A tét 20 millió euró, a visszaszámlálás megkezdődött

2018. május 25.: Két évet adott Brüsszel, hogy felkészülhessünk az adatvédelem új korszakára

Szakértőink már több korábbi cikkben foglalkoztak a témával, de mivel május 25-én hatályba lépett az Európai Parlament és a Tanács (EU) 2016/679 rendelete, ezúttal mélyrehatóan elemezzük azokat a változásokat, amelyek az Unió tagjaként a magyar vállalkozásokra is irányadóak lesznek 2018 májusától. A Detektor Plusz ezúttal a leginkább húsba vágó témának járt utána: milyen hiba, milyen szempontok szerint, milyen büntetést ér!
 

Egy nagy sikerű honi ifjúsági könyvet még kéziratként volt szerencsém olvasni. A kiadást követően kaptam egy tiszteletpéldányt is a regényből. Egy évvel később újra levettem a polcról és meglepődve konstatáltam, hogy helyenként nagyon eltér a végül kiadott változat, mint az általam olvasott verzió. Utóbb elmesél­te az írónő, hogy a kiadó szerkesztői több változtatást is kértek a kéziratban, helyenként hosszasan vitáztak egy-egy bekezdésről is, így nyerte el végső formáját a könyv. Állandó adatvédelmi szakértőink gondolatairól jutott mindez eszembe – mint mondják, az adatvédelmi rendelet is sok változat után nyerte el végső formáját.

– Ha valaki pár évvel ezelőtt olvasta az elsődleges tervezetek egyikét és most kezébe veszi az Európai Unió Hivatalos Lapjában kihirdetett végső normaszöveget, komoly meglepetések fogják érni – jelentette ki Molnár Gábor, az L Tender-Consulting Kft. ügyvezetője. – Mint ar­ról már többször is szó volt ezeken a hasábokon, az Unióban érezték, hogy egységes adatvédelmi szabályokra lesz szükség minden tagállam számára. Már 2011-ben jóváhagyott az Európai Parlament egy, az adatvédelmi keret átalakítására vonatkozó bizottsági jelentést, éppen akkortájt, amikor Magyarországon az or­szággyűlés elfogadta a jelenleg is hatályos adatvédelmi törvényünket. Az elmúlt öt évben sok minden történt, szakmai és politikai viták övezték a rendelet készítését. Voltak olyan országok, amelyek a megengedőbb szabályok mellett kampányoltak, voltak olyanok is, amelyek hallani sem akartak egy felpuhított rendszerről – végül az utóbbi vonulat győzött és egy szakmai szemmel nézve is szigorú, az adatok igen magas szintű védelmét lehetővé tevő normaszöveg véglegesedett. Aztán az, hogy mi és hogyan valósul meg a gyakorlatban mindebből, nemsokára eldől.

Mint az már sokak előtt ismert, az információs önrendelkezési jog megsértését 2012 előtt az adatvédelmi ombudsman vizsgálhatta, de nem volt komolyabb szankció a kezében. A magyar jogalkotó 2011-ben hozta létre helyette 2012. január 1-jével a Nemzeti Adatvédelmi és Információszabadság Hatóságot, amely egy-egy jogsértés miatt már 100 ezer forinttól akár 10 millió forintig terjedő bírságot is kiszabhatott. 2015. október 1-jével megemelte a bírságplafont a Parlament, amely azóta 20 millió forint. Az, hogy ez egy országos hatóság esetében sok vagy kevés, döntse el ki-ki maga, de a rendelettel egy jóval nagyobb „bun­kósbot” kerül a tagállami hatóságok, így a ma­gyar kezébe is: a szám marad, csak éppen a pénznem változik. 2018. május 25-től a 20 000 000 forint helyett 20 000 000 euró lesz a maximálisan kiszabható bírság.

– Illetve pontosítanék, nem ismerjük a bírság­plafont, a rendelet ugyanis úgy szól, hogy vállalkozások esetében legfeljebb 20 millió euróval vagy az előző pénzügyi év teljes éves világpiaci forgalmának 4%-át kitevő összeggel sújtandó a szabályok megsértése azzal, hogy a kettő közül a magasabb összeget kell kiszabni. Tehát egy-egy jól prosperáló cég esetében ez a fenti számot is meghaladhatja.

Márpedig a napi árfolyamon számolt, 6,2 milliárd forintos (vagy ugye annál is magasabb) büntetési tételmaximum már kifejezetten riasztónak tűnik.

■ Szempontok

Azt, hogy milyen tényezőket vesz figyelembe egy hatóság ma Magyarországon a büntetés ki­szabásánál, jószerével teljes mértékben rá van bízva, a törvények csak támpontokat adnak. Adatvédelmi témakörben a 2012 óta nyilvánosságra hozott határozatokban szereplő szempontok szolgálhatnak alapul, de a jogszabálytárat is érdemes elővenni.

– Az adatvédelmi törvény kimondja, hogy a NAIH eljárása során a bírság szempontrendszerére a közigazgatási hatósági eljárás általános szabályairól szóló törvényt kell alkalmazni – ezt már dr. Pataki Gábor, adatvédelmi szakjogász mondta el kérdésünkre. – A főszabály jelenleg az, hogy a hatóság az eset öszszes körülményeire tekintettel dönt a bírság kiszabásáról és a bírság összegének meghatározásáról. Ez eléggé a „nesze semmi” kategória, de éppen ezért a törvény ad néhány, de nem kizárólagos szempontot. A hatóság figyelembe veszi a jogsértéssel okozott hátrányt, ide­értve a hátrány megelőzésével, elhárításával, helyreállításával kapcsolatban felmerült költségeket, illetve a jogsértéssel elért előny mér­tékét, a jogsértéssel okozott hátrány viszszafordíthatóságát, a jogsértéssel érintettek körének nagyságát, a jogsértő állapot időtartamát, a jogsértő magatartás ismétlődését és gyakoriságát, a jogsértést elkövető eljárást segítő, együttműködő magatartását, valamint a jogsértést elkövető gazdasági súlyát.

Gondoltak arra Brüsszelben is, hogy az adatkezelők tudni szeretnék, hogy milyen súllyal le­beg felettük Damoklész kardja. A rendelet általános jelleggel rögzíti, hogy a kiszabott bírságokkal szemben alapvető elvárás, hogy azok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek. Kiszabni pedig „az adott eset körülményeitől függően” kell majd a szankciót.

Azt pedig eldönteni, hogy szükség van-e a bírságra, ha pedig igen, milyen összegűre, az alábbi szempontok figyelembevételével kell. Vizsgálni kell a jogsértés jellegét, súlyosságát és időtartamát, a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek számát, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértékét. Vizsgálni kell a jogsértés szándékos vagy gondatlan jellegét, az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár eny­hítése érdekében tett bármely intézkedést, az adatkezelő vagy az adatfeldolgozó felelősségének mértékét, figyelembe véve azt is, hogy milyen technikai és szervezési intézkedéseket foganatosított. A hatóságoknak meg kell vizsgálniuk az adatkezelők „priuszát” is, tehát az általuk korábban elkövetett releváns jogsértések is számításba veendőek: ez az egyszer hibázók számára jó, a notórius visszaesők számára rossz hír… Olyannyira, hogy ha már ugyanabban a tárgyban elrendeltek valamilyen szankciót az adatkezelővel szemben, akkor biztosan súlyosabb büntetésre számíthat, ha ismét elköveti ugyanazt a hibát.

– Talán ezek a legérdekesebb gondolatok a szem­pontrendszerben. Nem egyszer, nem kétszer láttuk már idehaza, hogy a jelentős tőkeerővel rendelkező cég „mellényzsebből” fizeti ki a büntetést, aztán a sarokba dobja a hatósági határozatot és működik ugyanúgy tovább, mintha mi sem történt volna. Aztán a következő alkalommal ugyanazért a jogsértésért kap egy újabb bírságot, azt is kifizeti és megy minden tovább a maga jól megszokott útján. Vannak az ilyen mentalitásra különösképpen fogékony szektorok – ismert olyan cég, amely betervezett az éves büdzséjébe 100 millió forintot az adatvédelmi bírságokra, ami öt maximális büntetést is kitesz, és ha ennél kevesebbet kap az adott évben, már nyert. Na, ezek a cégek azonban már jó eséllyel nem fogják kibírni visszaesőként a 20 millió euróhoz egyre inkább közelítő tételeket. Vagy beállnak a sorba és megfelelnek az előírásoknak, vagy lehúzhatják a rolót…

Az már eddig is kiolvasható volt a NAIH határozataiból, hogy amennyiben egy vizsgált szer­vezet együttműködő volt a hatósággal, úgy kisebb szankcióra számíthatott, ezt most a rendelet alapelvi szintre is emeli, lévén szintén vizs­gálandó tényező, hogy az adatkezelő a felügyeleti hatóságával a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében milyen mértékben mű­ködött együtt. Ide tartozik az az aspektus is, hogy a jogsértésről milyen úton szerzett tudomást a hatóság: nem lesz mindegy, hogy bejelentésre indul-e egy eljárás vagy maga az adatkezelő jelentette-e az incidenst…

Szintén szem előtt kell tartania a hatóságoknak az eljárás során, hogy a jogsértés milyen személyesadat-kategóriára vonatkozik: üdvözölendő, hogy például egy egészségügyi adatokkal teli adatbázis megsemmisülése vagy jogsértő felhasználása súlyosabban büntetendő lesz már alapelvi szinten is.

Sőt, a vizsgáló hatóság azt is figyelembe veheti, hogy a jogsértéssel milyen pénzügyi (közvetett vagy közvetlen) hasznot ért el vagy éppen veszteséget került el az adatkezelő.

■ Magatartási kódexek, tanúsítási mechanizmusok

Külön kiemelendő a rendelet által meghatározott szempontrendszer tizedik eleme. A hatóság vizsgálni köteles azt is, hogy az adatkezelő tartotta-e magát jóváhagyott magatartási kódexéhez vagy a jóváhagyott tanúsítási mechanizmusokhoz. Két olyan kifejezés ez, amely a jelenleg hatályos adatvédelmi törvényben nem szerepel, ezért érdemes ezeket jobban megvizsgálni.
Az Infotv., azaz az adatvédelmi törvény meghatározott adatkezelők számára adatvédelmi és adatbiztonsági szabályzat megalkotását teszi kötelezővé. Az, hogy megfelel-e az adatvédelmi szabályoknak, az adatkezelő felelőssége. Ez természetesen alapvetően így marad a jövőben is, de a rendelet csak azt írja elő, hogy az adatkezelő, ha az az adatkezelési tevékenység vonatkozásában arányos, úgy megfelelő belső adatvédelmi szabályokat alkalmazhat. Ez egy jóváhagyott magatartási kódexhez vagy jóváhagyott tanúsítási mechanizmushoz való csatlakozással is megtehető.

Magatartási kódexet az adatkezelők kategóriáit képviselő egyesületek s egyéb szervezetek dolgozhatnak ki a különböző adatkezelő ágazatok egyedi jellemzőinek figyelembevételével, a kódexszel elősegítvén a rendelet helyes alkalmazását. Az adatkezelők dönthetnek róla, hogy csatlakoznak a kódexhez és betartják annak előírásait, vagy önálló szabályozást és keretrendszert készítenek saját maguknak. A másik lehetőség, ha az adatkezelő egy arra feljogosított akkreditált tanúsítócég által kiállított tanúsítást, adatvédelmi bélyegzőt szerez meg.

– Korábban többször bírált szabályozás volt idehaza, hogy auditálást az adatvédelmi törvény betűje szerint csak az adatvédelmi hatóság végezhetett – tudtuk meg a szakértőktől. – Sokak véleménye szerint, mint ahogy sok országban működött is Európában, a hatóságoknak az a feladatuk, hogy kiválasszák azokat a cégeket, akik szakmailag és szervezetileg megfelelnek annak, hogy akkreditálják az adatkezelőket. A hatóság így a tanúsító szervezeteket felügyelik, akik pedig a piacot feleltetik meg az adatvédelemnek. Jelenleg azonban ugyanazon a területen auditálhat a hatóság, ahol büntetéseket is kiszabhat – mintha a NAV készítené el a könyvelésünket. Ez azonban megváltozik, érkeznek az akkreditált tanúsító- cégek. Az adatkezelők felelősségét ez persze nem érinti, de a jövőben (is) érdemes lesz profikra bízni az adatvédelmi szabályozás elkészítését.

■ 10 millió euró, 3,1 milliárd forint

Bár a rendelet 2016. május 25-én hatályba lépett, alkalmazni „csak” 2018. május 25-étől kell majd. Ez azt jelenti, hogy még szűk két év áll minden adatkezelő rendelkezésére, hogy felkészüljön az adatvédelem új korszakára.

– Lehet, hogy most sokan még legyintenek, hogy két év hatalmas idő, de ha megnézzük, hogy a jelenlegi adatvédelmi törvényünk már több mint négyéves, de sokak számára még mindig vadonatúj, akkor bizton kijelenthetjük, hogy pikk-pakk el fog telni ez a két év is. Érdemes tehát már most elkezdeni a felkészülést, hogy 2018. május 25-én már mindenben megfeleljenek az adatkezelők a rendelet szabályainak.

Annál is inkább, mert már beszéltünk arról, hogy milyen szempontok szerint és milyen bírságokat szabhatnak ki a tagállami hatóságok, de azt még nem, hogy pontosan miért. Jó hír (már amennyiben jónak nevezhető), hogy maximálisan csak 10 millió euróval vagy vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-át kitevő összeggel sújtható az adatkezelő a gyer­mekek hozzájárulására vonatkozó feltételeknek, az azonosítást nem igénylő adatkezelések és az adatkezelő általános kötelezettségeinek, az adatbiztonság szabályainak, az adatvédelmi hatásvizsgálat és előzetes konzultációs kötelezettség, az adatvédelmi tisztviselő kijelölésére vonatkozó előírások vagy a tanúsítás során meghatározott kötelezettségek megszegésének esetén.

■ 20 millió euró, 6,2 milliárd forint

Az előzőekhez képest duplázódik a tét, ha az adatkezelő az adatkezelés alapelveit vagy az érintettek jogait sérti meg. Szintén 20 millió eurós bírság rémképe lebeg azok felett, akik a személyes adatok harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítása során nem felelnek meg a rendelet előírásainak, de azok felett is, akik a felügyeleti hatóságok utasításait (sokadjára) sem tartják be.

– A rendelet normaszövege szerint több témakört is a tagállamok önálló jogalkotási hatáskörébe ad, mint például a nemzeti azonosító számok kezelési szabályainak meghatározását. Évek óta folyamatosan probléma, hogy nem tudják az adatkezelők, hogy lehet-e kezelni valakinek a személyi igazolványának a sorszámát vagy sem. Ha a NAIH gyakorlatából és a célhoz kötöttség alapelvéből indulunk ki, akkor nem, de ha a sokszor hangoztatott vagyonvédelmi érvet is meghallgatjuk, miszerint sokkal kevésbé korlátozza a magánszférát, ha valakinek a születési adatai és anyja neve helyett egy igazolványának a sorszámát írjuk fel, akkor már nem annyira egyértelmű a helyzet. Nagyon bízunk benne, hogy két éven belül ezen kérdés is megnyugtatóan tisztázódik. De ami ugyancsak fontos, hogy szintén tagállami hatáskörben marad a foglalkoztatással összefüggő adatkezelések szabályainak pontosítása. Mivel a munkajogi szabályok jelentősen eltérőek az uniós tagállamok között, így ez teljes mértékben érthető. Apró szépséghiba mindösz­sze, hogy az önálló jogalkotási hatáskörbe adott szabályok megsértéséért a felügyelő hatóságok 20 millió eurós bírságot szabhatnak ki…

Soknak tűnik még a két éves intervallum, de a szabályok sokrétűek, újak és nem intézhetőek el félvállról. Érdemes tehát elkezdeni most a felkészülést, mint megdöbbenve állni majd két év múlva május 28-án rájőve, hogy elszaladt az idő, de éppen semmiben sem felel meg az ember az adatvédelmi szabályoknak. És hát ki szeretne milliárd forintos büntetési tételeket kockáztatni?... ■

 
Segítséget, információt szeretne kérni? Keresse szakértőinket:

Molnár Gábor – molnar.gabor@ltender.hu, +36707735903
dr. Pataki Gábor – pataki.gabor@ltender.hu, +36706207160