hulladék;adatvédelem;NAIH;GDPR;
2018-05-25 07:02:00
Rafinált módon igyekszik elfedni a kormány az adatvédelemmel kapcsolatos mulasztásait. A kis és középvállalkozások (kkv) „félelmeire” hivatkozva ígéri: a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az adatvédelmi előírások megsértése esetén a kkv-kat csak figyelmeztetni fogja, szankcionálni nem. Erről beszélt legalábbis Gulyás Gergely, Miniszterelnökséget vezető miniszter a csütörtöki kormányinfón. Arra már nem tért ki, hogy a jelenlegi helyzetben a NAIH mást nem is tehet, éppen a kormány mulasztása miatt.
Az ügy hátterében az Európai Unió mától alkalmazandó új adatvédelmi rendelete, a GDPR (General Data Protection Regulation) áll, amelynek értelmében május 25-ig ki kellett volna jelölni egy kétharmados törvénymódosítással a nemzeti adatvédelmi hatóságot. Ezen jogtechnikai lépés hiányában hiába létezik már nálunk évek óta a NAIH, mától nem járhat el adatvédelmi ügyekben, így nem is bírságolhat. Márpedig sem az előző kormány, sem a mostani nem nyújtott be a határidőig ilyen irányú javaslatot, annak ellenére, hogy két évük volt erre.
Kerestük ezzel kapcsolatban az Igazságügyi Minisztériumot és a NAIH-ot is, mert szerettük volna megtudni, hogyan értékelik ezt a helyzetet és várhatóan mikorra születnek meg a GDPR alkalmazásához szükséges jogszabályok, de lapzártánkig egyik helyről sem kaptunk választ.
Ami a bírságokat illeti: nem kis pénzről van szó. A GDPR-nak talán az egyik legismertebb újítása, hogy az adatvédelmi előírások megsértése akár 20 millió eurós vagy az árbevétel 4 százalékáig terjedő bírságot vonhat maga után. Ráadásul az uniós rendelet értelmében megszűnik az a kkv-szektor számára eddig biztosított gyakorlat, amely alapján elsőre nem büntetett, csak figyelmeztetett a hatóság. Egy ilyen magas összegű bírság a padlóra küldené a kkv-kat, amelyek amúgy a hazai cégek több mint 95 százalékát teszik ki, és amelyek ráadásul teljes joggal tarthatnak a bírságtól. Becslések szerint 70 százalékuk ugyanis még a mostani előírásoknak sem felel meg, a GDPR-t illetően pedig még nagyobb a tájékozatlanság.
Gulyás Gergely joggal hivatkozik tehát a kkv-k félelmeire, amikor azt mondja: a kormány mindent megtesz annak érdekében, hogy a rendelet a kkv-szektor működését ne nehezítse meg, ezért a kamarákkal és a NAIH-hal közösen kidolgozott szabályozást szeretnének, amelyben osztrák mintára a hatóság csak figyelmeztethet, de nem szankcionálhat.
Nagy kérdés ugyanakkor, hogy ezek után a kkv-k mennyire lesznek motiváltak betartani a szabályokat. A másik problémára a lapunknak név nélkül nyilatkozó ágazati szakértő hívta fel a figyelmet. Ez pedig az, hogy az uniós rendelet magasabb szintű jogszabály, mint a nemzeti, ezért azt nemzeti szabályozással felülírni nem lehet. Magyarán a kormány nem hirdethet bírságolási moratóriumot a kkv-k számára, hiszen az ellentétes volna az uniós rendelettel. De még ha sikerülne is ezt kiharcolni Brüsszelben, nem egyértelmű, mi történne, ha egy másik uniós ország állampolgára élne panasszal egy magyar webshop adatkezelését illetően.
„Ha holnaptól nem rendelkezünk a hozzájárulásoddal, nem kezelhetjük tovább adataidat, végleg törölnünk kell a rendszerből, így minden korábbi vásárlásod eltűnik”– az elmúlt napokban sorra küldték ki a cégek az ilyen és ehhez hasonló értesítéseket ügyfeleiknek. Ugyanis a mától Magyarországon is alkalmazandó új uniós adatvédelmi rendelet értelmében a felhasználókat tájékoztatni kell személyes adataik kezelésének módjáról: hogyan, milyen célból és meddig tárolják ezeket az információkat. Mégpedig nem valami érthetetlen jogi nyelven: a GDPR értelmében az adatvédelmi tájékoztatók csak akkor megfelelőek, ha azok nyelvezete közérthető, és az adott cég honlapján könnyen megtalálható helyen teszik közzé.
Ami miatt azonban most sorra felkeresik ügyfeleiket a cégek, az az, hogy GDPR szigorítást hoz az adatkezeléshez való hozzájárulás tekintetében. Annak mindenképpen önkéntesnek kell lennie, vagyis nem lehet kötelezővé tenni például egy webshopban a személyes adatokkal történő regisztrációt a vásárláshoz, nem köthető a vásárlás a hírlevélre történő feliratkozáshoz, nem lehet előre kipipálni a hozzájárulást kérő négyzetecskét. A különböző adatfelhasználási célokhoz – statisztika, szerződéskötés, e-mailmarketing, számlázás, szállítás – ráadásul külön-külön kell kérni a hozzájárulást.
Bár az új szabályozás az összes, az unió területén tevékenykedő cégre és intézményre vonatkozik, az utóbbi időben leginkább a webáruházak részéről érezhető, hogy igyekeznek menteni, mi még menthető, és egyesével bekérni a hozzájárulásokat, ha eddig kihagyták ezt a lépést. Ez szakértők szerint ugyan nem teljesen jogszerű eljárás, minden estre a cégek már előre próbálják minimalizálni veszteségeiket. Ezzel együtt komoly vásárlói adatbázist fognak veszíteni, hiszen sokan nem szeretnek az ilyen e-mailekre reagálni, pláne, hogy most tömegével érkeznek.
Az adatok nem megfelelő kezelése azonban nem csupán kéretlen e-mailek garmadát eredményezheti a netezők postaládájában: a ma rendkívül népszerű egészségügyi applikációk és okosórák is például számos olyan szenzitív adatot tartalmaznak, amelyeknél nem szerencsés, ha arra méltatlan kezekbe kerülnek, de igaz ez a banki adatokra is. Ezért kíván az adatok korlátlan bekérésének és felhasználásának gátat szabni a GDPR-rel az unió.
A vállalkozásoknak ezért mától bizonyítania is tudni kell, hogy az adatkezeléshez az ügyfél hozzájárult: ezzel belép az elszámoltathatóság elve.
Mindez elvileg nem kellene, hogy komoly fejtörést okozzon a magyar cégeknek, a hazai infotörvény ugyanis eddig is szigorúan szabályozta az adatvédelmi kérdéseket. Csakhogy a cégek egy része – különösen a kis és középvállalkozások (kkv) – már ezeket az előírásokat sem tartotta be, leginkább azért, mert nem is ismerik azokat. A GDPR előírásaival hasonló a helyzet: számos felmérés jelent meg az utóbbi időben arról, hogy a magyar cégek jelentős része egyáltalán nincs tisztában szabályokkal, nincs is rá felkészülve, egy részük pedig egyenesen úgy véli, rá nem is vonatkozik. - V.A.D.