- Egyre inkább foglalkoznak ezzel a kérdéssel a cégek, de leginkább megijednek a rájuk váró új szabályoktól. Amikor előadásokat tartok, akkor nagyon sokan jönnek hozzám kérdezni, hogy mit is várhatnak a jövőtől, és az egyik leggyakoribb kérdés, hogy mekkora bírságra számíthatnak – ez elég jelentős motivációs erő a törvényeknek megfelelésre. Korábban a hatóságnál dolgoztam, és ott is úgy láttam, hogy a cégek alapvetően tisztában vannak vele, hogy fontos a személyes adatok védelme, de akkor kezdtek el igazán foglalkozni vele, amikor panasz érkezett és/vagy a hatóság megkereste őket. Az utóbbi két évben ebben változás látható: egyre több felkérést kapunk adatkezelési szabályzatok készítésére, kérik a segítségünket, hogy fel tudjanak készülni az új 2018-tól hatályba lép rendelet kihívásaira. Visszatérő kérdés, hogyan lehet majd a jövőben webáruházat üzemeltetni, reklámkampányokat szabályosan levezényelni. A kisebb és közepes cégek, különösen az online kereskedelemmel, marketinggel és reklámmal foglalkozó cégek jóval felkészültebbek. A nagyobb cégek közül soknál egy szükséges rosszként kezelik az új szabályokat, és egyre csak halogatják a bevezetést, sokan ezért ki is futhatnak az időből.

- Sok esetben nem csak a jövőbeli követelményeknek nem felelnek meg a cégek, hanem a mostaniaknak sem! A becslés reális lehet, hiszen akik még nem fogtak bele a felkészülésbe – és tapasztalatunk szerint ilyenek cégek is viszonylag sokan vannak – akkor nehezen tudják a 2018. május 25-ig határidőt tartani. Különösen igaz ez a nagyobb cégekre, ahol több százezres ügyfél adatbázisokkal dolgoznak. De nem csak a cégek felkészültségével van probléma. A hazai hatóság sem ad elegendő segítséget, támpontokat. Amikor nagyobb magyar cégek körében végeztek felmérést, hogy mi segítené a leginkább a felkészülésüket, akkor a válaszok 90%-a hatékonyabb hatósági segítségre vonatkozott.

- Két része van a feladatoknak: egyrészt fel kell térképezni, hogy a cégnél milyen személyes adatok kezelésével járó tevékenységeket végeznek. Ennek egyik kiemelt része az ügyfél adatbázis, de ide tartozik a munkavállalók személyes adatainak kezelése is, például a beléptető rendszer is. Az új szabályok alapján a feltérképezését követően kockázatelemzést kell készíteni a cégnél zajló adatkezelési tevékenységről, és ez mutatja meg, hogy mi az ami nem fog várhatóan megfelelni az új szabálynak – vagy esetleg már a mai elvárásokat sem elégíti ki. A mai magyar szabályozás Európában talán a legszigorúbb: nagyon konzervatív megközelítésű. Jelenleg akkor lehet személyes adatokat kezelni – például hírlevelek küldéséhez –, ha ehhez az érintett kifejezetten hozzájárul, vagy akkor, ha kifejezett jogszabály rendelkezés írja elő, például egészségügyi adatok megőrzése esetén. Arról már kevesebb szó esik, hogy könnyítéseket is jelent az új rendelet, például ez lehetővé fogja tenni Magyarországon is a más tagországokban már alkalmazott úgynevezett jogos érdeken alapuló adatkezelést, amennyiben az megfelel a jogszabályban előírt feltételeknek. Az is előnyös lesz, hogy egységes lesz az EU-ban a szabályozás: ha egy magyar cég Csehországban is megkezdi a működését, akkor nem kell majd külön a cseh hatósághoz is elmennie, bürokrácia nélkül folytathatja ott a tevékenységét. Ami viszont problémát fog okozni a cégeknek, hogy jelentősen nőni fog a dokumentálási kötelezettség, ennek pedig érezhető anyagi terhei lesznek. Részletesebb nyilvántartást kell vezetni, megfelelően kell tájékoztatni az érintetteket a jogaikról, kérésre azonnal és visszavonhatatlanul törölni kell az adatbázisból, aki kéri, és erről megfelelően tájékoztatni kell.

-  Igazán elrettentő lesz a változás: a jelenlegi maximális 20 millió forint helyett – árbevételtől függően – akár a globális árbevétel 4 %-áig vagy 20 millió euróig is drágulhat a büntetés felső összege.

- Az új szabályok szerint, ha egy cég több tagország területén folytatja a tevékenységét, akkor csak egyetlen országban kell a hatósággal a kapcsolatot tartania – egy magyar cégnél ez feltehetően a hazai hatóság lesz. Ha ez a cég cseh és román vagy éppen svéd leányvállalatokkal is rendelkezik, akkor a legtöbb esetben ezekkel kapcsolatban is a magyar hatóság fog eljárni. Elég valószínű, hogy a cégek elgondolkoznak majd azon, hogy hiába egységes a jogszabály, azért más minőségű a hatóságok működése, gyorsasága, segítőkészsége.

- Igen eltérő ma is az adatvédelmi hatóságok hozzáállása, számos nyugati országban sokkal inkább piacközpontúak, és nem bürokraták, ami nálunk jellemzőbb. Más országokban  különösen a marketinggel és reklámokkal foglalkozó cégek olyan brosúrákat, közérthető tájékoztatókat kapnak, amivel sokkal egyszerűbben és biztosabban tudnak a szabályoknak megfelelni. A cégek számára nagyon fontos a kiszámíthatóság, hiszen így könnyebben és jogszerűen tudják alkalmazni adatkezelési eljárásaikat.

- Nincsen könnyű dolga a hatóságnak sem, hiszen csak a hatályos törvény alapján járhat el. A mai hatályos magyar jogszabályok szerint alapvetően csak a Magyarországon bejegyzett cégekre vonatkoznak az adatkezelési előírások, így egy harmadik országban működő, például amerikai vagy kínai cégen nem vagy csak nagy nehézségek árán tudják azokat számon kérni. Ebben a kérdésben újítást hoz az új eu-s rendelet: ez alapján már bármely céggel kapcsolatban joga lesz fellépni a hatóságoknak, amelyek az Európai Unió területén élő emberek adatait kezelik.

- A jövőre életbe lépő rendelet nem terjed még ki minden részletre, ez az általános szabályokat tartalmazza. A média, reklám- és marketing piacot érintő részletszabályokat is majd külön szektorális szabályokban kell rögzíteni. A tervezett jogszabályban lesznek előrelépések, a technológiai fejlődést követi. Az aktuális szabályok, illetve a hatósági álláspont szerint például ha egy weboldalat meglátogatunk, akkor minden egyes cookie-t jóvá kellene hagynunk – ez  teljesen élet idegen. Az új szabályozás várhatóan meg is fogja nehezíteni a marketingesek életét: az új rendelet kifejezetten rendelkezik arról, hogy alap esetben az érintettnek jóvá kell majd azt is hagyni, hogy profilt alkothassanak róla. Ez hiába régóta bevett tevékenység, ha külön jóváhagyás is kell hozzá, biztosan kevesebben teszik ezt meg, vagy nem jogszerűen folytatják ezirányú tevékenységüket. Pedig a személyre szabott reklám a felhasználóknak is érdeke: úgy olyan hirdetéseket látnak, olyan hírleveleket kapnak, ami releváns számukra, e nélkül sokkal több felesleges információ juthat el hozzájuk.

- Az új egységes szabályozás remélhetőleg növeli az állampolgárok bizalmát személyes adataik kezelésével kapcsolatban, hiszen jogaikat pontosabban és szélesebb körben határozza meg az új szabályozás. A legfontosabb az lenne, hogy mindenki nyomot tudja követni, hogy milyen adatokat kezelnek vele kapcsolatban, vagyis minden esetben megkapja a megfelelő tájékoztatást. Ahhoz, hogy a jövőben is személyre szabott hírleveleket, termékajánlásokat kaphassanak az ügyfelek, továbbra is a hozzájárulások kell majd. El kell tudni magyarázni majd a marketing és reklám szakembereknek az ügyfeleknek, hogy nekik miért éri meg a hozzájárulás – hogy így pontosabb és relevánsabb hirdetéseket, termék ajánlásokat kapnak.

- Ez nagyban függ a cégek méretétől: nagyvállalatoknál elérhető a jogi osztály, ők könnyebben fel tudnak készülni az új előírásokra – bár tőlük is egyre több megkeresés érkezik, hiszen minden esetben hasznos lehet a külső szakértői segítség igénybevétele. Kisebb cégek főként adatvédelmi szabályzatok elkészítésében kérnek jogi segítséget. A meglévő folyamatok és belső szabályok átvilágítása is szükségese ahhoz, hogy meg tudjanak felelni az új eljárásoknak a cégek, de a felkészülés utána legtöbben már önállóan is megfelelően tudják üzemeltetni az adatvédelmi rendszereiket.

dr. Keszey Gábor

A dr. Hatházi Vera Ügyvédi Iroda adatvédelmi részlegének vezetője, 2015 júliusa óta az ügyvédi iroda tagja. Korábban az Adatvédelmi Biztos Irodájában dolgozott adatvédelmi szakértőként, majd annak megszűnése után 2012-től a Nemzeti Adatvédelmi és Információszabadság Hatóság adatvédelmi osztályának vezetője volt. Kiemelkedő szaktudással és gyakorlati tapasztalattal rendelkezik az adatvédelem és információs jogok területén, amelyekkel kapcsolatban nem csak a piaci szereplők igényeit, de a vonatkozó hatósági joggyakorlatot is átfogóan ismeri. Diplomáját a Pázmány Péter Katolikus Egyetem Jog- és Államtudományi Karán szerezte 2004-ben. Az Adatvédelem és Információszabadság a mindennapokban című könyv társzerzője. Rendszeresen tart előadásokat különböző jogi, marketing és más szakmai fórumokon, konferenciákon.

dr. Keszey Gábor - dr. Hatházi Vera Ügyvédi Iroda adatvédelmi részlegének vezetője