OPPENHEIM LAW_POINT   
AZ ADATVÉDELMI JOG ELMÚLT ÉS KÖVETKEZŐ EGY ÉVE - I. RÉSZ
  • Bevezetés
  • 1. A NAIH adatkezelői megkeresésekkel kapcsolatos gyakorlata
  • 2. A KKV-hotline: csak általános kérdések megválaszolása, konkrét tanácsok nélkül
  • 3. A KKV-kra vonatkozó enyhébb szabályok érvényesülése a gyakorlatban
  • 4. Az e-Privacy Rendelet
  • 5. Az Európai Adatvédelmi Testület munkássága
  • 6. A GDPR-megfelelőséget tanúsító szervezetek
 


Bevezetés
 


Egy év telt el az általános adatvédelmi rendelet (GDPR) hatályba lépése óta, és azóta számos olyan esemény, fejlemény történt, amely az adatvédelmi jog rögös útjait figyelemmel kísérő jogászok és nem jogászok érdeklődésére is számot tarthat. Mivel a terület dinamikusan és organikusan fejlődik, érdemes azt is áttekinteni, hogy mire számíthatunk a következő egy év során.

Az alábbi bejegyzésben ennek megfelelően a hozzánk érkezett megkeresések visszatérő témáit is feldolgozva az elmúlt, illetve a következő egy év várhatóan legfontosabb eseményeit, eredményeit és fejleményeit vesszük számba.


 
1. A NAIH adatkezelői megkeresésekkel kapcsolatos gyakorlata
 

Mivel a GDPR viszonylag nagy számban tartalmaz általános, és nehezen értelmezhető rendelkezéseket, a piaci szereplők részéről megnőtt az igény a hatósági jogértelmezésekre, állásfoglalásokra.

A GDPR alkalmazásához kapcsolódó felkészülési időszak lezárulását követően főszabály szerint a NAIH nem ad ki egyedi állásfoglalást a személyes adatok védelmére vonatkozó előírások értelmezésére és magyarázatára irányuló megkeresésekre, különösen, ha azok nem az érintetti jogok gyakorlására vonatkozó, az érintett természetes személytől származó kérdések. 

A kissé terelőnek tűnő hatósági álláspont szerint ugyanis a GDPR alapján az Európai Adatvédelmi Testület feladata a rendelet egységes alkalmazásának biztosítása, és amennyiben a tagállami felügyeleti hatóságok egyedi állásfoglalásokat adnának ki a GDPR egyes rendelkezéseinek értelmezésére vonatkozóan, úgy nem teljesülhetnének a rendelet jogegységesítő szerepéhez fűzött elvárások.

A Testület mellett az Európai Unió Bíróságának van illetve lesz jelentős szerepe a személyes adatok védelmére vonatkozó uniós jogszabályi rendelkezések egységes értelmezése, valamint alkalmazása kialakításában.

A fentiekre tekintettel nehéz helyzetben vannak az adatkezelők, ide nem értve a KKV-nak minősülő adatkezelőket, ugyanis nem áll rendelkezésre olyan fórum, amelyhez a GDPR értelmezésével, valamint alkalmazásával kapcsolatban felmerülő kérdések esetén fordulni lehetne. Hasznos segítség lehet azonban a hazai, illetve más tagállami felügyeleti hatóságok által hozott döntések figyelemmel kísérése, továbbá a Testület által kibocsátott iránymutatások, vélemények és egyéb dokumentumok rendszeres nyomon követése.


 
2. A KKV-hotline: csak általános kérdések megválaszolása, konkrét tanácsok nélkül
 

A kis- és középvállalkozásnak (továbbiakban: „KKV”) minősülő adatkezelők elvileg könnyebb helyzetben vannak a GDPR értelmezése, valamint alkalmazása során felmerülő bizonytalanságok megválaszolása tekintetében. Számukra a STAR II projekt keretében a NAIH 2019. március 15-től egy évig élő e-mailes információs vonalat (kkvhotline@naih.hu) („KKV Hotline”) működtet, amelyen keresztül a GDPR-ral kapcsolatos általános tájékoztatás és útmutatás kérésére van lehetőség.

KKV-nak minősül az a vállalkozás, amelynek (az utolsó konszolidált beszámolója, ennek hiányában az éves beszámolója vagy egyszerűsített éves beszámolója szerint) az összes foglalkoztatotti létszáma 250 főnél kevesebb, és éves nettó árbevétele legfeljebb 50 millió eurónak megfelelő forintösszeg, vagy mérlegfőösszege legfeljebb 43 millió eurónak megfelelő forintösszeg. Amennyiben tehát az adatkezelő megfelel a fenti feltételeknek, jogosult a megjelölt e-mail címen, a személyes adatok kezelésével kapcsolatban felmerült kérdés megválaszolása érdekében a Hatósághoz fordulni.

A NAIH által kiadott közlemény alapján az KKV Hotline-on keresztül felvett problémakörök és gyakori kérdések alapján egy kézikönyv kerül kidolgozásra, amely széles körben elérhető és felhasználható lesz.

Gyakorlati tapasztalat hiányában egyelőre kérdéses a KKV Hotline-ra küldött e-mail üzenetek megválaszolásának átfutási ideje, valamint arra vonatkozóan sem lehet egyértelmű iránymutatást adni, hogy milyen részletességgel ad a Hatóság tájékoztatást, valamint útmutatást. Tekintettel azonban arra, hogy a NAIH kizárólag az Európai Adatvédelmi Testületet tekinti jogosultnak a GDPR rendelkezéseinek értelmezésével és alkalmazásával kapcsolatos iránymutatások, vélemények kibocsátására, feltehetően a jelen információs vonalon keresztül szolgáltatott tájékoztatások, illetve útmutatások nem fogják betölteni a korábbi hatósági állásfoglalások szerepét.

Szintén a hotline hozzáadott értékét látszik csökkenteni a hatósági válaszokból kivilágló szűkítő, és kellően bonyolult módon megfogalmazott megközelítés, miszerint a megkeresésekre a hatóság csak akkor tervez válaszolni, amennyiben azok olyan, kellően általános jogértelmezési kérdést vetnek fel, amelyekhez a kérdező egy adott jogszabályi rendelkezés értelmezéséhez igényel segítséget, és a kérdés megválaszolható anélkül, hogy konkrét adatkezelés jogszerűsége kapcsán kellene állást foglalni.

A fentiek fényében az az egyébként teljesen indokolt általános elvárás, hogy a hatóság szolgáltató közigazgatási szervként hatékonyan elősegítse a piacon a jogkövető adatkezelői magatartás kialakulását, akár konkrét esetek ismertetésével és értelmezésével is, meghiúsulni látszik. Sokkal valószínűbbnek tűnik az, hogy – jó magyar hagyományként – konkrét jogértelmezési kérdésekben állásfoglalást és érdemi eligazítást csak utólag, a vizsgálati és hatósági eljárások során, esetleg a kötelező határozatokban találunk majd.


 
3. A KKV-kra vonatkozó enyhébb szabályok érvényesülése a gyakorlatban
 

A GDPR hatályba lépése előtt rengeteg szó esett arról, hogy kissé igazságtalan az, hogy kis túlzással egy egyéni vállalkozóra és a Google-ra lényegében ugyanazok a szigorú szabályok alkalmazandóak a rendelet alapján.

Bár a GDPR-ba végül rendkívül kevés, a KKV-k számára érdemi könnyebbséget előíró szabály került be, a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló törvény (Kkvtv.) 12/A. § (1) bekezdése alapján a KKV-kal szemben hatósági ellenőrzést végző szervek (mint például a NAIH) az első esetben előforduló jogsértés esetén bírság kiszabása helyett figyelmeztetést kell alkalmazniuk.

Ennek a szabálynak a kiterjesztése érdekében a GDPR hatályba lépését követően módosított információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) 75/A. § szakasza értelmében a Hatóság a bírság kiszabására vonatkozó hatásköreit az arányosság elvének figyelembevételével kell, hogy gyakorolja, különösen azzal, hogy a személyes adatok kezelésére vonatkozó jogszabályban (a GDPR-t is ideértve) meghatározott előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik.

Bár a szakirodalomban és a közösségi médiában élénk vita alakult ki a fenti szabály GDPR-ral való összhangja kérdésében, egy fura jogalkotási hiba miatt a KKV-kra nézve kedvezőbb szabály nem irányadó a GDPR hatálya alá tartozó adatkezelésekre, azaz a GDPR megsértése esetén a vélhető jogalkotói szándékkal ellentétben a KKV-k elvileg már első jogsértés esetén sem számíthatnak enyhébb szankciókra.

A képet némileg árnyalja, hogy a Hatóság álláspontja szerint a fenti rendelkezés mégis egyfajta kötelezettséget jelent számukra, így minden esetben az arányosság elvének figyelembevétele mellett kerül sor az esetleges jogsértések szankcionálására. Mindez azonban nem zárja ki, hogy a körülményektől függően, amennyiben az arányos, akár első alkalommal is bírság kiszabására kerüljön sor, ugyanis a GDPR-nak pont az a célja, hogy az adatkezelésre vonatkozó anyagi és lehetőség szerint az eljárási szabályok is egységesek legyenek a tagállamok között, ugyanakkor a KKV-k bírságmentessége ezzel ellentétben állna.

A fentiekre tekintettel kíváncsian várjuk, hogy alakul majd a fenti enyhítés jogalkalmazási gyakorlata.


 
4. Az e-Privacy Rendelet
 

A 2002/58/EK irányelvet felváltó ePrivacy rendelet (ePR) a kezdeti elképzelések szerint az általános adatvédelmi rendelettel (GDPR) azonos napon, azaz 2018. május 25-én vált volna alkalmazandóvá. Az ePrivacy rendelet tervezetének kései (2017. január) közzététele azonban mindezt meghiúsította, és bár egyelőre még a rendelet végleges szövegtervezet sem ismert, a várakozások szerint 2019 végéig elfogadásra kerülhet a rendelet, amely valószínűleg majd csak 2021-től válik alkalmazandóvá.

Az ePrivacy Rendelet hatálya az elektronikus kommunikációk során keletkező adatokra és metaadatokra is kiterjed majd, illetve alkalmazandó lesz majd az IoT („Internet of Things”) és az ún. over-the-top szolgáltatásokra és szolgáltatókra is (pl. Skype, Whatsapp, on-demand tartalomszolgáltatások). Az ePR újraszabályozza majd a cookie-kat is, ami a jelenlegi szabályozásnál mindenképp egyszerűbb, felhasználó-barátabb és könnyebben betartható szabályokat jelent majd (pl. a cookie-k használatához szükséges hozzájárulás böngésző-beállítások révén történő begyűjtése révén).


 
5. Az Európai Adatvédelmi Testület munkássága
 

Mindeközben a GDPR által a nemzeti adatvédelmi hatóságok vezetőiből, valamint az európai adatvédelmi biztosból (European Data Protection Supervisor), illetve azok képviselőiből létrehozó Európai Adatvédelmi Testületet (European Data Protection Board, továbbiakban: a „Testület”) sem tétlenkedik, ami nagyon üdvözlendő, hiszen az adatkezelők igen nagy része ettől a testülettől várja a GDPR szabályainak értelmezését.

A Testület célja ugyanis a GDPR egységes alkalmazásának biztosítása, amelynek érdekében a nemzeti felügyeleti hatóságok számára kötelező erejű döntéseket, továbbá iránymutatásokat, ajánlásokat és legjobb gyakorlatot bocsát majd ki.

A Testület 2018. május 25. óta a tanúsításra, illetve a tanúsító szervezetekre, a harmadik országba történő adattovábbítások során alkalmazható kivételekre, a GDPR területi hatályára, a tanúsító szervezetek akkreditációjára, valamint a magatartási kódexekre, valamint a GDPR 6. cikk (1) b) pontja szerinti jogalap (szerződés teljesítése) online szolgáltatások tekintetében történő alkalmazására vonatkozóan bocsátott ki iránymutatásokat.

A fent megnevezett iránymutatásokon kívül a Testület egyéb dokumentumokat is kiadott különösen az alábbi témákat érintően: együttműködés, illetve az egységességi mechanizmus, a személyes adatok politikai választások során történő jogszerű felhasználása, a Privacy Shield felülvizsgálatával kapcsolatos észrevételek, valamint Japán tekintetében kiadott bizottsági megfelelőségi határozatra vonatkozó vélemény.

A GDPR által előírt, az egyes tagállami felügyeleti hatóságok által összeállított hatásvizsgálati listák véleményezése szintén feladata a Testületnek. A Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban: a „Hatóság” vagy „NAIH”) által kiadott lista értékelését a 10/2018. számú vélemény tartalmazza.       

Az Európai Adatvédelmi Testület 2019/2020-as évekre vonatkozó programjában előirányzott kérdéskörök között található többek között a kamerás megfigyelésre, gyermekek személyes adataira, adatkezelő és adatfeldolgozó viszonyára, az adatkezelő jogos érdekére vonatkozó vélemény kibocsátása. A potenciálisan felmerülő témakörök között szerepel különösen a blockchain, az egyes új technológiák, mint például a mesterséges intelligencia, valamint a bankkártya adatok fizetést követően történő megőrzésének kérdése.


 
6. A GDPR-megfelelőséget tanúsító szervezetek
 

A munkánk során gyakran felmerülő kérdés, hogy a GDPR-audit elvégeztével ki tudunk-e állítani ügyfeleinknek olyan igazolást, hogy az adott cég megfelel a GDPR rendelkezéseinek. A válaszunk sajnos nemleges, ugyanakkor talán már nem kell sokat várni a fenti tanúsítási tevékenységet végző szervezetek megjelenésére.

A GDPR ugyanis biztosítja a lehetőséget olyan tanúsítási mechanizmusok kialakítására, amelyek a GDPR megfelelőséget hivatottak igazolni.

Fontos, hogy az ilyen tanúsításokat kizárólag olyan szervezetek végezhetik, akik az adatvédelem terén igazolhatóan megfelelő szakértelemmel rendelkeznek, és a tanúsító szervezetek akkreditációját az adott tagállam döntése alapján, az illetékes felügyeleti hatóság vagy a nemzeti akkreditáló testület közül egy vagy mindkettő végzi. Itthon egyelőre még nem született ezzel kapcsolatos döntés, de az Európai Adatvédelmi Testület 2018. december 4-én kibocsátott iránymutatása (4/2018) az akkreditációra vonatkozóan már tartalmaz harmonizált, alapvető rendelkezéseket, míg melléklete a tanúsítás kritériumaira vonatkozóan tartalmaz javaslatokat (a melléklet 2019. június 4-én került elfogadásra).

Egyelőre tehát nem létezik egyetlen olyan tanúsítvány sem, amely a GDPR 42-43. cikkeinek megfelelne és alkalmas lenne a GDP R-megfelelőség tanúsítására. A piacon ugyan fellelhető azonban néhány adatvédelmi tanúsítvány (pl.: StarAudit, amelyet az Eurocloud bocsát ki), ezek azonban nem minősülnek a fentiekben megnevezett követelményekkel összhangban álló tanúsítványoknak.