A GDPR-tól (General Data Protection Regulation, magyarul általános adatvédelmi rendelet) már szinte az is fél, aki még nem is hallott róla. 

 

Lassan ott tartunk, hogy erős, felnőtt férfiak omlanak össze zokogva, amikor eszükbe jut a május 25-én élesedett szabályozás, és óvodások riadnak fel éjszaka, ha erről álmodnak. A frissen kibábozódott adatvédelmi guruk pedig sokszor a legalantasabb marketingeszközökkel gerjesztik ezt a félelmet: minden napra jut egy „Miért rettegj a GDPR-tól?”-cikk a sajtóban. A piacon most már mindenki úgy hirdeti magát, hogy legalább 10 éve adatvédelemmel foglalkozik. Ha mostanában előadok, azt mondom: én meg már bizony 40 éve foglalkozom adatvédelemmel, 2 éves voltam ugyanis, amikor először füllentettem anyámnak. Azóta őrzöm titkaim, próbálom védeni a magánszférám.

Némi aggodalom olykor jogos is lehet Magyarországon, ahol az adatvédelmi tudatosság szintje némely területen meglehetősen alacsony. Ahol a gyanúsított többször előbb tudja meg valamelyik pletykalapból, hogy gyanúsítják, mint hogy ezt a rendőrség közölné vele. Ahol a legjobban még mindig a kommunista ügynökök adatait védik. Ahol sok ember jelszava még mindig az, hogy 1234, és a bankkártya papírtokjára írjuk rá a pin-kódunkat. Ahol nemrég egy SZTK-ban egy mozdulattal több száz kerületi lakos teljes egészségügyi dokumentációját tudtam volna elvinni egy nem záródó törpelakattal védett szekrényből, miután nyitott ajtó mellett hallgathattam végig, hogy a szomszédom prosztatája mekkora és milyen gyógyszereket szed. Másrészről vitathatatlan, hogy a közigazgatásban széles körben oktatják már az alapvető adatvédelmi ismereteket, és egyre több iskolában tartanak felvilágosító órákat az internet veszélyeiről.

A rettegést keltő cikkek (20 millió eurós bírság! Csőd! Halál!) mellett a témáról szóló írások másik fajtáját képezik a „tessék továbbhaladni, nincs itt semmi látnivaló” típusúak. Ezek azt hangsúlyozzák, hogy a GDPR kevés érdemi újítást hoz, aki eddig is megfelelt az adatvédelmi szabályoknak, az ezután is nyugodtan alhat. Eddig azonban nagyon kevés olyan cikk látott napvilágot, amely megtalálná az egyensúlyt a két nézőpont közt, és arra fókuszálna, hogy a GDPR milyen olyan újdonságokat hoz, amelynek megfelelve vállalkozásunk is sikeresebb lehet.

A GDPR egyik legnagyobb előnye, hogy az eddig széttagolt soft law joganyag (munkacsoporti ajánlások, vélemények, több mint két évtized vonatkozójoggyakorlata) végre egységes Kódexbe kerül. A rendelet továbbá a szabályozásbeli eltérések megszűnését hozza az Unió tagállamaiban: azonos mércével esik majd latba az unió egész területén a magánszféra védelme úgy, hogy az egységes piac és kereskedelmi együttműködés, az üzleti szereplők jogos érdekeit is számításba veszik.

Az általános adatvédelmi rendelet ugyanis tele van olyan új, vagy nagyobb hangsúlyt kapó fogalmakkal, megfontolandó szempontokkal, amelyek betartása nem csak jogi kényszer, de alkalmazásukkal a cégek költségeiket csökkenthetik, bevételüket növelhetik, és ezzel párhuzamosan bizalmat keltenek, ügyfélbarátabbak lesznek.

Vannak a Rendeletben érdekes és értékes új fogalmak. Némely csak a régi fogalom átfogalmazása. Az adatkezelés minőségének elve helyett például majd a „pontos adatkezelés” kritériumának kell megfelelni, de ez továbbra sem fog mást jelenteni, minthogy az üzleti szereplőknek naprakész, friss nyilvántartásokból kell dolgozniuk, hiszen elavult marketing-adatbázisból dolgozni nekik sem kifizetődő. A jelentősebb adatvédelmi incidenseket már nem titkolhatják el a közvélemény és a versenytársak elől, mivel azokat mielőbb jelenteni kell az adatvédelmi hatóságnak, és azonnal, minden lehetséges intézkedést meg kell tenni a kár enyhítése érdekében. E kötelezettség növeli az adatbiztonsági tudatosságot is.

A jogalapok, vagyis a jogszerű adatkezelést megalapozó hivatkozást illetően nagyobb mozgástere lesz a munkáltatóknak, de akár egy reklámtevékenységgel foglalkozó cégnek is, hogy érdekeik mentén továbbíthassanak, használjanak fel személyes adatokat. Már nem fog dillemmát okozni, hogy a munkavállalókadatainak vállalkozáscsoporton belüli továbbítása előtt egyenként hozzájáruló nyilatkozatokat írassanak alá a dolgozókkal, vagy egy benzines autót hirdető reklámot csak azért ne küldjön ki a direktmarketingcég, mert korábban a vásárló csak a dízelesekről kívánt értesülni.

Az adatkezeléseket megalapozó érdekmérlegelés természetesen ennél cizelláltabb, de számos könnyítést is hoz a piaci szereplőknek. Főleg az állampolgároknak előny, hogy az automatizált döntéshozatali rendszereket (amikor automatikusan, pusztán adatok alapján, az érintett személyes meghallgatása nélkül hoznak meg egyes döntéseket), például az automatikus hitelbírálat rendszerét csak szigorúbb feltételekkel lehet majd alkalmazni.

Fokozottabb védelem alá esnek majd gyermekeink adatai, és ez szigorítást jelent a kiskorúakat targetáló applikációkból élőknek. A Rendelet pozitív hozadéka, hogy a különleges adatok (egyebek mellett egészségügyi adataink, politikai véleményünk) kezelése tiltott, illetve csak szigorú feltételek mellett lesz lehetséges.

Eredménye lesz a Rendeletnek az is, hogy az adatkezelésekkel operáló cégeknek átláthatóbbaknak kell lenniük, el kell számolniuk a személyes „adatvagyonukkal” az érintettek felé. Ha ez az átláthatóság például a honlapjukon is megmutatkozik, az egyúttal bizalmat is kelt az ügyfelekben. Az érintett magánfelhasználók pedig könnyebben vihetik át személyes adataikat csomagként az egyik szolgáltatótól a másikhoz (adathordozhatóság), és akár azzal a jogukkal is élhetnek, hogy a múltban a világhálón meggondolatlanul nyilvánosságra hozott személyes adataikat végérvényesen minden fórumról és honlapról töröltessenek. Kérhetik például, hogy múltjuk a feledés homályába vesszen, és az álláskeresésnél már ne aszerint értékeljék őket, hogy korábban milyen tetoválást varrattak, vagy milyen ellenzéki hozzászólásokat posztoltak.

Azoknak a cégvezetőknek azonban, ahol a szervezet nem személyes adatkezeléseken alapuló üzleti tevékenységet folytat, például autóalkatrészeket gyárt egy 100 fős üzemben, illetve annak a fodrásznak vagy műkörmösnek, aki régi ügyfélkörének kínálja a szolgáltatásait, egyáltalán nem kell aggódniuk. Valójában annak a marketing tevékenységet folytató cégnek sem, amelyik eddig is dokumentálta és igazolni tudta, hogy rendelkezik a címzettek hozzájárulásával a hírleveleihez. Várhatóan nem rájuk fog lesújtani a magyar adatvédelmi hatóság szigora.

Írta: Révész Balázs adatvédelmi szakértő, korábban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) főosztályvezetője