Így kerüld el a 20 millió eurós bírságot!

Így kerüld el a 20 millió eurós bírságot!
A 2018 májusában hatályba lépő új uniós adatvédelmi rendeletnek, a GDPR-nek - Keszey Gábor adatvédelmi jogi szakértő szerint - nem csak a hátrányait kell látni. Ez több ponton könnyebbséget is hozhat. Az Internet Hungary konferencián és interjúnkban jönnek a további részletek.

 

dr. Keszey Gáborral az idei Internet Hungary konferencián szeptember 26-án este találkozhatnak a Felforgatók szekcióban. Előadásának címe: Az új adatvédelmi törvény: a GDPR bevezetése Európában és Magyarországon.

 

- Mennyire vannak tisztában a cégek, hogy milyen szabályoknak kell megfelelniük a webáruházak, a digitális marketing és ajánlási rendszerek üzemeltetőiknek az adatvédelemmel kapcsolatban?
- Egyre inkább foglalkoznak ezzel a kérdéssel a cégek, de leginkább megijednek a rájuk váró új szabályoktól. Amikor előadásokat tartok, akkor nagyon sokan jönnek hozzám kérdezni, hogy mit is várhatnak a jövőtől, és az egyik leggyakoribb kérdés, hogy mekkora bírságra számíthatnak – ez elég jelentős motivációs erő a törvényeknek megfelelésre. Korábban a hatóságnál dolgoztam, és ott is úgy láttam, hogy a cégek alapvetően tisztában vannak vele, hogy fontos a személyes adatok védelme, de akkor kezdtek el igazán foglalkozni vele, amikor panasz érkezett és/vagy a hatóság megkereste őket. Az utóbbi két évben ebben változás látható: egyre több felkérést kapunk adatkezelési szabályzatok készítésére, kérik a segítségünket, hogy fel tudjanak készülni az új 2018-tól hatályba lép rendelet kihívásaira. Visszatérő kérdés, hogyan lehet majd a jövőben webáruházat üzemeltetni, reklámkampányokat szabályosan levezényelni. A kisebb és közepes cégek, különösen az online kereskedelemmel, marketinggel és reklámmal foglalkozó cégek jóval felkészültebbek. A nagyobb cégek közül soknál egy szükséges rosszként kezelik az új szabályokat, és egyre csak halogatják a bevezetést, sokan ezért ki is futhatnak az időből.

- Egy elemzés szerint a cégek több mint felének esélye sincs, hogy 2018-ig megfeleljen az új szabályoknak, ez reális lehet?
- Sok esetben nem csak a jövőbeli követelményeknek nem felelnek meg a cégek, hanem a mostaniaknak sem! A becslés reális lehet, hiszen akik még nem fogtak bele a felkészülésbe – és tapasztalatunk szerint ilyenek cégek is viszonylag sokan vannak – akkor nehezen tudják a 2018. május 25-ig határidőt tartani. Különösen igaz ez a nagyobb cégekre, ahol több százezres ügyfél adatbázisokkal dolgoznak. De nem csak a cégek felkészültségével van probléma. A hazai hatóság sem ad elegendő segítséget, támpontokat. Amikor nagyobb magyar cégek körében végeztek felmérést, hogy mi segítené a leginkább a felkészülésüket, akkor a válaszok 90%-a hatékonyabb hatósági segítségre vonatkozott.

- Mik azok az új szabályok, amiknek meg kell majd felelni?
- Két része van a feladatoknak: egyrészt fel kell térképezni, hogy a cégnél milyen személyes adatok kezelésével járó tevékenységeket végeznek. Ennek egyik kiemelt része az ügyfél adatbázis, de ide tartozik a munkavállalók személyes adatainak kezelése is, például a beléptető rendszer is. Az új szabályok alapján a feltérképezését követően kockázatelemzést kell készíteni a cégnél zajló adatkezelési tevékenységről, és ez mutatja meg, hogy mi az ami nem fog várhatóan megfelelni az új szabálynak – vagy esetleg már a mai elvárásokat sem elégíti ki. A mai magyar szabályozás Európában talán a legszigorúbb: nagyon konzervatív megközelítésű. Jelenleg akkor lehet személyes adatokat kezelni – például hírlevelek küldéséhez –, ha ehhez az érintett kifejezetten hozzájárul, vagy akkor, ha kifejezett jogszabály rendelkezés írja elő, például egészségügyi adatok megőrzése esetén. Arról már kevesebb szó esik, hogy könnyítéseket is jelent az új rendelet, például ez lehetővé fogja tenni Magyarországon is a más tagországokban már alkalmazott úgynevezett jogos érdeken alapuló adatkezelést, amennyiben az megfelel a jogszabályban előírt feltételeknek. Az is előnyös lesz, hogy egységes lesz az EU-ban a szabályozás: ha egy magyar cég Csehországban is megkezdi a működését, akkor nem kell majd külön a cseh hatósághoz is elmennie, bürokrácia nélkül folytathatja ott a tevékenységét. Ami viszont problémát fog okozni a cégeknek, hogy jelentősen nőni fog a dokumentálási kötelezettség, ennek pedig érezhető anyagi terhei lesznek. Részletesebb nyilvántartást kell vezetni, megfelelően kell tájékoztatni az érintetteket a jogaikról, kérésre azonnal és visszavonhatatlanul törölni kell az adatbázisból, aki kéri, és erről megfelelően tájékoztatni kell.

- Hogyan változhatnak a bírságok probléma estén?
-  Igazán elrettentő lesz a változás: a jelenlegi maximális 20 millió forint helyett – árbevételtől függően – akár a globális árbevétel 4 %-áig vagy 20 millió euróig is drágulhat a büntetés felső összege.

- Akár a jobban működő hatóságokkal rendelkező tagországokban éri majd az adatkezelést telepíteni?
- Az új szabályok szerint, ha egy cég több tagország területén folytatja a tevékenységét, akkor csak egyetlen országban kell a hatósággal a kapcsolatot tartania – egy magyar cégnél ez feltehetően a hazai hatóság lesz. Ha ez a cég cseh és román vagy éppen svéd leányvállalatokkal is rendelkezik, akkor a legtöbb esetben ezekkel kapcsolatban is a magyar hatóság fog eljárni. Elég valószínű, hogy a cégek elgondolkoznak majd azon, hogy hiába egységes a jogszabály, azért más minőségű a hatóságok működése, gyorsasága, segítőkészsége.

- Alapvetően ma bejelentések alapján kezd vizsgálatot a hatóság, a jövőben esetleg proaktívabb és gyakoribb lehet a hatósági ellenőrzés?
- Igen eltérő ma is az adatvédelmi hatóságok hozzáállása, számos nyugati országban sokkal inkább piacközpontúak, és nem bürokraták, ami nálunk jellemzőbb. Más országokban  különösen a marketinggel és reklámokkal foglalkozó cégek olyan brosúrákat, közérthető tájékoztatókat kapnak, amivel sokkal egyszerűbben és biztosabban tudnak a szabályoknak megfelelni. A cégek számára nagyon fontos a kiszámíthatóság, hiszen így könnyebben és jogszerűen tudják alkalmazni adatkezelési eljárásaikat.

- Az európai cégeknek meg kell felelni az új előírásoknak, de mi a helyzet az olyan globális cégekkel, akik nem mindenben törekednek a legális európai jelenlétre? Nem félő, hogy ők az eddigiekhez hasonlóan nem követik az előírásokat?
- Nincsen könnyű dolga a hatóságnak sem, hiszen csak a hatályos törvény alapján járhat el. A mai hatályos magyar jogszabályok szerint alapvetően csak a Magyarországon bejegyzett cégekre vonatkoznak az adatkezelési előírások, így egy harmadik országban működő, például amerikai vagy kínai cégen nem vagy csak nagy nehézségek árán tudják azokat számon kérni. Ebben a kérdésben újítást hoz az új eu-s rendelet: ez alapján már bármely céggel kapcsolatban joga lesz fellépni a hatóságoknak, amelyek az Európai Unió területén élő emberek adatait kezelik.

- Hogyan tudják a szabályok kezelni az olyan digitális újdonságokat, mint a cookie inventory-k kereskedelme vagy a performance marketing?
- A jövőre életbe lépő rendelet nem terjed még ki minden részletre, ez az általános szabályokat tartalmazza. A média, reklám- és marketing piacot érintő részletszabályokat is majd külön szektorális szabályokban kell rögzíteni. A tervezett jogszabályban lesznek előrelépések, a technológiai fejlődést követi. Az aktuális szabályok, illetve a hatósági álláspont szerint például ha egy weboldalat meglátogatunk, akkor minden egyes cookie-t jóvá kellene hagynunk – ez  teljesen élet idegen. Az új szabályozás várhatóan meg is fogja nehezíteni a marketingesek életét: az új rendelet kifejezetten rendelkezik arról, hogy alap esetben az érintettnek jóvá kell majd azt is hagyni, hogy profilt alkothassanak róla. Ez hiába régóta bevett tevékenység, ha külön jóváhagyás is kell hozzá, biztosan kevesebben teszik ezt meg, vagy nem jogszerűen folytatják ezirányú tevékenységüket. Pedig a személyre szabott reklám a felhasználóknak is érdeke: úgy olyan hirdetéseket látnak, olyan hírleveleket kapnak, ami releváns számukra, e nélkül sokkal több felesleges információ juthat el hozzájuk.

- A felhasználóknak ad valami hasznos újdonságot az új szabályozás?
- Az új egységes szabályozás remélhetőleg növeli az állampolgárok bizalmát személyes adataik kezelésével kapcsolatban, hiszen jogaikat pontosabban és szélesebb körben határozza meg az új szabályozás. A legfontosabb az lenne, hogy mindenki nyomot tudja követni, hogy milyen adatokat kezelnek vele kapcsolatban, vagyis minden esetben megkapja a megfelelő tájékoztatást. Ahhoz, hogy a jövőben is személyre szabott hírleveleket, termékajánlásokat kaphassanak az ügyfelek, továbbra is a hozzájárulások kell majd. El kell tudni magyarázni majd a marketing és reklám szakembereknek az ügyfeleknek, hogy nekik miért éri meg a hozzájárulás – hogy így pontosabb és relevánsabb hirdetéseket, termék ajánlásokat kapnak.

- A cégeknek mi lehet a jobb megoldás: magukat kiképezni az új szabályokból, vagy inkább érdemes lehet az adatkezelési tevékenységre szakértőket bevonni, esetleg kiszervezni az egész adatkezelést?
- Ez nagyban függ a cégek méretétől: nagyvállalatoknál elérhető a jogi osztály, ők könnyebben fel tudnak készülni az új előírásokra – bár tőlük is egyre több megkeresés érkezik, hiszen minden esetben hasznos lehet a külső szakértői segítség igénybevétele. Kisebb cégek főként adatvédelmi szabályzatok elkészítésében kérnek jogi segítséget. A meglévő folyamatok és belső szabályok átvilágítása is szükségese ahhoz, hogy meg tudjanak felelni az új eljárásoknak a cégek, de a felkészülés utána legtöbben már önállóan is megfelelően tudják üzemeltetni az adatvédelmi rendszereiket.

Bemutatkozás

dr. Keszey Gábor
A dr. Hatházi Vera Ügyvédi Iroda adatvédelmi részlegének vezetője, 2015 júliusa óta az ügyvédi iroda tagja. Korábban az Adatvédelmi Biztos Irodájában dolgozott adatvédelmi szakértőként, majd annak megszűnése után 2012-től a Nemzeti Adatvédelmi és Információszabadság Hatóság adatvédelmi osztályának vezetője volt. Kiemelkedő szaktudással és gyakorlati tapasztalattal rendelkezik az adatvédelem és információs jogok területén, amelyekkel kapcsolatban nem csak a piaci szereplők igényeit, de a vonatkozó hatósági joggyakorlatot is átfogóan ismeri. Diplomáját a Pázmány Péter Katolikus Egyetem Jog- és Államtudományi Karán szerezte 2004-ben. Az Adatvédelem és Információszabadság a mindennapokban című könyv társzerzője. Rendszeresen tart előadásokat különböző jogi, marketing és más szakmai fórumokon, konferenciákon.

dr. Keszey Gábor - dr. Hatházi Vera Ügyvédi Iroda adatvédelmi részlegének vezetője



Bucsky Péter

­­Bucsky Péter – A Figyelő gazdasági hetilap újságírójaként dolgozott 2007 és 2017 között, gazdasági, kutatás-fejlesztési, innovációs és startup témákkal foglalkozik. Vállalt ...