2 hónappal a GDPR után - Mi történt eddig?
Az Európai Unió új, egységes adatvédelmi rendeletét 2018.05.25-től alkalmazni kell. Két hónappal a hatálybalépést követően áttekintjük, milyen változásokkal találkozhattak a magánszemélyek és a vállalkozások.
Cikkünkben a globális és magyarországi helyzet ismertetése mellett kitérünk az infotörvény módosítása körüli félreértésekre, a NAIH-ra, a kormányzati kommunikációra és saját tapasztalatainkra.
Globális változások
Sajnos általánosságban elmondható, hogy a vállalatok döntő többsége vagy későn kezdte el a felkészülést, vagy nem végzett vele a rendelet alkalmazásának dátumáig. Ez nem csak Magyarországon tapasztalható, a legtöbb nagy nemzetközi cég (többek közt például a Facebook) a mai napig nem tisztázott minden kérdéses részt a saját, már GDPR-ra felkészített adatkezelési tájékoztatójában. Bár a GDPR rendelet értelmezése jogi ismereteket igénylő feladat, az elvárásoknak történő megfelelés a jogi gyakorlaton túl információtechnológiai, és nagy részben folyamatmenedzsment kérdés.
Adatkezelési e-mailek
A legszélesebb körben tapasztalt, GDPR-hoz kapcsolódó jelenséggel még az is találkozott, aki esetleg nem hallott a rendeletről: A május 25-i dátum közeledtével elárasztották az elektronikus postaládákat a hozzájárulás-megújító levelek.
A rendelet szerint az adatok kezelése csak és kizárólag a megfelelő jogalap szerint történhet. A hozzájárulás alapján kezelt adatok esetében a vállalkozásoknak szükség esetén bizonyítható módon igazolniuk kell, hogy az Érintett mikor és hogyan adott hozzájárulást a személyes adatainak kezelésére.
Ez a követelmény a legtöbb ország számára új szigorítást hozott a GDPR előtti adatvédelmi törvényekhez képest, így amennyiben nem tudták egyértelműen bizonyítani az adatkezelés jogszerűségét, úgynevezett megerősítő kampányba kezdtek annak érdekében, hogy az új szabályozás szerint is kezelhessék a felhasználói adatokat.
Azon cégek – így a Crosssec Solutions is – akik a rendeletet megelőzően is kiemelten figyeltek az adatvédelemre, már a kezdetektől így építették fel ügyféladatbázisaikat. Ügyfeleink és feliratkozóink ezért nem is kaptak tőlünk ilyen jellegű megerősítő levelet, hiszen esetünkben elegendő volt értesíteni partnereinket az adatkezelési feltételek változásáról.
Sütik (Cookie-k) kezelése
A rendelet csak említés szintjén tér ki a cookie-azonosítókra, azonban magánszemélyként az adatkezelési levelek után ezen a téren található a második leginkább észrevehető változás.
Az internet fejlődésével a tartalomszolgáltatás is egyre inkább a személyes tartalmak, személyre szabott hirdetések felé indult el. Mindenki ismeri azt a jelenséget, hogy rákeresett valamire az interneten, majd az adott termék hirdetései folyamatosan megjelentek a weboldalakon.
Az ilyen jellegű technológiák segítenek abban, hogy hasznos, valóban az adott internetező számára releváns tartalmakat hirdethessenek a cégek. A rendelet szövege alapján például a cookie-azonosítókkal bizonyos esetekben beazonosíthatóvá válhatnak az Érintettek, így az ilyen jellegű tevékenységhez hozzájárulást kell adniuk.
Mivel a cookie technológia a weboldalak helyes működéséhez és alapvető üzemeltetési folyamatokhoz is elengedhetetlen, az úgynevezett funkcionális cookie-k kezeléséhez nem szükséges felhasználói hozzájárulás, míg az azonosításra alkalmas, például marketing célra alkalmazott sütikhez igen.
Gyakran tapasztalt jelenség, hogy a weboldal használatát addig nem kezdheti meg a felhasználó, amíg nem nyilatkozott a süti-beállításokról. Véleményünk szerint ez a rendelet félreértelmezéséből és a túlbiztosításból adódó tévedés, hiszen a weboldal üzemeltetéséhez szükséges cookie-khoz ezek után sem kell hozzájárulást kérni, elég tájékoztatni a látogatókat a sütik használatáról. A sütikezelés esetén is tegyünk meg minden tőlünk telhetőt annak érdekében, hogy ezeket a beállításokat bármikor meg tudja változtatni a látogató. Célszerű egy egyszerű hivatkozás segítségével biztosítani annak lehetőségét, hogy a saját weboldalunk által beállított cookie-kat törölni lehessen. A Crosssec Solutionsnél ezt mi úgy oldottuk meg, hogy a láblécben található "Cookie beállítások törlése" linkre kattintva azonnal alaphelyzetbe állítjuk a sütiket, és amíg a látogató nem adja újra hozzájárulását, addig kizárólag a funkcionális cookie-k működnek.
Korlátozások
Több olyan nemzetközi vállalkozással találkozhatunk, amelyek nem tudtak, vagy nem kívántak időben felkészülni az új szabályozásra, így inkább a korlátozások és az európai böngészők kitiltása mellett döntöttek.
Bár bizonyos cégek letiltják az Európai Unióból érkező adatforgalmat (mint például a Los Angeles Times, Motosport, vagy az unroll.me), ez több okból kifolyólag sem jelent valódi megoldást.
Egy európai uniós állampolgár akkor is európai uniós állampolgár marad, ha történetesen az EU-n kívülről (mondjuk egy üzleti út során) csatlakozik az internetre, vagy esetleg VPN szolgáltatást használ. Így az ő adatainak kezelése továbbra is a GDPR rendelkezései szerint végezhető jogszerűen.
A lokáció alapú tiltással egyúttal az Európába utazó, de nem európai ügyfelek elérését is korlátozzák, hiszen nem tudják használni a szolgáltatásokat, és nem férnek hozzá a weboldalakhoz sem.
A hirdetők is jelentős változásokat tapasztalhattak az adatvédelmi rendelet hatálybalépését követően. Az eddig széles körben elterjedt és használt platformok (Pl: Facebook, Google Adwords) marketing-célzási lehetőségei is szigorodtak. Az egy évvel ezelőtti targetáláshoz képest több olyan személyes jellegű adat kivezetésre került a hirdetési felületekről, melyekre régebben hirdetést lehetett beállítani.
A marketing-méréseket különféle analitikai szoftverek segítségével végzik - jellemzően követőkódok vagy sütik segítségével -, ezek pontossága és hatékonysága ugyancsak csökkenhetett az új szabályozás által.
Magyarország
Mi történt itthon?
Ahogy korábbi bejegyzéseinkben írtuk, a magyar kis- és közepes vállalati szféra - a nemzetközi trendekkel megegyezően - jellemzően nem fordított kellő erőforrást az új adatvédelmi rendeletnek történő megfelelésre. A kutatások mellett konferenciákon, szakmai csoportokban és hozzászólásokban azt tapasztaljuk, hogy a magyarországi cégek többsége nem foglalkozott a megfelelés biztosításával annak ellenére sem, hogy a rendelet végleges szövege több mint 2 éve elérhető. Talán ez is magyarázza azt, hogy a hatálybalépés dátumához közeledve leginkább kétségbeeséssel találkoztunk az itthoni piacon. Ahhoz, hogy valaki valóban fel tudjon készülni a GDPR-ra, először a saját folyamataival kell, hogy tisztában legyen. Bár az Infotörvény a GDPR előtt is az egyik legszigorúbb volt az EU-n belül, a GDPR által megemelt magas büntetési maximumok és azok kikényszeríthetősége is újdonságot jelent, nyomást gyakorol egész Európában.
Kormányzati kommunikáció
A helyzeten nem segített a könnyen félreérthető kormányzati kommunikáció, és a késlekedő magyar törvényhozás sem. A GDPR alkalmazási határideje előtt egy nappal, május 24-én tartott kormányinfón Gulyás Gergely Miniszterelnökséget vezető miniszter a sajtótájékoztatón azt közölte, hogy a kormány tervezete szerint a kis- és középvállalkozói szektor esetén a Nemzeti Adatvédelmi és Információszabadság Hatóság kizárólag figyelmeztethet, más szankciót nem alkalmazhat.
A nyilatkozatot és annak tartalmát érintően érdemes tisztázni, hogy a büntetési maximumokat, és a felügyeleti hatóság vizsgálati hatásköreit a közvetlenül alkalmazandó EU-s rendelet határozza meg. A közigazgatási bírságok kiszabása során az elkövetett jogsértés súlyosságát, időtartamát, adatkezelés jellegét, az érintettek számát és az elszenvedett kár mértékét figyelembe kell venni. A Hatóságnak vizsgálnia kell, hogy a jogsértés szándékos, vagy gondatlan jellegű, valamint számításba kell vennie az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértéseket is.
Abban az esetben tehát, ha egy vállalkozás - akár KKV, akár nagyvállalat - súlyos adatvédelmi incidenst okoz, vagy az érintettek száma magas, esetleg a jogsértés szándékos volt, vagy a vállalkozás nem tett meg minden tőle elvárható intézkedést, egészen biztosan nem "csak" figyelmeztetésre kell számítani.
Megkésett magyar törvényhozás
Ahogy már említettük, a magyar jogalkotók - csakúgy, mint számos más európai uniós tagország törvényhozói - sem készültek el időben a május 25-i dátumra. Az első, május 29-én benyújtott T/335-ös javaslat szövegében található törvénymódosítás mindössze formálisan kijelöli a NAIH-ot mint eljáró hatóságot, és úgy módosítja az infotv-t, hogy a NAIH az első jogsértés esetében a rendelet 58. cikkével (Hatáskörök) összhangban elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik. Ezzel tehát egyáltalán nem biztosít "felmentést" a KKV-k számára az adatvédelmi jogsértések miatt kiszabott közigazgatási bírságok alól.
A július közepén elfogadott második, T/623-as törvényjavaslat már bővebben foglalkozik a kérdéssel. Az európai általános adatvédelmi rendelet bizonyos speciális esetekben (például honvédelem, nemzetbiztonság, bűnüldözés) nemzeti törvényhozási kötelezettséget ír elő. Ezeket az eddig elmaradt változtatásokat július 17-én az Országgyűlés elfogadta.
NAIH
Magyarországon az alaptörvény szerint eddig is a Nemzeti Adatvédelmi és Információszabadság Hatóság látta el az adatvédelemi felügyeleti hatóság munkáját, azonban a május 29-én elfogadott infotv. módosításával a hatóság formális kijelölése is megtörtént. A NAIH bejelentéskezelő rendszere időben elindult, és jelenleg is fogadnak adatvédelmi bejelentéseket.
A 10 leggyakoribb GDPR tévhit között is előkelő helyen szerepelt, hogy a NAIH-nak nincs elegendő munkatársa a rendelet betartatására. Az eddigi tapasztalatok alapján a beküldött, kivizsgálandó ügyeket példás gyorsasággal és alapossággal kezelik. Akár már a bejelentést követő 1 héten belül megtörténhet a hivatalos vizsgálat megindítása, amennyiben a beküldött adatok és információ ezt indokolja. Az Infotv. §55 (2) bekezdése szerint a vizsgálat eredményéről, a vizsgálat lezárásának indokáról, esetleges intézkedéséről, illetve hatósági eljárás megindításáról a Hatóság bejelentőt és – ha a vizsgálatban részt vett – a vizsgálat alá vont adatkezelőt, illetve adatfeldolgozót értesíti.
Mit csinálnak a magyar vállalkozások?
A rendelet alkalmazásának dátumához közeledve nagy érdeklődés övezte a GDPR felkészülést, a Crosssec Solutions is több szakmai konferencián részt vett mint előadó és kiállító. A rendezvényeken tapasztalt aktív érdeklődés és tenniakarás azonban sajnos nem országos trend. Vélhetően a 24-i kormányinfón elhangzottak félreértése, és a késlekedő törvényhozás miatt a magyar üzleti szereplők még mindig nem fordítanak kellő figyelmet a rendelet betartására és a felkészülésre.
A passzivitás komoly problémát jelent, hiszen a GDPR megfelelés nem választás kérdése. A rendelet mindenkire vonatkozik, így a tudatos és felelősségteljes cégvezetők nem engedhetik meg maguknak, hogy vállalkozásuk működésfolytonosságát kockáztassák, és versenyhátrányba kerüljenek a piacon. Mivel a GDPR alapján az adatkezelő felel az adatfeldolgozó munkájának jogszerűségéért is, így egy üzleti kapcsolat kialakítása során is kiemelten fontos, hogy az adatvédelemmel és adatkezeléssel kapcsolatos folyamatok jogszerű módon, megfelelő biztonsággal szabályozva legyenek. Minden cégnek fel kell mérnie, hogy a méretétől és struktúrájától függően milyen intézkedések szükségesek a tudatos adatkezeléshez és a jogszerű működéshez.
Bár az első, már a GDPR alkalmazása után kiszabott büntetések még nem történtek meg, számos olyan adatvédelmi incidensről olvashattunk, melyek borítékolhatóan több millió eurós bírságot jelentenek az érintett cégek számára.
Gondoskodjon cége jogszerű működéséről!
Mi a Crosssec Solutions-nél olyan tanácsadást, eszközöket és letölthető segédanyagokat biztosítunk ügyfeleink számára, amelyekkel folyamataikat könnyen azonosíthatják, tudatosíthatják, ezután pedig GDPR kompatibilissé tehetik, és a rendeletnek megfelelően működtethetik azokat.
GDPR tanácsadásunk és segédanyagaink azzal a céllal jöttek létre, hogy a vállalkozások továbbra is az értékteremtő folyamataikra koncentrálhassanak anélkül, hogy aggódniuk kelljen a saját vagy partnereik működésfolytonossága miatt.
Felkészülni sosem késő, kezdje el cége átvilágítását még ma!