„Amikor megalkották a GDPR-t egy átfogó uniós adatvédelmi reform részeként, a cél elsősorban az volt, hogy az adatok Európában maradjanak, és azok a technológiai fejlődés ellenére, a mesterséges intelligencia, a felhőszolgáltatások és a big data világában is megfelelő jogi és technológiai védelemben részesüljenek. Az idei évben eddig a legfontosabb változás, hogy április 26-án hatályos lett az adatvédelmi salátatörvény-csomag, amely alapján 86 törvényt módosított a jogalkotó. Ezek részben érdemi változások voltak, részben csak jogtechnikai változásokról van szó" – vezette fel előadásában a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) osztályvezetője.
Az április végi törvénymódosítás egyik fontos pontja, hogy a munkavállalótól csak okirat bemutatása követelhető, de az okirat tárolására, másolat készítésére nincs lehetőség. A kiegészítések kitérnek a kamerafelvételek őrzési idejének a módosítására is, és főszabályként elrendelik a munkahelyi számítógépek magáncélú használatának a tilalmát is.
Kiss Attila előadásában kiemelte, hogy a biometrikus adatkezelés kapcsán nagyon szigorú szabályokat vezet be az uniós iránymutatásokkal összhangban a Munka Törvénykönyvének a módosítása. Kivételes esetben lehet csak a munkavállalót arra kötelezni, hogy a biometrikus adatait megadja. Ezek kezeléséhez olyan súlyos okok szükségesek, mint például a bizalmas vagy annál magasabb szintű minősített adat védelme, a lőfegyver/robbanóanyag őrzése, a veszélyes vegyi/biológiai anyagok őrzése, a nukleáris anyagok őrzése, illetve idetartozik a különösen nagy összeget meghaladó vagyoni érték védelme is.
Az osztályvezető elmondta, hogy már megindultak az első GDPR szerinti hatósági eljárások, és az első bírságokat is kiszabták. Eddig a legmagasabb büntetés 11 millió forint volt, amely abból fakadt, hogy érzékeny személyes adatok nagy mennyiségben váltak elérhetővé a világhálón. Az adatkezelő nem észlelte az incidenst, nem kezelte, és nem jelentette be azt, ahogy az a GDPR (General Data Protection Regulation) alapján kötelezettsége lett volna.
A tájékoztatón szó volt arról is, hogy a NAIH 2018. május 25-től 2019. május 13-ig 1789 adatvédelmi konzultációt folytatott. 29 már lezárt eljárás hivatalból indult, 132 adatvédelmi hatósági eljárást pedig kérelem alapján indítottak. Emellett körülbelül 1200 vizsgálati eljárás is folyamatban van.
Kiss Attila gyakori hibaként említette, hogy számos esetben az adatkezelők még mindig az Infotörvényben keresik a jogalapokat, és arra hivatkoznak. 2018. május 25-e óta azonban főszabály szerint a GDPR-t kell alkalmazni, és az Infotörvény csak kiegészítő szabályokat ad a kkv-k és a gazdasági élet szereplői számára. Az Infotv. elsősorban a bűnüldözési, honvédelmi és nemzetbiztonsági célú adatkezeléseket szabályozza.
Sokat javult az adatvédelmi tudatosság
„Azzal, hogy a rendelet hatására a GDPR népszerű betűszóvá, vagyis buzzword-dé vált, és bekerült a mainstream médiába, elmondható, hogy az adatvédelem koncepciója is felkerült azon kiemelt jogi megfelelési témák közé, ahol a például a versenyjog már egy évtizede megtalálható. Az uniós adatvédelmi rendelet ugyanakkor annyira komplex terület a cégek számára, hogy még a GDPR bevezetése előtt úgy döntöttünk, egyfajta evangelizációs szerepet is érdemes felvállalnunk nemcsak a munkavállalóink, hanem a partnereink, ügyfeleink felé is. Az Invitech infokommunikációs szolgáltatóként egy komplex információbiztonsági szolgáltatási csomagot is kínál ügyfelei számára, és kézenfekvő volt, hogy ezt a GDPR-ral is összekössük" – összegezte Fazekas Balázs, az Invitech jogi és szabályozási igazgatója.
„Azt látjuk, hogy a kkv-k komolyan küzdenek az adatvédelmi rendeletnek való megfeleléssel, hiszen körülöttük nincs meg az az ökoszisztéma, partneri hálózat és tanácsadói kör, amely a nagyvállalatokra jellemző. A kollégák képzése is sok esetben hiányosabb a kisebb vállalkozásoknál. A mikrovállalkozások például általában csak abból tudnak kiindulni, amit a nem feltétlenül naprakész GDPR-tudással rendelkező könyvelőjük vagy ügyvédjük tanácsol nekik. Az adatvédelemmel összefüggő adatbiztonság terén különösen nagyok a kockázatok, és nagy az erőforrásigény. Összességében úgy vélem, egyre kevésbé életszerű, hogy egy kis-, közép- vagy akár nagyvállalat saját erőforrásból a technika mai állása szerinti megfelelő védelmi szintet tudjon megvalósítani" – fejtette ki a jogi igazgató.
Ez is egy olyan jogterület – az adózáshoz hasonlóan –, ahol nem lehet kijelenteni a 100 százalékos megfelelés elérését. „Egy kampányszerű megvalósítást követően a folyamatos karbantartásra is fontos figyelniük a vállalakozásoknak. Ajánlott évente vagy akár gyakrabban felülvizsgálni a nyilvántartásokat, átnézni rendszeresen az adatvédelmi szabályzataikat. A karbantartási folyamaton belül az egyik legfontosabb terület az incidenskezelés, az adatvédelmi incidenst ugyanis az észleléstől számított 72 órán belül be kell jelenteni a hatóságnál. Nagyon fontos azt a képességet folyamatosan ébren tartani, hogy egy váratlan incidens esetén azonnal reagálni tudjon az adott társaság" – hangsúlyozta Fazekas Balázs.
Tisztul a piac, „eltűntek a rosszfiúk"
Az ipari takarítógépeket forgalmazó Lux Hungária ügyvezetője a konferencia kerekasztal-beszélgetésén elmondta: bár az elején jelentősen lekötötte az erőforrásaikat a rendeletnek való megfelelés kidolgozása, de összességében sokat profitáltak belőle, és sokkal több volt a pozitív hozadék.
„Véleményem szerint tisztult a piac, mivel sok versenytárs nem tudta vállalni azokat a feltételeket, amelyeket a GDPR támasztott velük szemben, például nem volt egyértelmű, hogy honnan is vannak az ügyféladatbázisaik. Ezen cégek egy része megszűnt, amikor szembesültek azzal, hogy nem érdemes kockáztatniuk, és nincs megfelelő tőkéjük arra, hogy olyan auditot készítsenek, amelyet például mi folytattunk le közösen az Invitech-kel. Másrészről az ügyfelek szempontjából is komoly előnynek tartom, hogy az adatvédelmi megfelelés révén az adataik bizonyítottan biztonságosan vannak kezelve. Ezt természetesen kommunikáljuk is feléjük, ami brandépítés szempontjából is pozitív üzenet" – fejtette ki Tigyi Attila.
Az ügyvezető szerint a „GDPR-kényszer" jó lehetőséget teremtett bizonyos eddig halogatott fejlesztések elvégzésére is. Ezek már nemcsak opciók voltak az anyavállalat felé, hanem a törvényi előírás miatt kötelezettséget jelentettek – legyen szó egy új levelezőrendszer vagy HR-szoftver bevezetéséről. Szintén a GDPR-nak köszönhető, hogy sok munkafolyamat rendszerezettebbé és átláthatóbbá vált.