GDPR – Négy betű hatása az elmúlt évekre

Egy konferencia valószínűleg „legnyugodtabb” előadása mindig az, amelyik az ebéd után jön. A Lillafüredi Palotaszálló konyháját ismerve ez az időpont még hálátlanabb. A Negyvenkettedik Jogász Vándorgyűlésen ezen megfigyelést meghazudtolva óriási érdeklődés övezte A GDPR elmúlt egy évéről szóló előadást. 

Dr. Péterfalvi Attila, a NAIH elnöke és korreferensei – Dr. Bendik Tamás, a NAIH elnöki tanácsadója és Dr. Tóásó Bálint ügyvéd, a KPMG Legal Tóásó Ügyvédi Iroda irodavezető partnere – ennek a pezsgő, és naponta változó jogterületnek a legközelebbi ismerői, így a hallgatóság valóban első kézből hallhatta a legfrissebb információkat. 

Dr. Péterfalvi Attila előadásában bemutatta az adatvédelmi rezsim felállításának lépéseit, és megállapította, hogy a jogalkotás terén nem csak hazánkban láthatóak késések – Infotv. módosítása, hatóság kijelölése, salátatörvény, stb. – hanem uniós szinten is, hiszen az e-privacy rendelet megalkotása még várat magára. Érdekes kérdés, hogy a kötelező uniós szabályozás és a nemzeti szuverenitás hogyan viszonyul egymáshoz. A tapasztalat az, hogy a jogalkotó számára nagy kihívásokat jelent a hazai törvények GDPR-hoz való hangolása, és a legutóbbi saláta törvény még korántsem jelenti a jogalkotási folyamat végét. 

A GDPR hatására alapvetően változott az adatvédelmi hozzáállás: a hangsúly az adatkezelés terén áttevődik a hozzájárulásról a többi jogalapra, kiemelten a jogszabályi kötelezésre, a szerződéses jogalapra, illetve a jogos érdekre. 

A hatóság az elmúlt egy éves időszakban 385 adatvédelmi incidens bejelentést regisztrált. A legnagyobb veszélyforrás az adatkezelés során még mindig az emberi tényező. Komoly probléma, hogy az adatkezelők nem vezetnek megfelelő adatkezelési nyilvántartást és az adatvédelmi incidensek bejelentése is gyakran elmarad. Ez indokolta az eddigi egyik legmagasabb, 11 millió forintos magyar adatvédelmi bírságot is, amit egy politikai párt kapott, mivel nem tett eleget incidens bejelentési kötelezettségének és nem működött megfelelően együtt a hatóságokkal. Ezzel kapcsolatban az elnök úr megjegyezte, hogy hamarosan várható az első olyan bírság, mely meghaladja a GDPR előtti 20 millió forintos maximumot…

Megállapítható egyébként, hogy az adatkezelők ritkán élnek a bírósági jogorvoslat lehetőségével a hatóság bírságaival szemben – ami talán betudható annak is, hogy a NAIH pernyertességi aránya ezen perekben kiemelkedő. 

Dr. Bendik Tamás a magyar jogalkalmazás nehézségeiről beszélt. Bár az egységes szabályozás célja az egységes jogalkalmazás megteremtése, ez korántsem ilyen egyszerű. Mivel a tagállamok a rendelet megalkotásakor törekedtek arra, hogy megőrizzék tagállami vívmányaikat, így több mint 100 rugalmassági klauzula került a GPDR-ba, melyek nehezítik ezt a folyamatot. Kiemelte továbbá, hogy a GDPR nem rendezi a határon átnyúló adatkezelések esetére az alkalmazandó jogot – ami a teljesen egységes jogalkalmazás esetén kevésbé lenne probléma. A magyar Infotv. kijelöli ugyan a magyar bíróságok hatáskörét – magyar adatkezelő vagy magyar érintett esetére – azonban a nemzetközi kollíziót ez nem oldja meg. Az elmúlt egy évben konkrét problémák is felmerültek már ezen jogalkotási hiányosságból. 

A jogorvoslati lehetőségek multiplikációja miatt még inkább felmerül a probléma, hogy egyetlen jogsértés folytán akár 4-5 eljárás is indulhat. Határon átnyúló adatkezelés esetén ez ennek a többszöröse lehet a különböző tagállamokban indítható perek, illetve a több hatóság által is indított eljárások miatt. Megoldás lehet, ha a tagállamok a rugalmassági klauzulákat nem használják ki, hanem törekszenek az egységesítésre – ez azonban alapvetően ellentmond annak, hogy a tagállamok a rugalmassági klauzulák alapján hozott nemzeti jogot a szuverenitásuk kifejezésének tekintik. Így lehetőségként marad az Európai Adatvédelmi Testület és az Európai Bíróság jogegységesítő szerepe. 

Dr. Tóásó Bálint leginkább az adatkezelő – és az őket segítő szakemberek – oldaláról összegezte az elmúlt egy évet és egy nemzetközi kitekintést adott a 27 másik tagállam bírságolási és hatósági joggyakorlata kapcsán. A magyar hatósági gyakorlatról elmondható, hogy a hatóság szándéka nem kifejezetten a magas bírságok kiszabására irányult, hanem arra, hogy az adatkezelőket az új szabályoknak megfelelő adatkezelésre hívja fel, ennek megfelelően a bírságok – egy ügyet leszámítva – inkább jelképes összegűek voltak. A hatóság határozatai elleni bírósági jogorvoslat elmaradása is arra utal, hogy az adatkezelők jellemzően nem tartják aránytalanul túlzott mértékűnek a hatóság által eddig kiszabott bírságokat. Kiemelte továbbá, hogy a fókusz elsősorban a digitális adatkezelésen van, ezért a jogszabályi megfeleléshez olyan szakember kell, aki a jogi tudás mellett információbiztonsági tapasztalattal is rendelkezik. 

Az előadás kitért a „Google-ügyre”, mely a GDPR bevezetése óta megszületett legnagyobb bírságot, 50 millió euró produkálta. Ebben az ügyben is először eljárásjogi kérdéseket kellett tisztázni, konkrétan, hogy a francia vagy az ír hatóság jogosult-e eljárni. Végül a francia hatóságnál vizsgálták ki a jogsértést. A hatóság eljárása panaszra indult és a vizsgálat az Android operációs rendszerű okostelefonok kapcsán eszközölt adatkezelések jogalapjának vizsgálatára, illetve az azokkal kapcsolatos tájékoztatások GDPR-nak való megfelelőségére irányult. Ezen túlmenően a hatóság vizsgálta a Google Play adatkezelési gyakorlatát is. Lényegét tekintve az eljárás tárgya az volt, hogy az Android telefonokon a Google-fiókok létrehozása során a felhasználóknak tulajdonképpen nincs valós választási lehetősége arra vonatkozóan, hogy a Google fiók létrehozása nélkül használják teljes értékűen a telefonjaikat. Az előadó a Google ügy kapcsán kitért az „egyablakos ügyintézési rendszer” kapcsán még tisztázandó kérdésekre és a hatósági gyakorlat egységesítésének szükségességére.

Az előadásokat követően a hallgatóság kérdései leginkább a jogos érdekkel kapcsolatos alkotmányossági aggályokra, illetve a GDPR és a nemzeti jogszabályok (pl. a Ptk) ellentmondásainak feloldására irányultak. A szakmai eszmecserének végül a további programok vetettek véget – és vélhetően a beszélgetés a borkóstolón folytatódott.