Öt éves lett az általános adatvédelmi rendelet (GDPR)
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Kiemelkedő szakértők részvételével, a festői Stefánia Palotában került megrendezésre 2023. május 24-én a 3. ARB Adatvédelmi Konferencia. Az esemény a hazai adatvédelmi és adatbiztonsági szakemberek, szakértők és érdeklődők tudományos-szakmai fóruma, amelynek apropóját ezúttal egy jeles évforduló adta. 2023. május 25-én volt ugyanis 5 éve, hogy az Európai Unió tagállamaiban kötelezően alkalmazandóvá vált az általános adatvédelmi rendelet (GDPR). Az adatvédelmi szabályozás európai rezsimjének alapját képező rendelet kerek évszáma kiváló lehetőséget kínált a konferencia előadói számára a visszatekintésre, illetve a jelen és a jövő jelentette kihívások áttekintésére is.
Releváns jogszabály:
AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet)
Az ARB Privacy Kft. 3. alkalommal rendezte meg az ARB Adatvédelmi Konferenciát, amelynek ezúttal is a Városliget szélén található Stefánia Palota adott otthon. Az eseményen az adatvédelem és adatbiztonság jeles hazai képviselői tartottak előadást a nagy számú hallgatóság részére, akik ízelítőt kaphattak a GDPR alkalmazása elmúlt 5 évének tapasztalatairól, valamint a jelen és a jövő azon kihívásairól is.
A konferencia főtámogatója a Wolters Kluwer Hungary volt, a Kiadó több értékes elméleti és gyakorlati GDPR kiadványt jelentetett meg az elmúlt években a GDPR hatályba lépése óta.
A konferencia adatbiztonsági kiállítói voltak a Scirge Technologies Kft., amely shadow IT-re vonatkozó megoldásokkal, az Adapto Solutions Kft, amely kockázatkezelési módszerekkel, és a LegalITlab Kft. amely biztonságos SafeQ termékkel ismertette meg a résztvevőket.
A konferenciát egy rendhagyó, online interjú vezette fel, amelyben az ARB Privacy Kft. ügyvezetője, Révész Balázs a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnökével, Péterfalvi Attilával készített. A beszélgetés révén a hallgatóság bepillantást nyerhetett a NAIH elnökének karrierjébe, hogy miként kezdett el a személyes adatok védelmével és az információszabadsággal foglalkozni. Emellett Péterfalvi Attila felidézte a NAIH elmúlt 5 évének azon pillanatait, azokat a hatósági döntéseket vagy határozatokat, amelyekre különösen büszke és amely szakmai kihívást jelentett számára és hivatalának. Az interjú villámkérdésekkel zárult, ezt megelőzően a NAIH elnöke kifejezett és önkéntes hozzájárulását adta ahhoz, hogy spontán személyes és kritikus kérdésekre lényegre törően reflektáljon. A válaszokból a hallgatóság nem csak azt tudhatta meg, hogy az elnöknek mi a kedvenc étele, szeret-e a médiában szerepelni, korán kezdi-e a munkanapjait reggelente, hanem azt is, hogy mennyi a fizetése és vajon a jövőben a MI (mesterséges intelligencia) helyettesítheti-e az adatvédelmi tisztviselőket vagy akár kiválhatja-e a NAIH elnökét.
Az interjú után a 3. ARB Adatvédelmi Konferencia szakértő előadói következtek. Mivel a jeles évfordulók mindig jó alkalmat teremtenek a múltba illetve a jövőbe tekintésre egyaránt, az előadások is alapvetően két csoportra oszlottak. Az előadók egyik fele arra használta fel az alkalmat, hogy visszatekintsen a GDPR elmúlt 5 esztendőre, illetve a NAIH kapcsolódó gyakorlatára, míg az előadások másik csoportja alapvetően a GDPR-ra leselkedő kihívásokat helyezte a középpontba.
Az elmúlt 5 évre történő visszatekintést Buzás Péter előadása nyitotta, aki a GDPR egyik jelentős újításának, a kockázatalapú megközelítés érvényesülését vizsgálta a NAIH által közzétett határozatok fényében. Az előadó bemutatta, hogy a megközelítésnek milyen, a gyakorlatban is alkalmazható elemei vannak. Majd megvizsgálta, hogy azok milyen módon jelennek meg a hatóság egyes GDPR-ban foglalt rendelkezésekkel kapcsolatos gyakorlatában.
Dósa Imre a GDPR-ban foglalt egyes jogintézmények gyakorlati alkalmazásának anomáliáit ismertette. A nem egyszer humoros, gyakorlatból vett példákkal illusztrált előadás során a hallgatóság ízelítőt kapott abból, hogy melyek azok a rendelkezései a rendeletnek, amelyek kapcsán a gyakorlatban sokszor ellentmondó, de legalábbis rendkívül relatív értelmezések honosodtak meg. Az előadás csúcspontja talán az ügyfelszolgalat@naih.hu elektronikus levelezési cím említése volt, mikor az előadó a „Naih” szóval, mint létező magyar vezetéknévvel teremtette meg az elérhetőségi cím személyes adat minőségét. A már-már stand up comedy műfajába átcsapó hangvétellel tálalt előadás a közönségben vidám fogadtatásra talált és feledtette a GDPR monotonitását.
Amigya Andrea pedig 5, számára különös figyelemre érdemes esettanulmányt mutatott be, amelyek esetében egyrészt nem történt érdemi előrelépés az Adatkezelők részéről, pl.: érintetti joggyakorlás elősegítése CCTV -k használata során, vagy hogyan érvényesíthető, illetve érvényesíthető-e a helyesbítési jog az érintett részéről egy orvosi szakvéleményben, vagy miként lehet jogszerűen személyes adatokat eladni adatbrókereknek. A legérdekesebb eset azonban – különösen a jogalap tekintetében – egy, a NAIH által felnőttfilmes tartalomban szereplő szerződéseket elemző ügy volt, ahol az érintett szereplő törlési jogát szerette volna érvényesíteni.
A GDPR elmúlt 5 évét vizsgáló előadások sorát Osztopáni Krisztián zárta, aki a NAIH által a munkahelyi adatkezelések táergyában hozott határozatok közül 2 jelentős döntést elemzett. Az előadó prezentációjában kitért mind a határozatok megszületésének körülményeire, mind pedig azok bírósági felülvizsgálatának eredményére, és a gyakorlati problémákra.
Újdonságok a jogalkotás és a jogalkalmazás terén
A 3. ARB Adatvédelmi Konferencia előadásainak másik csoportját azok alkották, akik a GDPR kötelező alkalmazandóvá válásának 5. évfordulója alkalmával a jogalkotás és a jogalkalmazás terén megjelenő újdonságokra koncentráltak. Révész Balázs előadásában az adatvédelem aktualitásai közül a mesterséges intelligencia által felvetett kérdésekre koncentrált. Az előadó az Európai Adatvédelmi Biztos 20/2022-es véleményének összegzése után felidézte Yuval Noah Harari Homo Deus című munkáját majd egészen a ChatGPT olasz adatvédelmi hatóság általi megregulázásig jutott el, kiemelve, hogy e technológia milyen lehetőségeket és veszélyeket rejt és jelenthet nemcsak magánszféránkra és személyes adataink védelmére, de magára az emberiségre nézve is.
Hirsch Gábor az információ- és kiberbiztonsági jogalkotás terén megszületett jogszabályokat mutatta be a hallgatóságnak. Az előadó jogszabályokon és szektorokon átívelő képet festett arról, hogy az Európai Unió és tagállamai milyen területeken tettek hatalmas erőfeszítéseket arra, hogy a különböző információs rendszerek, így a személyes adatok védelmének szintjét magasabb szintre emeljék és egységesítsék. Ezzel kapcsolatban külön is kiemelte, hogy a magyar Országgyűlés által elfogadott kiberbiztonsági tanúsításról szóló törvényt, amely számos szektorban tevékenykedő vállalkozás számára komoly kötelezettségeket tartalmaz.
Farkas Tamás előadásában a kockázatok kezelésének és az adatbiztonság megfelelő szintjének kapcsolatát elemezte. Az előadó a NAIH gyakorlatban, illetve más szervek, többek között az Európai Uniós Kiberbiztonsági Ügynökség (ENISA) gyakorlatának legfontosabb elemeit vizsgálta, illetve hogy azok miként jelennek meg az adatbiztonsággal kapcsolatos követelmények során.
Végezetül Liber Ádám zárta azon előadók sorát, akik az adatvédelmi újdonságokra fókuszáltak. Előadásában a megtévesztő tervezési minták, ún. dark patterns, megjelenését mutatta be, különös tekintettel azoknak az UI/UX tervezésben betöltött szerepére. Az ilyen megtévesztő tervezési minták sajnos széles körben elterjedtek, alkalmazásuk ugyanakkor súlyosan sérti a jogszerű adatkezelés követelményeit, különös tekintettel a tisztességesség elvére, ezért e terület az Európai Adatvédelmi Testület számára is kiemelt témakör lett az utóbbi években.
A konferencia zárásaként Révész Balázs, Osztopáni Krisztián, Buzás Péter, Liber Ádám és Dósa Imre részvételével kerekasztal beszélgetésre került sor, ahol a résztvevők az adatvédelem további aktualitásait tárgyalták meg, illetve a hallgatóság tagjai által feltett kérdésekre is válaszoltak.
A cikk Wolters Kluwer Hungary Kft. termékeire/szolgáltatásaira vonatkozó linket tartalmaz. A Jogászvilág kiadója a Wolters Kluwer Hungary Kft.