Négy évvel járunk azután, hogy hatályba léptek az általános adatvédelmi rendelkezések, és két év telt el a valós alkalmazás megkezdése óta is. Mostanra tehát már látszanak a főbb tapasztalatok, amelyekről szakértőket kérdeztünk.
Amikor elkezdődtek a komolyabb egyeztetések a GDPR, tehát az általános adatvédelmi szabályozás témájában, már kifejezetten égető problémának számított, hogy a mindent behálózó internet, a mindenki életében jelen lévő közösségi szolgáltatások, valamint az elektronikus ügyintézés, bankolás, webes vásárlás korában nincs egységes keretrendszere annak, hogyan kezelhetik a cégek a birtokukba kerülő személyes adatokat.
A GDPR célja, hogy az uniós polgárok személyes adatainak védelmét szolgálja. Szabályozza az adatgyűjtés módját, feldolgozását, tárolását, törlését, adattovábbítást és felhasználását. Minden cégnek, legyen az helyi vagy nemzetközi, meg kell felelnie az új szabályozásnak, aki Európában üzleti tevékenységet folytat vagy uniós polgárok személyes adatait kezeli. Két éve már a gyakorlatban is működik az új szabályozási elv, amelyet a Magyar Telekom két adatvédelmi tisztviselője, Pók László és Puskás Attila segített megvilágítani.
GDPR, mint versenyelőny
Nagyvállalati szinten már egyre inkább elmondható, hogy kialakult egy folyamatosan erősödő megfelelőségi kultúra, a felhasználói adatok védelme egyúttal versenyelőnyként is megjelenhet a cégeknél. A Telekom szakértői szerint az adatvédelmi megfelelés szükségessége nem újkeletű, ugyanakkor a GDPR-nak is köszönhetően jóval nagyobb figyelem övezi ezt a területet, mint korábban. A jogi szabályozás változása mellett a technológiai fejlődés miatt is szükségszerű, hogy a személyes adatok kezelése kapcsán minden érintett körültekintően és tudatosan járjon el. Fontos szem előtt tartani, hogy az adatvédelem egy olyan terület, ahol folyamatosan erőfeszítéseket kell tenni a megfelelés érdekében, mivel a jogi környezet mellett a technológiai adottságok is időről-időre változnak.
Az adatvédelmi megfelelés a jogi kötelezettségen túlmenően lehetőséget is jelent az adatkezelők számára. Az adatvédelmi szabályokhoz való folyamatos alkalmazkodás a folyamatok, rendszerek nyomon követését, felülvizsgálatát és szükség esetén, fejlesztését igényli, másrészt hozzájárul a bizalom erősítéséhez. Az adatkezelés alapelvei, mint például az átláthatóság vagy a célhoz kötöttség, illetve a GDPR-ban kifejezetten is megjelenő alapértelmezett és beépített adatvédelem („data protection by default” és „data protection by design”) elvei – a folyamatok természetes részévé válva – segítséget jelenthetnek az adatkezelőknek és adatfeldolgozóknak, hogy az egyre bonyolultabbá váló technológiai környezetben is adatvédelmi szempontból megfelelő, ugyanakkor hatékony és magas színvonalú szolgáltatásokat, illetve termékeket kínáljanak az érintettek számára.
Biztos alapokra építkezve
Bár a GDPR számos fontos újdonságot hozott, illetve a nemzeti adatvédelmi hatóságok által kiszabható nagy összegű bírságoknak köszönhetően a személyes adatok védelmének a kérdését előtérbe helyezte, ugyanakkor Pók László és Puskás Attila szerint a vállalatnál már nem „légüres térbe” érkezett. A GDPR-t megelőzően is számos adatvédelmi és adatbiztonsági kötelezettséggel kellett számolniuk az adatkezelőknek, különösen egy olyan szabályozott szektorban, mint az elektronikus hírközlési szektor. Éppen ezért a GDPR alkalmazására történő felkészülés minden személyes adatokat kezelő szervezet részéről komoly erőfeszítéseket követelt, valamint a felkészültségi szint fenntartása és a belső folyamatoknak az alakuló gyakorlathoz történő folyamatos alakítása folyamatos erőfeszítést igényelt, ugyanakkor számos adatkezelőnél, így a Magyar Telekomnál is megfelelő kiindulási alapot jelentettek a korábbi adatvédelmi szabályok alapján kialakított keretek.
Természetesen a GDPR alkalmazására való felkészülés során számos belső folyamatot és eljárást kellett felülvizsgálni, módosítani, de ez mindig lehetőséget is rejt magában, hatékonyabbá, a megváltozott körülményekhez jobban alkalmazhatóvá, időtállóbbá teszi a működést.
Teljes átláthatóság
Az Európai Unió jelentése szerint a polgárok egyre nagyobb hányada van tisztában a jogaival, de ehhez a szolgáltatók és üzleti szereplők folyamatos tájékoztató szerepére is szükség van. Pók László és Puskás Attila kiemelte, hogy a Magyar Telekom átfogó tájékoztatást nyújt az ügyfelei részére az adataik kezeléséről, az értintettek által gyakorolható jogokról. A GDPR részletesen meghatározza a tájékoztatás minimális tartalmi elemeit, illetve iránymutatást ad a tájékoztatás módjával kapcsolatban is. Ezen túlmenően az egyéb alkalmazandó jogszabályok, így különösen a hírközlési vagy fogyasztóvédelmi szabályok is meghatároznak olyan elvárásokat, amelyek az érintettek megfelelő tájékoztatását célozzák.
A szabályozás persze nem működne felügyeleti szervek nélkül. Az általános adatvédelmi hatósági feladatokat Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) látja el, az elektronikus hírközlési szektor hatósági felügyeletéért pedig a Nemzeti Média és Hírközlési Hatóság (NMHH) felel. Az elektronikus hírközlésről szóló törvény külön ki is tér a Nemzeti Média és Hírközlési Hatóság és a Nemzeti Adatvédelmi és Információszabadság Hatóság együttműködésére.
A NAIH, mint adatvédelmi felügyeleti hatóság a GDPR és az információs önrendelkezési jogról és az információszabadságról szóló törvény (2011. évi CXII. törvény; Infotv.) által biztosított jogköröket gyakorolja és az Infotv. szerinti eljárásokat folytathatja le. A NAIH mind kérelemre, például az adatkezeléssel érintett személy panasza alapján, mind pedig hivatalból eljárhat. A Hatóság széles körű jogosítványokkal rendelkezik az adatkezelésekkel kapcsolatos esetleges jogsértések vizsgálatára és az adatkezelők, illetve adatfeldolgozók kötelesek a Hatóság számára a szükséges tájékoztatást megadni. Természetesen bármilyen olyan esetben, amikor a Magyar Telekomhoz a Hatóságtól megkeresés érkezik, akkor a Társaság együttműködik a Hatósággal az eset teljes körű és megnyugtató tisztázása érdekében.
Nincs egyedül a GDPR
A GDPR átfogó szabályozást ad a személyes adatok kezelésére vonatkozóan. A GDPR mellett azonban még számos más jogszabály határoz meg az adatkezeléssel kapcsolatos szabályokat, így a hírközlési szektorban például – az európai hírközlési adatvédelmi irányelv átültetése nyomán – az elektronikus hírközlésről szóló törvény határoz meg további speciális szabályokat. Az egyik komoly szabályozási kihívás éppen az európai hírközlési adatvédelmi irányelv uniós szinten folyamatban lévő felülvizsgálata, amely a GDPR-hoz hasonlóan rendeleti szintre emelné és kiterjesztené a szabályozást, illetve a megváltozott jogszabályi környezethez igazítaná, amelyre nagy szükség is van, hiszen az irányelv legutóbb 2009-ben esett át jelentősebb módosításon.