Gazdaság

Legolcsóbb a megelőzés

Tévhit, hogy nem büntetnek a hatóságok az új adatkezelési szabályok alapján, vagy hogy a kisvállalkozók megúszhatják bírság nélkül – figyelmeztet Péterfalvi Attila, a NAIH elnöke

Nemcsak bejelentésre várható ellenőrzés, hanem egész szektorokon, EU-szinten összehangolva vizsgálódhat az adatkezelők körében a Nemzeti Adatvédelmi és Információszabadság Hivatal (NAIH) a GDPR alapján. Tévedés az is, hogy elsőre biztosan nem szabnak ki pénzbírságot, nem menekülnek a kisvállalkozók sem – mondta el lapunknak a NAIH elnöke. Vassné Farkas Enikő adatvédelmi tisztviselő pedig arról beszélt, kinek elegendő egy adatvédelmi szabályzat, és kinek kell adatvédelmi tisztviselőt alkalmaznia.

Péterfalvi Attila és Vassné Farkas Enikő 20180730
Péterfalvi Attila és Vassné Farkas Enikő (Fotó: MH)

Vihar előtti csend. Így jellemezte lapunk megkeresésére Péterfalvi Attila, a NAIH elnöke az új, európai uniós szintű információs szabályozás, közkeletű nevén a GDPR-ral kapcsolatos hazai helyzetet.

Sok a bejelentés

Alapvetően, mint mondta, a GDPR maga nem borítja fel azok világát, akik eddig tisztességesen kezelték a hozzájuk befutó adatokat, nem szigorodik a gyakorlat, inkább az egységesebb és racionálisabb adatkezelés az új jogszabály célja. Például ésszerű – mutat rá Péterfalvi –, hogy egy szolgáltatás megrendelésénél a szerződéskötés az adatkezelés jogalapja. Ami új, hogy a kötelezően és egységesen alkalmazandó európai uniós jogszabály leváltja a tagállamok eddig alkalmazott nemzeti szabályait, így egységes uniós adatvédelmi gyakorlat alakul ki. Ennek jó példája az adatvédelmiincidens-bejelentési rendszer – az adatkezelők kötelesek bejelenteni az adott ország adatvédelmi hatóságának, ha az általuk kezelt személyes adatok biztonsága sérült. Eddig 99 incidensbejelentés érkezett a NAIH-hoz május 25-e óta. Az adatvédelmi hatóságok együttműködésének platformot adó IMI-rendszeren keresztül pedig 137 ügyet töltöttek fel – sorolta az adatokat az elnök.

Eredetileg május 25. volt a határidő arra, hogy minden adatkezelő kialakítsa saját, a GDPR-nak megfelelő adatkezelési szabályzatát, a valóságban sokan azóta is halogatják az ennek való megfelelést. Egyesek teljesen elfeledkeznek róla, mások úgy próbálják megspórolni a GDPR-kompatibilis adatkezelési szabályzat elkészíttetésének költségeit – ahelyett, hogy erre képzett adatvédelmi szakembereket és tisztviselőket kérnének fel –, hogy letöltenek valamiféle sablont az internetről, és remélik, hogy jól sikerült átformálni saját helyzetükre.

Bírság akár első alkalommal

Számos olyan híresztelés is kering, miszerint a NAIH igazából nem is fog lecsapni, például a kisvállalkozókra, települési önkormányzatokra vagy éppen civil szervezetekre. Az indoklás változatos: azért nem, mert a kis halakat nem bántják, vagy mert nincs kapacitás a hazai vállalkozások teljes átvilágítására, esetleg azért, mert ez mégiscsak egy EU-s kötelezettség, Budapest pedig amúgy sem ápol jó viszonyt jelenleg Brüsszellel. Ha pedig mégis büntet – tudják a magukat jól értesültnek vélők –, akkor sem büntethet első alkalommal, csak felszólítást adhat.

Mindez tévedés – szögezte le Péterfalvi. Az elnök tételesen cáfolta a téves információkat: mint rámutatott, a vállalkozásoknál nem a méret dönti el, hogy folytat-e vele szemben eljárást a NAIH, akár bejelentés alapján vagy éppen az európai együttműködés keretében, amikor egy szektor átvilágítása mellett döntenek; emellett előfordulhat, hogy egy panasz kivizsgálásának során az adatkezelést más szempontból is megvizsgálja. Ugyancsak saját hatáskörén belül dönthet a hatóság arról, hogy a bejelentett adatvédelmi incidenst hatósági eljárás keretében kivizsgálja – sorolta az elnök. Azt is cáfolta, hogy megszűntek volna a május 25. előtti eljárások a folyamatban lévő ügyeknél, valamint azt, hogy most egy darabig nem ellenőriznek: indultak vizsgálati eljárások május 25. óta is. A GDPR által megkívánt eljárásbeli változásokat az infotörvény módosításaként alig két hete szavazták csak meg – ezért nem indultak még hatósági eljárások a GDPR megsértése miatt. Az sem igaz, hogy a Budapest–Brüsszel-viszony befolyásolná a NAIH működését, ellenben az EU-n belül szigorúan együttműködik a többi tagállam hatóságaival. Valamint – mint Péterfalvi mondta – az is tévedés, hogy első ízben nem lehetne bírságolni: az infotörvény nem tiltja meg .

A korábbi bírságok összege egyébként százezer és húszmillió forint között volt, s szabott már ki a maximumhoz közelítő összegűt is a hatóság. Az elnök ugyanakkor rámutatott, hogy most tíz- és húszmillió euróra (3,25–6,5 milliárd forintra) ugrott ez az összeg, és feltételezhetően az első precedens értékű ítéleteknél beáll majd valami európai átlagszintre.

A vállalkozói világban mozgó forrásaink részéről szinte mindenki fő kifogásként a GDPR-nak való megfelelés borsos költségeit emelte ki, párhuzamosan az ellenőrzés komolyságát megkérdőjelező tévhitekkel. Ezért mindennek tételesen utánajártunk.

Árak és felügyelet

Egy GDPR-kompatibilis adatvédelmi és adatkezelési szabályzat elkészítésének ára nagyban függ attól, milyen jellegű adatkezelés történik a vállalkozás esetében – mondta el lapunknak Vassné Farkas Enikő jogász, az Archikom Média Kft. adatvédelmi tisztviselője. Fontos változó, hogy hány munkavállalót foglalkoztat, milyen személyekkel és milyen keretek között, illetve történik-e EU-n kívüli országba adattovábbítás. Azt mondta, az árképzéshez első lépés mindig ezek felmérése – ha enélkül ad valaki árajánlatot, elképzelhető, hogy nem kellően felkészült a feladatra – húzta alá. Ami a számokat illeti, a költséges tanfolyamokon képzett adatvédelmi szakértők jellemzően nem dolgoznak nettó kétszázezer forintos ár alatt egy egyszerűbb adatvédelmi szabályzat megalkotása során, amely a gyakorlatban egy 25–30 oldalas jogi dokumentum hat–nyolc melléklettel.

Tehát minden adatkezelő számára kötelező a GDPR-kompatibilis szabályzat megírása és az ennek megfelelő adatkezelési gyakorlat konzekvens fenntartása, mindemellett bizonyos adatkezelők számára a GDPR 37. cikke szerint egy adatvédelmi tisztviselő megbízása vagy kijelölése is kötelező, hogy a cég elkerülje a NAIH-bírságot. Az ugyanis nem csak a nem megfelelő vagy hiányos adatvédelmi szabályzat, hanem a nem teljesen GDPR-kompatibilis adatkezelés miatt is kiszabható – mondta Farkas. A tisztviselő hozzátette: ilyen adatkezelő minden közhatalmi vagy közfeladatot ellátó szerv vagy aki tevékenysége során rendszeresen, szisztematikusan és nagymértékben figyel meg természetes személyeket – mint a GPS-szel ellátott autókkal rendelkező szállítmányozó cégek –, vagy szenzitív, például egészségügyi adatokat kezelnek – mint a magánorvosok, egyházi vagy szociális intézmények. Számukra tehát az adatvédelmi tisztviselő alkalmazása nemcsak praktikusan fontos, hanem törvényileg kötelező is – húzta alá Vassné Farkas Enikő.


GDPR, az egységes információkezelés betűszava

GDPR (General Data Protection Regulation – Általános Adatvédelmi Rendelet). Az Európai Parlament és Tanács 2016/679. rendelete, amelynek célja, hogy az EU-n belüli természetes személyek adatait az adatkezelők harmonizáltan kezeljék, az állampolgároknak pedig fokozottabb felügyeletük legyen saját adataik kezelése fölött. Az adatvédelmi tisztviselő kinevezése vagy kijelölése kötelező a közhatalmat gyakorló, szenzitív vagy szisztematikusan adatokat kezelő adatkezelőknél. Feladata a GDPR-nak megfelelő adatkezelési gyakorlat kialakítása és fenntartása, annak felügyelete, illetve az erre vonatkozó oktatás megtartása a cég dolgozóinak, valamint kérdéses esetekben a tanácsadás. Emellett a Nemzeti Adatvédelmi és Információszabadság Hatósággal is együttműködik a szükséges esetekben.

A magyarhirlap.hu weboldal sütiket (cookie) és különböző kódokat használ a megfelelő működés, elemzések készítése, a felhasználói élmény fokozása valamint az Ön számára releváns, személyre szabott ajánlatok összeállítása érdekében. Ezek használatát az Elfogadom gomb megnyomásával jóváhagyja. Bővebb információt az Adatkezelési Tájékoztatónkban talál.

Elfogadom