SBGK: hogyan alakulhat a bírságolás a GDPR alapján?

Az SBGK Ügyvédek és Szabadalmi Ügyvivők szakértője, dr. Osztopáni Krisztián kifejtette: rendszeresen visszatérő kérdés az új uniós adatvédelmi rendelettel (GDPR) kapcsolatban az, hogyan fog alakulni a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) bírságolási gyakorlata, mire lehet számítani május 25-étől - a GDPR alkalmazásától - a NAIH-tól ezen a területen.

A NAIH részéről elhangzott nyilatkozatok és a honlapjára feltöltött állásfoglalások alapján pontos választ nem lehet adni erre a felvetésre.

Ugyanakkor a NAIH az elmúlt néhány évben jó pár olyan határozatot hozott, amelyek alapjául szolgáló jogszabályi rendelkezések, illetve a döntések megállapításai megfeleltethetőek a GDPR követelményeinek.

Ezért valószínűnek tűnik, hogy amennyiben ezeket a követelményeket nem tartják be az adatkezelők, akkor egy velük szemben megindult eljárás - az eset körülményeitől függően - bírság kiszabásával végződhet.

A NAIH több mint kétszáz határozatának és állásfoglalásának egyesével történő bemutatása, illetve a GDPR-ral való összevetése túlmutatna egy cikk terjedelmi korlátjain, ezért jelen írás csak három területre fókuszál azon rossz gyakorlatok sorából, amelyek adott esetben bírságot jelenthet az adatkezelők számára – hangsúlyozta dr. Osztopáni Krisztián.

A hozzájárulás követelményei

A NAIH-nak számos határozata vizsgálta az adatkezelőknek a hozzájárulás beszerzésével összefüggő gyakorlatát.

Egy 2013. októberi határozatban a NAIH rámutatott arra, hogy az adatkezelő honlapján történő regisztráció során két külön adatkezelés, adatkezelési cél határolható el (regisztráció és a reklám hírlevelek küldése), amelyek esetében a NAIH álláspontja szerint külön-külön kell biztosítani a hozzájárulás lehetőségét.

Ezen adatkezelői gyakorlat a GDPR rendelkezéseivel is ellentétes, minthogy az uniós jogszabály értelmében: "a hozzájárulás nem tekinthető önkéntesnek, ha nem tesz lehetővé külön-külön hozzájárulást a különböző személyes adatkezelési műveletekhez."

Továbbá, a Hatóság egy 2016. decemberi határozatában jogellenesnek tekintette azt, amikor a hozzájárulás megadására szolgáló jelölőnégyzetben (checkbox) az adatkezelő előre elhelyezte a jelölést.

A NAIH álláspontja szerint ugyanis nem kifejezett a hozzájárulás abban az esetben, ha nem tevőleges, aktív magatartás szükséges az adatkezelés létrejöttéhez (például egy regisztrációhoz). Az ilyen gyakorlat a GDPR alapján sem elfogadható. "A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak" - fogalmaz meg az uniós jogszabály.

Adatkezelési tájékoztató – közérthetően

Az adatkezelési tájékoztatókat illetően szintén eléggé markáns hatósági gyakorlat áll az adatkezelők rendelkezésére – húzta alá az SBGK Ügyvédek és Szabadalmi Ügyvivők szakértője.

A NAIH egy 2015-ös ajánlásában bemutatta, hogy milyen tartalmi és formai követelményeknek kell megfelelnie egy adatkezelési tájékoztatónak, külön pontban részletezve a közérthetőség követelményét.

A NAIH 2016. januári határozatában többek között ennek sérelmét állapította meg, mivel a tájékoztató több szövegrésze és kifejezése egy átlag felhasználó számára nehezen vagy egyáltalán nem értelmezhető (például "hallgatólagos beleegyezésen alapuló megközelítés" kifejezés alapján egyáltalán nem lehet világos az érintettek számára, hogy ez milyen adatkezelést jelent az adatkezelő részéről).

Szintén a közérthetőség követelményének a megsértését jelenti az is, hogy az adatkezelő a tájékoztatóban szó szerint megismétli, vagy néhány szó elhagyásával idézi a magyar adatvédelmi törvény szövegét, minthogy ez nehézkessé teheti a tájékoztató megértését az átlag felhasználók számára.

A NAIH a közérthetőség követelményét a legújabb határozataiban is vizsgálta, így például egy 2018. januári határozatában úgy fogalmazott, hogy az adatkezelési tájékoztató "a megfogalmazása miatt absztrakt, elvont szöveg, amely az átlagos felhasználók számára nehezen érthető, nem áttekinthető."

A GDPR szintén elvárja az adatkezelőktől azt, hogy az adatkezelési tájékoztató "világosan és közérthetően megfogalmazott" dokumentum legyen. Ez a követelmény - figyelemmel egy 2011-es uniós véleményre, amely egyébként a NAIH ajánlásának az alapjául is szolgált - pedig az uniós jogértelmezés szerint is azt jelenti, hogy az adatkezelők egyszerű, zsargon használata nélküli, érthető szövegben nyújtsanak felvilágosítást az adatkezelésükről.

Amennyiben a tájékoztató a jogszabályi szöveg megismétlésére épül, akkor az biztosan nem teljesíti a világosság és közérthetőség követelményét – utalt rá dr. Osztopáni Krisztián.

Incidensek bejelentése és kivizsgálása

Az adatvédelmi incidensekkel összefüggő kötelezettségek nem feltétlenül jelentenek újdonságot az adatkezelőknek, hiszen a magyar adatvédelmi törvény 2015. októberi módosítása óta valamennyi adatkezelőnek belső nyilvántartást kellet vezetnie a bekövetkezett adatvédelmi incidensekről, feljegyezve benne annak időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket.

A GDPR ezt a kötelezettséget azzal bővíti ki, hogy az adatkezelőknek főszabály szerint be is kell jelenteniük az adatvédelmi incidenseket a Hatóság számára.

A bejelentés egyik kötelező tartalmi eleme pedig az, hogy az adatkezelő nyújtson felvilágosítást arról, hogy milyen incidens történt, az milyen kockázatokat, következményeket jelent az érintettek számára, illetve milyen intézkedéseket tett az adatkezelő az elhárítás érdekében.

A NAIH az incidens kivizsgálására vonatkozó kötelezettséget már jelenleg is elvárja az adatkezelőktől. A BKK adatvédelmi incidense miatt indult eljárást lezáró, 2018. januári határozatában a NAIH elrendelte azt is, hogy az adatkezelő "tegye meg a szükséges intézkedéseket annak érdekében, hogy az adatvédelmi incidens körülményeit, valószínűsíthető kockázatait feltárja."

Sőt, ezen túlmenően azt is elvárta az adatkezelőtől, hogy "az incidensek kezelésével kapcsolatos belső eljárásrendet" is alkosson meg.

Ez utóbbival kapcsolatban érdemes megjegyezni, hogy habár a GDPR az adatvédelmi incidensekkel összefüggésben nem fogalmaz meg ilyen konkrét elvárást az adatkezelőkkel szemben, azonban az uniós jogszabály más rendelkezéseiből (így például az adatkezelő feladatait meghatározó 24. cikkből vagy az elszámoltathatóság elvéből) levezethető ez az elvárás.

Megnyitás és középjáték

Az olyan rossz gyakorlatok megszüntetése, mint amelyekről ezen írásban szó volt, a látványos problémák kiküszöbölését jelenti.

Ugyanakkor ez nem helyettesítheti azt, hogy adatkezelő azonosítsa és kijavítsa azokat a további problémákat, amelyeket például egy adatvédelmi audit vagy más természetű belső vizsgálata felszínre hoz, illetve felkészüljön olyan új kötelezettségre, mint - bizonyos adatkezelések esetében - a kötelező adatvédelmi hatásvizsgálat elvégzése.

Éppen ezért fontos, hogy valamennyi adatkezelő azon túlmenően, hogy a szembeötlő hiányosságokat kezeli, emellett áttekintse azt is, hogy a tevékenységével összefüggő kockázatokra figyelemmel szükséges-e jogi segítséget is igénybe venni ahhoz, hogy az adatkezelései megfeleljenek a GDPR rendelkezéseinek – tanácsolta végezetül az SBGK Ügyvédek és Szabadalmi Ügyvivők szakértője.