GDPR-láz idején…

2018.05.09

Május 25-étől kell alkalmazni az Európai Unió Egységes Adatvédelmi Rendeletét. A GDPR-ra való felkészülés véghajrájában a témához kapcsolódó képzéseink szakmai vezetőjével, dr. Jóri András, korábbi adatvédelmi biztossal készítettünk rövid interjút.

Az új adatvédelmi rendelet szövege már ismert, de mellette a magyar Infotv. módosításának több tervezete is napvilágot látott. Mi a véleménye erről? Mire készüljenek a jogalkalmazók?

- Sajnos számos kihívást hoz ez a helyzet. Egyrészt viszonylag komplex a szabályozási struktúra, így – mint az az általunk szervezett adatvédelmi klubban is kiderült –, sokszor még a területtel ismerkedő jogászok sem látják elsőre, melyik adatkezelésre kell majd a GDPR-t alkalmazni, s melyikre szükséges valamilyen eltérést figyelembe venni, amelyet az Infotv. állapít meg. E mellett sokszor az is kérdéses, hogy miként kell alkalmazni a szektorális szabályokat, amelyek módosításának hiányában alapvető fogalmak (pl. az egészségügyi adat) két különböző tartalommal szerepelnek majd a magyar jogrendszerben. Május 25-étől a GDPR nyilvánvalóan alkalmazandó lesz (megjegyzendő, hogy már két éve hatályba lépett), ám az Infotv. módosításának esetleges késedelme esetén a NAIH korábbi eljárásnak szabályai is hatályban maradnak, ráadásul ott vannak a már említett szektorális szabályok is…
 

Aki már foglalkozott adatvédelemmel, az tudja, hogy valóban számos szabály tartalmaz adatvédelmi rendelkezéseket az Infotv. mellett. Mi lesz ezeknek a sorsa?

- Ez jelenleg még nem látható tisztán. Sok szektor esetén a saját ágazati szabályozásnak (pl. a hitelintézetek, pénzügyi vállalkozások számára a Hpt-nek, a biztosítók számára a Bit-nek, stb.) majdnem akkora jelentősége van, mint az Infotv-nek. Ezek a szabályok pedig a korai magyar ágazati szabályozás logikájára épülnek. Létezhet olyan értelmezés is, amely szerint a GDPR valójában kevés újat hoz a számukra, hiszen továbbra is ezek a területek ágazati szabályok keretei közé lesznek szorítva. Vagy felülírhatja ezeket a GDPR? Még most, pár héttel május 25-e előtt is bizony nyitott kérdések ezek.
 

Ön, több más adatvédelmi szakemberrel, kiállt a kis- és középvállalkozások érdekében a GDPR-módosítás kapcsán. Miért látta ennek szükségességét?

- A kkv-k számára eddig kedvezett a magyar szabályozás; az adatvédelmi hatóság elsőre nem bírságolhatott ebben a körben. Sajnos a GDPR-rel az egységes jogi környezetre hivatkozva eltűnik majd ez a korlát. Reméljük, hogy a hatóság jogalkalmazási gyakorlatában tovább él azonban majd ebben a vonatkozásban - véleményem szerint erre a rendelet kifejezetten kötelezi is a jogalkalmazót. Ennek a tiszteletben tartása azért is szerencsés volna, mert sajnos a kkv-k vonatkozó felkészítésére kevés erőfeszítés történt hatósági részről.
 

Mely kkv-k számára fontos különösen a GDPR?

- A webáruházak és az adatfeldolgozók számára azért, mert esetükben megnövekedett a jogi kockázat: a GDPR számos helyen közvetlen felelősségüket mondja ki. Ráadásul az adatfeldolgozók főfoglalkozás szerint birtokolják személyes adatok tömegét, illetve sokszor ügyfeleik is hozzájuk fordulnak az adatkezelést illető aggályaikkal, problémáikkal.

A jogászi szakma számára pedig érdemes „mélységében”, a jogi dogmatika oldaláról is megismerni az új rendelkezéseket - ez olyan szemszög, ami egy IT-szakembert nem feltétlenül érdekel, de egy ügyvédnek, tanácsadónak fontos lehet.
 

Tavaly nyáron fontos adatvédelmi ügyben találkozhattunk a nevével: a Fővárosi Közigazgatási és Munkaügyi Bíróság megsemmisítette a NAIH egy határozatát, amelyben 3 milliós adatvédelmi bírságot szabott ki. Összefoglalná a nagy jelentőségű ügy lényegét?

- Ez az ügy a médiában valóban nagy visszhangot kapott Kiss László-ügy volt. A NAIH határozata azon alapult, hogy egy anonimizált bírósági ítélethez való hozzáférés adott esetben jogszerűtlen volt, illetőleg maga az anonimizált bírósági ítélet személyes adat, mert lehet olyan személy, aki a körülményeket ismerve vissza tudja állítani a valós adattartalmat. A bíróságot talán az az érvünk győzte meg leginkább az ügyben, hogy ha elfogadjuk a hatósági értelmezést, akkor mindig vizsgálni kellene az adatkérő tudattartamát is, hogy megállapítsuk, valami személyes adat, vagy sem, ami pedig nyilvánvalóan abszurd irányba vezető értelmezés volna.

Büszke vagyok arra, hogy a dr. Soós Andrea ügyvédnővel közösen vitt ügyünk, amelyben Budapest Főváros Levéltára volt a felperes, tudomásom szerint az első olyan eset, ahol a NAIH határozatát ítélettel helyezték hatályon kívül, s nem utasították új eljárásra a hatóságot.

Köszönjük az interjút, s hogy csapatukkal komoly szerepet vállalnak az érdekeltek új kihívásokra való felkészítésében. Számítunk önökre a jövőben is, hiszen ahogy a beszélgetésünkből is egyértelmű, van még jócskán nyitott kérdés!