A GDPR, az adatvédelmi izé

Onnan lehet tudni, hogy valami van, hogy kis és közepes vállalkozások olyan leveleket kapnak, amelyben adatvédelmi szabályzatokat ajánlgatnak nekik sok pénz plusz áfáért. Ez az iparág az emberek azon természetes vágyát használja ki, hogy azok a lehető legkevesebbet kívánnak tudni az EU GDPR-jéről (General Data Protection Regulation).

Pedig a NAIH, a Nemzeti Adatvédelmi és Információszabadság Hatóság mindent megtesz önnön érdekességének fokozásáéért, például van közleménye „a meztelen képek feltöltésére biztató adatkezeléssel kapcsolatban” is. És minimum tavaly óta folyamatosan tájékoztatja honlapjának látogatóit a fejleményekről és várható feladataikról.

A jó hangulat fokozása érdekében a vásárlásra buzdító tájékoztató levelek kiküldői bármennyire igyekeznek objektívek lenni, sokszor nem mulasztanak el olyasmiket megjegyezni például, hogy:

A GDPR rendelet be nem tartásának jelentős anyagi következményei lehetnek, mivel a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) buzgón bírságol.

Ezért, mielőtt ijedtünkben kitörölnénk a címlistánkat és a párkapcsolataink korai szakaszából származó tartalmasabb emaileket, érdemes alaposabban utánanézni, hogy miről is van szó. Általánosan arról, hogy a technológiai fejlődés következtében olyan mennyiségű összekapcsolható személyes adat jön létre folyamatosan, hogy abból minden netes alapú rendszerhez bármilyen alapon csatlakozó állampolgárról részletes, valós idejű viselkedési és személyiségi profil készíthető. És tartható fenn. És minden adat korlátlanul duplikálható és elrejthető. Miután a nagy közösségi szolgáltató vállalatok üzleti modellje ezen adatok pont ezen célokból történő felhasználásán alapul, az EU természetesen velük is foglalkozik és nagyon szigorú is, de lényegében mindentudásuk ellen nem tud tenni semmit. Ezért igen okosan inkább használja hatalma gyakorlásának hatékonyabbá tétele érdekében ezeket az információkat. Akcionista hajlamait azonban ki kell élnie valahol és a köznapi élet köznapi méretű szervezeteinek adatkezelését is nagyon szigorúan szabályozni és ellenőriztetni kívánja, egyelőre még a nemzetállamok illetékes hatóságaival.

Eleddig csak egy EU-s irányelv volt erről, de ezt most közvetlenül kötelező. Persze elvileg át kell ültetni a magyar jogba is. A GDPR vonatkozik szinte minden személyes adaton végzett szinte minden műveletre, például egy hírlevélre is, amit a vállalkozásunk küld ki. A NAIH ez ügyben keletkezett nyilvános állásfoglalásai és válaszai alapján

az Európai Unió működéséről szóló szerződésnek az unió másodlagos jogi aktusairól szóló 288. cikke úgy rendelkezik, hogy a rendelet általános hatállyal bír, teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban. Az irányelv pedig az elérendő célokat illetően minden címzett tagállamra kötelező, azonban a forma és az eszközök megválasztását a nemzeti hatóságokra hagyja. A május 25-ei „időpontot követően a GDPR 30. cikke alapján az adatkezelőknek (adatfeldolgozóknak) kell majd nyilvántartást vezetniük a saját adatkezelési tevékenységeikről a rendeletben írt tartalommal.

Az Infotv. tehát hatályban marad, de a tartalma változik, és a GDPR szabályaival együtt kell majd alkalmazni.

Ez mind nagyon szép, de a kérdés mindig az, hogy mi honnan bogozhatjuk ki, hogy a kkv-énkra milyen újabb kötelezettségek hárulnak? Mert újabb kötelezettségek hárulnak. A mindennapi élet és üzletmenet bonyolítása egyre több olyan partikuláris tudást igényel, amelyhez teljesen ismeretlen fogalomkészleteket és jogi eszközrendszert kell megérteni.

Ilyeneket például:

Az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállí­tásokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik.” (GDPR (32) és ez még nem is a rendelet, hanem csak egy szituáció leírása a rendelet szövege előtt, amit majd a rendelet értelmez)

Aki ezt nem érti, az ne is vállalkozzon.

Nyilván a nemzeti kormányok megpróbálják majd életszerűre csiholni ezt az eljáráshalmazt, de azelőtt talán jó lenne generálisan megnyugtatni az érintetteket, hogy ennek a finoman szólva sem könnyen emészthető kalandnak az előszelei már most ne okozzanak felesleges gyomorgörcsöket.

Folytatjuk…