét. A különböző adatfelhasználási célokhoz – statisztika, szerződéskötés, e-mailmarketing, számlázás, szállítás – ráadásul külön-külön kell kérni a hozzájárulást.
Bár az új szabályozás az összes, az unió területén tevékenykedő cégre és intézményre vonatkozik, az utóbbi időben leginkább a webáruházak részéről érezhető, hogy igyekeznek menteni, mi még menthető, és egyesével bekérni a hozzájárulásokat, ha eddig kihagyták ezt a lépést. Ez szakértők szerint ugyan nem teljesen jogszerű eljárás, minden estre a cégek már előre próbálják minimalizálni veszteségeiket. Ezzel együtt komoly vásárlói adatbázist fognak veszíteni, hiszen sokan nem szeretnek az ilyen e-mailekre reagálni, pláne, hogy most tömegével érkeznek.
Az adatok nem megfelelő kezelése azonban nem csupán kéretlen e-mailek garmadát eredményezheti a netezők postaládájában: a ma rendkívül népszerű egészségügyi applikációk és okosórák is például számos olyan szenzitív adatot tartalmaznak, amelyeknél nem szerencsés, ha arra méltatlan kezekbe kerülnek, de igaz ez a banki adatokra is. Ezért kíván az adatok korlátlan bekérésének és felhasználásának gátat szabni a GDPR-rel az unió.
A vállalkozásoknak ezért mától bizonyítania is tudni kell, hogy az adatkezeléshez az ügyfél hozzájárult: ezzel belép az elszámoltathatóság elve.
Mindez elvileg nem kellene, hogy komoly fejtörést okozzon a magyar cégeknek, a hazai infotörvény ugyanis eddig is szigorúan szabályozta az adatvédelmi kérdéseket. Csakhogy a cégek egy része – különösen a kis és középvállalkozások (kkv) – már ezeket az előírásokat sem tartotta be, leginkább azért, mert nem is ismerik azokat. A GDPR előírásaival hasonló a helyzet: számos felmérés jelent meg az utóbbi időben arról, hogy a magyar cégek jelentős része egyáltalán nincs tisztában szabályokkal, nincs is rá felkészülve, egy részük pedig egyenesen úgy véli, rá nem is vonatkozik. - V.A.D.