Kezdjük az elején. Tulajdonképpen mi az a GDPR?
Egy, az Európai Parlament és az Európa Tanács által elfogadott, a magánszemélyek személyes adatainak kezelésével, felhasználásával, tárolásával kapcsolatos feladatokról szóló jogszabálya. A rövidítés a General Data Protection Regulation elnevezésből, vagyis az Általános Adatvédelmi Rendeletből adódik. Mint általában az Európai Parlament rendeletei, ez is automatikusan része lesz minden EU tagország jogrendjének, tehát kötelező érvényű.
A rendelet száma 2016/679, amely csak azért érdekes, mert látszik, hogy már 2016-ban elfogadták, és adtak az érintetteknek két évet a felkészülésre. Na, pont ez nem történt meg eddig, mert jó magyar szokás szerint, az utolsó utáni pillanatban kapkodunk. A jogszabály életbe lépett és általános a tanácstalanság.
Kiket érint a GDPR?
Mindenkit.
Egyfelől a magánszemélyeket, bár őket csak indirekt módon, ugyanis a szabálynak ők lesznek a kedvezményezettjei. A XXI. század infokommunikációs világában a személyes adataink már átláthatatlan módon keringenek szinte tőlünk függetlenül. Gondoljunk csak bele, ma már minden pillanatunkat online töltjük, a közhivatalokban ügyeket intézünk, a boltokban vásárolunk, vagy a munkahelyünkön tárolják a szerződésünket.
Mindenhol őriznek rólunk információkat. Ebből pedig egyre több probléma adódik. Állandó kérdés, hogy szabályosan, vagy szabálytalanul tárolják személyes adatainkat, amiket aztán jóformán bárki felhasználhat üzleti, politikai, vagy egyéb célokra, de akár zsarolásra is. Ráadásul sok esetben vissza is élnek velük, hiszen a legritkább esetben használják az adatainkat csak arra, amiért alapvetően megadtuk.
De ott a másik oldal is. Azokat a jogi személyeket, vállalkozásokat, intézményeket, egyéb szervezeteket, egyesületeket, alapítványokat érinti, amelyek magánszemélyek személyes adataihoz hozzáférnek, hozzájutnak, tárolják vagy feldolgozzák, kezelik azokat. Ők viszont a bőrükön fogják érezni a dolgot, ráadásul a mindennapokban. A jogszabály nekik írja elő, hogyan kell ezekhez az adatokhoz nyúlniuk, mit tehetnek meg, mit nem, és ami a legfontosabb, milyen körülmények között lehetnek az adatok náluk.
De miért kellett ezért külön rendeletet alkotni? Miért kellett ilyen szigorú szabályokat hozni?
Az az igazság, hogy az átlagemberek teljesen felelőtlenül, tájékozatlanul és néha teljesen naivan osztják meg a közösségi oldalakon, vagy az üzleti életben saját, rendkívül személyes, mondhatni teljesen privát adataikat. Posztolgatunk, vlogolunk, fórumozunk, könnyelműen vásárolgatunk.
Eközben pedig fogalmunk sincs arról, hogy a munkahelyünk, vagy a közhivatalok mihez kezdenek az adatainkkal, és néhány áldozatul esett embert leszámítva nem is igazán foglalkozunk vele. Mára általánossá és kezelhetetlenné vált az, hogy szabadon garázdálkodnak adatainkkal olyan emberek, akiknek semmi közük nincs, nem is lehetne a mi egészségügyi állapotunkhoz, családunk viszonyaihoz, kulturális vagy szociális érdeklődésünkhöz, egyéb rendkívül személyes és privát életünkhöz.
Miután a magánemberek nem ismerték fel az ebből adódó személyes felelősségüket, általánossá vált az adatokkal való visszaélés. Ezért a jogalkotók úgy döntöttek, hogy szabályozás révén fognak gátat szabni az egyre tarthatatlanabb helyzetnek.
Akkor most hogyan tovább? Merre induljanak a cégek, szervezetek?
A legfontosabb, hogy ismerjék fel azt, hogy ezzel ugyanúgy foglalkoznunk kell, mint az adózással, könyveléssel, a HACCP-vel, fogyasztóvédelmi szabályokkal, munkavédelemmel meg ki tudja még, mi minden mással. Az egyetlen, amit tehetünk, hogy jó képet vágunk hozzá, mert végül is minden cégben, szervezetben magánemberek élnek, dolgoznak, alkotnak, és ők ugyanúgy nem örülnek, ha mások visszaélnek az adataikkal, tehát igazából a szándék az jó.
Most el kell kezdeni megismerkedni - minél sürgősebben - a témával, felmérni azt, hogy a vállalkozásunk, egyesületünk számára mekkora kockázatot, problémát jelent a téma.
Rendben, de hogy tegyék ezt meg?
Hát nincs túl jó hírem. Alapvetően maguktól sehogy. A GDPR rendkívül erős jogi, szervezésbeli, és informatikai felkészültséget kíván meg. Az, hogy besoroljuk magunkat valamilyen státuszba, nem túl bonyolult dolog, ha valaki elolvassa a jogszabályt, még talán saját maga is boldogul vele, de hogy ezután mit csináljon, ott jönnek az igazán nagy kérdések. Én mindenképpen azt javaslom, hogy keressünk valakit, aki ért a témához, aki megpróbál naprakész lenni, követi a változásokat. Mert, aki nem ezzel foglalkozik, biztosan nem tud folyamatosan naprakész lenni. Gondoljunk csak a könyvelőkre és az évenkénti továbbképzéseikre.
Azért hogy segítsünk a felkészülésben létrehoztunk két Facebook oldalt, egy szombathelyit és egy Vas megyeit, ezek célja semmit más, mint hogy folyamatosan frissülő módon tájékoztató anyagokat, állásfoglalásokat, hatósági híreket osszunk meg azokkal akiket érdekel a téma.
Úgy tűnik, hogy egy új, 21. századi szakma és szolgáltatás van kialakulóban. Mit lehet tudni erről?
Őszintén szólva, keveset. Három dologra figyelnék oda a cégek oldaláról, amikor szolgáltatót keresnek a témában. Egyfelől, hogy akik ajánlkoznak számukra, tudjanak minősített GDPR Adatvédelmi tisztviselőket felmutatni. Ezek az emberek kvázi adattérképet készítenek az ügyfélről, rámutatnak, hogy hol vannak problémák és kockázatok, a rendszeren belül és kívül.
Másfelől, ha szolgáltatót keresünk, fontos, hogy tudjanak felmutatni olyan jogászokat is, akik képesek a meglévő szerződésállományainkat kezelni, a magánszemélyekkel való kapcsolati felületekhez olyan protokollokat és szabályzatokat létrehozni, amely megfelel a szabályoknak. Harmadrészt, kell egy erős IT szakértő is egy ilyen feladathoz, mert ma már szinte mindent digitalizált módon, titkosítva, védve kell, hogy tároljunk, ami megint csak egy önálló műfaj.
A legjobb, ha olyat keresünk, aki mindezt tudja. Mi a saját cégünkben lassan egy éve foglalkozunk a témával, egy olyan csapat állt össze, amely a fent említett minden területen unikális szakértőket tud felmutatni. Ráadásul, és ez is fontos, a nemzetközi mintákat is vizsgáljuk, figyeljük, miután nálunk még nincs ennek semmiféle gyakorlata, viszont például Ausztria és Németország már egy ideje együtt él a témával és ott a gyakorlati tapasztalatok felbecsülhetetlenek.
Akkor ne is próbálkozzunk ingyen letölthető szabályzatokkal, mintákkal?
Próbálkozhatunk, de az égvilágon semmi értelme. Ez olyan, mintha egy használati útmutatóból akarnánk megszerelni az autónkat, vagy anatómia tankönyvből kitalálni, hogy mi a bajunk. Ezek a minták lebutított, egyszerűsített, sztenderdizált minták, de miután nincs két egyforma cég, nincs két egyforma szervezeti felépítés, teljesen értelmetlenek. Ezeket egyedileg kell megalkotni. Maximum arra jók a minták, hogy átdolgozzuk azokat, akkor meg minek?
Mi a helyzet a bírságokkal és az ellenőrzésekkel, mert azzal riogat szinte már mindenki, hogy ezek hatalmas összegűek is lehetnek,
Egy pici jó hírem itt azért van. Az EU-s rendelet megfogalmaz szankcionálási lehetőségeket, és bár minden tagország szigoríthatna ezen saját hatáskörben, nálunk ez nem történt meg. Tehát a szankciókra vonatkozó rész ránk is érvényes. A jó hír az, hogy az Adatvédelmi hatóság 40-50 fős apparátusa nem biztos, hogy mindig mindenhova oda fog érni és az sem biztos, hogy azonnal bírságolni fog.
Mert a szankciók között van jó néhány egyéb elem: figyelmeztetés, felfüggeszteti a tevékenységet, stb. Bár megjegyzem, ha egy webshopot felfüggesztenek, akkor az nyilván komoly érvágás, előírhatnak kötelezően végrehajtandó intézkedéseket, és persze bírságolhatnak is. A bírság az éves árbevétel 2, vagy 4 százaléka, attól függ, hogy milyen típusú a mulasztás.
A lényeg az, hogy egy 10 milliós cég kb. 200-400 ezer forint bírságtétellel számolhat, nyilván egy 100 milliárdos multinál ez más nagyságrendet jelenthet. Meg kell jegyezni azt is, hogy eleinte szinte biztosan csak felhívásokat, javaslatokat fognak a hatóság emberei tenni, legszélsőségesebb esetben fognak csak bírságolni. Valószínűleg év végéig egyfajta moratórium is lehet.
Tehát akkor annyira nem is vészes a helyzet, mint amennyire annak tűnik?
Annyira azért nem vagyok derülátó. A következő a helyzet. Nem azért kell rendet tennünk magunk körül, mert kijön a hatóság magától és megbüntet. Gondoljuk végig, hogy maga a GDPR egyfajta zsarolási eszközként is tud majd funkcionálni. Van egy sértett munkavállalónk, nem csak a munkaügyi bíróságnál jelent fel, hanem mondjuk az adatvédelmi hatóságnál is. Vagy van egy üzleti vitám egy alvállalkozómmal, akinek vitatom a teljesítésigazolását, simán feljelenthet a hatóságnál, hogy fénymásolt bizonyítványt tárolok róla.
Ha van bejelentés, akkor viszont lesz vizsgálat is. Tehát, ha feljelent valaki bennünket, elég egy rosszakaró konkurens, simán elérheti, hogy jól megbüntessenek minket, vagy egy fagyizó esetében épp a nyári időszakra be kelljen zárnunk.
De máshonnan is megközelíthetjük a kérdést. Ha valaki a hátrányból előnyt kovácsol. Mi van akkor, ha valaki transzparens módon, akár az üzleti kommunikációja részéve teszi, hogy minálunk jó helyen vannak az adatai, mi megbízható partnerek vagyunk, odafigyelünk az ügyfeleinkre, ez a márka, a brand részévé is tud válni. Semmivel nem lesz rosszabb hivatkozás, mint ha azt mondjuk, hogy van egy ISO minősítésünk, sőt, annál talán még hasznosabb is!
Melyek azok az iparágak, amelyek a GDPR kockázatának fokozottan ki vannak téve?
Nincs erre jó válasz. Ahol magánszemély adata kering a rendszerben mindenhol. Uniós pályázatok megvalósítása közben biztosan résen kell lennünk, és szerencsére elég sok projekt fut manapság hazánkban. Nem beszéltem a részletes szabályokról sem eddig, de a munkáltatói oldalon, hogy meddig van jogom a céges levelezésbe beleolvasni, vagy netböngészést visszaellenőrizni egy kolléga esetében, már problémás, ahogy a bizonyítványok, életrajzok kezelése is.
Tehát, ahol effektív munkavállalók vannak és nyilván minél nagyobb számban, annál fokozottabb a probléma. De vehetjük a szállodaipart is, hiszen ott is magánemberként fordulunk meg, a webshopokról, egyéb online iparágakról nem beszélve. Sőt, az egészségügy kiemelt területe lehet majd a GDPR-nak. Szóval, senki nem ússza meg, észnél kell lenni. De most mondjam azt, hogy egy egyesület, amikor kitöltet egy kérdőívet, már sértheti a GDPR-t?
Kinél kisebb, kinél nagyobb mértékben, de a GDPR mindig velünk marad.
