Valószínűleg kevés magyar van, aki nem hallott még a GDPR-ról (General Data Protection Regulation). Az új uniós adatvédelmi szabályozást már két éve elfogadták, de csak 2018. május 25-e óta kell kötelezően alkalmazni és legfőképpen a személyes adatok kezelésével foglalkozik. Ennek megfelelően a cégeknek számos új adatkezelési normáknak kellett megfelelniük, így számít, hogyan bánnak a regisztrált felhasználókról gyűjtött információkkal, de az is, hogyan kezelik az elektronikus leveleket, vagy az évek során összeszedett telefonszámokat.
Az új, eddiginél jóval szigorúbb szabályok szerint akár a névjegykártyák tárolása is adatgyűjtésnek számít, ahogy a céges csapatépítő eseményeken készült fotók felhasználása is, így bizony könnyű hibát elkövetni. Márpedig nem árt odafigyelni, hiszen a rendelet előírásainak megszegése komoly következményekkel járhat, a kiszabható bírság költségvetési szerveknél 20 millió forint, azon kívüli szervezeteknél akár 20 millió euró, vagy a cégcsoport teljes, globális forgalmának 4 százalékát is elérheti. A kettő közül a magasabb összeg a felső határ.
Itt tartunk most
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) két fázist különböztet meg: a május 25. és július 26. közötti két hónapot, illetve az ez utáni időszakot - árulta el érdeklődésünkre Péterfalvi Attila, a szervezet elnöke. Ez azért van így, mert a GDPR-t kezelő infotörvény (Az információs önrendelkezési jogról és az információszabadságról szóló törvény) 2018. július 26-án lépett hatályba, addig csak a korábbi eljárási szabályokkal rendelkezett a hatóság.
Az első két hónapban 840 ügy érkezett a NAIH-hoz, melynek a fele konzultációs típusú megkeresés volt, a másik fele pedig vizsgálati ügy. Előbbihez olyan esetek tartoznak, amikor különböző megkeresésekre kiegészítő vagy értelmező állásfoglalást adnak vagy ilyen anyagot tesznek közzé a honlapjukon, míg utóbbihoz azok, amikor a hatóság bár elindítja az eljárást, de az nem határozattal zárul, hanem egy állásfoglalással, amely bár kötelező érvényű, de nem kényszeríthető ki.
Július 26. óta viszont megfordult a trend, hiszen bár október 29-ig újabb 802 ügy érkezett be az adatvédelmi hatósághoz, ezeknek mindössze 17 százaléka volt konzultációs ügy. Ezzel kapcsolatban Péterfalvi elmondta: bár itthon a GPRD-hoz kapcsolódó általános jogszabályt már elfogadták, máig hiányoznak azok a jogszabályi rendelkezések, amelyek a szektorális adatkezeléseket szabályozzák.
"Van, amit már benyújtottak az országgyűlésnek, de összességében elmondható, hogy akár több ezer jogszabályi rendelkezést kell módosítani a jövőben, ez vélhetően 2019 első felében fog megtörténni" - emelte ki a NAIH elnöke. A múlt heti adatok szerint is csak 21 uniós tagállamban van elfogadva az általános törvény, így a magyar helyzet nem számít kirívónak.
Az október végéig beérkező ügyek további 80 százaléka vizsgálati típusú volt, míg három százalék hatósági ügy. Ez utóbbi 25-26 eljárást jelent, melynek végén bírságolni is lehet. Itt még nem tartunk, a GDPR alapján egyetlen ügy sem jutott el odáig, hogy tényleges bírságot szabtak volna ki, Péterfalvi szavai szerint az európai uniós adatvédelmi hatóságok együttműködésében is mindössze 2-3 olyan ügy van, ahol az eljáró hatóság határozat tervezetet készített, melyet az érintett hatóságok most véleményeznek.
Ugyanakkor arra nem kell számítani Péterfalvi szerint, hogy egyből a maximum bírságot szabnák ki, azonban az a cél, hogy az uniós hatóságok a bírság összegét is harmonizálják.
Az önfeljelentők és a panaszosok
A NAIH továbbra is elsődlegesen panaszbeadványok alapján folytat eljárásokat, azaz a beérkező jelzések alapján dönt: elindítja a hatósági eljárást vagy sem. "Nincs kiemelt ellenőrzési terv, hogy például a kkv-kat vagy egy bizonyos szektort ellenőrizzünk. Persze nincs kizárva, hogy idővel - akár jövőre - ne legyen ilyen, de még nem fordult elő. Ennek többek közt az is az oka, hogy több uniós tagállam még lemaradásban van a jogszabályok elfogadásával, így nem állnak rendelkezésre adatok, hogy mely szektorokban vannak komoly elmaradások az adatkezelésben" - fogalmazott lapunknak Péterfalvi.
Adatvédelmi incidenseknél a vállalatoknak 72 órájuk van, hogy bejelentsék az ügyet, ezt többségük meg is teszi, mivel úgy gondolják, hogy "előbb-utóbb úgyis kiderül". Ezen felül az adatait féltő panaszos fordul a NAIH-hoz, ám arról nincs adata a hatóságnak, hogy ezek közül mennyi az olyan eset, amikor egymás jelentik fel a cégek. És hogy ez utóbbi során mire panaszkodnak? "A munkahelyi és kamerás adatkezelés, illetve az adatvédelmi tájékoztatók elmaradása a leggyakoribb" - mondta lapunknak a NAIH első embere.
Az incidensbejelentésekből május 25-től mintegy 200 érkezett a NAIH-hoz, ezek harmada téves címre küldött küldemény miatt érkezett be, 10 százaléknál jogellenesen tettek közzé valamit, hasonló arányban volt, hogy valaki jogellenesen ismert meg adatokat, de 3 százalékban különböző adathordozók elveszítése miatt is a hivatalhoz fordultak. Péterfalvi szerint ebből is látszik, hogy az adatvédelmi incidensek legtöbbször emberi mulasztásra vezethetőek vissza, például amikor valaki véletlenül rányom a mindenkinek elküld gombra a levelezésében.
Az incidensbejelentésekkel kapcsolatban az elnök elmondta: ilyenkor a hivatalból meg kell indítaniuk a hatósági ellenőrzést, ám ha mindent rendben találnak, azaz az adatkezelő mindent megtett az incidens elhárításáért, akkor lezárják az eljárást. Ilyen, lezárt eljárásból eddig 2-3 akadt.
Határon átnyúló ügyekkel is foglalkoznak
Az uniós adatvédelmi hatóságokhoz október második felééig összességében 45 ezer beadvány érkezett, míg mintegy 190 ezer adatvédelmi incidenst is bejelentettek a cégek. Ehhez képest a magyar 200 körüli incidens kevésnek tűnik, ám Péterfalvi szerint ebből nem lehet az a következtetést levonni, hogy ennyivel jobb lenne a magyar adatbiztonság. Szerinte ez inkább annak köszönhető, hogy sokan nincsenek tudatában annak, milyen ügyeket lehet bejelenteni, illetve több országban már május 25. előtt is lehetőség volt az ilyen típusú bejelentésekre.
Az uniós adatvédelmi hatóságok egymás között egy belső piaci információs rendszeren, úgynevezett IMI-n keresztül kommunikálnak, ide kerülnek azok az ügyek, amelyek a GDPR alapján együttműködési kötelezettség alá esnek. Például a benyújtott panaszt mindig annál a nemzeti hatóságnál kell kivizsgálni, ahol az adatkezelő központi szervezete van. "Ilyenkor meg kell határozni, hogy melyik lesz az eljáró hatóság, melyek az érintett hatóságok, mert például országukban is működik az adott szervezet, vagy éppen melyik a közreműködő hatóság" - magyarázta Péterfalvi.
Az IMI rendszerben (informatikai platform, melyen az EU-s hatóságok együttműködése történik) október végéig 401 ügy került napirendre, amiből 314 adatvédelmi panasz volt, mely 87 incidensbejelentéssel függött össze.
A NAIH 7 ügyet kezdeményezett, de számos másik ügybe bejelentkezett, mint érintett hatóság: 22 Facebookot, 16 Google-t, 21 PayPalt, 15 Amazont, 15 Whatsapp-ot, 5 Yahoo-t és 5 Apple-t érintő ügyben. "Nem mi töltjük fel ezeket az ügyeket, de mivel Magyarországon is használják ezeket a szolgáltatásokat, ezért nyilván véleményezni akarjuk és bele akarunk szólni, hogy milyen lesz a végső határozat" - magyarázta Péterfalvi, aki azonban azt nem árulta el, hogy ezen ügyek pontosan milyen adatkezelési problémákkal foglalkoztak.
Nem elég a dupla létszám?
A GDPR-szabályozás életbe lépése előtt a NAIH összesen 75 fővel dolgozott, azóta azonban 40 új pozíciót töltöttek fel. Főként adatvédelemmel foglalkozó jogászokat és informatikusokat vettek fel.
A stáb megduplázása azonban nem jelenti azt, hogy csökkent volna a kollégák terheltsége, hiszen nagyon megnőtt az ügyek száma, amihez hozzátartozik az is, hogy nagyon leterhelő a nemzetközi együttműködés is, nincs olyan hét, amikor ne lenne Brüsszelben valamilyen munkacsoportnak ülése - mondta Péterfalvi, aki éppen ezért nem zárta ki annak a lehetőségét, hogy a jövőben tovább bővítik a hivatal létszámát.