A GDPR-ra való felkészülés a hajrájába érkezett, május 25-től közvetlenül alkalmazandó a Rendelet az EU valamennyi tagállamában. Annak ellenére, hogy a Rendelet rövidesen a napi joggyakorlat részévé válik, még mindig számos tévhit, mítosz kering vele kapcsolatban a köztudatban. Ezek közül a tévhitek közül igyekszünk az alábbiakban eloszlatni néhányat. 

1. A Rendelet 2018. május 25-én lép hatályba, ráérünk a hatálybalépés után felkészülni az alkalmazására

A GDPR valójában már 2016. május 25-e óta hatályban van. Idén május 25-én alkalmazandóvá válik, azaz a felkészülésre biztosított 2 éves határidő letelik. Ennek megfelelően bármennyire is úgy érzi sok adatkezelő és adatfeldolgozó, hogy további felkészülési időre lenne szükségük, az már nem áll rendelkezésükre. Innentől kezdve a további felkészülés az "éles üzem" mellett folytatódik.  

2. A GDPR KKV-kra nem vonatkozik

A GDPR minden adatkezelőre és adatfeldolgozóra vonatkozik, függetlenül a "méretüktől". Éppen a kisvállalkozások sem halogathatják a felkészülést. Sőt, a kisvállalkozásoknak arra is számítaniuk kell, hogy május 25-e után megszűnik az a KKV-kat illető kedvezmény, miszerint az első jogsértés alkalmával a NAIH nem bírságolhatta meg őket, csak figyelmeztetést alkalmazott. 

A Rendelet ugyanakkor ösztönözni kívánja, hogy a KKV-k helyzetét figyelembe vegyék a Rendelet alkalmazása során. Az viszont még nem látható, hogy erre milyen mértékben kerül sor a gyakorlatban. A Rendelet csak kevés tényleges eltérést, illetve könnyítést tartalmaz a KKV-kra nézve. Ilyen például, hogy a 250 főnél kevesebb főt foglalkoztató vállalkozásoknak főszabály szerint nem kell adatkezelési nyilvántartást vezetniük. (A KKV-k és a GDPR kapcsolatáról egy korábbi posztban részletesebben is foglalkoztam. Érdemes elolvasni a NAIH frissen publikált állásfoglalását is ezzel kapcsolatban.)  

3. Az adatkezelések főszabály szerint hozzájárulás alapján folytathatók

Sokan úgy tekintenek a hozzájárulásra, mint az adatkezelés elsődleges jogalapjára. Ez már most sincs feltétlenül így és a GDPR alapján sem kell elsődlegesen a hozzájárulásra támaszkodniuk az adatkezelőknek. Az adatkezelő kötelezettsége, hogy az adatkezelés megkezdése előtt - többek között - az adatkezelés megfelelő jogalapját is meghatározza. A GDPR a 6. cikkében hat különböző jogalapot biztosít az adatkezelőknek. Különleges adatok kezelése esetén pedig a Rendelet 9. cikkét kell alaposan áttanulmányozni. 

4. A GDPR alapján lehetőség nyílik a közvetlen üzletszerzésre az érintettek előzetes hozzájárulása nélkül

Ha valaki csak a GDPR-t olvassa, könnyen az az érzése támadhat, hogy a közvetlen üzletszerzési célú megkeresések tekintetében a jelenlegi előzetes hozzájáruláson alapuló főszabály (opt-in) helyett fordul a kocka és az érintett hozzájárulása nélkül megkereshető egészen addig, amíg ez ellen nem tiltakozik (opt-out). 

A Rendelet 21. cikke ugyanis azt tartalmazza, hogy "ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik. Ha az érintett tiltakozik a személyes adatok közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatok a továbbiakban e célból nem kezelhetők."

A Rendelet fenti szövegezése valóban az opt-out rendszer felé billenne, de nem szabad megfeledkeznünk az e-Privacy irányelv implementálásán alapuló szektorális szabályokról, amelyek - még az e-Privacy irányelvben biztosított mozgásteret sem használják ki - és szigorú előzetes hozzájárulás beszerzését megkövetelő szabályokat tartalmaznak bizonyos kivételekkel (lásd pl. Reklámtörvény és Elkertv.). Az e-Privacy Rendelet elfogadása vélhetően részben enyhít majd ezen a szigoron (legalábbis a most ismert tervezetek szerint). Addig viszont - hiába adna a GDPR nagyobb mozgásteret - a szektorális szabályok rendelkezéseit is be kell tartani.    

5. Az adatfeldolgozóknak nincs miért izgulniuk

Az adatkezelések "ura" természetesen továbbra is az adatkezelő lesz. Ugyanakkor sokkal komolyabb előírásokat és kötelezettséget fogalmaz meg az adatfeldolgozókkal szemben is a Rendelet. A kötelezettségekhez pedig számonkérhetőség is párosul. Az adatfeldolgozókkal szemben is hozhat intézkedést a felügyeleti hatóság és az adatfeldolgozók is bírságolhatók.  

+1 A papíralapú adatkezelésre nem kell az adatvédelmi szabályokat alkalmazni

Ez a feltevés a GDPR tárgyi hatályán alapulhat, miszerint "e rendeletet kell alkalmazni a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni."

A GDPR tehát alapvetően a részben vagy egészben automatizált adatkezelésekre vonatkozik, illetve a nyilvántartás részét képező adatkezelésekre, még akkor is, ha az nem automatizált. A GDPR meghatározza a nyilvántartási rendszer fogalmát is, amely "a  személyes adatok bármely módon – centralizált, decentralizált vagy funkcionális vagy földrajzi szempontok szerint – tagolt állománya, amely meghatározott ismérvek alapján hozzáférhető."

A Rendelet tehát a manuálisan folytatott adatkezelésekre is kiterjed, ha valamilyen szempont szerint nyilvántartásba rendezett adatokról van szó. A GDPR preambuluma (15) alapján viszont, "olyan iratok, illetve iratok csoportjai, és azok borítóoldalai, amelyek nem rendszerezettek meghatározott szempontok szerint, nem tartoznak e rendelet hatálya alá." Arról viszont nem szabad elfeledkezni, hogy a nemzeti jogalkotó kiterjesztheti az adatok védelmére vonatkozó szabályok alkalmazását ezen nyilvántartásba nem rendezett, manuálisan kezelt személyes adatokra is. (Ez például Magyarországon az Infotv. tervezett módosítása alapján így lesz.) Erről lásd a NAIH áprilisban publikált állásfoglalását is (lásd 1/b. pont).