GDPR és vagyonvédelem
A GDPR-t sokan és sokféleképpen értelmezték már, de csak kevesen mutatták be eddig az életet megváltoztató, akár meg is könnyítő oldalát.
Pedig érdemes a rendeletet ebből a szempontból is megvizsgálni, már csak a rendelet által megkövetelt közérthetőség miatt is. A GDPR-t ezért úgy alkották meg, hogy ne kelljen emellett számos szabályozást megismerni és azokkal összhangba hozni, hanem úgy, hogy elegendő lehessen a GDPR megértése is.
A GDPR legfontosabb tulajdonsága tehát szokatlan egyszerűsége, az, ami miatt a megszokott logika alkalmazása akár tévútra is vihet.
Nézzünk erre most egy, a témába vágó gyakorlati példát, a GDPR például kategorikusan megtiltja a fényképek és videofelvételek kezelését üzleti vagy szakmai célból még a magányszemélyek számára is, mert ezek a személyes adatok a rendelet szerint biometrikus adatnak, és ezen keresztül különleges adatnak is minősülnek.
Ez a logika pedig más, mint a megszokott „tiltás” és „engedélyezés”, mert eddig valamiféle „engedély” birtokában már lehetett is felvételeket készíteni, a tiltás pedig biztosan tilalmat jelentett. Ez most megváltozott, mert ezek már csak a jogalap nevesítését segíthetik elő, de nem helyettesítik, mert nem helyettesíthetik a részletes indoklást.
Miben más ez a logika, mint a megszokott?
Abban, hogy a szigor azzal jár, hogy a GDPR alapján már akkor sem elegendő egy tagállami jogszabályra hivatkozás, ha az létezik, mert a rendelet elvárásai alapján indokolni és bizonyítani kell az adatkezelés szükségességét. Ez viszont nem csak hátrányokkal jár, hanem előnyökkel is, mert például ebben az esetben már nem szükséges a vagyonvédelmi videorögzítő rendszereket a NAIH-nál bejelenteni.
Az előnyök és a hátrányok következtében az adminisztrációs teher tehát nem nő, adott esetben akár érdemben csökkenhet is, de ez nem változtat azon a tényen, hogy a rendszerek jogszerű működésének az igazolása ma már fontosabb, mint eddig bármikor korábban. A megfelelő jogalap alapján működő, és megfelelően indokolt rendszer tervezése és üzemeltetése csekély kockázattal jár, mert egy ilyen rendszer még csak nem is feltétlenül igényli egy adatvédelmi tisztviselő kinevezését.
Ezzel szemben, ha a rendszer nem így működik, akkor az ilyen típusú adatkezelés már különleges adatok szisztematikus adatkezelésének minősülhet, ezért mindenképpen szükségessé válik egy olyan adatvédelmi tisztviselő irányította hatásvizsgálat, ami a rendszer jogszerűségét képes alátámasztani. Olyan szakemberből azonban, aki egyszerre ért az informatikához, a vagyonvédelemhez és a joghoz is, abból meglehetősen kevés van, és ezért a feladatok ellátásának a költsége minden bizonnyal magas lenne. Persze lehet most is úgy gondolkodni, ahogy korábban, akkor, amikor nem jelentették be az ilyen jellegű rendszereket a hatóságnak, ez viszont ma már két okból is komoly következményeket vonhatna magával. Az első ilyen jellegű kockázat az, hogy egy ilyen jellegű adatkezelés önmagában is ellentmondhat a rendeletnek. A másik ok pedig az, hogy most már nem a szerződés szövegének és betűjének az értelmezése az elsődleges, hanem a ténylegesen ellátott feladatok vizsgálata.
Nem megoldás tehát már az, hogy egy vállalkozás szerződésben próbáljon meg kizárásokkal kibújni a felelősség alól, mert ezek a GDPR alapján már nem érvényesíthetők, amire talán az a legjobb példa, hogy nem szükségszerűen lesz például valakiből a GDPR szerinti adatkezelő azért, mert egy tagállami törvény az adatkezelő kifejezést használja, de adott esetben úgy is lehet valakiből adatkezelő, ha az a jogszabályokból nem lenne közvetlenül levezethető.
Ilyen eset például az, ha amikor egy vállalkozás magánszemély kérésére üzemeltet szerződés alapján videorögzítő-rendszert, mert ebben az esetben akkor is adatkezelővé válik a megbízott, ha egyébként nem fér hozzá a felvételekhez. Magánszemély ugyanis nem válhat a saját adatai tekintetében a GDPR szerinti adatkezelővé, vagyis egy szerződés keretében végzett szolgálatás esetén kizárólag a vállalkozás lehet az adatkezelő.
A GDPR esetén tehát nem elegendő az, ha egyetlen alkalommal, a pillanatnyi állapotra vonatkozóan végeznek csak el egy auditot, hanem mindig képesek kell legyenek egy esemény minősítésére és kezelésére.
A törvények betartásán túl azért is fontos ez, mert még mindig él a fejekben az a közkeletű tévedés, hogy a kisvállalkozói szektort egyáltalán nem, vagy legalábbis első alkalommal még nem lehet a GDPR alapján büntetni, éppen ezért nincs is mitől félniük. Ez a azonban még annál is komolyabb tévedés, mint amikor az terjedt el, hogy akár a legkisebb vállalkozásokat is 10/20 millió EUR-ra lehet büntetni a legkisebb hiba esetén is.
Az igazság ezúttal is más, nem igaz az egyik véglet sem. A büntetés ugyan elsősorban azokat fenyegeti, akik egyáltalán nem készültek fel a rendeletre, de azokat is, akik nem képesek az ügyfelek kéréseit megfelelő módon kezelni. Az első alkalommal pedig valóban a szó szerinti első alkalmat jelenti, és nem azt, hogy a számláló minden új esetben elölről indul. Nem érdemes tehát arra elvesztegetni, hogy figyelmeztessék cégüket a rendelet betartására, mert legközelebb az uniós rendelet előírásai miatt akár egy csekély hiba esetén is kötelező lehet a büntetés kiszabása, amit ekkor már semmiféle tagállami könnyítés nem írhat felül. Ezért lehet érdemes egy általános, ingyenes kockázatbecslést elvégezni például az:
www.ezGDPR.hu
oldalunkon valamint ugyanott letölteni a szintén ingyenes „InfoTV és a GDPR” című kiadványunkat, ami közérthetően mutatja be az InfoTV releváns változásait, és az InfoTV, valamint a GDPR szerinti kötelező nyilvántartásokat. A kapott eredmények alapján pedig alkalmazzanak egy, a működésüknek megfelelő módszertant, mert ezzel a legnagyobb kockázatok kivédhetővé válhatnak.
Megköszönve megtisztelő figyelmüket:
Antal Tibor
Kuratóriumi Elnök,
Augmented Standard Institute Alapítvány
Az I. Országos Magánbiztonsági Konferencia
és a Modern Alarm rendezvény előadója