Két év felkészülési idő után május végén vált kötelezően alkalmazandóvá a tagállamokban a GDPR, az Általános Adatvédelmi Rendelet. A szabályozás az élet szinte minden területét érinti, ahol személyes adatokkal foglalkoznak. A kezdeti időszak tanulságairól beszélgettünk Péterfalvi Attilával, a Nemzeti Adatvédelmi és Információszabadság Hatóság elnökével, aki az NKE oktatója is.
Néhány hét telt el a rendelet alkalmazandóvá válása óta. Eddig mik a tapasztalatok, visszajelzések?
Péterfalvi Attila: Az interjú készítésének időpontjáig, június első hetéig nem volt konkrét ügyünk az új szabályozással kapcsolatban. Inkább a rendelet azon része adott többletmunkát, amely a nemzetközi együttműködést érinti. Az Általános Adatvédelmi Rendelet legfontosabb újítása ugyanis az, hogy a jogszabály közvetlenül alkalmazandó minden uniós tagállamban, amely esetben kell egy bizonyos idő a joggyakorlat kialakulásához. A rendelet az összes adatkezelőre vonatkozik, függetlenül attól, hogy hol tartózkodik, hol működik a világban, ha európai polgárok számára nyújt szolgáltatást vagy végez megfigyelést. Egy osztrák fiatalember, Maximilian Schrems Ausztriában a Facebook Ireland Limiteddel szemben bírósági eljárást kezdeményezett, mert szerinte e társaság megsértette a magánélethez és adatai védelméhez való jogát. Fontos tehát, hogy az EU egységesen tudjon fellépni a nem európai cégekkel kapcsolatban is, ha azoknak a kontinens országaiban van a központi adatkezelésük, vagy a székhelyük. Az uniós rendelettel párhuzamosan létrejött az Európai Adatvédelmi Testület (European Data Protection Board) is, ami tulajdonképpen az EU jogi személyiséggel rendelkező szerve. Ráadásul döntéshozó jogosítványai is vannak, így ha vita alakul ki mondjuk a tagországok között pont egy ilyen egyablakos ügyintézés kapcsán, akkor a testület minden tagországra nézve kötelező döntést hozhat. De ez a jogalkalmazók, tehát a hatóságok számára is kötelező érvényű lesz, így ha bíróság elé kerül egy ügy, akkor elméletileg a bírónak is a GDPR-t figyelembe véve kellene majd ítéletet hoznia, de egyelőre nagy kérdés, hogy ez hogyan működik majd a gyakorlatban. Az Európai Adatvédelmi Testület emellett elindított egy online platformot, amelyen az uniós tagállami hatóságok egyeztethetnek egyes adatvédelmi kérdésekről, így például egy bírság kiszabásának mértékéről, precedensek kérdéseiről. Ezt az úgynevezett kölcsönös segítségnyújtás elve szerint alakítják ki.
Még nem született meg a magyar szabályozás. Ez mekkora hátrányt jelent a jogalkalmazásban?
P. A. Jelenleg folyamatban van a szabályozás rövid változatának parlamenti tárgyalása, ami egyelőre csak arról szól, hogy kijelöli a NAIH-ot eljáró hatóságnak, felügyeleti szervnek, illetve rendelkezik arról, hogy a hatóság a kkv-szektor sajátosságaira is tekintettel a fokozatosság elve alapján alkalmazza a rendeletet, azaz első alkalommal ne bírságoljon, csak figyelmeztessen. Amire igazán szükség lenne, az a konkrét, nemzeti adatkezeléseket szabályozó szektorális törvények felülvizsgálata. Ez számos területet érint a rendőrségi törvénytől kezdve a direkt marketingre vonatkozó szabályozásokon keresztül egészen az egészségügyre és a felsőoktatásra vonatkozó törvényekig. Minden olyan szabályozást felül kell vizsgálni Magyarországon, amely adatkezelést tartalmaz. Amíg ezek a szektorális szabályok nincsenek meg, addig a hatóságoknak jogértelmezést kell alkalmazni az egyes ügyekben, figyelembe véve, hogy a nemzeti jogszabály nem lehet ellentétes az uniós joggal. Tehát elképzelhető, hogy a magyar szabályoknak nem megfelelő döntést kell hoznia a hatóságnak, ha azok ellentétesek az uniós rendelettel. Az elmúlt napokban több adatvédelmi incidensről is kaptunk már bejelentést. Ezt 72 órán belül kell megtenni, ha fennállnak a feltételei, tehát ha például személyes adatot érint.
Ilyenkor mi a hatóság teendője?
P. A. Ez nem jár a részünkről automatikusan vizsgálattal, hiszen a bejelentőnek kell gondoskodnia az incidens elhárításáról. Természetesen, ha a hatóság úgy ítéli meg, akkor indíthat hivatalból is eljárást, aminek akár bírság is lehet a következménye. Az interjú időpontjáig még nem indított eljárást a hatóság az új uniós adatvédelmi rendelet alapján.
Az ember úgy érzékeli, hogy hiába előzte meg két év felkészülési idő a rendelet hatálybalépését, még sokak számára nem világos, mi a teendő.
P. A. Én nagyon bízom abban, hogy a többség azért felkészült a változásra. Ha mégsem, akkor ezt nagyon gyorsan meg kell tenni. Minden határidő letelt, most már élesben mennek a dolgok, így érdemes először a legkockázatosabb adatkezeléseket rendbe tenni. A hatóságot nem fogja befolyásolni az, ha valaki arra hivatkozik, hogy nem tudott felkészülni a változásokra.
Talán a legfontosabb azt tisztázni, hogy kire is vonatkozik ez a rendelet.
P. A. Nagyon egyszerűen megfogalmazva: mindenkire vonatkozik, kivéve, akire nem. Itt ugyanis egy olyan európai adatvédelmi reformról beszélhetünk, amelynek több eleme van. Ezek közül az egyik a GDPR mint jogszabály, ami mindenkire kiterjed, kivéve azokra, akikre a bűnügyi adatvédelmi irányelv a mérvadó. Ez a reform második eleme, amely a bűnüldözési célú adatkezeléseket szabályozza. Ez azt jelenti, hogy a bűnüldözésre kiterjedő adatkezelésekre nem kell a GDPR-t alkalmazni, valamint nem kell alkalmazni a nemzetbiztonsági és honvédelmi célú adatkezelésekre sem, mert ezek eleve nem uniós kompetenciák. Ezt leszámítva mindenkinek alkalmazni kell az uniós rendeletet. Tehát például a rendőrségnek is olyan feladatok esetében, amelyek nem kifejezetten bűnüldözési célúak. Ezért is lenne fontos, hogy az Országgyűlés megszavazza az Infotörvény módosítását, amely a bűnügyi adatvédelmi irányelv rendelkezéseit ültetné át a magyar jogba. Így egyértelmű lenne, hogy adott esetben melyik jogszabályt kell alkalmazni.
Akkor a GDPR végül is minden közintézményre is vonatkozik?
P. A. Így van, tehát például kórházakra, egyetemekre is. Itt nem az intézménytípus a mérvadó, hanem az abban megvalósuló adatkezelés célja. Például a büntetés-végrehajtási intézmény esetében, ha egy kamera a cellát figyeli, akkor erre a bűnügyi adatvédelmi irányelv érvényes, ha a beléptetőrendszert, akkor a GDPR. Érdemes még megemlíteni az e-Privacy rendeletet, amely az elektronikus hírközlési terület újraszabályozását hozná magával, és a személyes adatok kezeléséről, feldolgozásáról és a magánélet védelméről szóló 2002/58/EK irányelvet (Elektronikus hírközlési adatvédelmi irányelv) váltaná fel.
Az új szabályozás az átlagpolgárt mennyiben érinti? Ezentúl nagyobb biztonságban tudhatja-e személyes adatait?
P. A. A magyar adatvédelem eddig is alapvetően szigorúan szabályozott volt. A GDPR az adatkezelők számára ad több lehetőséget, de kiszélesíti az érintettek jogait is. Tehát az állampolgárokra nézve a GDPR pozitív hatással van, hiszen ezentúl egyértelműen, közérthetően, konkrétumokról kell őket tájékoztatni, ráadásul átlátható módon. Nagyobb az adatkezelő számonkérési lehetősége is, hiszen a rendelet szerint adatvédelmi tisztviselőket kell alkalmazni, a közszférában kötelezően. Az adatkezelőkre emiatt az eddiginél nagyobb terhet ró a szabályozás.
Ha egy konkrét példát nézünk: egy nyilvános egyetemi rendezvényen fotók készülnek, és ezek megjelennek az intézmény honlapján. Itt van-e az eddigiekhez képest többletfeladata az adatkezelőnek?
P. A. Erre az esetre is a GDPR vonatkozik, mert az adatkezelésnek törvényesnek, jogszerűnek, tisztességesnek és átláthatónak kell lennie. A rendelet ugyanakkor nem ad erre nézve részletszabályozást. A nemzeti jogalkotóknak kell megteremteni az összhangot a GDPR és a véleménynyilvánítás szabadsága között. Nálunk a fényképkészítésre vonatkozó szabályokat a Ptk. tartalmazza. Figyelembe kell venni olyan tényezőket, hogy az esemény nyilvános-e, felhívtuk-e erre a figyelmet, és az érintetteknek lehet tiltakozási joguk. Mindenképpen kell egy, az eddigieknél komolyabb tájékoztatás arról, hogy milyen célból készülnek a fotók, és az intézmény honlapján el kell helyezni egy adatkezelési tájékoztatót is, ami az átláthatóságot biztosítja.
Az új adatvédelmi rendelet és az ehhez kapcsolódó szabályozások hogyan jelennek majd meg az oktatásban?
P. A. Ez egy jó lehetőség arra, hogy a felsőoktatásban is hozzányúljanak a szektorális szabályozásokhoz. Érdemes lenne például végiggondolni és egységesíteni azt a szabályozást, amely a szakdolgozatok nyilvánosságáról szól. Jelenleg ezt a különböző intézmények különböző módon szabályozzák.
Az lenne a jó, ha minden egyetemen nyilvánosak lennének a szakdolgozatok?
P. A. Azt gondolom, hogy lehetnének, hiszen nyilvános az államvizsga és a szakdolgozat védése is. Nem igazán tudom, mi indokolhatja azt, hogy ne legyen nyilvános. De ott van például a beléptetőrendszerek használata. Ez is ahány egyetem, annyiféle szabályozás. Az egyetemi autonómia miatt nem biztos, hogy mindent jogszabállyal kell rendezni, de személyes véleményem szerint ezt a kérdést is meg lehetne oldani például egy egységes magatartási kódex segítségével, amelyet a rektori konferencia bevonásával lehetne megalkotni. Még adatvédelmi biztosként kaptam egy állampolgári beadványt, amelyben azt kérték, hogy marasztaljam el azokat az egyetemi oktatókat, akik vizsga közben nézegetik az indexet. Ezt én teljesen abszurd felvetésnek tartottam, és azt kértem, hogy az egyetem az autonómia keretében határozza meg, hogy ezt miképp szabályozza. Szerintem rossz dolog, hogy ma már nincs index, de nonszensz lenne kimondani, hogy egy vizsgáztató ne nézegesse azt.
Szöveg: Szöőr Ádám
Fotó: Szilágyi Dénes
Az interjú a Bonum Publicum júliusi számában jelent meg.