Adatvédelem

Milliárdos károkat okozhatott a GDPR-pánik, pedig messze nincs még vége

Ha valaha szobrot emelünk a 2018-as Nagy Adatvédelmi Pániknak, akkor azon a főalak alighanem egy GDPR-szakértő lesz, aki éppen gap analízis elvégzését és incidenskezelési protokoll kiadását javasolja egy áfás számlát szökőévente kiállító őstermelőnek. A kis- és középvállalkozásokat és a többi adatkezelőt talán nem magától az uniós adatvédelmi rendelettől kellett volna megvédeni, hanem a tagállami késlekedéstől, az információhiánytól és persze legfőképpen a sajtó és a szakértői piac jelentős része által is gerjesztett hisztériától.

Május 25. akár egy olyan nap is lehetett volna, amelyen úgy lesz könnyebb a vállalkozások és az állami intézmények munkatársainak munkája, hogy közben az adataink is nagyobb biztonságba kerülnek. Ez a bejegyzés annak az okait és felelőseit kutatja, hogy miért nem így lett. Okból és felelősből is elég sok van, a cikk végén – stílszerűen IP-cím rögzítése és cookie telepítése nélkül – lehet szavazni arról, hogy utóbbiak közül kinek a szerepe volt a döntő.

Adva van egy kis, még az unión belül is nyitottnak számító gazdaságú, rendszerint német jogi mintákat követő közép-európai uniós tagállam, amelyik a kilencvenes évek eleje óta a világ egyik legszigorúbb adatvédelmi szabályozását működteti. Adva van emellett az Európai Unió általános adatvédelmi rendelete, amely ugyan eltérő megközelítéssel és részben új típusú kötelezettségekkel, de összességében enyhébb, az adatkezelők cselekvési lehetőségeit kibővítő szabályokat jelent az említett tagállam szabályaihoz képest. Vajon hogyan sikerült ebből az alapanyagból kihozni azt a bravúrt, hogy

a sarki pékség, a kisvendéglő, a házikötésű sapkákat árusító webshopot üzemeltető gyedes anyuka, a magántanár és a személyes adatok többi Zuckerberg-öves vámszedője

teljesen felesleges tanácsadási szolgáltatásokat vásároljon, miközben a nagyobb adatkezelők jogszerűen gyűjtött adatbázisokat törölnek és egyéb értelmetlen intézkedéseket tesznek.  Az, hogy HÚSZMILLIÓ EURÓ IS LEHET A BÍRSÁG – hogy egy frissen kapott pánikfokozó e-mail címét és lényegi tartalmát idézzük betűhíven – csak a szikra volt, hogy ebből ekkora megrázkódtatás legyen, ahhoz számos szereplő egymással ugyan össze nem hangolt, de egymás céljait hatékonyan akadályozó munkája kellett.

1. Fejezetek a jogi személyek szexuális életéből – fogd Brüsszelre

Bár magát a GDPR-t jó dolognak tartjuk, de ez nem akadálya annak, hogy az uniós intézmények nyakába varrjuk azt, amit lehet. A GDPR  egy átkozottul túlirt, a tagállamok és az uniós intézmények közti sokéves viták nyomát sok helyen összefüggéstelenül beszúrt kivételekben őrző, ugyanakkor összességében mégis logikus rendszert alkotó jogszabály. (Ha valaki a szörny szemébe akar nézni, akkor itt a szöveg.)

Ha egy 8 ezer szóból álló magyar szabályozás helyébe egy 25 ezer szóból álló uniós lép, az a felkészült jogász gyomrát is megfekszi.

Hát még ha lépten-nyomon olyan rejtélyekbe ütközünk benne, mint az, hogy miért „a természetes személyek szexuális élete és szexuális irányultsága” számít a szöveg alapján különleges adatnak, és ebből eredően milyen lehet vajon a jogi személyek szexuális élete.

A GDPR egyébként bizonyos szempontból az EU részéről is úttörő próbálkozás: egy uniós rendelet esetében példátlan, hogy annak rendelkezéseit több tízmillió közvetlen címzettnek (minden európai és sok harmadik országbeli adatkezelőnek és adatfeldolgozónak) kell közvetlenül, tagállami átültetés nélkül alkalmaznia. Ha másért nem, akkor ezért megérte volna a rendelet szövegét érthetőbben megírni.

Az uniós intézmények kritikájához tartozik az is, hogy a Bizottság csak januárban írta le, hogy ne várjuk tőlük egyelőre a végrehajtási rendeletek megalkotását, az uniós szintű GDPR-alkalmazási iránymutatások pedig ugyan nagyjából elkészültek, de egy részük még ma is csak angolul férhető hozzá. Visszafogottan fogalmazva is jóval szerencsésebb lett volna, ha legkésőbb tavaly novemberre, azaz fél évvel a D-nap előtt már minden uniós norma és annak hivatalos értelmezése ismert lett volna minden tagállami nyelven, ha pedig erre kevés a felkészülésre adott 25 hónap, akkor ennyivel többet kellett volna adni a folyamatra. Becsületére legyen mondva viszont a Bizottságnak, hogy amennyire uniós szinten egységesen lehetett, igyekezett közérthetően is kommunikálni a rendeletről: januárban indított soknyelvű tájékoztató oldalukon , de akár ezen az infografikán is a szabályozás minden meghatározó eleme súlyának megfelelő helyre sorolva laikusok számára érthetően is megismerhető.

2. Trócsányira várva – fogd a kormányra

Amikor Gulyás Gergely kancelláriaminiszterként – helyesebben a három kancellária egyikének minisztereként – tett egyik első megszólalásaként „osztrák modell” alapján olyan rendelkezést ígért magyar törvényben, ami megvédi a KKV-kat az indokolatlan bírságoktól, akkor egyszerre örülhettünk, hogy a kormány mérsékelni akarja a pánikot, de somolyoghattunk is, mivel a KKV-k lehetőség szerinti kímélete benne van ám eleve a GDPR-ban és többek között minden bizottsági tájékoztató anyagban. A baj nem is a tartalommal van, hanem az időzítéssel: annak ellenére ez volt az első fajsúlyos kormányzati megszólalás a kérdésben, hogy az elmúlt két évben ki kellett volna dolgozni és el kellett volna fogadtatni az Országgyűléssel az adatkezelést eddig átfogóan szabályozó Infotörvény és más törvények olyan módosítását, amivel azok összhangba kerülnek az uniós rendelettel. Ez máig nem történt meg, sőt, továbbra sem tudja a piac még azt sem, hogy mi a vészforgatókönyv.

A kormány végül kedd este csak azt a törvényjavaslatot nyújtotta be, amely – úgy tíz nap késéssel – legalább a NAIH-ot kijelöli a GDPR-t végrehajtó magyar hatóságként. Ide került a „KKV-védő” szabály is, ami amúgy egyes sajtóhírekkel ellentétesen

nem azt mondja ki, hogy egyáltalán nem lehet KKV-t első alkalommal a GDPR megsértése miatt bírságolni

(ez nem is lenne összhangban magával az uniós rendelettel), hanem csak azt, hogy amikor a NAIH a GDPR-t alkalmazva mérlegel, akkor „elsősorban” figyelmeztetéssel kell élnie. Továbbra sem lesz viszont akadálya annak, hogy nem formai (pl. a tájékoztatás tartalmával vagy a nyilvántartások hiányosságaival) kapcsolatos, hanem valós sérelmet okozó jogsértés miatt például a személyes adatokkal jogsértően kereskedő vagy azokat jogsértően szándékosan  nyilvánosságra hozó kis adatkezelők is bírságolhatóak maradjanak az első, viszont súlyos jogsértések esetén.

A GDPR tehát úgy ült fel a magyar adatkezelési jogszabályok tetejére múlt pénteken, hogy onnan senki sem rángatta le az Infotörvényt, az adatvédelmi hatóság pedig ezt a rendkívül informatív közleményt tudta csak kiadni, a magyar állam oldaláról nyíltan is elismerve, hogy hát így akkor

az adatkezelők feladata kiválogatni, hogy az uniós rendelet mellé mit tudnak alkalmazni a magyar jogszabályokból és mit nem.

Ez még akkor is kínos volna, ha csak néhány száz jogalkalmazó által forgatott ágazati szabályokról lenne szó, de úgy, hogy a bizonytalanság százezrek munkáját, üzleti döntéseit nehezíti meg, példátlan botrány. Összeomlást ez csak azért nem okoz, mert a GDPR szabályai önmagukban is zártak, de még így is teljes a bizonytalanság azokon a területeken, ahol nem egyértelmű, hogy a korábbi hazai szabályok közül mi hangolható össze az új szabályokkal. Márpedig a tömegesen előforduló adatkezelések közül ilyen például a direkt marketing (mit kell alkalmazni a reklámtörvény vagy az elektronikus kereskedelmi törvény előzetes hozzájárulással kapcsolatos, a GDPR-ból nem következő szabályaiból) vagy a magáncélú kamerás megfigyelések szabályozása (mi él még a vagyonvédelmi törvény megőrzési időket és garanciákat tartalmazó rendelkezéseiből). Mivel az, akinek vannak e körbe tartozó adatkezelései, újra fel kell hogy készüljön akkor, amikor e törvények módosítása is ismert lesz, ezzel legalábbis feleslegesen és önmagában is indokolatlan költségeket okozva megdupláztuk, de ha több ütemben fogadja majd el az Országgyűlés a szükséges szabályokat, akkor akár meg is háromszoroztuk a felkészülési folyamatot. Ennek pedig nem csak eljárási típusú költségei vannak, hanem helyreállíthatatlan károkat is okoz, hiszen

simán előfordulhat, hogy az elmúlt hetekben elvégzett adattörléseket, informatikai fejlesztéseket egyes adatkezelők nem végezték volna el, ha előre látják, hogy mi lesz a magyar adatkezelési szabályok sorsa.

Még a feladat komplexitásával amúgy magyarázható csúszás mellett is szomorú, hogy a magyar jogalkotó azt sem vállalta be, hogy előre, mondjuk a tavaly nyár végén közzétett törvénytervezet egyeztetésének kudarcát megállapítva bejelentse az adatkezelőknek, hogy egyedül vannak, ne számítsanak jogalkotói segítségre. Ugyanis számos adatkezelő hozott akkor még racionálisnak tűnő döntést az elmúlt hónapokban azzal, hogy a felkészülésen belül a stratégiai döntésekkel, az adatkezelése tényleges átalakításával utolsó pillanatig kivárt annak érdekében, hogy elkerülje a dupla munkát. A NAIH honlapján még április közepén is jelent meg olyan tájékoztatás, hogy mindenki nyugodjon le, még a tavasszal meglesz a magyar szabályozás, holott akkor már mindenki számára, aki látott már kormányalakítást, nyilvánvaló volt, hogy ez irreális várakozás. A jogalkotóban bízó adatkezelők így végül kapkodhattak is és meg sem ússzák a többszöri munkát.

3. Konzultációs beadványok megválaszolására a hatóságnak nincs törvényi kötelezettsége – fogd a NAIH-ra

Péterfalvi Attila és hatósága egészen biztosan nem ilyen GDPR-felkészülésről álmodott. A Nemzeti Adatvédelmi és Információszabadság Hatóság vezetői és munkatársai hiába haknizták végig a fél országot a GDPR-t magyarázva, hiába értek el létszámbővítést és fejlesztették – külalakjában továbbra is a betárcsázós internet hőskorát idéző – honlapjukat, kisebb részt az uniós felkészülés, jóval nagyobb részt pedig a magyar törvényalkotás csúszása miatt eddig éppen abban nem tudtak segíteni, amiben csak ők tudtak volna.

Nem tudjuk (és ki tudja, fogjuk-e valaha biztosan tudni egyáltalán), hogy a NAIH korábban kiadott állásfoglalásaiból maga mit tekint okafogyottnak péntek óta és mit tart továbbra is relevánsnak,

nem készültek „hivatalos” mintaszerződések, mintatájékoztatók és mintanyilvántartások, és a NAIH március közepéig semmit nem tett közzé saját GDPR-értelmezéseiből, és hát túl sok mindent azóta sem.

Nyilván rémálomszerű az a helyzet, amelyben éppen azokat a hazai jogszabály-változásokat nem ismerheti meg időben a hatóság, amelyekre elsősorban neki kellene felkészíteni a jogalkalmazókat. Azonban nem látszik, hogy erre a helyzetre lett volna forgatókönyve a NAIH-nak. Az valahol legalábbis szimbolikus, hogy amíg minden bizottsági tájékoztató anyag azzal végződik, hogy kérdéseinkkel forduljunk bizalommal a nemzeti adatvédelmi hatóságunkhoz, addig a fent linkelt NAIH-válaszok jó részében a békeidőkre megírt, lekoptatós válaszpanelek köszönnek vissza: a NAIH-nak válaszadási kötelezettsége nincs a neki feltett kérdésekre, így elsősorban jogi segítséget igénybe venni nem tudó érintettől származó, konkrét jogérvényesítéshez szükséges, illetve állami szervektől kapott tájékoztatási kéréseket válaszol meg. Persze csak akkor, ha azt a panaszügyek kivizsgálása még engedi. Ennél nagyobb proaktivitás ebben a helyzetben talán belefért volna a hatósági működésbe is.

4. Dzsídípíár redinessz és komplájensz – fogd a tanácsadóidra

Magyarország – az állami szférát is beleszámítva – néhány ezer igazán nagy,  százezrek adatait kezelő adatkezelőjétől és adatfeldolgozójától a GDPR alkalmazása komplex jogi, informatikai és szervezeti felkészülést igényelt, amihez szinte mindenhol külső szakértelmet vagy a cégcsoporton belülről importált tudást vettek igénybe. Ennek a tudásnak a forrásai jellemzően angol nyelvű, – a Brexit ellenére a felkészülést elvégző, sőt, külön törvénnyel a kiválás után is GDRP-konformitást fenntartó – brit piacra vagy összeurópai felhasználásra szánt módszertanok voltak. Ez racionálisnak is tűnik, ha egy olyan jogszabályról beszélünk, aminek éppen az a célja, hogy uniós szinten egységes keretet adjon. Ugyanakkor ez az a kivételes eset, amikor

ésszerűbb lett volna a német modellre épülő hazai adatkezelési rendszerben német mintákból vagy legalábbis azokból is dolgozni.

Az általunk nagy számban látott angol nyelvű anyagok ugyanis szükségképpen nem rendszerezték a feladatokat abból a szempontból, hogy mi az, amit a német-magyar modell eddig is tudott (sőt, a GDPR ahhoz képest enyhítés), és mi az, amit valóban a nulláról kell felépíteni (pl. adatkezelési nyilvántartás, adathordozhatóság, online kezelt adatok törlése az elfeledtetéshez való jog alapján, adatfeldolgozói szerződések, adatvédelmi hatásvizsgálat).

A félrecsúszott brit minták legszebb példája talán a hozzájárulás módjával kapcsolatos mizéria: a NAIH honlapján sokáig egyedüli GDPR-anyagként szereplő, a brit adatvédelmi hatóságtól importált „a GDPR felkészülés 12 lépése” című összefoglaló hetedik lépése külön foglalkozik a meglévő hozzájárulások felülvizsgálatával. Ez természetesen valós és fontos feladat (ahogy minden meglévő dokumentáció megfelelőségének vizsgálata), de egy top12-es lista hetedik helyére is elegendő elvi jelentősége ott van (például a briteknél), ahol eddig jogszerűen lehetett beleegyezést megalapozni hallgatással, azaz a GDPR által megkövetelt egyértelmű nyilatkozat vagy a jóváhagyást kifejező egyértelmű cselekvés nélkül is. Magyarországon – ahogy erre e felkészülési lépés részletes kifejtésében a NAIH amúgy utal is -, már eddig is a GDPR szerintiekkel tartalmilag azonos, szigorúbb követelmény érvényesült. Az üzenetnek azonban ez a része elsikkadt, ezért az elmúlt napokban mindenki által tapasztalt hozzájáruláskérési dömpingben nagy számban akadtak olyan adatkezelők, akinek az Infotörvénynek megfelelő korábbi hozzájárulás alapján valójában semmi okuk nem lett volna az ügyfeleiket zaklatni, de nem merték kihagyni az egyik „alaplépést” (és ezzel természetesen adatokat is vesztettek).

A tanácsadói szolgáltatásokkal kapcsolatos másik, a sajtóösszefoglalóknál is megfigyelhető átfogó probléma az volt, hogy

a kisebb adatkezelők jó része nem fért hozzá problémáikra szabott tájékoztatásokhoz.

Így aztán  a „12 lépés”, „10 gyakorlati következmény” típusú egyszerűsített tájékoztatások vagy az ijesztgető lánclevelek alapján próbálták belőni, hogy mire van szükségük, ez pedig gyakran nem sikerült maradéktalanul. Így olyan felkészülési lépéseket tettek, amelyek nem szolgálták sem a saját, sem az ügyfeleik érdekét. Eközben elsikkadt az az igen fontos, GDPR-ból fakadó követelmény, hogy az, hogy mit lehet és mit nem, illetve mi a kötelező minimum, csak a konkrét adatkezelési cél és adatkezelési folyamat jellegzetességei alapján dönthető el. Azaz a kockázatosabb adatkezelések és a nagyobb adatkezelőknek kell többet tenniük, és ők számíthatnak a nagyobb szigorra is. Így aztán ami – jellemzően félinformációként, néha kifejezetten félreértésként – sokszor szembejött, például a sokmillió eurós bírság vagy hogy harmadik személyek soha nem kaphatnak az adatkezelőtől adatot, az mémesített GDPR-toposszá vált, miközben jóval fontosabb dolgok elsikkadtak.

5. Menjünk inkább biztosra, senkinek sem hiányzik a bírság – fogd a jogászaidra

Kezdjük talán a legsiralmasabb tapasztalattal: a jogászképzésnek is szégyene, hogy másfél évtizeddel Magyarország uniós csatlakozása után a magyar jogászság erre most rákényszerült tagjainak látható többsége képtelen volt megbirkózni azzal a feladattal, amit egy uniós jogszabály alkalmazása jelent, és sokan

körülbelül azzal a szellemi igényességgel és absztrakciós képességgel estek neki a rendelet szövegének, mintha az az anyakocák tartásáról szóló agrárminiszteri rendelet lenne.

Néha a főszabály-kivétel-alkivétel szerkezet értelmezése okozott megoldhatatlan problémát. Egyesek a különböző adatkezelési jogalapok egymás közötti viszonyán és az ügyfél érdekének megfelelő jogalap kiválasztásán véreztek el. Másoknak az nem állt össze, hogy a közérthető tájékoztatást emberi nyelven és terjedelemben kell megfogalmazni.

A leggyakrabban előkerülő probléma azonban a mi gyakorlatunkban az volt, hogy a formai megfelelés túlhajtása eljutott oda, hogy

olyan, nyilvánvalóan a józan ésszel és a rendelet deklarált céljaival is ellentétes textualista értelmezések kezdtek elharapódzni, amelyek más jogszabályok esetében legfeljebb a jogászbál végén, részegen jönnének elő.

Adjunk helyben adatkezelési tájékoztatót annak, aki névjegyet ad át nekünk. Kezeljük önálló adatkezelésként a céges ügyfelek törvényes képviselőinek szerződésben szereplő neve és céges tisztsége feltüntetését. Küldjünk ki külön hozzájáruláskérő e-mailt arra a címlistára, amire az újévi üdvözletet szoktuk kiküldeni.

Személyes kedvencünk az az innovatív elképzelés, hogy az ügyleti tanúknak is adjunk igazolható módon adatvédelmi tájékoztatást. Azaz amikor letanúztatjuk a meghatalmazást, akkor készüljön külön adatkezelési tájékoztató a tanúknak, akik persze annak egy példányának átvételéről írásban nyilatkozzanak. Ez az érvelés el tud jutni odáig, hogy a tanúk – az a biztos! – járuljanak is hozzá az adatkezeléshez, miközben nyilvánvaló, hogy az okirat érvényességét adó adatok esetén a hozzájárulás lényegét adó visszavonhatóság kivitelezhetetlen lenne. Ám ha ezt összekombináljuk azzal, hogy van olyan adatkezelő is, aki minden adatkezeléssel kapcsolatos nyilatkozatot – megint csak az a biztos! – két tanú aláírásával ellátva kér, akkor disztópikus vízióként felsejlik előttünk a közeljövő: a láncreakció, aminek eredményeként

exponenciálisan növekvő időtartamban azt az iratot fogjuk letanúzni, hogy az előző irat tanúja megismerte a tájékoztatást arról az adatkezelésről, amely a kettővel azelőtti ugyanilyen tanúzás miatt vált szükségessé.

Közben a kihalt utakon ördögszekeret görget majd a szél.

A harmadik átfogó probléma a piacon az volt, hogy nagyon sokan kerültek be a GDPR miatti megbízások végrehajtásába úgy, hogy adatvédelemmel korábban – lévén komoly és rendszeres megbízás ritkán adódik belőle – nemigen foglalkoztak, és sem a magyar szabályozási előzményeket, sem a korábbi uniós irányelvet nem ismerték. Ezzel önmagában semmi gond nincs, ha az ember a megoldandó probléma hátterének, a hazai jogszabályoknak és szükség esetén a gyakorlatnak is hajlandó utánanézni, majd ezután mérlegeli, hogy a GDPR keretei között mi őrizhető meg az eddigi megoldásokból, és mi nem. Ehhez képest sokszor hallott mantra volt igen felkészült jogászok szájából is az, hogy erre nincs szükség, mert „a GDPR tabula rasát teremt”.

Még ha utóbbi igaz is lenne – és nem csak a vele össze nem hangolható szabályokat írná felül -, ebből még akkor sem következne, hogy mindent nulláról kellene felépíteni minden adatkezelőnek, márpedig a tabula rasa érvelés győzelmének a vitákban általában ez volt a végeredménye.

Végül sajnos a jogi szakma is belepörgette magát a visszaszámlálásba, és körülbelül akkora eseményként várta május 25-ét, mintha aznap három Ptk. lépne egyszerre hatályba. Ha a jogalkotó izgult volna jobban a határidő miatt és a jogalkalmazók kevésbé, akkor most előrébb tartanánk.

6. Nekem a könyvelőm azt mondta, hogy én nem vagyok adatkezelő – vess magadra

Beugratni azt lehet, aki hagyja magát. Ám ha van pozitív hozadéka ennek a hisztérikus felkészülésnek, akkor az az, hogy az adatvédelmi követelményekről és saját felelősségükről eddig mit sem tudó adatkezelők és adatfeldolgozók közül sokan átgondolták az adatkezelési folyamataikat. A „hát, ha jól tudom, akkor ezekkel az adatokkal nem csinálunk semmit” a leggyakrabban hallott ügyféli válaszok egyike volt az elmúlt hónapokban, és az átlagos magyar adatkezelők jogkövetési szintje is érzékelhetően javulhatott. Ehhez

a motivációt azonban a bizonytalanságból fakadó félelem adta, ami szerencsére nem tartható fenn sokáig,

és óhatatlan, hogy egy idő után a piac valamennyire visszasüppedjen a mindennapi slendriánságába. Pláne miután egyértelművé válik, hogy a NAIH eztán sem megy ki dokumentációs hiányosságok miatt razziázni évente egyszer minden adatkezelőhöz.

Éppen ezért kár, hogy az elmúlt hónapok jogkövetési hajlandóság szempontjából kegyelminek mondható időszakában az adatvédelemre felhasznált forrásokat nem sikerült ésszerűbben felhasználni. Ha – a civil szférát és az állami szektort most számításon kívül hagyva – csak az 1,2 millió magyarországi vállalkozás fele kísérelt meg megfelelni valamilyen módon a GDPR-nak, és mindegyik átlagosan öt munkanapnyi munkát fordított a felkészülésre, akkor is tízmilliárd forint felett volt az elmúlt hónapokban kifejezetten adatvédelemre felhasznált forrás. Igen fontos lett volna, hogy kiszámítható jogi környezet mellett ennek a beruházásnak jóval nagyobb része hasznosuljon.

Megosztás