Ez újra felhívja a figyelmet a szabályozásra és arra, hogy az adatvédelmi megfelelőség dinamikus hozzáállást és szemléletmódot követel meg az adatkezelőktől, adatfeldolgozóktól, ahogy erre a NAIH iránymutatása is rávilágított.
A francia adatvédelmi hatósághoz érkezett bejelentés azt állította, hogy a Google nem rendelkezik megfelelő jogalappal a felhasználók személyes adatainak a kezelésére, különös tekintettel a reklámok személyre szabhatóságát biztosító szolgáltatás kapcsán akkor, amikor a felhasználók Google fiókot kívánnak létrehozni Android operációs rendszert használó mobil eszközükön. A lefolytatott vizsgálat pedig az alábbi főbb megállapításokkal zárult, amely a vállalatok számára is iránymutatást jelent:
- A Google adatvédelemmel kapcsolatos tájékoztató információi nehezen – csak több, egymásra épülő aktív cselekmény után - hozzáférhetőek.
- Az adatkezelés céljának és a kezelt adatok kategóriáinak a meghatározása túlságosan általános.
- A tájékoztatás alapján a felhasználó nem tudja egyértelműen megállapítani azt, hogy az érintett szolgáltatás kapcsán az adatkezelés jogalapja az ő hozzájárulása és nem pedig az adatkezelő jogos érdeke.
- A kezelt személyes adatok tárolásának az időtartama nincs minden esetben meghatározva.
- A Google által az adatkezelés jogalapjaként hivatkozott érintetti hozzájárulás érvénytelen. A felhasználók részére adott tájékoztatás (mint a hozzájárulás előfeltétele) nem megfelelő tájékoztatáson alapul, az érdemi információk rendszertelenül, több dokumentumban elszórtan találhatóak meg. A hozzájárulás megadására vonatkozó érintetti akarat kinyilvánítása nem konkrét, mivel az általánosságban az összes adatkezelési műveletre vonatkozik. Ezen túlmenően nem egyértelmű, mert hiányzik az aktív megerősítő cselekvés a felhasználó részéről, mivel a felületen egy előre bejelölt jelölőnégyzet volt feltüntetve.
GDPR, már megint. Vagy inkább mostantól mindig?
A 2018. május 25-ével kötelezően alkalmazandó európai uniós adatvédelmi rendelet, a GDPR, jelentős változásokat hozott a hazai adatvédelmi jog területén lévén szó egy közvetlenül hatályos uniós jogszabályról. Az adatvédelemmel kapcsolatos jogsértések kapcsán potenciálisan kiszabható bírságok mértéke kiemelkedő, az adatvédelmi jogsértések bírságának felső határa akár 20 millió euró, vagy vállalkozások esetén az előző pénzügyi év világpiaci árbevétel 4 százalékának megfelelő összegű közigazgatási bírság lehet. A felkészülés időszakában számos vállalkozás folytatott le adatvédelmi átvilágítást a nem megfelelőségek, hiányok feltárására, ezek pótlására, orvoslására vonatkozóan. Sok esetben fordult elő, hogy a nulláról kellett kialakítani az adatvédelemmel kapcsolatos rendszert, mivel az érintett vállalkozás korábban semmilyen figyelmet nem fordított erre a jogterületre.
És sajnos nagyon sok esetben hallottunk olyan véleményeket, miszerint ennek az egésznek nagyobb a füstje, mint a lángja, vagy éppen minden csoda három napig tart. A GDPR figyelmen kívül hagyása mellett gyakran hangzott el érvként, miszerint az adott vállalkozást - a szankciók oldaláról - ez nem érintheti, mert például csak egy elenyésző forgalmat generáló kisebb webshopja van, vagy éppen egyszemélyes, vagy alig pár munkavállalót foglalkoztató vállalkozásként működik. Így majd nem kerül azt adatvédelmi hatóság látókörébe, mivel a hatóság a „nagyhalakra” fog koncentrálni. Az első nagyobb bírság megszületése árnyalja ezt a képet, mivel az alapul szolgáló eljárás bejelentés alapján indult, panasz alanya pedig minden adatkezelő lehet méretétől, tevékenységétől függetlenül.
Jövőbeni GDPR-kötelezettségek
A GDPR alkalmazására lelkiismeretesen felkészülő vállalkozások közül sokan megnyugodva hátra is dőltek mondván a megfelelőség kialakításra került, most már semmi baj nem történhet. A valóság azonban az, ahogy azt a kezdetektől hangsúlyoztuk, hogy az adatvédelmi jogi megfelelőség nem statikus, hanem dinamikus hozzáállást és szemléletmódot követel meg az adatkezelőktől, adatfeldolgozóktól. Egy, a GDPR rendelkezéseinek megfelelően kialakított és szövegezett adatvédelmi szabályrendszer önmagában nem elég, ha annak rendelkezései nem kerülnek átültetésre és alkalmazásra a mindennapok gyakorlatában, vagy nem követik dinamikusan az időközben bekövetkezett változásokat. Arról nem is beszélve, hogy vannak olyan esetek, amikor az elérni kívánt változásnak előfeltétele valamilyen adatvédelmi cselekvés.
Jó példa lehet erre a GDPR által bevezetett adatvédelmi hatásvizsgálat. Ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelő az adatkezelést megelőzően hatásvizsgálatot köteles elvégezni arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik. Ezen általános jellegű előírás alapján sok esetben el is készültek az adatvédelmi hatásvizsgálatok egyes adatkezelések vonatkozásában. Több esetben azonban ez megmaradt a deklaráció szintjén és a kötelezettséget tartalmazó szabályzatok bekerültek a fiókba.
NAIH lista a kötelező adatvédelmi hatásvizsgálatokról
A GDPR előírása alapján a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) időközben összeállította és közzétette azoknak az adatkezelési műveletek típusainak a jegyzékét, amelyekre vonatkozóan adatvédelmi hatásvizsgálatot kell végezni. Az abban szereplő 24 pontos lista elemei kapcsán immáron semmilyen értelmezési kétely nincsen, az itt meghatározott adatkezelések esetén kötelező az adatvédelmi hatásvizsgálat lefolytatása.
Ezek közé tartozik például, ha az az adatkezelés célja a munkavállaló munkájának a megfigyelése során a munkavállaló személyes adatainak nagyszámú és módszeres feldolgozása, például GPS megfigyelő autóban történő elhelyezése, kamerás megfigyelés lopás vagy csalás elleni fellépés céljából. Ekkor a hatásvizsgálat elkészítése kötelező. A NAIH felhívja a figyelmet arra, hogy a listában szereplő felsorolás nem kimerítő jellegű, az adatkezelőknek továbbra is általános kötelezettsége van a kockázatok felmérés és kezelése területén.
Összegezve elmondható, hogy azon vállalkozások, amelyek ezidáig komolyan vették a GDPR alkalmazására való felkészülésüket, továbbra sem zárhatják le ezt az témakört, hanem folyamatos és aktív magatartással alkalmazniuk – szükség esetén módosítaniuk – kell az adatvédelemi rendszerüket. A GDPR megfelelőséget ezidáig valamilyen indokkal figyelmen kívül hagyó vállalkozásoknak pedig azt tanácsoljuk, hogy kár tovább halogatniuk ezt a lépést, el kell kezdeni a megfelelőség kialakítását, mivel a GDPR biztosan velünk lesz egy jó ideig!