Az idén május 25-én életbe lépő General Data Protection Regulation (GDPR) irányelvei nem csupán egységessé teszik az Európai Unióban a személyes adatkezeléssel kapcsolatos szabályozásokat, hanem le is tisztázzák azokat. Egyértelművé válik például, hogy milyen jogai vannak az adatkezeléssel érintett személyeknek.

Meddig tarthat az adatkezelés?

Az első és legfontosabb joga az érintetteknek a tájékoztatáshoz való jog. Eszerint az adatkezelő köteles részletesen, de közérthetően tájékoztatni a személyes adatok tulajdonosait az adatkezelés lényeges szempontjairól. Így amellett, hogy ki, milyen adatokat mire és hogyan használ fel, tisztázni kell azt is, hogy erre milyen időintervallumban kerül sor.

Annak érdekében, hogy ezt az információátadást el tudja végezni az adatkezelő, előre döntenie kell a személyesadat-tárolásának idejéről. Ez nem történhet ad hoc módon; munkaviszony létrejötte esetén például be kell azonosítani a munkáltatót, a meghatározott személyes adatok őrzésére kötelező jogszabályokat, valamint azok alapján a munkáltató köteles meghatározni az adatkezelés időtartamát.

Hasonló a helyzet az olyan egységes HR-adatbázisoknál, melyekhez nem csak az EU-s országokból, hanem az EU-n kívülről is hozzáférhetnek egyes személyek. Ebben az esetben először felül kell vizsgálni, hogy szükségesség van-e ilyen adatbázisra, és ha a szervezete annak fenntartása mellett dönt, adattartalmát, továbbá a hozzáférést és a tárolás időtartamát is át kell alakítani a GDPR szabályainak megfelelően.

Pár percig és évekig

A fentiekből adódóan a GPDR nem részletezi a különböző szolgáltatást nyújtó adatkezelők adatmegőrzési idejét. Lássunk egy példát: milyen feltételek vonatkoznak például a telekommunikációs szolgáltatások (pl. telefon) számlázásra és a díjak beszedésére. Amint azt a TASZ ismerteti, a hívások létrehozása céljából kezelt személyes adatokat a szolgáltatás teljesítése után törölni kell, de számos olyan kivétel létezik, ami kitolja számos adat tárolási idejét.

A szerződés megszűnéséig kezelhetők például az előfizető elérhetőségei (név, lakóhely) és születési adatai (leánykori név, születési hely, idő). Egy éves elévülési határidővel lehet megtartani az olyan adatokat, mint például az előfizetői állomás száma vagy egyéb azonosítója, az előfizető címe és az állomás típusa, az elszámolási időszakban elszámolható összes egység száma és így tovább. Ide tartozik például a díjfizetéssel és -tartozással összefüggő adatok kezelése is.

Nem érnek véget az adatkezelési feladatok a szerződés megszűnését követően sem. A személyes adatok egy részét továbbra is kötelező tárolni. Ennek elsősorban nemzet- és közbiztonsági okai vannak, illetve ez segíti az elektronikus hírközlési rendszer jogosulatlan vagy jogsértő felhasználásának üldözését is. A szerződés megszűnését követően három évig köteles tárolni ezeket az információkat a szolgáltató.

Meddig terjed az adatkezelő felelőssége?

Szintén érdekes kérdés, hogy milyen határok között felel a rábízott személyes adatokért az adatkezelő. A regulációnak való megfelelés során ugyanis rendelkezni kell arról, hogy milyen adatok – és milyen feltételek teljesülése mellett – adhatók át harmadik félnek.

A GDPR emellett előírja, hogy a rendeletet sértő adatkezelés miatt okozott kárt az adatkezelő köteles megtéríteni. Kivéve, ha bizonyítja, hogy a kár bekövetkeztéért semmilyen felelősség nem terheli. Ha pedig egy adatkezelésben több adatkezelő, illetve adatfeldolgozó vesz részt, akkor mindegyikük egyetemleges felelősséggel tartozik a teljes kárért.

Ha azonban az érintett adatkezelőket a tagállami jognak megfelelően bevonják ugyanabba az eljárásba, a kártérítési kötelezettség megosztható közöttük az általuk okozott kár arányában, feltéve hogy így is biztosított marad, hogy az érintettet ért kárt teljes mértékben és ténylegesen megtérítik. Azok az adatkezelők vagy adatfeldolgozók, akik teljes kártérítést fizettek, ezt követően viszontkereseti eljárást indíthatnak az ugyanazon adatkezelésben részt vevő más adatkezelőkkel vagy adatfeldolgozókkal szemben.

Fontos tudni, hogy a fentiek mellett az adatvédelmi tisztviselő maga személyesen nem vonható felelősségre azért, ha a szervezet nem tesz mindenben eleget a GDPR-nek, mert ez nem az ő, hanem az adatkezelő szervezet felelőssége.

Nem sok kapaszkodót ad az állam

Abban a kellemetlen helyzetben vagyunk, hogy mivel az EU-s adatvédelmi törvény inkább egy tág keretrendszer, nem pedig minden egyes helyzetre pontos leírást adó szabályozás, ezért hatékony használatához tagállami szinten kell hozni törvényeket. Ebben már közel sem állunk olyan jól, mint kellene.

A jogalkotónak számos kérdésben új szabályokat kellene alkotnia annak ahhoz, hogy az adatkezelés új jogcímein (pl. szerződés teljesítése, jogos érdek) alapuló adatkezelések a gyakorlatban is működjenek, világított rá a Jogászvilág. A lap néhány kérdést is megfogalmazott. Ha például az adatkezelő "szerződés teljesítése" vagy "jogos érdek" alapján kezel adatot, és más adatkezelőtől adatot igényel, a másik adatkezelő megtagadhatja-e az adat átadását azon az alapon, hogy az adatátadás jogalapja "csak" szerződés teljesítése vagy jogos érdek? Hogyan igazolható harmadik személyek felé a jogos érdek fennállta? Köteles-e ezt a "jogos érdeket" harmadik személy elfogadni? Milyen felelőssége van a harmadik személynek?

Az ezekre a kérdésekre választ adó joszabályok zöme egyszerűen hiányzik a magyar jogrendből. És nem is látszik túl sok esély arra, hogy a következő bő három hónap alatt létrejöjjön. Pedig fontos lenne, hiszen azzal könnyítene azoknak a hazai vállalkozásoknak az adminisztratív terhein, melyeknek így szinte biztosan komoly kihívást jelent majd a GDPR-nak való megfelelés.