adatvédelem;GDPR;

2018-03-31 07:20:00

Adatvédelmi exlex

Jogbizonytalanságot okoz a vállalatoknál, hogy a kormány nem igazította hozzá a hazai szabályozást az uniós adatvédelmi rendelethez.

Kevesebb, mint két hónap van hátra az állampolgárok személyes adatainak védelmét erősíteni hivatott új európai uniós adatvédelmi rendelet (GDPR - General Data Protection Regulation) életbe lépéséig, a magyar állampolgárok adatai azonban ezt követően nemhogy erősebb védelmet kapnának, de még egy olyan hatóság sem áll majd rendelkezésükre, amelyhez jogsérelem esetén fordulhatnának.

Lényegében egy exlex állapot fog beállni, amely jogbizonytalanságot okoz a magyar vállalkozások számára is – mondja Liber Ádám a Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda adatvédelmi, IT-jogi praxisának vezetője. Május 25-től a magyar cégeknek is a GDPR adatvédelmi elveinek megfelelően kell működniük, de helyzetüket nehezíti, hogy az ehhez szükséges hazai jogszabály-módosítás még mindig nem történt meg, és a választások miatt határidőig jó eséllyel már nem is fog.

Az uniós rendelet értelmében a tagállamoknak ki kell jelölniük a nemzeti adatvédelmi hatóságot. Ez egy adminisztratív, de mindenképpen szükséges lépés, aminek hiányában hiába létezik nálunk már évek óta a Nemzeti Adatvédelmi és Információszabadság Hatóság, nem tud majd eljárni adatvédelmi ügyekben május 25. után – magyarázza Liber Ádám. Azaz hiába vonatkozik majd a GDPR a magyar adatkezelésre is, nem lesz hatóság, aki betartassa azt.

A Népszava már hetekkel ezelőtt szerettük volna megtudni az Igazságügyi Minisztériumtól, miért nem került még sor az információszabadságról szóló törvény módosítására, az adatvédelmi hatóság kijelölésére, de csak a kormányzati honlapon elérhető tervezetre hívták fel a figyelmünket. Megismételt kérdésünkre, hogy látnak-e még esélyt ebben a kormányzati ciklusban a módosításra, azóta sem kaptunk választ.

Hogy miért nem történtek meg a szükséges módosítások, annak valószínűleg az az oka, hogy ahhoz kétharmados többségre volna szükség, a kormány viszont a választások előtt feltehetőleg nem akart belemenni semmilyen alkuba, még a GDPR kedvéért sem. Ezért csupán egy bonyolult, kereszthivatkozásokkal teli salátatörvény tervezete készült el, amely mindeddig nem került a parlament elé. Pedig lett volna idő bőven a felkészülésre. Az Európai Unió hosszas előkészítő munka után, még 2016-ban fogadta el a GDPR-t, a tényleges alkalmazásig pedig további két évet adott. Az új szabályozás célja a személyes adatok és a magánszféra védelme, ezért az egész unióban egységes, szigorú követelményeket ír elő a személyes adatok kezelésére és tárolására, hatálya pedig kiterjed minden, az unió területén működő cégre és vállalkozásra. A digitalizáció hatására ugyanis olyan változások történtek, amelyek egészen új szemléletű adatkezelést igényelnek. Nem mindegy, hogyan tárolják, ki és milyen célra használja fel az okostelefonok, a különböző applikációk, honlapok és webshopok, vagy az áruházak hűségprogramjai által begyűjtött tetemes mennyiségű személyes adatot, szenzitív információt.

Az sem mellékes, hogy a munkáltató hogyan kezeli alkalmazottai személyes adatait. Ez utóbbi kérdéskört ugyanakkor részletesen nem szabályozza a GDPR, azt a tagállamokra bízza. A magyar munkavállalók és munkaadók viszont akkor sem lettek volna sokkal előrébb, ha a kormány idejében elkészül az infotörvény módosításával, a jelenleg elérhető tervezet erre ugyanis nem tér ki.

- Nem terjesztettek elő egy ambiciózus jogszabályt, elmaradt az adatvédelmi reform, pedig számos olyan kérdéskör van, amelynek újraszabályozására égető szükség volna – véli Liber Ádám. Így lényegében továbbra is szabályozatlan kérdés például a munkavállalók kamerázása, vagy az, hogy a munkáltató beleolvashat-e a dolgozók e-mailjébe. Nincs és belátható időn belül nem is lesz egy olyan jogszabály, ami egyértelműen megszabná, hogyan lehet a magyar munkavállalók személyes adatait kezelni. Ez nemcsak a kiszolgáltatottabb helyzetben lévő munkavállalóknak rossz, hanem a munkaadók számára is bizonytalan helyzeteket eredményez. Az előterjesztés hallgat a bűnügyi személyes adatok kezeléséről is, ami azért aggályos, mert a GDPR szerint a munkáltató csak akkor kérhet be ilyen adatokat, ha arra jogszabály kifejezetten felhatalmazást ad. Liber Ádám szerint így nem egyértelmű, hogy a munkáltatók a jövőben kérhetnek-e erkölcsi bizonyítványt dolgozóiktól.

A jelenlegi szabályokat sem tartják be
A GDPR talán egyik legismertebb újdonsága, hogy az adatvédelmi előírások megsértése 20 millió eurós bírságot vonhat maga után. Magyarországon viszont – adatvédelmi hatóság hiányában – nem lesz, aki bírságoljon, a sértettek legfeljebb bírósághoz fordulhatnak. Pedig volna miért bírságolni: a cégek jelentős része még a jelenlegi előírásokat sem tartja be.
A TMSI Kft. felmérése szerint például minden tizedik cég úgy ad ki személyes adatokat az ügyfeleiről, hogy nem győződik meg arról: az adatok iránt érdeklődő valóban az-e, akinek mondja magát. A cég „magánszemélyként” keresett meg e-mailben több mint száz vállalkozást és szervezetet – köztük iskolákat, önkormányzatokat -, az iránt érdeklődve: milyen személyes adatokat tárolnak róla és ezeket kinek adják tovább.
Annak ellenére, hogy ezekről a jelenleg hatályos infotörvény szerint is kötelező tájékoztatni, a megkérdezettek 20 százaléka válaszra sem méltatta a kérdést. Az adatkérő hitelességének vizsgálatát pedig csak a megkérdezettek 14 százaléka végezte el. A cégek fele ugyan kért további adatokat a hitelesítéshez, de egy további e-mail cím vagy lakáscím megadása után már ők is kiadták a kért információkat.
A cégek harmadának honlapján egyébként semmilyen formában nem voltak elérhetőek az adatkezelési elvek, pedig ez most is előírás, 85 százalékuk azt sem tudja pontosan megindokolni, miért kér és tárol adatokat. Olyan felületes válaszokat adtak, mint hogy "a nevét és címét kezeljük", esetleg „adategyeztetés miatt” kérik el a születési dátumot. Volt olyan cég is, amelyik egyenesen letagadta az adatok tárolását.