Közeleg 2018. május 25. napja, amellyel kezdődően az Általános Adatvédelmi Rendeletet (General Data Protection Regulation-t, vagyis a GDPR-t) alkalmazni kell. A hazai cégeknek mostantól számítva kevesebb mint fél évük maradt arra, hogy a szigorúbb szankciót alkalmazó új jogszabály rendelkezéseinek megfeleljenek. Az Andrékó Kinstellar Ügyvédi Irodából dr. Nagy Ákos partnerrel és dr. Orbán Zsombor ügyvéddel és adatvédelmi szakértővel arról beszéltünk, miként érinti a GDPR a magyar vállalatokat, és hol tartanak jelenleg a felkészülésben.
Portfolio: Rengeteget hallani mostanában arról, hogy a GDPR nagy kihívást jelent a cégeknek. Miről szól az EU általános adatvédelmi rendelete, és kiket érint?
NÁ: A GDPR az adatvédelem EU szintű átfogó és egységes szabályozása, amely valamennyi EU-n belüli társaságot, így a magyarországi cégeket is érinteni fogja. Az hogy valamennyi hazai társaságra vonatkozóan kötelező lesz, ténylegesen azt jelenti, hogy a GDPR szabályainak való megfelelés alól valójában nem lesznek kivételezett helyzetű társaságok. Kétségtelen, hogy a GDPR-nak való megfelelés egyébként elsősorban azon cégek számára lesz hangsúlyos, akik jelentős adatkezelési tevékenységet folytatnak.
OZS: A GDPR-nak való megfelelés valóban a jelentős adatkezelőket fogja érinteni, különösen komolyabb kitettséget a GDPR-nak való megfelelés például a nagyszámú ügyféllel közvetlen kapcsolatot fenntartó, marketing adatbázisokat használó, természetes személyek viselkedését profilozó, jelentős munkavállalói állománnyal rendelkező cégek esetén lesz hangsúlyos. A GDPR sok újdonságot hoz, de a megfelelési elsődleges motorja az adatvédelmi hatóságok által alkalmazható jelentősen megemelt bírságtétel lesz.
Amely mennyi is lesz?
OZS: A mostani nemzeti szintű 20 millió forintos bírságmaximumot, egy EU szintű 20 millió eurós, vagy a globális éves árbevétel 4%-át kitevő maximum váltja fel, amelyik a magasabb. Ez körülbelül háromszázszoros emelkedés, a globális árbevétel esetén pedig ennél sokkal több is lehet. Azért azt meg kell jegyeznünk, hogy nem számítunk a 20 millió eurós felső bírsághatár azonnali alkalmazására, az viszont kijelenthető, hogy általánosságban a bírság-mérték jelentős növekedése várható.
Ez egy egyszeri megfelelési hullám, vagy tartósabb változásokat fog hozni?
OZS: A GDPR tényleges alkalmazásának a napjáig, vagyis 2018. május 25-ig a vállalatok rohamtempóban igyekeznek a lehető legnagyobb mértékben megfelelni az új szabályoknak. A megfelelés részeként olyan intézményeket kell kiépíteni (adatvédelmi tisztségviselő, adatkezelési tevékenységek nyilvántartása, adatbiztonsági követelményeknek való megfelelés, az érintetti jogok biztosításának a lehetősége, stb.), amelyeket a jövőben is fent kell majd tartani. Ez folyamatos munkát fog majd igényelni, másrészt az eddigi konzultációink alapján úgy látjuk, hogy az adatvédelmi hatóság is aktívabb lesz. Szakmai fórumokon azt az álláspontot szoktuk képviselni, hogy az adatvédelem megváltozott szerepéről, a várakozásunk ezzel kapcsolatban az, hogy az adatvédelem a közeljövőben a versenyjog jelentőségének a szintjét fogja elérni.
Hogyan fogjanak hozzá a társaságok a GDPR megfelelőség biztosításához?
NÁ: Sok esetben azt tapasztaljuk, hogy a vállalatoknak nagyon nehéz megfogniuk az elvégzendő feladatok terjedelmét. Ennek az elsődleges okát abban látjuk, hogy már egy GDPR megfelelőségi tender kiírás tervezése és megfogalmazása is komoly adatvédelmi ismereteket igényel. Előzetesen fel kell tudni mérni, hogy milyen fázisokból áll össze egy ilyen vizsgáltat, az milyen külső/belső erőforrásokat igényel, és mik a leszállítandó termékek, amelyeknek határidőben elő kell állniuk.
Mi a vizsgálatainkat audit, implementációs tervezés és implementációs fázisokra szoktuk felosztani. Az audit fázis egyik legfontosabb eredménye az adatvagyonleltár, amelyben célonként kerül felsorolásra a vizsgált társaság valamennyi adatkezelési tevékenységei. Az audit fázis egy nagyon komoly munkarész, mivel lényegében egy társaság adatvédelmi szempontból jelentős valamennyi folyamatát fel kell tárni, amely nem csak dokumentumvizsgálatot jelent, hanem számos munkavállalóval zajló többkörös interjúkat/ workshopokat is. Ebben a fázisban az IT-nek is nagy jelentősége van, mivel az adatkezeléseket megvalósító IT rendszereket is több szempontból kell vizsgálni.
Mindenképpen javasoljuk, hogy a tanácsadóktól a vállalatok a tendereljárás során kérjenek külön feladatértelmezést, amelyből a tanácsadó(k) megközelítései és adatvédelmi tudásuk mélysége pontosan látható. Továbbá az eddigi GDPR megfelelőségi vizsgálataink egyik tapasztalta, hogy érdemes a tender kiírása előtt felmérni, hogy rendelkezésre áll-e a társaságon belül olyan projektcsapat, amelynek több hónapon keresztül van kapacitása arra, hogy az egyes fázisokat koordinálja. Ez már egy 50 – 100 főt foglalkoztató vállalat esetén is nagy kihívás lehet. A legtöbb GDPR megfelelőségi projektben amelyben részt veszünk, a szervezési feladatokat külön üzletviteli tanácsadó látja el. A projekt tervezése során tehát érdemes figyelembe venni, hogy a fázis több szakterületet is igénybe fog venni (jog, IT és üzletvitel), és a GDPR megfelelőségi vizsgálat egy több fázisból álló, és hónapokig tartó folyamat. Az erőforrásokat ezekre figyelemmel célszerű tervezni.
Az elmondottak alapján egy ilyen audit jelentős munkának tűnik? Miért éri meg egy társaságnak ebbe invesztálni?
OZS: Meglátásom szerint egyetlen egy vállalat sem engedheti meg magának, hogy ne feleljen meg egy olyan jelentős szabálynak, mint a GDPR, különösen annak fényében nem, hogy a szabályok megszegése esetén az adatvédelmi hatóság megemelkedett összegű bírság kiszabására jogosult, arról nem is beszélve, hogy a társaságnál a helyszínen auditálhat és adott esetben egy tevékenységet (üzleti folyamatot) meg is tilthat. Ehhez még hozzátenném, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság gyakorlata európai szinten is szigorúnak számít. Másik oldalról a megfelelés fontos üzenetet is közvetít az üzleti partnerek, fogyasztók, és befelé a munkavállalók irányában is. Vagyis, hogy a társaság a rendelkezésére bocsátott személyes adatokat gondosan kezeli, és az érintettek jogait maximálisan biztosítja, ami bizalmat kelt azon személyekben, akik a társasággal kapcsolatba kerülnek. A GDPR egyik fontos újítása, hogy rendszerszinten követeli meg a szabályainak való megfelelés tervezését és alkalmazását (pl.: beépített adatvédelem), amely a társaság más folyamataira is pozitív hatással lesz.
Ez inkább IT vagy inkább jogi feladat?
OZS: A folyamatot alapvetően jogi szabályok határozzák meg, de nagyon fontos IT kapcsolódásai is vannak. Általában a vizsgálatunkat egy üzletviteli tanácsadóval és egy IT szakértővel együttesen folytatjuk le, mivel az egyes területek munkaközi megállapításai folyamatosan hatással vannak a többi szakértő vizsgálatára is. Ez abból a már említett követelményből származik, hogy a GDPR összetett megközelítést követel meg az egyes szakágaktól. Különösen igaz ez az adatbiztonság területén.
NÁ: Sokszor találkozunk azzal az értelmezéssel, hogy a felkészülés keretében csak az IT rendszereket kell vizsgálni. Az IT rendszereknek jelentős szerepük van, azonban egy adatkezelési művelet számos jellemzői közül az IT rendszerek csak egy részét képezik a vizsgálandó területeknek. Az ilyen kizárólag IT megközelítésű „megfelelőségi” vizsgálatok valószínűleg nem a teljes képet fogják feltárni, következésképpen a megfelelés teljessége sem biztosítható ilyen helyzetben.
Egy ilyen projekt házon belül is levezényelhető? Sokan központilag intézik a GDPR-projekteket, erről mi a véleménye?
NÁ: Ez Abban az esetben, ha rendelkezésre áll egy belső megfelelőségi ellenőr csapat, akik magas szintű auditálási és ezzel együtt adatvédelmi ismeretekkel és tapasztalatokkal rendelkeznek, úgy minden további nélkül elvégezhető. Nagyon fontos, hogy a GDPR szövegének az ismerete önmagában nem elég, mivel a nehézségek az olyan fogalmak értelmezéséből adódnak, hogy pontosan mi az a személyes adat, hogyan tagoljuk az adatkezelési célokat, valószínűsíthetően mikor jár egy adatkezelés magas kockázattal, stb. Ezekre a kérdésekre a teljes választ a GDPR mögött létező szakirodalom adja meg, valamint elengedhetetlen hozzá a gyakorlat is.
Az eddigi GDPR megfelelőségi vizsgálatainkban azt tapasztaltuk, hogy önmagában egy belső projektcsapat biztosítása is komoly kihívást jelent a szervezet számára. Ennek elsősorban az az oka, hogy a munkavállalóknak a mindennapi teendők mellett kell ezzel a folyamattal is foglalkozniuk. És ekkor még nem az „auditor” csapatról beszélünk, hanem csak a belső projekttámogatásról. Abban az esetben, ha a szervezet a rövidnek nem mondható 1-3 hónap alatt akarja a feltárási fázist végrehajtani, akkor a vizsgálat lefolytatásához több embert kell felkészítenie és a feladatra ráállítaniuk azzal, hogy előre érdemes rögzíteni, hogy ezeknek a munkavállalóknak a kapacitását jelentős részben ez a projekt fogja lefoglalni. Kérdés, hogy ez szervezeten belül hatékony-e. Egy másik fontos szempont, hogy belső vizsgálatok esetén a belső auditoroknak a saját szervezetüket, adott esetben a saját korábbi munkájukat kell vizsgálniuk. Ezt „compliance-megfelelési” szempontból nem tartjuk szerencsésnek.
OZS: A GDPR megfelelőségi projekt nemzetközi központból történő intézése önmagában egy jó megközelítés lehet, kockázatot abból az irányból látunk, ha a tagországokban nem vesznek igénybe helyi jogi támogatást. Bár a GDPR minden EU tagállamban ugyanaz lesz, de ez nem jelenti azt, hogy nemzeti jogszabályok szerepe teljesen megszűnik. Sok esetben a GDPR követeli meg a nemzeti szabályozás meghozatalát. Magyarországon jelenleg a helyi adatvédelmi törvény (az Infotv.) átfogó módosítás alatt áll, valamint az ágazati adatvédelmi szabályok jelentősége is meg fog maradni. A GDPR működési környezete a tagállami jog lesz, ezért a helyi szabályoknak való megfelelés vizsgálata nélkül egy központi GDPR megfelelőségi projekt nem lehet teljesen sikeres. Több olyan projektünk is van, ahol az ügyvédi irodánkat bízták meg az ügyfél egész európai GDPR auditjával, amely ebben az értelemben „központi vizsgálat”. Mi az ilyen projektekben mindig bevonunk helyi jogi tanácsadót. Egy érdekesség, korábban említettem, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság gyakorlata európai szinten is szigorúnak számít. Több ügyünkben is felmerült, hogy azért végeznék el Magyarországról a társaságcsoport európai szintű GDPR megfelelőségi vizsgálatát, mivel ha a projekt az itteni szigorúbb hatósági gyakorlatnak megfelel, akkor feltehetően más országban is rendben lesz.
A társaságok mekkora hányada végezhette el eddig a GDPR megfelelőségi projektjét? Aki most indítja a projektjét az már elkésett?
NÁ: Nincsen pontos statisztikánk erre vonatkozóan. Azt látjuk, hogy nagy adatkezelők egy jelentős része már elindította a saját GDPR megfelelőségi projektjét az év közepén. Most október – november – decemberben egy újabb hullámot érzünk, ahol még a szintén nagynak mondható szereplők tendereztetnek. A tapasztalatunk az, hogy sok vállalat nem ismeri fel, hogy a GDPR szempontjából jelentős mértékben érintett. Például önmagában az a tény, hogy egy vállalat nagy munkavállalói állománnyal rendelkezik, már jelentős mértékben érintetté teszi. Természetesen, ahogy már elmondtuk, minden vállalatnak biztosítania kell a megfelelést 2018. május 25. napjáig. Ha valaki most megindítja a projektjét, akkor látunk arra lehetőséget, hogy határidőig a vizsgálat és az implementáció lefusson. A szűk keresztmetszetet egyfelől a belső vagy a külső szakértők kapacitás-hiánya vagy adott esetben a szükséges IT fejlesztések implementációs ideje jelentheti.
Milyen teendőket látnak a GDPR-projektek lefutása után?
OZS: Az év elején-közepén elindult projektek már az implementációs fázisban vannak, ami különösen az implementációs szakasz jogi tervezését, az adatkezelési tevékenységek nyilvántartása végleges formájának az elkészítését, belső szabályzatok kidolgozását, belső és külső tájékoztatók elkészítését, belső képzések tartását, adatvédelmi tisztviselő intézményének a létrehozását, stb. jelenti. Komoly feladat lesz még az adatvédelmi hatásvizsgálatok, az ún. „privacy impact assessment” elkészítése is, amelyre jelenleg több alternatív módszertan is létezik.
Az implementációs szakaszt követően lép igazán a rendszer működésbe, ekkor az érintetti jogok (adathordozhatóság, tiltakozás, törlés, adathozzáférés, stb.) gyakorlásával kapcsolatos ügyek, adatvédelmi hatóság eljárásai, valamint az adatvédelmi tárgyú peres eljárások számának a növekedését várjuk. Természetesen az implementációs szakaszban létrehozott intézményeket folyamatosan naprakészen kell tartani, ami szintén nem lesz elhanyagolható feladat.