Tanácsok és tapasztalatok adatvédelmi hatósági eljáráshoz
Ne halogassuk, az adatvédelmi megfelelést a gravitáció nem oldja meg
Számos esetben vezet akár kiemelt nagyságrendű adatvédelmi bírsághoz az adatkezelő gondatlansága, mulasztása. Ennyi idővel a rendelet alkalmazhatóvá válását követően nem fogadható el az az érvelés, hogy az adatvédelmi megfelelés átfogó áttekintésére (beleértve adott esetben a belső képzéseket is) nem volt kapacitás. Megjegyezzük, hogy a követelményrendszer zöme a rendelet előtti időszakban is azonos volt. Ne gondoljuk továbbá azt, hogy a jogi és informatikai megfelelés „józan ésszel” vagy trükközéssel megoldható (pl: bemásoljuk a rendelet szövegét vagy másik szolgáltató adatkezelési tájékoztatóját), hiszen olyan lépések szükségesek, melyek a szakirányú tapasztalatokat igényelnek. Minősítenünk kell saját magunkat és a partnereinket (adatkezelő vs. adatfeldolgozó), be kell tudnunk azonosítani az adatkezelési folyamatainkat, az azokhoz tartozó jogalapokat, el kell készíteni az elszámoltatósághoz kapcsolódó dokumentumhalmazt (érdekmérlegelések, hatásvizsgálat, eljárásrendek stb.). Minden esetben célszerű az adott területekhez kapcsolódóan szakértő bevonása és az adatkezelési folyamatok együttes áttekintése.
A felügyeleti szerv éppen ezen szempontokra figyelemmel szabott ki egy hónapja 20.000.000,-Ft nagyságrendben adatvédelmi bírságot egy kamerafelvétel kiadásának egyszerű elmulasztásával összefüggésben egy multinacionális vállalatra, mivel az nem rendelkezett megfelelő adatvédelmi szabályozással, nem rendelkezett továbbá az érintetti jogok gyakorlása tekintetében megfelelő eljárásrenddel, valamint belső képzéssel sem. A hatóság rendkívül súlyos mulasztásnak értékelte azt, hogy a jelentős mennyiségű személyes adatot kezelő adatkezelő alkalmazottai az érintetti kérelmeket, valamint a fogyasztóvédelmi panaszokat nem tudták elkülöníteni, értelmezni, illetve nem rendelkeztek információval arról sem, hogy adatvédelmi kérdésekben milyen eljárásrend követendő. A hatóság arra is rámutatott, hogy a hatályos jogrend több tekintetben is a rendelettel ütközhet, ilyen esetben a rendelet előírásai alkalmazandóak. Ennek megállapítása ugyanakkor jogi szakkérdés, melyet az adatkezelési folyamatok áttekintése hiányában nem lehetséges megfelelően kezelni.
A Nemzeti Adatvédelmi és Információszabadság Hatóság meglehetősen rugalmas !
A GDPR adatvédelmi jogsértés esetén milliárdos bírságok kiszabását is lehetővé teheti. A GDPR követelményrendszerében ráadásul sok bizonytalanság is tapasztalható. Sok esetben nem egységes a tagállamok közötti joggyakorlat (pl: közhatalmi szervek adatkezelései), nem azonosítható be egyértelműen például az adatkezelés megfelelő jogalapja (pl: egészségügyi intézmények adatkezelései), nincsen összhangban a jogi szabályozás a rendelettel (pl: EESZT) vagy egyszerűen a követelmény a való életben nehezen valósítható meg (pl: okiratmásolás szükségtelennek tekintése). Sokan tartottak attól, hogy a felügyeleti szerv ezen felhatalmazásával élve az adatvédelmi bírságok tekintetében nem fog önmérsékletet tanúsítani. A helyzet azonban ezzel szemben az, hogy a NAIH mind a panaszok, mind pedig az adatvédelmi incidensek vizsgálatával összefüggésben meglehetősen rugalmas, teret biztosít az adatkezelő számára a korrekcióra, illetve figyelembe veszi az egyes szektorok jellemzőit. Tanácsos tehát minden eljárásban a háttér pontos bemutatását elvégezni és alátámasztani, hogy az adatkezelő lépései nem eshetőlegesek, hanem valamely gyakorlati szempont motiválta.
Kezeljük megfelelő gondossággal az adatvédelmi incidenseket
Az adatvédelmi incidensek nem megfelelő kezelése továbbra is kiemelt probléma, illetve gyakran adatvédelmi bírságok forrása. Először is azt szükséges rögzíteni, hogy a kockázattal nem járó adatvédelmi incidensek kivételével kötelező valamennyi adatvédelmi incidenst a hatóságnak bejelenteni. Javasolt proaktívnak lenni, és a bejelentésben az adatvédelmi incidens okán túlmenően a jövőbeni adatvédelmi incidensek megakadályozásának módozataira is kitérni. Amennyiben az adatvédelmi incidenssel összefüggésben az érintett tájékoztatása is szükségessé válik, a tájékoztatást a bejelentéshez mellékeljük.
Az adatvédelmi incidensekkel összefüggésben kiemelt jelentősége van annak, hogy a személyes adatokkal dolgozó munkavállalók az adatvédelmi incidens fogalmát ismerjék (azt felismerjék), annak elkerülésére törekedjenek. Nélkülözhetetlen tehát sok esetben gyakorlati képzés tartása.
Dr. Kéri Ádám
ügyvéd