Adatvédelmi reggeli

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A rendezvény célja Révész Balázs, az ARB Privacy Kft. ügyvezetőjének szándéka szerint az, hogy a szakmai, az előadásokat prezentáló konferenciák mellett közvetlenebb keretek között is legyen lehetőségük a szakértőknek, ügyvédeknek, adatvédelmi tisztviselőknek eszmét cserélni az adatvédelmi kérdésekről. A tematikus reggeliken a szakma számára kiemelt és aktuális témákat veszik sorra a Wolters Kluwer Kft. kiadásában megjelent Magyarázat a GDPR-ról című könyv szerzői, akik a vendégek hozzászólásainak is teret engedve igyekeznek „fogyaszthatóbbá tenni a GDPR menüjét”.

Az ARB Privacy Kft. által szervezett adatvédelmi reggelisorozaton az érdeklődők a Wolters Kluwer Hungary Kft. kiadásában megjelent Magyarázat a GDPR-ról című könyv tematikáját alapul véve közvetlenül a NAIH munkatársaitól és az ARB Privacy Kft. szakembereitől szerezhetnek információkat a GDPR gyakorlati alkalmazásáról.

Az első reggeli kerekasztal-beszélgetésen, amelynek a Mezzo étterem adott otthont és mintegy harminc szakmabeli érdeklődésére tartott számot, Péterfalvi Attila, a NAIH elnöke, Árvay Viktor, a NAIH Engedélyezési és Incidensbejelentési Főosztályának vezetője, valamint Buzás Péter és Amigya Andrea, az ARB Privacy Kft. szenior adatvédelmi tanácsadói beszélgettek. A moderátor Révész Balázs az ARB Privacy Kft. ügyvezetője volt, aki első alkalommal az adatvédelmi incidensekről kérdezte szerzőtársait. A bemutatkozást és a reggeli befejezését követően a kerekasztal tagjai a GDPR jelentőségéről osztották meg véleményüket.

Péterfalvi Attila elmondta, hogyszerencsésnek érzi pályafutását, mivel adatvédelmi biztosi tevékenysége alatt csatlakoztunk az EU-hoz, illetve ő volt a NAIH elnöke a GDPR megszületésekor is. Ez két olyan mérföldkő, amely meghatározó a magyar adatvédelmi jog fejlődésében.

A NAIH-hal kapcsolatban kifejtette, hogy a közhiedelmekkel ellentétben nem minden döntést személyesen ő hoz meg és azt is megosztotta a hallgatósággal, hogy gyakran a kollégáitól eltérő álláspontot képvisel, ezért a Hatóság berkein belül is vannak szakmai viták.

Megemlítette, hogy nem híve az egyablakos ügyintézési rendszernek, de a Hatóság elnökeként kiáll amellett, hogy az EU-ban a különböző adatvédelmi hatóságok azonos tényállás mellett azonos döntéseket hozzanak, amelynek magában kellene foglalnia a bírságok egységesítését is.

Megfogalmazása szerint a GDPR-ral kapcsolatban még a „rajtvonalon állunk”. Egyelőre a közös döntések mellett az egységes szándék is hiányzik a tagállamok adatvédelmi hatóságai részéről, illetve az is megfigyelhető, hogy vannak olyan tagállami hatóságok, amelyek radikálisan eltérő álláspontot képviselnek a többiektől.

Személyes véleménye szerint radikálisabb bírságpolitikát kellene folytatni, de a NAIH munkatársai ebben nem értenek egyet vele, ezért bár a bírságok összege és a bírságolások száma folyamatosan növekszik, de meg sem közelíti a GDPR által lehetővé tett maximumot.[1] Elmondta, hogy néhány ügyben mégsem engedett a munkatársainak és elnöki jogkörét gyakorolva ragaszkodott a bírság kiszabásához.

Árvay Viktor főosztályvezető a NAIH hatósággá alakulásának előnyeit hangsúlyozta, mert ezzel jobban érvényesíthető a személyes adatok védelme, a panaszok hatékonyabban felderíthetők és megnyugtatóbban kezelhetők.

A bírságpolitikát tekintve Árvay kiemelte, hogy a NAIH-nak számos egyéb eszköze van az adatkezelők jogkövető magatartásának ösztönzésére, így például a kiadott tájékoztatókkal és ajánlásokkal vagy a meghozott döntések közzétételével is elősegítik a jogkövető magatartás tanúsítását.

Kiemelte ugyanakkor, hogy a GDPR hatálybalépését követően biztosított türelmi idő lassan véget ér, aki nem hozza összhangba az adatkezelési tevékenységét a jogszabályokkal, azzal szemben bírságot fognak kiszabni.

Buzás Péter korábban a NAIH egyik vezető beosztású munkatársa volt, ma már azonban tanácsaival az adatkezelőket segíti. A legfontosabbnak az adatkezelők tudatosságának növelését tartja, mivel még mindig csak körülbelül az eu-s cégek 30%-a rendelkezik megfelelő adatvédelmi tudatossággal.

A cégek többsége csak a dokumentáció elkészítésével, illetve a külső megfeleléssel foglalkozik, amely nem egyenlő az adatvédelmi tudatossággal. Ösztönözni kell az adatkezelőket a tevékenységük folyamatos felülvizsgálatára, illetve el kell oszlatni a GDPR-ral kapcsolatban megjelent félreértéseket.

Az előttünk álló kihívásokkal kapcsolatban Péterfalvi Attila kiemelte: jelentősen megnehezíti a NAIH, az adatkezelők és a jogászok dolgát is, hogy a magyar jogban még mindig sok a GDPR-ral ellentétes rendelkezés. Elmondható, hogy a Hatóságon és a szakértőkön kívül senki nem ért az adatvédelemhez. Ennek legjobb példája, hogy a NAIH munkatársainak különös figyelmet kell fordítania a készülő jogszabályok véleményezésére ahhoz, hogy azok adatvédelmi szempontból megfelelően szülessenek meg. A jogalkotó számára sokszor az sem egyértelmű, hogy egy jogszabályhoz egyáltalán hozzá kell-e nyúlni a GDPR miatt.

A kerekasztal-beszélgetés az incidensek témakörével folytatódott, így képet kaphattunk azok hatósági és gyakorlati aspektusairól is.

Árvay Viktor bemutatta, hogy a NAIH mi mindenre szeretne választ kapni egy konkrét incidenssel kapcsolatban. A tényállás felderítése során elsődleges annak körülhatárolása, hogy milyen incidens történt (például: hackertámadás, fizikai adathordozó ellopása, téves e-mail stb.), ezután lehet azon gondolkodni, hogy az incidens hogyan kezelhető. Alapvetően két eset lehetséges. A jobbik esetben még lehet mit tenni, elháríthatók az incidens következményei, rosszabb esetben erre már nincs lehetőség.

A NAIH az incidens feltárása során természetesen az érintettek szempontjait képviseli, az ő védelmükben lép fel, amelyet az adatkezelőnek magától is meg kellene tennie.

Az incidenskezelési szabályzatokban a cégek sokszor azt értékelik, hogy egy esetleges incidensnek milyen gazdasági, üzleti hatásai lehetnek, és nem foglalkoznak az érintettek szempontjaival, amely a Hatóság szerint már alapvetően elhibázott hozzáállás.

Árvay felhívta az adatkezelők figyelmét, hogy ne a minimálisan elfogadható szintre törekedjenek, mivel azt nem lehet meghatározni, inkább a Hatóság által is hangsúlyozott jó gyakorlatot kövessék.

A NAIH létrehozta például az online incidensbejelentő rendszert, amelynek formanyomtatványából ki lehet indulni az incidenskezelés során. Elismerte, hogy egy incidens felderítése hosszabb időt vehet igénybe, ezért ajánlotta az adatkezelők részére, hogy a 72 órás bejelentési határidő betartása érdekében minden esetben legalább szakaszos bejelentést tegyenek. Megemlítette ugyanakkor, hogy a NAIH egyelőre nem szankcionálja, ha az adatkezelő pár órával túllépi a bejelentési határidőt.

Az incidens bejelentését követően a NAIH hatósági ellenőrzést folytat, amelynek során fel kell tárnia, hogy pontosan mi történt és az adatkezelő által tervezett, megtett vagy elmulasztott lépéseket is értékelik. A tényállás tisztázása érdekében a NAIH sok kérdést intéz az adatkezelőhöz, akkor is, ha az adatkezelő úgy érzi, hogy minden lényeges körülményt megosztott a Hatósággal. Természetesen minél részletesebb bejelentést tesz valaki, annál kevesebb kérdésre kell utólag felelnie.

A NAIH az ellenőrzés során a GDPR 33. és 34. cikkében foglaltak teljesülését vizsgálja, és tájékoztatja az adatkezelőt, hogy mit kellett volna másképp tennie. Kifejtette, hogy az incidens bejelentéseket és azok értékelését nem fogják nyilvánosságra hozni, mert az arra ösztönözné az adatkezelőket, hogy a náluk bekövetkezett incidens egyedi körülményeinek vizsgálata helyett azt már megtörtént esetekhez hasonlítsák. Emellett pedig fennáll az a veszély, hogy az esetleges hátrányos jogkövetkezményektől való félelem erősítené a látenciát, azaz az adatkezelők nem jelentenék be az incidenseket a NAIH számára.

A statisztikákat tekintve Árvay Viktor elmondta még, hogy a GDPR hatálybalépése óta 271 incidens-bejelentés érkezett, amellyel az EU középmezőnyébe tartozunk. Ezek 60%-a kisebb jelentőségű ügy volt, amely ugyanakkor nem jelenti automatikusan azt, hogy az incidens okozta kockázat is kisebb.[2] A hackertámadások az összes bejelentés 13%-át tették ki, 5-5% volt ezen felül az adathordózó vagy személyiséglopás.

Az adatvédelmi tisztviselő incidenskezelési szempontjait dr. Amigya Andrea osztotta meg a hallgatósággal.

Elmondta, hogy az adatkezelők a külső megfelelésre helyezték a hangsúlyt, de május 25. után, a GDPR alkalmazhatóságával minden megváltozott. A korábban alkalmazott sablon adatvédelmi tájékoztatók használata ma már nem elegendő.

Aggodalmának adott hangot azzal kapcsolatban, hogy hiába van sok képzés és konferencia a témában, a cégek mégsem törekednek felkészíteni munkavállalóikat és ügyfeleiket a változásokra.

Az eddigi incidenseknél jól látszott, hogy ez mekkora bonyodalmat tud okozni. Az incidensek bekövetkezésekor az adatkezelőknek és munkavállalóiknak fogalmuk sem volt, hogy mit kellene tenniük, illetve ha volt adatvédelmi tisztviselőjük, akkor a vonatkozó feladatok ellátását e személyre hárították át. A szervezetek részéről nem volt eddig fogadókészség a felkészülésre, a munkavállalók oktatására sem.

Célszerű, ha az adatvédelmi tanácsadók a személyes adatok biztonsága érdekében IT szakértőkkel együtt dolgozzák ki az incidenskezelési szabályzatokat. A szabályzatban meg kell határozni a jelentési csatornákat. Érdemes külön e-mail címet létrehozni a szervezeten belüli és a külső bejelentésekre. Részletes tervet kell készíteni arra, hogy hogyan jut el a bejelentés az illetékesekhez, illetve érdemes egy incidenskezelő munkacsoportot felállítani, amelybe a cégnél működő különböző területek (pl. compliance, risk management, hr stb.) képviselőit is be kell vonni. A bejelentési határidő nagyon rövid, ezért a munkacsoportnak az incidens észlelését követően legkésőbb 48 órán belül célszerű összeülnie. Az incidens megtárgyalásakor azt kell vizsgálniuk, hogy az feltételezhetően milyen kockázattal jár[3], milyen területek lehetnek érintettek, milyen személyes adatokra terjed ki, mekkora az érintettek száma, illetve, hogy azonosíthatók-e az érintettek a megszerzett adatok alapján, esetleg a kapcsolattartási adataik kerültek-e illetéktelen személyhez. Azt is el kell dönteni, hogy az érintetteket kell-e tájékoztatni, és ha igen akkor hogyan, milyen úton.

Az adatkezelőknek egyedileg kell ezeket a szempontokat meghatározniuk, mivel adatkezelésük is általában egyedi. Nyilván nem ugyanazok a folyamatok egy banknál, mint egy kis webshop esetében.

Amigya álláspontja szerint a bekövetkezett incidenst minél hamarabb meg kell vizsgálni és értékelni kell. Sok tapasztalatot lehet így szerezni például arról, hogy mi az, amire eddig nem figyeltünk eléggé, a megelőzés szempontjából pedig az incidensmodellezés tud a legtöbbet segíteni. Mindenképpen oktatásra kell küldeni azokat a kollégákat, akiknél az incidens bekövetkezett, hogy az adatvédelmi tudatosság erősítésével megelőzzük az újabb incidensek bekövetkezését.

A beszélgetés végén dr. Amigya Andrea kitért arra az esetre is, amikor az érintett bejelentést tesz az adatkezelőnél, azonban az adatkezelő szerint nem történt incidens, ezért a bejelentő a Hatósághoz fordul. Erre az esetre azt javasolja, hogy az adatkezelők mindenképpen dokumentálják – az esemény felfedezését követően mit és miért tettek, illetve az érintettet mikor, miről, hogyan tájékoztatták. Ha az adatokat adatkezelési jogalap hiányában törölni kell, azt nyugodtan megtehetik, mivel a NAIH nem fog szankciót alkalmazni jogkövető magatartás esetén, illetve az incidenssel kapcsolatban elsősorban a fent leírt dokumentációból tudja megállapítani, hogy az érintett panasza megalapozott-e, valamint az adatkezelő jogszerűen járt-e el.

A reggelin részt vevő szakértők művét, a Wolters Kluwer Hungary Kft. kiadásában megjelent Magyarázat a GDPR-ról című könyvet a helyszínen az érdeklődők meg is vásárolhatták.

[1]A korábbi szabályozást és gyakorlatot említve Péterfalvi Attila elmondta, hogy 2018. június végéig több mint a duplájára nőtt a kiszabott bírságok összege az előző évek átlagához képest – szerk.

[2] Árvay példaként említette, hogy egészségügyi adatokat tartalmazó küldemények félrepostázása jelentős érdeksérelmet okozhat.

[3] Alacsony, közepes, vagy magas kockázat.

---