2018. június 4.

Szerző:
B. Szabó Edina

GDPR – semmi pánik

Beköszöntött a GDPR (General Data Protection Regulation) kora – vagyis lejárt a kétéves türelmi időszak, amely az Európai Unió új adatvédelmi rendeletének való megfelelés végrehajtására vonatkozott. Az elmúlt leginkább egy évben, de különösen az utolsó hónapokban hirdetések, szakcikkek, egymásnak ellentmondó információk árasztották el az internetet, tanácsot kérve vagy megerősítést várva. Minél inkább beleásta magát valaki a jogszabályba, annál inkább elrettenthették annak adminisztrációs kötelezettséggel járó rendelkezései.


Ami kétségtelenül igaz: a legkisebb cég éppúgy nem engedheti meg magának, hogy ne törődjön az új szabályokkal, mint egy nagyobb nonprofit vagy nemzetközi szervezet. A GDPR előtt mind egyformák vagyunk…
A két legforróbb témakör a „valóban szükséges ezzel foglalkoznom?” és a „valóban több százezer forintos költségvonzata van a felkészülésnek, ellenőrzésnek?” Elöljáróban annyit, hogy a válasz nagyon röviden: igen és igen. Angyal Adrián adatvédelmi szakértőt kértük meg, hogy segítsen a tények mögé látni, olyan tudnivalókkal, amelyek egyértelművé teszik a GDPR körüli információkat.

Alapvetően két kiinduló kérdéskört kell áttekintenünk: az egyik a szükségesség, a másik a költségek területe.

– Tulajdonképpen kezdhetnénk elölről a már többször és sok fórumon lezajlott vagy éppen zajló beszélgetéseket: mi számít személyes adatnak, mi történik a különböző adatokat használó, azokat a munkafelületein feltüntető szoftverek esetében, mint például számlázószoftverek, mi számít kisvállalkozásnak, vagy elegendő csak a bevételből kiindulni, és így tovább.
Általánosságban válaszolni az ilyen kérdésekre azért is nehéz, mert minden területen különböző helyzetekkel találkozunk. Vegyünk például egy üres poharat. Rendeltetésszerűen használom, ha például limonádét töltök bele. Ha viszont olyasvalamit töltök bele, amivel meg fogom mérgezni magam, akkor a következményekről nem a pohár gyártója tehet, hanem én. A pohár gyártója azt vállalja, hogy a pohárban bent marad az a folyadék, amit beletöltök, a gyártón ezt a vállalást lehet számonkérni. Hogy a vásárlást követően az adott poharat mi, a vásárlók, a felhasználók mire és hogyan használjuk, az már csak rajtunk múlik. Ugyanez történik a GDPR esetében, például a számlázószoftverekkel. Ha a számlázószoftver gyártója azt mondja, hogy azért vállal felelősséget, hogy az adott számlakép megfelelő legyen, akkor csakis azért vállal felelősséget. Attól kezdve, ha szükség van titkosításra, az egyes felhasználók beléptetését, megkülönböztetését, azonosítását elvégző megoldásokra, archív állományokból való törlésre – ha szükséges, hangsúlyozom, ezek csak példák –, azt a végfelhasználónak kell megoldani – vagy sem.

De ha egy cég kiad egy számlát, mondjuk egy vásárlásról, akkor feltételezhető, hogy az azon szereplő adatok „rendben vannak”, nem? Úgy értem, a számla egy jogszabályban meghatározott, pénzügyi, számviteli adatokat tartalmazó dokumentum. Ezeket nem kell védeni? Hiszen azok amúgy is kvázi nyilvános adatok?

– Ezek azért nem teljesen nyilvános adatok, viszont azok kezelésére van jogalapja az adott cégnek, ez igaz. Továbbá nem egyértelmű az sem, mennyire kell védeni ezeket az adatokat. A számlán szerepelhetnek olyan egyedi információk, amelyek „érzékeny” adatok lehetnek, de akár maga a vásárolt termék is hordozhat további információt, hiszen nem mindegy, hogy egy kávé, egy vallási kegytárgy vagy egy szexshop árucikke szerepel rajta. Utóbbiak kiszivárgása ugyanis már érzékenyen érintheti a vásárlót, hiszen vásárolhatott valamit, amiből a szokásaira, szexuális irányultságára lehet következtetni. Ezek lehetnek már speciális kategóriába tartozó adatok, melyek például reputációs károkat okozhatnak, magyarul kellemetlen helyzetbe hozhat valakit például a munkájával kapcsolatos tevékenységek során, sérthetik a méltóságát. Könnyen el lehet kanyarodni abba az irányba, hogy nemhogy személyes adatot tárolnak a cégek, hanem annak is egy speciális, különleges kategóriáját. Hogy mi tartozik ebbe a kategóriába? A nemi irányultság, a vallási, politikai nézetek és így tovább, ezeket a GDPR meg is nevezi, és azért józan ésszel is belátható, hogy melyek ezek. Egyszerűen fogalmazva, az számít ilyen adatnak, aminek kiderülése a szomszédod, a főnököd előtt kínos lenne. Vagyis nem kell különlegességekre gondolni, elég egyszerűen meghatározható dolgok ezek.

Amitől úgy tűnik, hogy mindenki jobban megijed, mint az óriási büntetési tételek beígérése, az a GDPR-megfeleltetést segítő tanácsadói díjak mértéke.

– Ez érthető, ugyanakkor látni kell, hogy ez egy nagyon speciális szakterület a tanácsadáson belül is. Haladjunk sorban, hogy optimális esetben mit is tud egy olyan tanácsadó, aki valójában segíti a cég felkészülését.
Szükséges egy „alap” tanácsadói készségekből álló tudás. Stabil és „bármikor bevethető” eszközkészletet nem elég egyszer elolvasni, optimális esetben gyakorolni is kell azt. És akkor néhány konkrétum. Például tudni kell kérdezni, úgy, hogy kellően konkrét kérdések legyenek, melyek nem sugalmaznak válaszokat. A kérdésekre adott válaszokat sokszor az interjúk közben kell értelmezni, és a következő kérdéseket ennek megfelelően kell feltenni. A személyes interjú az információ, az adat begyűjtésének egyik formája. Emellett képesnek kell lenni gyorsan és a szükséges mértékig részletekbe menően átlátni, megérteni a cég, az intézmény működését. Figyelembe kell venni a működési, informatikai környezetet, jogszabályokat – esetünkben ez kiemelten a GDPR-t és az ágazati szabályozásokat jelenti. Képesnek kell lenni a komplex összefüggések felfedezésére.

A tanácsadók számos okból felkérhetők, persze valamilyen konkrét céllal szokás hozzájuk fordulni, például azért, hogy vala­mely üzleti célkitűzés nem teljesülése esetén felismerjék a gyökér­okokat, és azok elhárítására valós, végrehajtható intézkedéseket tudjanak javasolni.
A valódi okok feltárása, felismerése sokszor a cégben dolgozva, a napi munkavégzés közben nehezebb. A működésbe, a napi rutinba fektetett bizalom, biztonságérzet és az érzelmek miatt a valódi okokat nem látja az IT-üzemeltető, az ügyvezető, a raktáros, a kereskedő, a szerelő és így tovább.
Például, ha egy étterem általában üresen kong, pedig tiszta, minőségi a kínálata, jók az árak, látszólag nincs a hiba. Külsősként azonban feltűnhet, hogy az étteremben recseg a padló, és amúgy is nagy a beszűrődő zaj, túl hangos a háttérzene, ami ugyan már nem feltétlenül tűnik fel a személyzetnek, viszont a vendégek nem szívesen ülnek be, mert nem tudnak beszélgetni. Megvan a „hiba”, az ok, amit orvosolni kell.
A tanácsadónak tehát az az egyik legnagyobb helyzeti előnye, hogy külsős, vagy képes külsősként gondolkodni; kívülről látja a rendszert, nem befolyásolják olyan dolgok, mint a tulajdonost – mondjuk az érzelmei vagy egyéb olyan okok, amelyek miatt nem nyitott a valódi helyzetre.

Ilyen esetben a GDPR-megfeleltetés az, amire felkérjük a tanácsadót. Van valamilyen speciális tudás ezzel kapcsolatban?

– Induljunk ki abból, hogy szeretnénk valódi segítséget nyújtani a cégnek, amelyik felkér. Ennek megfelelően a GDPR-megfelelésre vonatkozó tanácsadáshoz, jó érzéssel, olyan ember fog hozzá, aki képes jogszabályokat értelmezni, érti azt, hogy mit jelent a „megfelelés” (multinacionális cégek erre a „compliance” szót használják gyakran). Képes információmenedzsment-feladatokat ellátni, ez jelenti a kapcsolatteremtést az üzlet és az informatika között. Ezen felül a GDPR speciális területe az adatvédelem, a technikai értelemben, tehát ez általában véve IT-biztonságot jelent – annak számos fizikai, logikai aspektusaival együtt. Ez az irányítás, megfelelés oldala.
A fentiek mellett célszerű, ha folyamatmenedzsment-rálátással, tapasztalattal is bír az illető, mert a GDPR-megfeleléshez sokszor új folyamatokra vagy a régiek átalakítására van szükség. Előnyt jelenthet még, ha valakinek van tapasztalata a hatóságokkal való kapcsolattartást és ellenőrzéseket illetően is.
Fontos kiemelni, hogy a szakmai képességeken túl az eredményeket prezentálni is kell. A tanácsadó akkor igazán eredményes, ha a menedzsment (cégvezető, tulajdonos) elé tudja tárni azt, hogy mire jutott a munkája során, és emellett olyan megoldási alternatívákat is kínál, amit aztán el is tudnak fogadni a vezetők.
Összességében tehát ennyi mindennek kell megfelelni ahhoz, hogy hathatós és valódi GDPR-tanácsadást tudjon valaki végezni, és ez némileg független attól, hogy hányféle minősítése van, vagy éppen milyen adatvédelmi tanfolyamot végzett el az elmúlt pár hónapban.

És hogy miből tevődik össze az akár több százezres tanácsadói napidíj? Egyrészt a fentihez hasonló tanácsadó hosszú éveket töltött az ismertetett területeken, képezte magát, fejlesztette a készségeit. Ezt a tudást fel kellett építeni, rendszerbe kellett helyezni és fenn kell tartani. A külsős tanácsadó, amikor kimegy egy autószervizbe, egy kávézóba, egy gyárba, és eltölt a projekttel egy hetet, akkor és csak abban az egy hétben kérhet ellenszolgáltatást (pénzt) azért, hogy tudását és képességeit folyamatosan fenntartsa. Így felkészülten és naprakészen tud belevágni egy feladatba.

Ezek alapján milyen tanácsot ad például egy autószerviz vezetőjének, akinek eddig nem volt szüksége különösebben tanácsadásra, mert vagy megoldotta házon belül, vagy egyszerűen nem volt szüksége különösebb tanácsra az ügy­vitelben, kommunikációban, egyebekben? Nézze meg, hogy megfelel-e a jogszabálynak?

– Nem tudja „megnézni”, és nem azért, mert autószervizt vezet, hanem azért, amiért egy kávézó, egy médium, de még egy jogi cég vezetője sem tudja biztosan ellenőrizni, hogy megfelel-e a GDPR szabályainak. Más-más okból: általában, aki autókat javít, nincs hozzászokva a jogi szövegek értelmezéséhez, egy jogi cég tulajdonosa pedig nem feltétlenül jártas az IT-biztonság, etikus hackelés technikai részeiben. És nem azért, mert nem érthetné meg, hanem azért, mert az emberek általában egy szakterületen profik. Abban nagyon jól teljesítenek, szakmai kérdésekben ők segítenek nekünk – akár a GDPR-megfelelés projekt végrehajtása során is. Ami így van rendjén. Az teljesen természetes, hogy aki benne van egy adott szakmában, az nehezebben lát át egy másikat, ráadásul a GDPR esetében csak a jogszabályi része „több tíz” oldal. Néha nagyon nehéz akár egy bonyolultabb mondatot is adaptálni egy konkrét helyzetre, egyszerűen sokáig tart értelmezni, és ezt minden negatívum nélkül értem.
A lényeg, hogy nagyon nehéz így távolról (általánosságban) megmondani, hogy mit tegyen egy kereskedő vagy egy háromfős autószerviz. Ugyanakkor nem minden cég problémás és teljesen egyedi eset, sőt. Sok a hasonlóság. Megnyugtatásul azért az már látható, hogy a hatóság sem fog első körben „mindenkire lőni”.

A GDPR egész megközelítése, ami már sokszor elhangzott, legalábbis tőlem, az az, hogy az egyén jogainak védelme a cél. Védelem arra az esetre, amikor egymaga, mint természetes személy, mint az adatkezelés alanya, áll szemben, megy neki a nagy multivállalatoknak, és ez a nagy multicég lényegében kifacsarja, és bedobja a sarokba… A cél ennek a szituációnak a megelőzése, kivédése. Ez a jogalkotó szándéka, és nem is csupán a GDPR-ral, hanem ugyanígy van például a pénzügyi szolgáltatókra vonatkozó EU-s jogszabályok esetében is, mindenhol ez az alapvetés. A jogi környezet egyre bonyolultabb, mert egyre bonyolultabbnak kell lennie, mert egyre inkább szerteágazó a tevékenységek köre, és ezt követni kell. Ezt az egyre bonyolódó rendszert egy átlagembernek nagyon nehéz átlátnia, és nem is elvárás, hogy átlássa. Mivel az állampolgároktól ez nem várható el, ezért mondja azt a jogalkotó, hogy aki vállalkozást üzemeltet, legyen az autószerelő vagy pénzügyi szolgáltató, jogi entitásként teremtse meg a megfelelő, biztonságos környezetet. Szolgálja ki úgy a természetes személyeket, hogy ebbe a folyamatba automatikusan be van építve a természetes személy védelme. Azt is látni kell, hogy a GDPR alkalmazásával nem szándékoznak korlátozni az információ szabad áramlását az EU-n belül, ez alapelv. Ugyanúgy, ahogy a pénz vagy egyéb termékek szabad áramlását sem korlátozza, hiszen a szabad piac elvének ellentmondana, ha ellehetetlenítené a kisvállalkozásokat. Ezért is szerepelnek a GDPR szövegezésében olyan elemek, amelyek más uniós direktívákra, jogszabályokra hivatkoznak. Például az, hogy mi számít kis- és középvállalkozásnak, vagy hány millió euró, hány milliárd forint bevételtől számít nagyvállalatnak egy vállalkozás, és ennek megfelelően lépcsőzetesen enyhít a rájuk kirótt adminisztratív intézkedéseken is. Hangsúlyozzuk: nem azt mondja, hogy egy háromfős bt.-nek nem kell foglalkozni a GDPR-megfeleléssel! A példánál maradva: ez érthető is, hiszen lehet, hogy egy háromfős bt. vagy nonprofit szervezet rendelkezik a magyar társadalom adatainak a felével, ami igen nagy kockázattal járhat, és hiába nem származik belőle bevétel, egy adatszivárgás komoly kárt okozhat. Így tehát nem fog csökkenni a megfeleléshez szükséges adminisztrációs teher, és szükség lesz kockázatok felmérésére és különböző nyilvántartások vezetésére.

Azért tekintsük át nagyon röviden, hogy mit lehet még javasolni a kis- és középvállalkozásoknak?

– Már a 2011-es magyar adatvédelmi törvény (Infotv.) is rögzített előírásokat, és találunk azzal kapcsolatban „javaslatokat”. Én magam azt javaslom, kerüljék el például a „hörcsögszerű” adatgyűjtést, nem csupán a személyes adatok esetében, de minden másban is. Ezeket nemcsak gyűjteni, de megfelelően tárolni, archiválni, megsemmisíteni is kell, ezek pedig mind magukkal vonzzák a szükséges eszközöket, szabályozást. Másodszor: valakit mindenképpen érdemes megkérdezniük arról, hogy jól van-e az, ha mondjuk ők publikus, nyílt („titkosítatlan”) e-mailben küldik el egy vevőjük, partnerük adatait. Például érdemes utánajárni annak, ha a vevő összes igazolványát lemásolják, és aztán egy publikus szolgáltatáson – gmail, freemail stb. – keresztül beküldik a ki-tudja-hova, ahol ki-tudja-meddig tárolják az összes igazolvány képét, az jól van-e így vagy sem. Nem lesz jó, ez szinte biztos, ez már most sem jó gyakorlat, sőt. Az ilyen eseteket tehát próbálják meg elkerülni.

Ez azért vevőként is érezhető valahol, hiszen egy szolgáltatónak, cégnek alapvetően semmi köze nincs a személyigazolványunkhoz, és mégis elkérik, akkor már ma is jogszabályi lehetőségünk van elkérni az erre vonatkozó adatkezelési szabályzatot, tájékoztatót.
Ha az autószerelőnk elkéri a papírokat és továbbítja a vizsgaállomásra, ilyen esetben az autószerelő az adatkezelő, és a vizsga­állomás, ahova átküldi az adatokat, az adatfeldolgozó. Ezt megteheti a megfelelő intézkedések, szabályok betartása mellett. Ha ilyen helyzetben a szerelőt megkérdezzük, hogy mi az adatkezelés célja, hogy végzi azt, és ezek a „vásárlói” kérdések nem lesznek számára ismerősek, akkor sajnos az a szerelő bajban van…

És végül, a GDPR-jogszabály elején található egy fogalomtár (4. cikk Fogalommeghatározások), amelyben az összes szükséges fogalmat világosan meghatározzák, kezdve, hogy mi a személyes adat, mit jelent az adatkezelő, az adatfeldolgozó. Érdemes megnézni. A GDPR publikusan elérhető mindenki számára.

GDPR ismerete, végrehajtása ugyanaz a kategória, mint mondjuk a számlaadási kötelezettség vagy a KRESZ betartása. Társada­lomban élünk, vannak bizonyos új szabályok, és egyszerűen foglalkoznunk kell velük. Attól, hogy utálom a KRESZ-könyvet, nem szeretném olvasni, nem akarok foglalkozni vele, attól még nem mehetek át a piros lámpán kedvem szerint. Attól, hogy nem akarok számlát adni, nem múlik el az adózási kötelezettségem, és előbb-utóbb lehet, hogy a hatóságok szankcionálni fogják ezt a „nem akarást”. Ahhoz, hogy hatékonyan tudjunk ebben a társadalomban természetes személyként élni, vagy jogi személyként vállalkozást üzemeltetni, szükség van valamiféle tudásra a világról, amely folyamatosan változik. Egy biztos, hogy társadalmi szervezetként vannak kötelezettségeink. Az adatok védelme is ezek közé tartozik, és ez nem is meglepő egy olyan világban, társadalomban, ahol az adat, az információ sokszor többet ér minden másnál.•


 
Archívum
 2011  2012  2013  2014  2015  2016  2017  2018  2019  2020  2021  2022  2023  2024
Címkék

Innotéka