A DIMSZ jogi workshopjából készült második írás: amit az adatvédelmi szabályozás változásairól tudni érdemes.
Dr. Freidler Gábor ügyvéd az Infotv. új jogalapjairól és azok alkalmazásáról tartott előadást. Álláspontja szerint az adatvédelmi törvény közjogi szemlélettel közelít magánjogi jogviszonyokhoz: mintha az állammal szemben kiszolgáltatott, megvédendő egyén képe lebegne előtte a magánszférában is, háttérbe szorítva a méltánylandó üzleti érdekeket. Ami a gyakorlati kérdéseket illeti: az adatkezelési hozzájárulást elvben nem kell írásba foglalni, de mivel minden esetben az adatkezelőn van a bizonyítási kényszer, ezért nem érdemes eltekinteni az írásbeliségtől. 16 éven aluli fiatalkorúak esetében mindig szükséges a törvényes képviselő beleegyezése is – ma már nem él az a régi gyakorlat, hogy jelentéktelen súlyú adatkezelés esetében önállóan is eljárhatott a fiatalkorú. A magyar hatósági gyakorlat hasonlóan szigorú abban a kérdésben is, hogy jogos érdek alapján mikor történhet beleegyezés nélkül az adatkezelés: ha az adatok beszerzése aránytalanul nehéz vagy lehetetlen. A lehetetlenségnél ráadásul csak tényleges, fizikai akadályoztatást fogad el a jogalkalmazó: így például nem lehet azzal érvelni, hogy az adóstól képtelenség beleegyezést kérni adatai átadására a követeléskezelőnek. Ezek a korlátozások feltehetően ellenesek az EU irányelvével, és az Európai Unió Bírósága per esetén kimondhatná a vonatkozó passzus közvetlen érvényességét, de a mindennapi gyakorlatra az ügyvéd azt tanácsolja, inkább hagyjuk az érintettre a vét igazát, kérjünk elnézést, kártalanítsunk és féljünk a hatóságtól, hiszen nem csupán magas büntetési tételekkel, de ma már komoly technikai-szakmai felkészültséggel, hatékonyan is dolgoznak. Így például hiába próbálunk a bejelentést követően „takarítani” a rendszerekben, náluk már meglesznek a lementett adataink, és nem jó pont a bírság kiszámításánál a megtévesztési kísérlet.
Dr. Hatházi Vera az adatvédelem aktuális kérdéseiről tájékoztatott. Az ügyfélkapcsolati célú adatkezelést önmagában nem szükséges bejelenteni, viszont a többes célú adatkezelésekhez (pl. nyereményjáték és az abból gyűjtött címekre küldött eDM) az egyes adatkezelési célokat külön is be kell jelenteni. A cél nélküli („egyszer majd jó lesz valamire”) adatgyűjtés nem engedélyezett. Leiratkozáshoz többféle lehetőség is biztosítható, de a postai út kötelező. Info@, office@ címekre továbbra is beleegyezés nélkül küldhető eDM, de a címzett ezt is letilthatja. Ezentúl már megbízható további adatfeldolgozó is (pl. nem szükséges, hogy egy reklámügynökség maga kezelje a nyereményjáték címlistáját, kiadhatja alvállalkozónak). Az adatvédelem mellett ügyelni kell az adatbiztonságra is: ha valaki személyes adatai a mi adatbázisunkból szivárognak ki, az illető sérelemdíjat követelhet akkor is, ha ezzel nem érte bizonyítható kár. Az ügyvéd néhány gyakorlati kérdést is érintett: így például azt, hogy vásárolt céges adatbázisok esetén a minőség biztosítása érdekében érdemes hibaszázalékot kikötni a szerződésben, vagy hogy a közösségi médiában a meghíváson alapuló nyereményjátékok eleve aggályosak adatkezelési szempontból, míg a képfeltöltős játékok személyiségi jogi problémákat is felvetnek (pl. nem magáról tölt fel képet a játékos, vagy az sértő valakire nézve), mely esetekben a szervező tartalomszolgáltatói felelősséggel tartozik.
Dr. Domokos N. Márton, a CMS Cameron McKenna ügyvédje az EU-s adatvédelmi rendelettervezet aktuális helyzetét mutatta be. Előadása jórészt megegyezett a DIMSZ sajtóreggelijén előadottal, melyről itt számoltunk be.
Dr. Zárdai Zoltán ügyvéd az adatvédelmi bírság gyakorlati érvényesülését elemezte. Mindenképpen fontos változás, hogy a korábbi ombudsmani intés helyett most már a hatóság 100 ezer és 10 millió forint közötti bírságot szabhat ki jogsértések esetén. 2013-ban 36 ügyet zárt le a NAIH, melyek szinte mindegyikében szabtak ki bírságot. Csupán 7 esetben volt az összeg 1 millió forint feletti, jellemzően a 100 ezer-1 millió forintos sávban bírságoltak – ugyanakkor az idén eddig lezárt ügyek alapján az összegek emelkedő tendenciát mutatnak. A végkifejletnél pozitív elbírálás alá esik, ha az eljárás alá vont már az eljárás idején javítja a mulasztást (de csak ha ezt őszintén kommunikálva teszi), míg súlyosbító körülmény a hosszú távú jogsértés, az érintett fogyasztói kör szélessége, különösen a kiskorúak magas száma. Szintén a hatóság mérlegelési jogkörébe tartozik, hogy névvel hozza-e nyilvánosságra a jogsértésről szóló határozatot, vagy anonimizálja az elkövetőt. Fontos szempont, hogy a szabályzatok megléte önmagában nem elegendő, azokat be is kell tartatni.
Keszey Gábor (NAIH) és Hivatal Péter (DIMSZ) beszélgetése szintén a bírság kérdését járta körül. A hivatal képviselője szerint a bírság célja elsősorban a figyelemfelkeltés, a vállalkozások által tanúsítható legjobb magatartás a proaktivitás. A leggyakoribb hiba a tájékoztatás hiánya vagy szűkössége, illetve a hozzájárulás formai megoldása. Az eljárások általában állampolgári bejelentésre indulnak, de a hatóság igyekszik figyelembe venni a cégek érdekeit, valamint követni a technikai haladást is. Arra is találni példát, amikor a hivatal nem ért egyet a jogi szabályozással, de ilyenkor is be kell tartatnia a törvényt – ugyanakkor a javaslattételi jogukkal élhetnek a törvényalkotó felé.