Több civil szervezet is arra panaszkodott, hogy korántsem egyértelmű, hogyan is kéne megfelelniük a sokat emlegetett GDPR-nak, azaz az Európai Unió új általános adatvédelmi rendeletének. A Greepeace értelmezésében például egy webshop üzletszerzésre hivatkozva továbbra is kezelheti ügyfelei adatait, anélkül, hogy ahhoz újbol hozzájárulnának, egy civil szervezet viszont nem teheti meg ezt. Ahogyan arra sincs lehetőségük a civileknek, hogy külön adatvédelmi szakértőt fogadjanak, mert horribilis árat kérnének a tanácsadásért. A TASZ álláspontja ezzel szemben az, hogy akik eddig betartották a magyar szabályokat, azoknak ezután sem kell aggódniuk.
“Bizonyára értesültél már a személyes adataid kezelését érintő Általános Adatvédelmi Rendeletről. Ennek értelmében csak akkor küldhetünk Neked továbbra is hírlevelet, ha a lenti linkre kattintva hozzájárulsz adataid kezeléséhez. Amennyiben az alábbiak elvégzésével nem nyilatkozol hozzájárulásodról, sajnos nem tudunk Neked több hírlevelet, információt küldeni.”
Az utóbbi időben rengeteg ehhez hasonló megkeresés landolhatott az e-mailfiókokban. Május 25-én lépett életbe ugyanis az Európai Unió új általános adatvédelmi rendelete, a General Data Protection Regulation, azaz a sokat emlegetett GDPR, amelynek az a legfőbb célja, hogy közös nevezőre hozza az uniós tagállamok adatvédelmi irányelveit, és több védelmet adjon a felhasználóknak az adataikat kezelő cégekkel szemben.
A GDPR életbe lépése mindenkit érint, aki valamilyen formában személyes adatokat gyűjt, tárol és kezel: a nagy multinacionális cégeket ugyanúgy, mint a magyar mikro-, kis- és középvállalkozásokat. Ez alól a non-profit szektor sem kivétel; sok civil szervezet például kiterjedt adatbázissal rendelkezik adományozóikról. Nem is beszélve az olyan szervezetekről, amelyek például gyerekekkel foglalkoznak vagy egészségügyi adatokat kezelnek.
És hasonlóan a kisebb magyar cégekhez, a civileknek is okozhat némi fejfájást a rettegett új adatvédelmi rendelet.
Maradjunk kapcsolatban!
A rendelet szerint minden személyes adatnak számít,
ami alapján egy ember azonosítható, ez lehet a név, telefonszám, lakcím és emailcím stb. Még erősebb védelmet élveznek az olyan érzékeny adatok, mint az etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, szexuális irányultságra vonatkozó adatok, illetve a genetikai, biometrikus és egészségügyi adatok.
A GDPR értelmében valamilyen jogalap szükséges ahhoz, hogy egy cég vagy civil szervezet megkaphassa és tárolhassa az állampolgárok személyes adatait. Ez történhet úgy, hogy kifejezetten hozzájárulást kér az adott szervezet. Erre jó példa a cikk elején idézett “maradjunk kapcsolatban! “ típusú e-mail. Nagy kérdés azonban, hányan válaszolnak ezekre az e-mailekre és adnak hozzájárulást, ahelyett, hogy automatikusan kitörölnék.
Ez olyan civil szervezeteknek lehet kiemelten fontos, amelyek rendszeresen gyűjtenek adományokat, toboroznak támogatókat, és bevételeik jelentős része ebből a forrásból származik. Egy kifejezetten adománygyűjtéssel foglalkozó alapítvány reális veszélynek tartja, hogy emiatt kevesebb potenciális támogatót érnek el. A kiküldött megerősítő e-mailekre eddig kifejezetten rossz arányban válaszoltak a címzettek, számoltak be a tapasztalatokról, de a GDPR körüli bizonytalanság miatt kérték, hogy ne írjuk le a szervezet nevét. Máshonnan azt hallottuk, hogy eddig a címzettek mindössze 10 százaléka járult hozzá adataik további felhasználásához.
Sok múlik az értelmezésen
Jogalap lehet még, ha mondjuk egy cégnek bizonyos szerződések teljesítéséhez szüksége van a másik fél adataira. Ugyanígy indokolt lehet az adatok tárolása, felhasználása az úgynevezett jogos érdekre való hivatkozás alapján.
Az Abcúg által megkérdezett civilek szerint egyáltalán nem egyértelmű, hogy az ő szempontjukból tekinthető-e szerződésnek, ha valaki korábban résztvett valamilyen adománygyűjtő akcióban, és akkor megadott adatokat, illetve hogy mi számít jogos érdeknek.
Dobos Balázs, a Greenpeace Magyarország online kommunikációs és adományszervezési menedzsere szerint például egy webshop az előbb említett jogos érdek alapján, “közvetlen üzletszerzés”-re hivatkozva akár külön hozzájárulás nélkül is megkeresheti ügyfeleit. Egy civil szervezetnél már korántsem biztos, hogy megállná helyét egy hasonló indoklás, magyarázta az ismert környezetvédő szervezet munkatársa.
A Greenpeacenél sem tartják elképzelhetetlennek, hogy némileg csökken az adományozók száma az új, szigorúbb szabályozás miatt. Ameddig nem tisztázódnak egyes homályos pontok, addig követőik egy részének nem küldenek adományozással kapcsolatos megkereséseket.
De már abból is látszik némi értelmezési anomália, hogy a hozzájárulást megerősítő e-mailek sem voltak egységesek; volt olyan civil szervezet, amelyik mindössze azt kérte, jelezzük, ha törölni kívánjuk adatainkat. “Bármikor meggondolhatja magát és kérheti adatainak törlését, szándékát kérjük, jelezze a megadott e-mailcímen. Amennyiben nem kéri adatai törlését, úgy azokat adatbázisunkban továbbra is az Ön által önkéntesen megadott módon őrizzük” – írták a szerkesztőségünknek megküldött levélben. Más szervezetek viszont több lépcsős megerősítést kértek az adatok további használatához. A neve elhallgatását kérő alapítványnál például úgy tudják, hogy kizárólag a második megoldás felel meg a szabályoknak.
A Greenpeace szakértője szerint ezeket az ellentmondásokat részben magyarázza, hogy a GDPR alapvetően a for-profit szférára lett kitalálva, ahol eleve van tudás és kapacitás a különböző belső folyamatok, adatkezelési rendszerek tervezésére, menedzselésére. Rendelkezésre áll adatkezelési protokol, írásban rögzítve van, hogyan történik az adatok törlése és annak nyilvántartása, ellenőrzése. A civileknél nem volt ilyen szintű formalizálás. Most azonban a GPPR miatt a civileknek ugyanazoknak a szabályoknak kell megfelelniük, mint a nagy cégeknek. “Az adminisztratív terhek a civileknél is biztosan megnövekednek a GDPR miatt”.
Hasonlóan nyilatkozott Péterfalvi Attila, GDPR magyarországi végrehajtásáért felelős Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke az Indexnek. „Ami lényeges eltérés, az az elszámoltathatóság elve. A GDPR azt mondja, hogy nemcsak meg kell felelni az adatkezelés szabályainak, hanem ezt bizonyítani is tudni kell. Ezért nem spórolható meg, hogy az adatkezelő megnézze a mai adatkezelését, hogy az GDPR-kompatibilis-e, illetve hol kell változtatnia rajta”.
Hogy kit mennyiben érintenek a változások, azon is múlik majd, hogy mennyi adatot gyűjt a szervezet. A Greeenpeace több mint tíz éve gyűjt adományokat, ennek megfelelően rengeteg személyes adat jött náluk össze, magyarázta Dobos Balázs. Nem jelent könnyebbséget, hogy a Greenpeace egy nagy nemzetközi szervezet helyi irodájaként működik. Sőt, mivel unión kívüli irodák is kezelhetik európai, akár magyar magánszemélyek adatait (pl. egy nemzetközi online petíció aláírásával), ezért még körültekintőbben kell eljárniuk. Ennek ellenére üdvözlik a GDPR céljait, fontosnak tartják a személyes adatok védelmét, tette hozzá.
Sok a kókler, kevés a szakértő
Ugyancsak értelmezés kérdése, mondta Dobos Balázs, hogy a civil szervezeteknek kötelező-e alkalmazniuk adatvédelmi felelőst vagy sem. Több jogásszal konzultáltak, és végül arra jutottak, hogy közhasznú szervezetként ennek eleget kell tenniük. Ez különösen a kisebb, néhány főt foglalkoztató szervezeteknél azonban komoly nehézséget okozhat, mert az előírások szerint adatvédelmi felelős nem lehet vezetőségi tag, és képesítéssel is kell rendelkeznie. Dobos Balázs részt vett egy kifejezetten GDPR-ról szóló tréningen, ami tanúsítványt is biztosított, azonban egy ilyen képzés piaci áron akár több százezer forintba is kerülhet. Értelemszerűen ezt sok kisebb civil szervezet nem tudná kifizetni. Szerinte az ingyenes, 1-2 órás képzések nagyon általánosak, és egy szervezet teljeskörű felkészítésére egyáltalán nem alkalmasak.
A háttérben nyilatkozó alapítványnál arról számoltak be, hogy munkatársaik több ingyenes képzésen is részt vettek, de ezeken egymásnak ellentmondó dolgokat hallottak a GDPR egyes elemeiről. Ezután egy adatvédelmi szakértőhöz fordultak, aki mindössze két kérdés alapján (mennyi adatot kezel a szervezet, hány adatbázisa van) meghatározta, mennyiért végezné el a szervezet teljes adatvédelmi auditációját.
“Alig félperces telefonbeszélgetés után egymillió forintról szóló árajánlatot mondott be. Nemhogy erre, de másra sincs ennyi pénzünk.”
Egy másik szervezettel összefogva megpróbáltak jogászt felfogadni, de vagy eleve nem vállalták a feladatot, vagy azzal utasították vissza a felkérést, hogy túl sok munkájuk van a GDPR miatt. Ehhez képest csak apró kellemetlenség, hogy a GDPR miatt külön ajtót kellett szereltetniük arra a szekrényre, ahol az irattartókat tárolják.
Hatalmas bírságra számíthatnak a szabályszegők
Ahogy cikkünkből is látszik, erősen megoszlanak a vélemények, hogy a GDPR életbe lépése valójában mekkora változást hoz az adatvédelem terén. Abban nagyjából egyetértés van a szakértők és az érintettek között, hogy akik eddig betartották az egyébként szigorúnak számító magyar szabályokat, azoknak könnyű lesz alkalmazni a GDPR előírásait. Sokak szerint a probléma inkább az, hogy az adatkezelők többsége a korábbi adatvédelmi szabályoknak sem felelt meg. Ezen az állásponton van a Társaság a Szabadságjogokért (TASZ) is. “Azok a civilek, akik eddig a személyes adatok jogszerű kezelésére odafigyeltek, feltehetőleg nem kell tartaniuk a GDPR-tól. Ugyanakkor mindenkinek érdemes lenne megvizsgálnia az új rendeletnek való megfelelést, a for-profit és a non-profit szférának egyaránt”, mondta megkeresésünkre Hegedűs Arno, a Magánszféra projekt jogi munkatársa.
A TASZ számára nem okozott különösebb fennakadást a GDPR-ra való átállás; támogatóik adatait eddig is önkéntes alapon és részletes tájékoztatáson alapuló hozzájárulás alapján kezelték, válaszolta kérdéseinkre Szabó Máté, a jogvédő szervezet szakmai igazgatója. Az új szabályoknak való megfelelés érdekében egyes adatkezelési tájékoztatóikat, szerződéseik adatkezelési rendelkezéseit kellett módosítaniuk vagy kiegészíteniük . Ebben sokat segítettek a TASZ-nél dolgozó jogászok és a pro bono tanácsadást nyújtó ügyvédek.
Több civil szervezet kereste meg a TASZ jogsegélyszolgálatát GDPR-ral kapcsolatos kérdésekkel. Legtöbbször pont a támogatói adatok és a hírlevelekre feliratkozók adatainak kezelése miatt kértek iránymutatást. Szabó Máté egy esetet külön kiemelt; egy eltereléssel foglalkozó civil szervezet a törvényes működését ellenőrző, illetve az ellátással kapcsolatban vele szerződésben álló állami szervektől kért volna útmutatást az átálláshoz, de nem kapott segítséget.
“Az ő helyzetük azért kiemelendő, mert rendkívül érzékeny adatokat kezelnek, ami fokozottabb védelmet igényelnek”
– tette hozzá a TASZ vezetője.
A szabályok betartását a Nemzeti Adatvédelmi és Információszabadság Hatóság ellenőrzi. A korábbi maximum 20 millió forintos bírság helyett a GDPR értelmében akár 20 millió eurós, átszámítva 6 milliárd forintos büntetés is kiszabható a szabályszegőkre. A rendelet szerint a bírság nagyságának megállapításakor többek között figyelembe kell venni, hogy milyen volt a jogsértés jellege, súlyossága, milyen adatokat érintett, felmerül-e szándékosság stb. A NAIH első körben nem fog bírságolni, csak figyelmeztetni.
Megosztás