Nem csak a már a „begyűjtött” adatok védelme jelent feladatot, hanem a most vagy egy hét, vagy egy hónap múlva induló új adatbázisképzés is. Az Általános Adatvédelmi Rendelet alapján könnyen belátható, hogy a marketingtevékenység szempontjából a megjelenő „fékekkel” kell számolni.
Az új adatvédelem jogi alapjai
Mielőtt az Általános Adatvédelmi Rendelettel (2016/679/EU rendelet – GDPR – General Data Protection Regulation) kicsit részletesebben foglalkoznánk, érdemes néhány gondolattal körüljárni a „miért?”-eket is. Talán kevesen tudják, de az új rendelet már két évvel ezelőtt, 2016. május 24-én lépett hatályba. Alkalmazni viszont csak az idei évben, május 25-től kell, vagyis ekkortól lesznek a gyakorlatban is érvényesek az új szabályok. Az elmúlt két év gyakorlatilag a felkészüléshez biztosított időkeretet a nemzeti hatóságok és a cégek számára. Az új rendelet minden tagországra egységesen érvényes. Sőt, még ezen is túlmutat, hiszen az EU-n kívüli országok cégeire is vonatkozik, ha azok EU-s magánszemélyek vagy cégek adatait kezelik. Ez azt jelenti, hogy ezeknek a cégeknek is szigorú szabályoknak kell megfelelniük, cserébe azonos feltételekkel indulnak az európai piacon. Azt is mondhatjuk, hogy a most „élesedő” rendelet egy hiánypótló jogszabály, ugyanis régen nem is volt rendelet. Eddig egy irányelv volt, amely 1995-től szolgált az európai adatvédelem alapjául. A különbség, hogy egy irányelvet még minden országnak át kell ültetnie a maga nemzeti jogrendszerébe, a rendelet viszont közvetlenül alkalmazandó. Az irányelv számos eltérést megengedett a gyakorlatban, ami a tagországokban egymástól – többé-kevésbé – különböző adatvédelmi szabályozást eredményezett. A cégeknek plusz terhet jelentett, hogy ahány ország, annyi szabályozás. Az új szabályozás megalkotását az indokolta, hogy az eddig érvényben lévő – már húszéves – irányelv felett eljárt az idő. Szükségessé vált egy olyan jogi alap, amely úgy biztosít az európai hagyományoknak megfelelően erős adatvédelmet, hogy közben jobban alkalmazkodik a mai információs technológiákhoz, képes kezelni a felhőszolgáltatásokat, a határokon átnyúló adatkezelést vagy éppen az EU-n kívülre irányuló adattovábbítást.
Vegyük figyelembe már az alapoktól
Az érvénybe lépő rendelet alapelve, hogy az adatkezelő cégektől minél nagyobb fokú átláthatóságot és elszámoltathatóságot követel meg. Nagyobb hangsúlyt kap a teljes adatkezelési folyamat átláthatósága. A centrális elem a gyakorlatban nehezen megfogható, beépített adatvédelem (Privacy by Design) nevű alapelv – amelyet eredetileg még a kanadai adatvédelmi hatóság dolgozott ki a kilencvenes években –, de mára világszerte alkalmazott adatvédelmi elv. A beépített adatvédelem jelentősége abban áll, hogy az adatbiztonságnak már az adatkezelési eljárások kidolgozásakor kiemelt prioritásúnak kell lennie.
Az adatbiztonság az alapelv
Az adatkezelésnek átláthatónak és felhasználó-központúnak, az adatvédelemnek proaktívnak kell lennie, és az adat teljes életciklusát fel kell ölelnie, vagyis a teljes folyamatnak része kell hogy legyen. Bármilyen technológia vagy belső szabályozás fejlesztésekor, bevezetésekor már a tervezés fázisában szem előtt kell tartani. Egyes új adatkezelési műveletek bevezetését megelőzően adatvédelmi hatásvizsgálat elvégzése szükséges.
Bejelentési kötelezettség
Az adatvédelmi incidens fogalmát nem az új rendelet vezette be, ugyanakkor a GDPR számos olyan rendelkezést tartalmaz az adatvédelmi incidensekkel kapcsolatban, amelyekkel az adatkezelőknek (és az adatfeldolgozóknak is!) tisztában kell lenniük.
A GDPR-ban szereplő definíció szerint adatvédelmi incidensnek minősül „a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését, vagy az azokhoz való jogosulatlan hozzáférést eredményezi.
”Az előbbiekben idézett meghatározás alapján nagyon sokféle adatvédelmi incidens előfordulhat, ide tartozhat például egy személyes adatokat is tartalmazó laptop elvesztése vagy a teljes informatikai rendszer megtámadása is. Bizonyos szervezeteknek a jelenlegi szabályozás szerint is jelentenie kell, ha személyes adatok szivárogtak ki tőlük. Az új rendelet ennél is szigorúbb, hiszen átfogó bejelentési kötelezettséget vezet be. Ennek szellemében a jövőben minden súlyosabb incidenst 72 órán belül jelenteni kell az adatvédelmi hatóságnak. Az adatvédelmi incidenseknek és az adatlopásoknak számos káros következményei lehetek az adott szervezet vonatkozásában, ezért az adatkezelési auditnak nem csak az informatikai és a jogi munkatársakra kell vonatkoznia, hanem többek között a HR-re és a pénzügyre is!
Nagy a tét!
Az új rendelet – sok más mellett az alkalmazható szankciók szemszögéből – szigorúbb a korábbiaknál. Az alábbi adatok ismeretében könnyebb megérteni, hogy a jogalkotók emelték a „téteket”. Becslések szerint napjainkban a kiberbiztonsági támadások éves szinten, nagyságrendileg 3 ezer milliárd dollár kárt okoznak világszerte. Azonban jól mutatja az ilyen jellegű bűnözés növekedését az is, hogy az kockázatelemzők az említette összeg megduplázódásával kalkulálnak három éven belül. Minden szervezet igyekszik csökkenteni az ilyen jellegű kockázatot, és ezért sokat is költenek a védelemre, eszközökre, szolgáltatásokra, emberi erőforrásokra. Azonban a legtöbb esetben emberi mulasztás következtében sérül az adatbiztonság. Ezért a humán tényezőre még jobban kell fókuszálni. A pénzügyi szektor és a közigazgatás (stb.) már régóta és szigorúan szabályozott területek, hogy ezeket a problémákat minimalizálni tudják. A GDPR ebbe a körbe von be minden olyan szervezetet, amelyik bármilyen szinten személyes adatokat kezel.
Miért vonzó „üzletág” a kiberbűnözés?
Többek között azért, mert az EU-ban felhalmozódott személyes adatok értékét ezermilliárd euróra becsülik, vagyis hatalmas értéket képvisel. Ennek a védelme kiemelten fontos feladat.
A rendelet egységes ugyan, de a végrehajtás továbbra is a helyi hatóság, vagyis itthon a Nemzeti Adatvédelmi és Információszabadság hatóság (NAIH) feladata lesz. Ma a magyar maximum bírság 20 millió forint, ami alacsonynak számít, de ilyen nagyságrendű büntetés is ritkaság számba megy majd nálunk. A GDPR által előírt maximum egy cég árbevételének 4 százaléka, de korán sem várható, hogy tömegesen ilyen mértékű bírságok fognak születni. (A rendelet aprólékosan leírja, hogy milyen esetben és mekkora cégnek mennyi bírság szabható ki arányosan.)
Adatvédelmi tisztviselők
Az első lépés és talán a legfontosabb feladat, hogy a szervezet határozza meg a helyzetét a GDPR vonatkozásában. Minden olyan szervezet, amely személyes adatokat dolgoz feladatkezelőnek minősül, és vonatkozik rá az EU-s rendelet, így köteles adatvédelmi tisztviselőt kinevezni. Fontos tudni azt is, hogy az adatvédelmi tisztviselőket nem terheli személyes felelősség a Rendelet be nem tartásáért. Hiszen az adatkezelőnek vagy az adatfeldolgozónak kell biztosítani és bizonyítani, hogy a kezelés a GDPR rendelkezéseivel összhangban történik. Ennél fogva az adatvédelmi rendelkezések betartásáért az adatkezelő vagy az adatfeldolgozó felelős.
A Rendelet azt is lehetővé teszi, hogy több szervezet egy közös adatvédelmi tisztviselőt jelölhessen ki, ennek azonban fontos feltétele, hogy a tisztviselő valamennyi tevékenységi helyről könnyen elérhető legyen.
Ideális választás lehet a feladatra például egy jó rendszerszemlélettel rendelkező jogász, közgazdász vagy informatikus is. Ma már számos képzőhely kínálatában megtalálhatók azok a tanfolyamok, amelyeken a kiválasztott munkatársak a pozíció betöltéséhez szükséges tudást elsajátíthatják.
Körültekintően kell eljárni az ügyfélprofi l készítésnél
Nemcsak a már „begyűjtött” adatok védelme jelent feladatot, hanem a most – vagy egy hét, vagy egy hónap múlva – induló új adatbázisképzés is. A rendelet alapján könnyen belátható, hogy a marketingtevékenység szempontjából a megjelenő „fékekkel” kell számolni. Az egyik kulcsfontosságú marketingtevékenység a profilgyűjtés. A jövőben nem lesz ritka az olyan anyagok megjelenése sem, amelyekben számos kérdés beiktatásával kérnek felhatalmazást a fogyasztótól arra, hogy a jövőben promóciós anyagokat küldhessenek neki. A jelenlegi szabályozás szerint, ha egy cég ügyfélprofilt készít marketing vagy egyéb célból, az érintett hozzájárulását elegendő az általános szerződési feltételek (ÁSZF) között feltüntetni. Kivételt csak az jelent, ha a profil készítése kifejezetten kell a szerződés teljesítéséhez, de ez esetben is elegendő a szerződésbe belefoglalni, hogy ügyfélprofil készül majd. Az új szabályozásban az ügyfélprofil készítésére külön rendelkezések vonatkoznak, az minden esetben az érintett személy kifejezett hozzájárulásához van kötve.
A pontos tájékoztatás, mint kötelezettség
A rendelet a korábbiaknál több joggal ruházza fel azokat, akiknek az adott szervezet kezeli az adatait, ugyanakkor az adatkezelőre pedig több feladatot ró. Az érintetteknek joga van kérelmezni az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, helyesbítését, törlését, kezelésének korlátozását, tiltakozhat a személyes adatok kezelése ellen, joga van az adathordozhatósághoz és joga van a felügyeleti hatósághoz, panaszt is benyújtani. A rendelet által az is pontosításra került, hogy mi számít személyes adatnak. A meghatározás szerint személyes adat az az információ, amely alapján egy személy beazonosítható közvetlenül az adat tartalma alapján, vagy közvetett módon az adatot más adattal kiegészítve. Vagyis személyes adat például a nevünk, címünk, adó- és TB-számunk, igazolványaink, egészségügyi vagy ideológiai meggyőződésünkre utaló adataink. Ugyanígy telefonszámunk, online adataink és e-mail-címünk, sőt a mozgásunkra vonatkozó adatok is. Az adatkezelőnek tájékoztatási kötelezettsége van az adatvédelmi tisztviselőjének az elérhetőségéről, az adatkezelés céljáról és jogalapjáról, valamint az adattárolás időtartalmáról és garantálnia kell az adatok biztonságát.
Adatbázis készítés csak meghatározott céllal
A piacon kialakult általános gyakorlat szerint a cégek marketingesei igyekeznek minden lehetséges adatot begyűjteni a „később még jól jöhet” elv mentén. A GDPR alkalmazása ellentmond ennek a gyakorlatnak, ugyanis az új rendelet ugyanis szigorú követelményeket ír elő az adatkezelés céljának meghatározásával kapcsolatban. Az új szabályok hatálybalépésétől kezdődően az adatok csak célhoz kötötten kezelhetőek, emiatt a tárol adatok minősége és relevanciája is nagyon fontos. A rendelet egyébként meg is szünteti a hallgatólagos beleegyezést, azaz minden esetben az adatkezelőnek egyértelműen meg kell szereznie az adatgazda beleegyezését ahhoz, hogy az adott adatokat adott célból felhasználhatja-e. Az adatokat pedig úgy kell tárolni, hogy ahhoz illetéktelen ne férhessen hozzá, és ezt az adatkezelőnek bizonyítania is kell.
Magyarország az új jogszabály tükrében
Hazánkban az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény a GDPR-rel együttesen határozzák meg az adatkezelés jogi kereteit. A májustól „élesedő” rendelet hoz ugyan számos újdonságot, de az eddigi hazai szabályozást nem írja át 100%-ban. Azok a vállalkozások (adatkezelők), akik eddig is a magyar adatvédelmi jogszabályok és a NAIH (Nemzeti Adatvédelmi Hatóság) előírásai szellemében tevékenykedtek, az új rendelet hatálybalépésével sem kényszerülnek az eddigi protokolljuk jelentős módosítására. Az érintettek eddig is megtapasztalhatták, hogy a hazai adatvédelmi jogszabály az egyik legszigorúbb az Európai Unióban. Magyarországon annyival bonyolultabb a helyzet, hogy az Infotörvény lefedi az információszabadságot is, illetve a titokfelügyeleti hatósági eljárást. Nálunk a két terület egy törvénymódosítással kerül elfogadásra úgy, hogy ez a változás nem érinti az információszabadságra vonatkozó részt, ugyanakkor kismértékben érinti az adatvédelmi hatóság szervezetére vonatkozó szabályokat. A felkészülés folyamatában a cégnek szükséges elvégeznie az adatvédelmi és adatbiztonsági auditját.
A felkészülés lépései
Annak ellenére, hogy gyakorlatilag már a célegyenesben vagyunk, akadnak még olyan vállalkozások, amelyek „megcsúsztak” a felkészüléssel. (A Microsoft 2018. februárjában publikált felmérése szerint a vállalkozások egyharmada még nem is hallott a GDPR-ről.) Nekik igyekszünk segíteni egy rövid áttekintéssel nyújtani a felkészülés jelentősebb lépései vonatkozásában. Üzleti folyamatok átvizsgálása, auditálása: különös tekintettel a személyes adatok tárolásának helyéről, hozzáférési jogosultsági szintek.
- Belső szabályzatok ki- illetve átalakítása az adatkezelési folyamatokról, amely kitér a jogosultsági szintekre, az adatok törlésére és módosítására, a biztonsági másolatból történő korábbi állapot visszaállítására, a korlátozott tárolhatóságra és az adatátadásra.
- Olyan folyamatokat kell kialakítani, amelyek biztosítják, hogy a felhasználói bejelentéseket, kéréseket, panaszokat a GDPR által előírt határidőn belül, megfelelő módon lehessen kezelni.
- Át kell tekinteni azokat a jogokat, melyeket GDPR a természetes személyek számára nyújt, és meg kell vizsgálni, hogy a szervezet képes-e azokat biztosítani.
- Gondoskodni kell a munkavállalók képzéséről.
- A szűk keresztmetszetek feltárása IT területén és ezek fejlesztésekkel történő megszüntetése.
A fentiekből is jól látható, hogy a GDPR-nek való megfelelés messze túlmutat az „informatikus majd megoldja valahogy” megközelítési módon.
Czékus Mihály