A GDPR három éve

Valamivel több, mint három éve, 2018. május 25-én lépett életbe az Európai Unió forradalminak, példamutatónak kikiáltott adatvédelmi rendelkezése, a GDPR, leánynevén General Data Protection Regulation.  A személyes adatok védelmét megerősíteni hivatott rendelet a vállalatoknak okozott nagyobb problémát, hiszen a meglévő adatok menedzselése, az adatvédelmi szabályzatok kialakítása és a megfelelő adatvédelmi gyakorlatok megtalálása mind-mind komoly kihívás és esetenként kiemelkedő költség elé állította őket.

Még gyermekcipőben az adatvédelem

A digitális felhasználók védelmét megvalósító AccesNow nemzetközi civil szervezet GDRP-ról szóló éves jelentésében az eltelt éveket egy-egy szóval jellemezte. Az első évben mindenki reménykedett, hogy a GDPR pozitív változásokat hoz adatvédelem területén, valósággá válik az emberek adatainak védelme és adatvédő üzleti gyakorlatokat honosítanak meg a vállalatok. 

A második év jellemző szava a krízis, hiszen adminisztratív, politikai és globális egészségügyi problémák akadályozták az adatvédelmi hatóságok törvényérvényesítő erejét. A harmadik évet pedig a frusztráció jellemzi, hiszen sokan türelmetlenek a rendelkezés lassú alkalmazása miatt.

EU-szerte összesen 596 bírságot szabtak ki az adatvédelmi hatóságok a GDPR Enforcement Tracker adatai szerint, összesen 278 549 188 euró (közel 99 milliárd forint) értékben. A GDPR bírságok szinte felét technológiai és távközlési szolgáltatók ellen szabták ki a hatóságok (46,1 százalék). Vagyis az emberek a távközlési és technológiai vállalatokkal szemben a legelégedetlenebbek, sok panaszt nyújtottak be velük szemben. Ez érthető is valahol, hiszen olyan cégekről beszélünk, akik nagyon sok személyes adatot használnak szolgáltatásaik és termékeik finomhangolására.

A GDPR szabályok betartása

Azóta itthon is a GDPR általánosan ismertté vált a vállalatok, gazdasági társaságok körében, és meglehetősen általános a betartására vonatkozó törekvés is, bár korántsem teljes körű . A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) adatai szerint a GDPR-tudatosság a rendelet alkalmazandóvá válását követő időszakban emelkedett meg, az utóbbi időben azonban már stagnáló iránta az érdeklődés. Ez leginkább az adminisztratív oldalról jelentkező kötelezettségek tudatosodását jelenti.
Jellemzően a nagyobb méretű, az üzleti életben nagyobb szerepet játszó cégek fordítanak kiemelt figyelmet az adatvédelmi előírásoknak való megfelelésre, a kisebb kkv-k esetében azonban ez már sok esetben nem mondható el. 
A vállalatoknál jellemző gyakorlat, hogy általánosságokat, jogszabályi idézeteket tartalmazó tájékoztatókat és szabályzatokat készítenek. Néha egyszerűen lemásolják más társaság ezen dokumentumait, de az is előfordul, hogy évekkel ezelőtti, Infotv-es időszakra vonatkozó tájékoztatóval rendelkeznek, már nem aktuális információkkal. 
A kisebb cégek sok esetben továbbra sem fordítanak kellő figyelmet az adatkezelési szabályok betartására. Amikor a hatóság eljárást folytat velük szemben, akkor igyekeznek az adatkezelésüket felülvizsgálni, rendbe tenni. Az egyéni vállalkozó vagy magánszemély adatkezelők vonatkozásában sajnos az a jellemző, hogy egyáltalán nincsenek tisztában nem csupán az adatvédelmi szabályokkal, hanem még az adatkezelői minőségükkel sem.

GDPR tájékoztató

A NAIH a kkv-kat tartva szem előtt részletes és gyakorlati példákat tartalmazó tájékoztató kiadványt hozott létre A GDPR egyszerűen kis- és középvállalkozások számára címmel, és tett ingyenesen elérhetővé weboldalán. 

A kézikönyv első két fejezete az adatvédelemért felelős szervezeteket mutatja be, azonban a harmadik fejezettől olyan gyakorlati kérdéseket tárgyal, hogy mi minősül személyes adatnak, milyen szerepköröket tölthet be egy kkv az adatkezelési tevékenységekben, de arra is kitérnek, hogy melyek az adatkezelés alapelvei. Egyszerűen, érthetően megfogalmazott kiadványról van szó, ajánlom mindenkinek.

Növekednek a magyar adatvédelmi bírságok is

Magyarországon jellemzően sok GDPR-ral kapcsolatos ügy van. A NAIH adatai szerint 2018 májusától összesen 74 jogerős bírsággal záródó üggyel foglalkoztak. A hazai összbírság elérte a 266 millió forintot. Ez az összeg nem tartalmazza a Digi-re kiszabott 100 millió forintos bírságot, mely cikkünk elkészültékor nem volt még jogerős. 
A NAIH adatai szerint a relatíve alacsony bírságok a jövőben fokozatosan ugyan, de emelkedni fognak. Az alacsonyan tartott bírsági szint arra késztetheti ugyanis a multinacionális vállalatokat, hogy a kisebb bírság reményében náluk jelentsék be adatvédelmi incidensüket.

Ezek a leggyakoribb adatvédelmi panaszok

Ami pedig a leggyakoribb adatvédelmi panaszokat illeti, ezek a nem megfelelő tájékoztatás, az átláthatóság hiánya. Az is probléma, hogy a különféle adatlapokon, nyomtatványokon, honlapokon szereplő tájékoztatás gyakran nem tartalmaz megfelelő információt az adatkezelésről, vagy pedig az átlagember számára nehezen érthető jogi szövegezést tartalmaz.
Az is sokszor előforduló probléma, hogy az adatkezelési célt nem helyesen nevezik meg, az túl általános, semmitmondó vagy megtévesztő. További hiányosság, hogy a tájékoztatókban nem szerepel információ a kiszervezett adatkezelési tevékenységekről, a megbízott cégekről, sem azok adatfeldolgozói vagy az adatkezelői minőségéről. Tehát a tájékoztatók nagyon gyakran nem az adatkezelők valós adatkezelési gyakorlatát tükrözik. 
Az is gyakran eredményez jogsértést, hogy az érintetti kérelmeket tévesen panaszbeadványként, reklamációként, adott esetben kötözködésként kezelik, ezért azok megválaszolása során a GDPR vonatkozó szabályainak alkalmazási kötelezettsége fel sem vetődik az érintettek részéről. Gondot jelent a helyes jogalap kiválasztására, alkalmazására vonatkozó hiba, az ezzel kapcsolatos helytelen jogértelmezés és joggyakorlat.