Sosem látott szigor jön az adatvédelemben

Többéves egyeztetés után idén megszületett az Európai Unió (EU) általános adatvédelmi rendelete (General Data Protection Regulation, GDPR). Az új szabályozás megalkotását az indokolta, hogy az eddig érvényben lévő, már húszéves irányelv felett eljárt az idő. Szükségessé vált egy olyan jogi alap, amely úgy biztosít az európai hagyományoknak megfelelően erős adatvédelmet, hogy közben jobban alkalmazkodik a mai információs technológiákhoz, képes kezelni a felhőszolgáltatásokat, a határokon átnyúló adatkezelést vagy éppen az EU-n kívülre irányuló adattovábbítást.

Az új rendelet minden tagországra egységesen érvényes, és újdonság az is, hogy az EU-n kívüli országok cégeire is vonatkozik, ha azok EU-s magánszemélyek vagy cégek adatait kezelik. Ez azt jelenti, hogy ezeknek a cégeknek is szigorú szabályoknak kell megfelelniük, cserébe azonos feltételekkel indulnak az európai piacon.

A rendelet kidolgozása még 2012-ben kezdődött. 2015 decemberében az Európai Tanács és az Európai Parlament megállapodott a tervezetről, majd idén áprilisban külön-külön meg is szavazták. A végleges szöveget május 4-én tették közzé az EU minden hivatalos nyelvén, majd május 24-én végre hatályba is lépett az új rendelet. Alkalmazni viszont csak két év múlva, 2018. május 25-től kezdik, vagyis akkortól lesznek a gyakorlatban is érvényesek az új szabályok. Az addigi türelmi időben a nemzeti hatóságok és a cégek is felkészülhetnek az új körülményekre.

Az új szabályok biztosítják, hogy a személyes adatok védelmének alapjoga mindenki számára garantált legyen. Az általános adatvédelmi rendelet segíti majd az EU-ban a digitális egységes piac élénkítését azáltal, hogy világos és egységes szabályokra alapozva erősíti a felhasználók online szolgáltatásokba vetett bizalmát és a vállalkozások jogbiztonságát

– írta áprilisi közleményében az Európai Bizottság (EB).

Így néz ki az új adatvédelem

A legnagyobb változás az új rendeletben, hogy régen nem is volt rendelet. Eddig egy irányelv volt csak, amely 1995-től szolgált az európai adatvédelem alapjául. A különbség, hogy egy irányelvet még minden országnak át kell ültetnie a maga nemzeti jogrendszerébe, a rendelet viszont közvetlenül alkalmazandó.

Az irányelv számos eltérést megengedett a gyakorlatban, ami a tagországokban egymástól többé-kevésbé különböző adatvédelmi szabályozást eredményezett. A cégeknek plusz terhet jelentett, hogy ahány ország, annyi szabályozás, és a versenynek se volt túl kedvező ez a helyzet. Az EU persze törekedett arra már eddig is, hogy minél egységesebb legyen a jogi gyakorlat, születtek például bírósági döntések is, amelyek az irányelv javára marasztaltak el tagállami jogszabályokat.

Mindenesetre ez a zavaros, toldozgatott-foltozgatott rendszer szűnik meg a helyébe lépő, közös és egységes rendelettel. Sok mindent viszont így is nyitva hagy a szöveg.

Tele van a rendelet olyan rendelkezéssel, ami azt mondja, hogy magának a Bizottságnak vagy a tagállamoknak kell konkrét részletszabályokat alkotni bizonyos kérdésekben

– mondta el az Indexnek Kozma Zoltán, a DLA Piper adatvédelmi jogásza. A gyakorlati mozgástér szerinte elég nagy lesz, inkább csak az alapelveket, a főbb szabályokat határozza meg a rendelet. Valószínűleg a kétéves türelmi idő alatt is sok értelmező szabály születik még, hogy segítse a rendelet konkrét alkalmazását.

A GDPR alappillére, hogy az adatkezelő cégektől minél nagyobb fokú átláthatóságot és elszámoltathatóságot követel meg, nagyobb nyomatékot kap, hogy a teljes adatkezelési folyamatnak transzparensnek kell lennie. Központi elem a gyakorlatban nehezen megfogható, beépített adatvédelem (Privacy by Design) nevű alapelv, amelyet eredetileg még a kanadai adatvédelmi hatóság dolgozott ki a kilencvenes években, de mára világszerte alkalmazott adatvédelmi elv – Kozma szerint már a magyar hatóság is hivatkozik rá egyes döntéseiben.

A beépített adatvédelem lényege, hogy az adatbiztonságnak már az adatkezelési eljárások kidolgozásakor fontos szempontnak kell lennie, nem lehet puszta utógondolat. Az adatbiztonság az alapértelmezés, az adatkezelésnek átláthatónak és felhasználó-központúnak, az adatvédelemnek proaktívnak kell lennie, és az adat teljes életciklusát fel kell ölelnie, vagyis a teljes folyamatnak része kell hogy legyen: bármilyen technológia vagy belső szabályozás fejlesztésekor vagy bevezetésekor már a tervezés fázisában szem előtt kell tartani. Egy szervezet csak annyi és olyan adatot kezeljen, amilyet és amennyit szükséges, és csak addig, amíg szükség van rá.

Mindezt a gyakorlatba már nehezebb átültetni és számon kérni. Az egyik legkézzelfoghatóbb elem, hogy a cégeknek részletesebb tájékoztatást kell majd adniuk a felhasználóknak, a rendelet az eddiginél aprólékosabban tartalmazza ennek a feltételeit. De milyen, az átlagfelhasználó számára is érzékelhető elemei vannak a GDPR-nek azon túl, hogy más tartalmú dokumentumra nyomja majd rá az oldal alján, hogy „elfogadom”?

• Új kikötés, hogy a tájékoztatást egyszerű és közérthető formában, könnyen hozzáférhetően kell tálalni. Ennek része lesz valamilyen – még nem kidolgozott – egységes piktogramkészlet is, amellyel a szövegnél szembetűnőbben is jelezni kell majd a cégeknek az adatkezelési gyakorlatuk főbb jellemzőit.
• Az adatkezeléshez világos hozzájárulás szükséges, 16 éven aluli gyerekek esetében a szülőtől is.
• Minden felhasználónak joga lesz a személyes adatai töröltetéséhez, ha már nem kívánja használni az adott szolgáltatást.
• Az adathordozhatóság eddig nem igazán volt szabályozva. Ezentúl olyan formában kell majd átadni az adatokat, hogy azt egy másik szolgálatóhoz mindenféle átalakítgatás nélkül át lehessen vinni. A technológiasemlegesség jegyében ez nem konkrét formátumokat jelent, de hangsúly került a kompatibilitásra és átjárhatóságra.
• A rendelet tartalmazza az értesülés jogát adatvédelmi incidenseknél, magyarul ha hekkertámadás vagy más, a felhasználót érintő biztonsági esemény következik be, ezekről a cégeknek ezentúl be kell majd számolniuk, illetve mindig értesíteniük kell az őket felügyelő adatvédelmi hatóságot is.

Nagyobb bírság, kevesebb költség

A rendelet ugyan egységes, de a végrehajtás továbbra is a helyi hatóság, vagyis itthon például a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) feladata lesz. Bár a NAIH-nak is van még mit tennie az elkövetkező két évben, hogy készen álljon a GDPR-re, Kozma Zoltán szerint önmagában az új rendelet nem fog túl nagy változást hozni a magyar gyakorlatban.

Az eddigi magyar szabályozás európai viszonylatban szigorúnak számított, különösen a ma is hatályos infótörvény életbe lépése előtt. „Nem volt más jogalap az adatkezeléshez, csak a hozzájárulás” – mondja például Kozma. – Az új infótörvény a hozzájárulás mellett már a jogos érdeket is elfogadta jogalapnak, de ezt is csak akkor, ha a hozzájárulás beszerzése lehetetlen.” Később az Európai Bíróság egy spanyol ügyben kimondta, hogy az EU-s irányelvhez képest ilyen pluszfeltételek nem szabhatók, és bár a magyar törvényben még mindig benne van ez a kitétel, a gyakorlatban már nem alkalmazzák – viszont az irányelvben szereplő számos jogalapot még mindig nem ismer el a hazai jogszabály.

A kiszabható bírság mértékében és általában a szankcionálásban viszont sok más tagországnál megengedőbbek vagyunk Kozma szerint. Ma a magyar maximum bírság 20 millió forint, ami alacsonynak számít, de ilyen nagyságrendű büntetés se gyakori itthon. A GDPR által előírt maximum egy cég árbevételének 4 százaléka, de persze nem várható, hogy tömegesen ilyen mértékű bírságok fognak születni. (A rendelet aprólékosan leírja, hogy milyen esetben és mekkora cégnek mennyi bírság szabható ki arányosan.)

Azért kritikát is kapott bőven az új rendelet. A fő kifogás, hogy egyszerűen túlbürokratizált. Az egységesítés egyik legfontosabb célja a könnyű átláthatóság volt, ehhez képest rendkívül részletes és komplex szabályozás született. A másik, ettől nem független kritika, hogy nagyon szigorú is. Ennek ellenére az EB nem tart attól, hogy a GDPR plusz adminisztratív vagy pénzügyi terhelést jelentene a cégeknek, sőt az egyik fő érvük a bevezetése mellett, hogy a becslésük szerint évi 2,3 milliárd euró megtakarítást fog eredményezni.

Attól is könnyítést várnak, hogy egyablakos lesz a rendszer, vagyis egy-egy cégnél egyetlen – a központi ügyintézés helye szerinti – adatvédelmi hatóság jár majd el a határon átnyúló ügyekben, nem országonként más-más hivatal. Kozma Zoltán is úgy gondolja, hogy ha valaki már eddig is megfelelt az előírásoknak, nem kellene, hogy jelentős többletterhet jelentsen az átállás.

Na és mi lesz Amerikával?

A GDPR tehát EU-n kívüli cégek európai tevékenységére is vonatkozik. Ha a Facebook vagy a Google Európán belül kezeli az adatainkat, ugyanazok a szabályok vonatkoznak majd rájuk, mint bármelyik európai székhelyű cégre. De mi történik, amikor ki akarják vinni az adatokat Európából? Mi köze az éppen érvénybe lépett rendeletnek a sokat vitatott EU–USA adattovábbítási keretmegállapodásnak, a Privacy Shieldnek, amelyről a februári cikkünkben részletesen is írtunk?

Bár a Privacy Shield fontos kérdés és várhatók még körülötte további heves jogi-politikai viták, az félreértés, hogy az egyetlen módja lenne annak, hogy a cégek Amerikába küldjék az adatokat. Valójában ez csak egy a lehetséges eszközök közül, és jogilag nincs kitüntetett szerepe.

A GDPR alapján – és ebben az új rendelet követi a korábbi irányelvet – harmadik országba csak akkor lehet európai adatokat továbbítani, ha a célországban is megfelelő szintű védelem biztosított ezeknek az adatoknak. (Valójában az Európai Gazdasági Térségen, vagyis a 28 EU-tagállamon illetve Norvégián, Izlandon és Liechtensteinen kívüli országokról van szó, tehát „európai adatok” alatt itt most végig erre gondolunk.) Annak a biztosítására és igazolására, hogy egy-egy célországban megvan ez a védelem, több lehetőség is adott. Alapvetően három megoldás jellemző:

• Az egyik, hogy a Bizottság kimondja ezt egy megfelelőségi határozatban. Ilyen jelenleg 11 nem EU-s terület esetében létezik Svájctól Izraelen keresztül Új-Zélandig – és ilyen volt a tavaly novemberben hatályon kívül helyezett Safe Harbour egyezmény is, amely az Amerikába történő adattovábbításra vonatkozott. Már ez se azt mondta ki egyébként, hogy az USA biztosít megfelelő szintű védelmet, hanem hogy azok az amerikai cégek, amelyek megszerzik az ehhez szükséges tanúsítványt. Ezt azonban elég könnyen, gyakorlatilag önbevallásos alapon osztogatta az amerikai kereskedelmi minisztérium. Ehhez jött még az amerikai kormány problémás megfigyelési gyakorlatát feltáró Snowden-botrány is, és mindez oda vezetett, hogy végül az Európai Bíróság hatályon kívül helyezte a Safe Harbourt. Idén februárban az EB és az USA megállapodott egy új keretrendszerben, ha végül elfogadják, ez lenne a Privacy Shield, amely egyelőre elég sok kritikát kapott.
• Egyes cégek adatkezelési gyakorlatát is ítélheti megfelelőnek az Európai Bizottság. Ehhez többféle modellszerződést is kidolgoztak. Gyakorlatilag olyan általános szerződési feltételekről van szó, amelyek vállalásával egy cég biztosíthatja magának az EU által elvárt szintű adatbiztonságot. Ennek a hátránya, hogy kevésbé rugalmas, és ha egy cég sok országban működtet lányvállalatot, nagy lehet a külön-külön megkötendő szerződések adminisztratív terhe.
• A harmadik tipikus megoldás a kötelező érvényű vállalati szabályok (BCR) bevezetése. Ez a belső céges adatkezelési szabályzat a cégcsoporton belüli adattovábbítást teszi lehetővé különböző országok között. Egy BCR-t minden érintett tagállam hatóságának jóvá kell hagynia, ami után az EU-ban egy kijelölt nemzeti hatóság felügyelete alá fog tartozni a teljes cégcsoport. Jelenleg 83 cég él ezzel a lehetőséggel.

A Privacy Shield is csak egy tehát a külső országokkal köthető adattovábbítási egyezmények közül, nem is szerepel névvel a GDPR-ban. Ezért még ha a jelenlegi formájában végül meg is hiúsulna vagy a sok módosítgatás miatt elcsúszna a végleges elfogadása, ez magára az európai adatvédelmi rendeletre semmilyen hatással nem lenne, az így is, úgy is életbe lépett, és két év múlva az európai adatvédelem alapját fogja jelenteni.