Alig pár hét maradt a felkészülésre: május 25-­én hatályba lép az Európai Unió adatvédelmi rendelete, a GDPR, amely minden uniós polgárra, tagállamra és EU-­ban tevékenykedő cégre kötelező hatályú. Hogyan érinti ez a magyar médiapiacot, és a hazai törvényalkotó felkészült­e a változásra? Szakértőnk, Sarkady Ildikó elemzése.

Rögtön az elején fontos leszögezni, hogy a GDPR nem előzmények nélküli. Magyarországon a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról már 1992-ben törvény született. Az 1992-es személyes adatvédelmi törvény alapvető elveit és rendelkezéseit továbbfejlesztve, az uniós adatvédelmi jogforrások rendelkezéseit is figyelembe véve született meg az információs önrendelkezési jogról és az információszabadságról szóló hazai törvény 2011-ben (Infotv.).

Előre kell bocsátani tehát, hogy az Infotv. jelenleg is kellően és az uniós tagállamok között is megfelelő szigorral szabályozza a természetes személyek adatainak kezelését, és védi a magánszemélyek adatait.

Az EU-ban 2012-ben az online technológiai váltás kihívásait kezelni képes, a személyes adatok magasabb szintű védelmét célzó jogalkotási folyamat kezdődött, aminek eredményeként a Tanács és az Európai Parlament 2016-ban több adatvédelmi jogalkotási aktus elfogadásáról döntött. Ezek közül a médiapiac szereplői számára alapvetően az általános adatvédelmi rendeletnek (General Data Protection Regulation, GDPR) van jelentősége.

 

A GDPR jelentősége azonban nem csak a jelenlegi húszmillió forintos bírságnál háromszor nagyobb büntetés kiszabási lehetőségében rejlik, sokkal inkább a kiadókkal, médiaszolgáltatókkal, továbbá a terjesztőkkel, reklám- és médiaügynökségekkel, illetőleg a személyes adatokat kezelő bármilyen médiapiaci szereplővel kapcsolatba kerülő magánszemélyek személyes adatainak megerősített védelmével függ össze.

A GDPR rendeleti szinten szigorúbb és részletesebb rendelkezéseket ír elő a személyes adatok védelme érdekében minden uniós tagállam számára.

 

A magyar jogalkotó a GDPR alkalmazhatóságát és végrehajtását, illetőleg a tagállami hatáskörben maradt adatvédelmi szabályok kidolgozását egyetlen jogi aktus keretében, a hatályos Infotv. módosításával kívánja megoldani. A hazai adatvédelmi jogforrások tehát a jövőben is alapvetően az Infotv.-hez igazodnak majd.

A módosítást célzó törvényjavaslat még 2017 októberében megszületett, a kormány azonban nem tárgyalta, az Országgyűlés elé nem került. S az eddig megjelent információk szerint a javaslat a választások előtt már nem kerül a kormány asztalára. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ennél fogva – törvényi felhatalmazás hiányában – jelenleg nem jogosult a május 25-ét követő adatvédelmi incidensek esetén az eljárások lefolytatására és a jelentősen megemelkedett bírságok kiszabására.

Az már most látható, hogy nincs átmenet, „hozzászoktatási idő” a korábbi bírságolási gyakorlat és a GDPR jóval szigorúbb szankciórendszere között (és ki ne kezelne legalább foglalkoztatási adatokat?!). A hazai aktualizált adatvédelmi jogszabályt ugyanis nem pótolják a NAIH munkatársai és más szakemberek által tartott konferenciák, képzések sem. Az új adatvédelmi rendelet továbbá a szankciók alkalmazásának azt a fokozatossági elvét sem írja elő, amivel a hazai média – és hírközlési piac – szereplői a 2011-től hatályos médiaszabályozás médiahatósági alkalmazása során találkoztak.

Pedig a GDPR alkalmazása nem egyszerűen csak jogi kérdés, hanem rendkívül alapos informatikai és szervezési felkészülést is igényel az adatkezelő médiapiaci szereplőktől, különösen az előfizetői adatokkal rendelkező lap- és műsorterjesztőktől. Mindenekelőtt meg kell vizsgálni, hogy a jelenleg alkalmazott informatikai rendszerek, a programok alkalmasak-e a GDPR szerinti működésre.

Azt le kell szögezni, hogy a személyes adatok fogalmának értelmezése minden tekintetben az érintett személy védelmét szolgálja.

Ennél fogva az érintettre vonatkozó bármilyen információ, amelyből személyére, illetőleg gazdasági, kulturális vagy szociális azonosságára, körülményeire lehet következtetni, csak önkéntes, konkrét és meghatározott tájékoztatáson alapuló, egyértelmű hozzájárulásával kezelhető.

A PR-, marketingcélból nyilvántartott szenzitív személyes adatok (mint például a családi állapot, a testsúly, a szemszín) pedig még ezen túlmenően is különleges védelmet élveznek. Az ilyen személyes adatok kezelése – az előzőeken túl – az érintett írásbeli hozzájárulását igényli.

 

A beleegyezés egyik esetben sem valósulhat meg hallgatás által, sőt kétség esetén az adatkezelőnek kell bizonyítania a hozzájárulás meglétét. Az érintett kimutatható, ezáltal igazolható beleegyezése ennél fogva minden személyes adatának kezelésénél javasolt. A beazonosíthatóság kérdéskörét pedig nem lehet szűken értelmezni: elég, ha néhány ismerős, kolléga az információk alapján „felismeri” az érintett személyt.

 

Újdonság az internethasználattal kapcsolatban az „elfeledtetéshez való jog” (right to be forgotten), amely az adatok teljes, visszaállíthatatlan és végleges törlését jelenti az internet egészére vonatkozólag, továbbá az „adathordozhatósághoz való jog” deklarálása.

Az utóbbi alapján az érintett igényelheti saját személyes adatainak rendelkezésre bocsátását is annak érdekében, hogy azokat más adatkezelő is felhasználhassa. Az adatkezelők és -feldolgozók számára új rendelkezés az uniós elektronikus hírközlés területein már alkalmazott incidensbejelentési és -dokumentálási kötelezettség, amelynek alapján a súlyos jogsértő eseteket a lehető leghamarabb be kell jelenteni a nemzeti felügyelő hatóságnál – várhatóan a NAIH-nál –, az eseteket rögzíteni szükséges, és a kockázat mértékétől függően az érintett adatalanyt is haladéktalanul értesíteni kell.

A szabályozás minden részletére ez a rövid összefoglaló nem térhetett ki, ennyiből is megállapítható azonban, hogy az 1992 óta adatkezeléshez szokott médiapiac számára egy alapos program-felülvizsgálat, jogértelmezés és jogidokumentáció-aktualizálás, valamint megfelelő, felelősi pozíciókat (adatvédelmi felelős) és határidőket, incidenseknél pedig az elhárítást és kárenyhítést is tartalmazó szabályzatok lefektetése szükséges.

Továbbá a szükséges szervezési intézkedések megtétele esetén a GDPR nem hoz kardinális változásokat. Legfeljebb egy-egy megtévedt adatkezelő számára eredményez jelentős bírságot – az Infotv. módosításának hatályba lépése után.

Sarkady Ildikó dr. PhD
  • Több egyetem állandó, illetőleg meghívott média- és reklámjogi oktatója. Mintegy félszáz publikált tanulmánya után 2005 decemberében megjelent a Médiajogi írások c. könyve.
  • 1999-2005 között az Önszabályozó Reklám Testület választmányi tagja,
  • 2000-2010-ig a Magyar Reklámszövetség elnökségi tagja, alapítója és első elnöke az MRSZ Jogi Bizottságának, valamint jelenleg is tagja a Szerzői Jogi Szakértői Testület elnökségének.
  • 2007-ben a Magyar Köztársasági Érdemrend Lovagkeresztje kitüntetésben részesült.
Nézze meg Sarkady Ildikó dr. PhD teljes profilját a Ki Kicsoda? oldalunkon.