70. szám, 2018. június

2018. május 25. Az elmúlt két évben számtalan alkalommal írtam le, mondtam el, vetítettem ki ezt a dátumot, azt a napot, amelytől a GDPR-t, azaz az EU Általános Adatvédelmi Rendeletét alkalmazni kell. Két év sok, lesz mindenre idő, gondoltam 2016-ban. Két év kevés, nem jutott mindenre idő, gondolom most. Sokan, sokfélét mondtak a GDPR-ról: gigabírságok, lehetetlen kihívások a spektrum egyik végén, új lehetőségek, rugalmasabb szabályok a másikon. A GDPR sok szempontból az adatvédelem Rorschach-tesztje: a „páciens” sok mindent bele tud magyarázni, ami adott esetben benne sincs, vagy éppen figyelmen kívül hagyhatja, ami éppen benne van. A „páciensek” többsége már felnőttkorban van, hozza magával azokat a tapasztalatokat, komplexusokat, védekezési mechanizmusokat, amelyeket elmúlt húsz-huszonöt évben megszerzett, illetve kialakított. Hiszen az adatvédelem vagyis az információs önrendelkezési jog mintegy negyed évszázada van jelen a magyar jogrendben.

Az elmúlt két évben munkatársaimmal számos GDPR megfelelési projektben vettünk részt. Visszatekintve ezekre, sokszor inkább terápiát, adatvédelmi önismereti üléseket tartottunk ügyfeleinkkel. A „páciensek” között volt teljes tagadásban lévő („Rám ez nem is vonatkozik!”), volt halogató („Várjuk ki, mire minden részlet teljes egyértelmű lesz!”), volt felelősséget áthárító („Ha a versenytársaim sem veszik komolyan, akkor én miért vegyem annak?”), volt bűnbakkereső („Ez az egész csak egy újabb bőr lehúzása a vállalkozásokról!”), volt poszt­traumás sokktól szenvedő („Állandóan kitalálnak valamit, aminek meg kell felelni, most megint van valami teljesen felesleges!”), volt paranoiás („Az állam ezt fogja használni arra, hogy ellehetetlenítsen!”), de volt olyan is, aki a tagállamok felelősségére és „erkölcsi” alapjára kérdezett rá: „Ha az állam láthatóan maga sem foglalkozik azzal, hogy összefésülje a saját szabályozását a GDPR-ral, akkor hogy várhatja el tőlünk, hogy mindenben megfeleljünk az ellentmondó szabályoknak?”

Hazudnék, ha azt mondanám, hogy soha nem bizonytalanodtunk el. Ilyenkor sokat segítettek a beszélgetések a kollégákkal, akik nemcsak Magyarországon, de szerte Európában is hasonló helyzetben voltak. Hogy miből fakadtak ezek a bizonytalanságok? A „páciensek” komplexusait, magukkal hozott traumáit már említettem. Az elmúlt huszonöt évben volt bőven lehetőség ezek kialakulására, hiszen az adatvédelem jogszabályi szabályozása az ezredforduló utánra igencsak idejétmúlt lett. Magyarországon némi frissítést hozott ugyan az Infotv. 2012-es hatályba lépése, de már ekkor is látszott, hogy az alapokat érintő reformra van szükség. Elég csak a magyar jogalkotó hozzájárulás-fixációjára gondolni: személyes adatokat kezelni sokáig csak az érintett hozzájárulása vagy „kötelező adatkezelés” alapján lehetett. A jogos érdek 2012-ig ismeretlen volt, és ha csak a jogalkotón múlt volna, utána is csak másodlagosan, kisegítő jelleggel lehetett volna alkalmazni. Ami a kötelező adatkezelést illeti, ez sok sebből vérzett. Először is ezt a jogalkotó tulajdonképpen céljával ellentétesen használta, hiszen az Infotv. 5. § (1) bekezdés b) pontja azt tartalmazza, hogy „[személyes adat akkor kezelhető, ha] törvény vagy önkormányzati rendelet […] közérdeken alapuló célból elrendeli (a továbbiakban: kötelező adatkezelés)”. Ugyanakkor a magánszektorban a „közérdek” nehezen értelmezhető fogalom, de jogi érvekkel még megmagyarázható. Az azonban már nehezebb kérdés, hogy a magánszektorra vonatkozó ágazati jogszabályok többsége, amikor adatkezelési jogalapokról ír, akkor feltételes módot használ („kezelheti”, „feldolgozhatja”, „tárolhatja” stb.) Ez kötelező elrendelés lenne? Kétlem.

Az utolsó kétségtelenül delikát kérdés, ugyanis a két éves felkészülési idő nem csak az adatkezelőkre vonatkozott, hiszen a tagállamoknak, így a Magyarországnak is ugyanennyi ideje lett volna arra, hogy feloldja az ágazati adatkezelési jogszabályok szigetszerű megközelítését, ellentmondásait és idejétmúltságát. Fel kellett volna ismernie, hogy a GDPR – minden hibájával együtt – jó alap egy rugalmas, a piaci igényekhez sokkal jobban alkalmazkodó, ugyanakkor az érintettek érdekeit, jogait is figyelembe vevő szabályozás megteremtésére. Sajnos úgy tűnik, erre még várnunk kell, ugyanis a jelen kézirat lezárásakor még nemhogy erről, de még az Infotv.-t a GDPR-ral legalább formailag „összefésülő” módosító törvényről sem lehet hivatalosan többet tudni, minthogy a jogszabályelőkészítés folyamatban van. Persze lehet mondani, hogy ez nem gond, hiszen a GDPR magasabb rendű jogszabály, ezért felül fogja írni a vele ellentétes tagállami szabályozást és ez majd a joggyakorlat során kikristályosodik. Ugyanakkor a kérdés adott, hogy az az állam, amely magával szemben is igénytelen, hogyan várhatja el a megfelelést a vállalkozásaitól? A bizonytalan szabályozási környezet nem éppen a legjobb hívószó a vállalkozások számára. Néhány EU-s tagállam már felismerte az ebből eredő versenyhátrányt és a saját adatvédelmi törvényeinek formális módosításán túlmenő, alapvető reformokat is meghoztak vagy ezek folyamatban vannak. Magyarországnak is ezt kéne tennie, máskülönben a saját adatintenzív gazdaságát hozza hátrányba más tagállamok vállalkozásaival szemben. Voltak és vannak biztató jelek, amelyek arra utalnak, hogy megtörtént ez a felismerés, de figyelemmel az ágazati adatkezelési szabályok számára és széttagoltságára, minél előbb érdemi előrelépést kéne tenni az ágazati adatkezelési jogszabályok deregulációjára, ezek összehangolására a GDPR-ral és egymással, biztosítva az egészséges környezetet a saját vállalkozásaink számára. Csak ebben az esetben lehet felhagyni a terápiával.

Halász Bálint
informatikai végzettséggel rendelkező ügyvéd,
a Bird & Bird nemzetközi ügyvédi iroda partnere