INFORÁDIÓ 

2018. május 24. csütörtök
Eliza, Eszter

Péterfalvi Attila: nincs menekvés a GDPR elől

Már csak néhány nap maradt az Európai Unió új adatvédelmi rendeletének hatályba lépéséig, és a nemzeti jogszabályok még nem készültek el, de Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke arra figyelmeztet, az új előírásokat ha törik, ha szakad, május 25-től mindenkinek be kell tartania. Az InfoRádió Aréna című műsorában elhangzott beszélgetés rövidített és szerkesztett változata.

Május 25-től alkalmazni kell az Európai Unió új általános adatvédelmi rendeletét. Közelebb vagyunk a jó felkészültséghez, mint januárban, amikor erről legutóbb beszéltünk?

Nagyon bízom benne. Az érdeklődés megvan. Arra nézve nincs statisztikánk, hogy az adatkezelők mennyire nézték vagy nézették át a saját adatkezeléseik GDPR-kompatibilitását. Egy korábbi felmérés szerint ez az arány nem túl magas. Különösen a mikro-, kis- és középvállalkozások helyzete kérdéses. Az országos, illetőleg megyei kamarák is szerveznek olyan konferenciákat, éppen a kisvállalkozások számára, amelyek a GDPR-ra való felkészülést célozzák meg.

Ha ennyi felkészítő oktatás van, akkor ennek az eredménye is megvan.

Azok vesznek részt ezeken a konferenciákon, akiknek a legtöbb munkájuk lesz a GDPR-alkalmazásra, vagy azok, akik egyébként is érdeklődnek az ügy iránt?

Eléggé mélyen átment már a köztudatba, sokkol a rettentő büntetés. Ezeken a konferenciákon az adatkezelők vesznek részt, akikre vonatkozik a GDPR. Az információ eljut az adatkezelőkhöz, és ha törik, ha szakad, május 25-étől alkalmazniuk kell a rendelet szabályait, és addigra a ma folyó adatkezeléseiknek is GDPR kompatibilisnek kell lenniük.

Minden nemzeti szabályozás készen van ahhoz, hogy az unió általános adatvédelmi rendelete zökkenőmentesen alkalmazható legyen?

Nem,

a nemzeti jogszabályok még nem készültek el,

ezért is fogalmaztam úgy, hogy ha törik, ha szakad, az adatkezelőknek alkalmazniuk kell a rendeletet. Ahhoz, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság a rendeletből eredő kötelezettségeit vagy jogköreit gyakorolja, meg kell születnie a nemzeti jogszabálynak. Ez az infotörvény módosításával valósulhat meg. Az európai adatvédelmi rendelet viszont közvetlenül alkalmazandó, azt már nem kell, sőt, nem is szabad nemzeti jogba ültetni, viszont a teljes alkalmazhatósága,

a számonkérés érdekében kiegészítő szabályok szükségesek azokon a pontokon, ahol ezt maga a GDPR megengedi.

Két kört lehet említeni, az egyik az eljárási szabályok kérdése. A rendelet maga is tartalmaz bizonyos eljárási szabályokat, például 72 órán belül be kell jelenteni az adatvédelmi incidenseket, vagy az adatvédelmi hatóságnak milyen szempontok szerint kell a bírságot kiszabnia, de nem ad hozzá részletes szabályokat. Az eljárási szabályok rendszerét hozzá kell illeszteni a GDPR-hoz, mert nincsen az Európai Unióban egységes közigazgatási eljárási jog. Ez azonban az adatkezelőket csak akkor érinti, ha vagy hatósági eljárás indul ellenük, esetleg vállalati kötelező szabályokat szeretnének engedélyeztetni, vagy adatvédelmi hatásvizsgálatot kell lefolytatniuk. A másik, hogy

a nemzeti jogalkotóknak ki kell jelölniük azt a hatóságot, amelyik eljár.

És hiába evidencia, hogy Magyarországon ez a Nemzeti Adatvédelmi és Információszabadság Hatóság, ettől még nem spórolható meg az a rendelkezés, hogy ki kell jelölni formálisan is.

Értelmezheti-e bárki úgy a nemzeti eljárási szabályok jelenlegi hiányát, hogy majd akkor kell megfelelni az általános európai rendeletnek, ha ezek a szabályok készen vannak, mert addig a hatóság úgysem tud csinálni semmit?

Az adatvédelmi hatóság csak ellenőriz, a GDPR-nak való megfelelés az magából a GDPR-ból következik. Az alkalmazásnak nem feltétele, hogy a nemzeti jogszabályok megszülessenek, de

kötelezettségszegési eljárással számolhatnak azon tagországok, ahol nem születik meg az alkalmazáshoz szükséges jogszabályi kiegészítés.

Nem túl rövid a határidő?

Igen, ez a rövid határidő, de éppen a Facebook-Cambridge Analytics-botrány rávilágít, hogy csak az egységes európai fellépésben lehet bízni. Ha nem tudjuk, hogy melyik országban ki fog eljárni, akkor nincs egységes fellépés, akkor ott, abban az országban addig nem járhat el senki. Márpedig alkotmányos jog, ráadásul nagyon fontos uniós alapjog is a személyes adatok védelméhez és a magánszférához való jog. Tehát mind a két szempontból alapjogot érint, ezért az nem engedhető meg az Európai Bizottság véleménye szerint, hogy valamelyik ország az egységes fellépést azzal akadályozza meg, hogy a szükséges kijelölő jogszabály nem születik meg május 25-ig. Mert akkor nem lehet európai szinten fellépni.

Lehet európai szinten fellépni olyan esetben, amikor az adat fizikai helye nem Európában van?

Lehet, és ez is az egyik fontos célja a GDPR-nak. Ez persze nyilván attól is függ, hogy az adott harmadik országban van-e olyan intézmény, amely képes az európai társintézménnyel közösen fellépni. Ha a szerverpark az Európai Unió területén van, most nevezzük meg a Facebookot, hiszen ez egy jó példa, és az adott hatóság el akar járni, akkor az adott hatóságon múlik, hogy eljár-e. De ha nincs Európában adatkezelő, nem az Európai Unió területén folyik az adatkezelés, nincs szerver, akkor értelemszerűen egy európai hatóság legföljebb turistaként vagy hivatalos konferenciára tud az Egyesült Államokba utazni. Viszont ott is van egy olyan szervezet, a Federal Trade Commission, amely ellátja a fogyasztói érdekvédelmet, és adatvédelmi kérdésekben nagyon szigorú álláspontot képvisel. Ráadásul a GDPR alapján annak az országnak az adatvédelmi hatósága jár el, ahol az adatkezelés vagy adatfeldolgozás történik. A Facebooknál maradva az ír adatvédelmi hatóság.

Onnan viszik ki az adatokat, nem?

Az a kérdés, hogy az ír adatvédelmi hatóság mennyire aktív. De nyilvánvaló, ha megszűnik az adatkezelés az Európai Unió területén, akkor már nincs egyablakos ügyintézési mechanizmus, akkor már bármelyik tagország adatvédelmi hatósága, plusz az Egyesült Államok hatósága is fel tud lépni.

Elég szigorú álláspontot képvisel ez a szervezet, ezért így is van esély arra, hogy az európai polgárok adatait megvédjék.

Az egy más kérdés, ha nincs az adott országban ilyen jellegű kapcsolat, akkor hogyan fog ez érvényesülni,. Nyilván majd erre az idő választ fog adni. Nem tartom szerencsés megoldásnak, hogy a Facebook-botrány kiteljesedésével az alapító kijelentette, hogy mind a kétmilliárd felhasználó vonatkozásában alkalmazni kell az európai adatvédelmi rendeletet, majd egy következő nyilatkozatában közölte: megszüntetik az európai adatkezelést.

Ez világos beszéd, nem akar büntetést fizetni.

Világos beszéd, de ezzel még nem tud mentesülni a GDPR kötelező alkalmazása és a számonkérés alól sem. Nem vagyok abban biztos, hogy feltétlenül ez jobb pozíciót jelent számára.

Az nem reális veszély, hogy kiviszi az adatkezelés helyszínét egy olyan helyre, ahol a GDPR-nak semmilyen, még áttételes joghatósága sincs? Majd a GDPR hatálya alatt lévő európai konkurenseit a jogszabály alkalmazásával próbálja ellehetetleníteni...

Sajnálatos módon ez nemcsak az Európai Unió és egy harmadik ország relációjában merülhet föl, hanem egy nemzeten belül is, mert a húszmillió eurós bírság a konkurencia ellehetetlenítésére egy országon belül is alkalmas lehet. A legnagyobb probléma, hogy az Európai Unió is védtelennek tűnik ebben az esetben, nincs meg az európai konkurencia lehetősége, hiszen nincs európai Facebook, nincs európai Microsoft, nincs európai Google, ezek a szolgáltatások, ezek az adatkezelések nem válthatók ki, nem lehet azt mondani, szintén reakcióként, ha Facebook elviszi az adatkezelését Amerikába, akkor most átkapcsolunk majd egy európai közösségi oldalra, mert nincsen.

Elgondolkodásra is alkalmat adhat, hogy jó-e, ha ennyire ki van Európa szolgáltatva.

Ez már túlmutat az adatvédelmen, akár nemzetbiztonsági kérdés is lehet, hogy jó-e, ha egy ilyen közösségnek nincsen saját olyan biztonságos szolgáltatása, hanem ezeket Egyesült Államokban lévő magáncégektől kell igénybe venni.

Nem az a helyzet, hogy az Európai Unió csinált magának egy olyan szabályozást, amely csak a saját vállalataira vonatkozik, és kívülről bármikor a saját vállalatai ellen fordítható?

Nem gondolom, és talán erre az is bizonyíték lehet, hogy az Európai Unió adatvédelmi reformjának az egyik előterjesztője és kidolgozója, Viviane Reding az Egyesült Államokban egy adatvédelmi konferencián nagyon kemény beszédet tartott, és fölemlegette a bizalom hiányát, ami az Egyesült Államok és az Európai Unió között megvan ezen a téren, hogy még mindig nincsenek meg azok az intézmények az Egyesült Államokban, amelyek az európai polgárok magánszféráját, személyes adatait is képesek megvédeni.

De ebbe semmi beleszólásunk nincs.

Ez az ombudsmani rendszer még nem épült fel, nem tudott beszámolni konkrét vizsgálatairól, sőt, még a vizsgálati rendjét sem tudta bemutatni, arra hivatkozva, hogy ezek minősített adatok, pedig az Egyesült Államok hozzájárult ahhoz, hogy az ombudsmanrendszert kiépíti.

Amit nem lehet kikényszeríteni, az egy létező szabály egyáltalán?

Azért ez nem így működik. Az Európai Unió és az Egyesült Államok ezer szállal kötődik egymáshoz, nemcsak a diplomáciai, hanem a kereskedelmi kapcsolatokat is figyelembe kell venni, és mégiscsak született egy dekrétum ennek az intézményrendszernek a felállítására. Az egy más kérdés, hogy milyen eszközök állnak rendelkezésre, de ezek már nem az adatvédelem területét érintik, hanem sokkal inkább politikai vagy diplomáciai kérdések.

Felkészültek arra, hogy bárki, aki úgy érzi, hogy az unió területén a média nyilvánossága miatt az ő adatával összefüggésben bármilyen sérelem érte, el fog menni a hivatalhoz, és követelni fogja, hogy ezt a sérelmet visszamenőlegesen is orvosolják?

Ez nem ilyen egyszerű kérdés. A sajtószabadság, a véleménynyilvánítás szabadsága ugyanolyan alapjoga, mint a személyes adatok védelméhez fűződő jog. Nem lehet az egyik jogot a másik elé helyezni, ezeknek egymásra tekintettel kell érvényesülniük. Az más kérdés, hogy nyilván vannak bizonytalansági tényezők… Ha valakiről megjelent egy információ, akkor nem lehet azt mondani a GDPR alapján, hogy én ennek kérem a törlését. Mert erre a GDPR nem ad lehetőséget.

És a felejtés joga?

A felejtéshez való jog létezik, de figyelembe kell venni, hogy kiről és milyen információ jelent meg. A legtöbb esetben, ha csak Magyarországot nézzük, a személyes adatok védelme és a közérdekű adatok nyilvánosságának az ütközését az adatvédelmi hatóságnak kell feloldania, de ha nemcsak egy adatbázist építenek, hanem véleményt fogalmaznak meg, akkor ezeket az ügyeket mi ma is a bírósághoz irányítjuk. Egy példát említhetnék az adatvédelmi biztosi időszakomból: ez a bizonyos hálapénz.hu honlap volt, amikor az internetre feltöltöttek egy adatbázist, hogy az orvosok mennyi hálapénzt kérnek vagy kapnak. Ennek a létrehozására, nyilvánosságára nincsen jogalap. Ha már arról van szó, hogy a kismamák chatelés kapcsán egymás közt megvitatják, hogy adott-e hálapénzt, mennyit adott, ez már a véleménynyilvánítás szabadsága körébe tartozik. Ha egy ilyen sérti az egyik orvos magánszféráját, személyes adatok védelméhez fűződő jogát, akkor forduljon bírósághoz.

A levelezőlisták adataival az adatkezelőnek mi a dolga?

Abból a szempontból kell megítélni, hogy az adatbázis GDPR-kompatibilis-e. Figyelembe kell venni, hogy mi az adatkezelés jogalapja, az önkéntes hozzájárulás megvan-e, de azt is meg kell nézni, hogy a hozzájárulás feltételeként megfogalmazott tájékoztatás megvalósult-e, a tájékoztatás mire terjed ki, hogy viszonyul ez az egész adatkezelés az átláthatóság követelményéhez, az adatkezelési tájékoztató rész megvan-e, hogy a hozzájárulás visszavonható, vagy jogorvoslatért hová lehet fordulni.

Azért, mert ma van egy hozzájáruláson alapuló adatkezelés, nem biztos, hogy megfelel a GDPR által támasztott követelményeknek.

Ha az infotörvénynek megfelelően történt a hozzájárulás, akkor valószínűleg megfelel a GDPR-nak is. Ha nem, ha hiányos, akkor van feladata, mert május 25. után nem rendelkezik megfelelő jogalappal az adatkezelésre.

Lesz valami standard szövege azoknak a tájékoztatóknak, amelyek alapján én eldönthetem, hogy vajon, aki az én adatomat kezeli, az szabályosan kezeli-e? Vagy mindenki elkezd majd kísérletezni valamilyen szövegekkel, és azt próbálja velem elfogadtatni?

Az adatkezelőre rója a feladatot a GDPR, neki kell a megfelelő tájékoztatást megadni, és nagyon fontos az átláthatóság követelménye, az adatkezeléseket jogszerűen, tisztességesen és átlátható módon kell folytatni.

De mitől átlátható?

Az olyan adatkezelési tájékoztató, hogy az ön adatait azért kezeljük, hogy megfelelő, személyre szabott szolgáltatásokat tudjunk önnek a jövőben nyújtani, vagy tudományos, kutatási célra használjuk, nem megfelelő, részletezni kell. Nem lehet túl általános a tájékoztató, mert akkor nem átlátható. Az adatkezelési célok, a célhoz kötöttség, a tájékoztatás és az átláthatóság szoros összefüggésben van egymással.

Magánszemélyeknek, egyesületeknek kell-e valamit tenniük? Egyáltalán, ők honnan tudhatják, hogy kezelnek-e adatot?

Mindenkire kiterjed a GDPR hatálya, egyetlen kivétellel: a magánszemélyre nem vonatkozik, ha saját célú az adatkezelés. De ha már a Facebookra föl akarja tenni a csoportképet, akkor neki is be kell szereznie a csoportképen szereplők hozzájárulását.

Ha én természetes személyként, mondjuk, blogolok, és oda más is bejelentkezik, akkor én már az ő adatát is kezelem?

Kezeli az adatát, az a kérdés, hogy milyen célból, saját célú adatkezelés-e, vagy túlmutat a háztartási célon. Éppen ezért a közösségi oldalaknál figyelembe kell venni, és a közösségi oldalakon nem csak saját célú adatkezelés történik már.

Mi van akkor, ha a saját gyerekem fényképét akarom a közösségi oldalon közölni?

Ha a szülő fölteszi a gyerekének a képét, akkor a gyerek helyett jár el, de azért hallani már olyan perekről, amelyet a gyerek indít a szülővel szemben, hogy tessék levenni a honlapról vagy a profilról ezeket a képeket…

És akkor még jönnek a ballagási képek, amikor ott van az egész osztály...

Ezekre is vonatkozik a GDPR, nem véletlenül adott ki az adatvédelmi hatóság egy tájékoztatást, hogy az iskolai évnyitó kapcsán hogyan szerezzék be a szülők hozzájárulását.

A címlapról ajánljuk