A GDPR felértékeli az adatvédelmi szaktudást
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A GDPR hatályba lépésével felértékelődik az adatvédelmi szakjogászok és a jogi szakokleveles szakemberek képzése, melyek az ELTE Jogi Továbbképző Intézetének egyre népszerűbb kurzusai. A gyakorlatorientált tananyagról a NAIH szakemberei gondoskodnak, a legfrissebb hazai és európai jogalkalmazásokhoz igazodva. Ezekről is beszélgettünk Péterfalvi Attilával, a NAIH elnökével, a képzések felelősével.
Az ELTE Jogi Továbbképző Intézetének két posztgraduális – így az adatbiztonsági és adatvédelmi szakjogászi, valamint az adatbiztonsági és adatvédelmi jogi szakokleveles –szakemberképzése mennyiben fedi egymást, és igazodik-e már az Európai Unió május 25-étől hatályos új, általános adatvédelmi rendeletéhez, a GDPR-hez (General Data Protection Regulation)?
A két képzés a GDPR-tól függetlenül már évekkel ezelőtt elindult. Tematikájuk a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tudásbázisára építve lett kialakítva, felelőse pedig a hivatal elnökeként én vagyok. Bár az „anyaintézmény” az ELTE Jogi Továbbképző Intézete, eddig a NAIH székhelyén zajlott az oktatás, elsősorban a mi szakembereink, valamint más adatkezelési szakágak képviselőinek a részvételével. Mindkét képzés rendkívül népszerű, a hallgatói létszám folyamatosan nő, olyannyira, hogy idén ősztől helyileg is a továbbképző intézet ad otthont az oktatásnak. A két képzés szinte teljes egészében fedi egymást, a különbség, hogy az adatbiztonsági és adatvédelmi szakjogász-képzés feltétele a jogi egyetemi, az adatbiztonsági és adatvédelmi jogi szakokleveles oktatásé pedig az igazgatási vagy informatikai területen szerzett – a már belső adatvédelmi felelősi tevékenységre feljogosító – oklevél. Ezért az utóbbiban résztvevők képzését megelőzi egy általános jogi alapozás. Az előbbi kurzus hiánypótló is, annyiban, hogy e tematika az alapképzésben szinte meg sem jelenik; de lényegében mindkét szakirány célja az adatbiztonság és -védelem, az információszabadság, a köz- és a magánszféra adatkezelésében felmerülő jogi problémák felismerésére, valamint a szakterület alaposabb megismertetésével felkészíteni a hallgatókat a hatósági, illetve a peres és nem-peres eljárások szakszerű vitelére.
Péterfalvi Attila: A képzések tematikája attól függően is változhat, hogy a GDPR nyomán miként alakul majd a joggyakorlat az EU-ban
Az EU-s adatvédelmi rendelet mennyiben változtatja meg a képzést?
A GDPR-ra alapozva természetesen a tananyagot is át kell alakítanunk, hiszen az Európai Unió rendelete minden tagországban kötelező és az élet szinte minden területét érinti. Már idén is erre helyeztük a hangsúlyt, hiszen lényeges változások lesznek, mint például az infotörvényben korábban nem kodifikált incidensjelentési rendszer, a felejtéshez való jog, illetve a beépített, vagy az alapértelmezett adatvédelem. A szemléletváltás húsbavágó lesz, hiszen az uniós rendelet egyik újdonsága épp az elszámoltathatóság: az adatkezelőknek nemcsak meg kell felelniük a jogszerű, tisztességes és átlátható adatkezelés követelményének, hanem ezt igazolniuk is tudni kell. A másik, hogy az adatvédelem területét érintő nemzeti szabályozást a közvetlenül alkalmazandó uniós váltja fel. Ez a mechanizmus egységes joggyakorlatot is feltételez. Mit jelent ez a gyakorlatban? Például az eddig kiszabható legnagyobb összegű, 20 millió forintos adatvédelmi bírság mértéke drasztikusan, 20 millió euróra nő – kivéve a költségvetési szerveket, ahol a GDPR felhatalmazása alapján marad a korábbi bírságösszeg. Minden szektorban, így például a kis- és középvállalkozásoknál (kkv) és a multinacionális cégeknél is vérre menő kérdés lesz az adatvédelem. Egy ekkora összeget ugyanis még egy óriásvállalat is megérez. Ebből következően pedig igencsak felértékelődik az adatvédelmi szakjogászok és a jogi szakokleveles szakemberek képzése, hiszen ha egy ilyen cég megbízottjaként (alkalmazottjaként) akár ügyvédként, akár informatikusként adekvát választ akar adni az adatvédelemmel kapcsolatos kérdésekre, megalapozott tudással kell bírnia. Ehhez pedig az unió kötelező érvényű gyakorlatát a NAIH-tól e képzéseken keresztül lehet igazán és első kézből megismerni.
Ez hogyan jelenik meg a tematikában?
A tananyag kifejezetten gyakorlatorientált, létezik például a köz- és magánszféra adatkezelése című blokk, hiszen erre az adatkezelők sincsenek egészen felkészülve. Számos ágazat kérdéseit érintjük, kezdve a rendészettől, az egészségügyön, az e-közigazgatáson, a köz- és a felsőoktatáson át a munkáltatói, valamint a biometrikus adatkezelésig bezárólag. Érdekessége lehet később a tananyagnak az ismertebb ügyek elemzése, mint például a szcientológiai egyház jogilag még függő adatkezelési ügye. A tematika persze attól függően is változhat, hogy a GDPR nyomán miként alakul majd a joggyakorlat az EU-ban.
[htmlbox gdpr_komm]
Gondolom, az Európai Adatvédelmi Testület felállítása is idesorolható.
Feltétlenül. Az Európai Adatvédelmi Testület május 25-étől az általános adatvédelmi rendelet alkalmazásáért felelős, önálló jogi entitással és döntéshozói jogkörrel rendelkező uniós szerv, melyet az egyes adatvédelmi hatóságok vezetői és az európai adatvédelmi biztos vagy ezek képviselői alkotják. A testület ülésein az Európai Bizottság szavazati jog nélkül vesz részt, titkársági teendőit pedig az európai adatvédelmi biztos látja el. Az adatvédelmi testület az EU új adatvédelmi központja lesz, segít biztosítani, hogy a GDPR-t egységesen alkalmazzák az unióban, hatékony együttműködést biztosítva az adatvédelmi hatóságok között. Nemcsak iránymutatásokat ad ki az alapvető fogalmak értelmezésére, hanem kötelező erejű döntéseket is elfogadhat a határokon átnyúló adatkezelésre vonatkozó viták esetében. Ezzel biztosítva az uniós jogszabályok egységes alkalmazását, elkerülendő, hogy ugyanazt az ügyet a különböző joghatóságok eltérően kezeljék. Ezeket a jogalkalmazói iránymutatásokat közvetlen tapasztalataink alapján tudjuk beépíteni a NAIH gyakorlatába és az említett képzésekbe is. Hasonlóan egyébként a hazai és az uniós jogorvoslati eljárások, mint például a nemzeti bíróságok, végül az Európai Unió Bíróságának (EUB), de akár az Európai Bizottság vonatkozó döntéseink a megismertetéséhez. Ezek „hierarchiájában” a jövőre nézve is fontos lépés: a GDPR már be is vezette az úgynevezett egyablakos rendszert a határokon átnyúló adatkezelésben, amit nekünk is alkalmaznunk kell.
