Nagy nora webAz előző számunkban megjelent cikk címében „május mumusaként” említettük a GRPR-t. De vajon valóban annyira félelmetes-e az EU Általános Adatvédelmi Rendelete? A Média-Kábel-Műhold kérdéseire Dr. Nagy Nóra, a Magyar Kábelkommunikációs Szövetség jogi képviselője válaszol.

Konkrétan mi kell tenniük a kábeltársaságoknak  mivel kezdjék és milyen szempontok alapján?

A hírközlési szolgáltatóknak, de minden más adatkezelőnek is azt javaslom, hogy kezdjen el rendet rakni a háza táján. Az MKM előző számában már szó volt az adatvagyon felmérésének szükségességéről. A kezelt adatok felmérése és leltárba foglalása keretén belül megvalósítható az a „nagytakarítás”, amelynek során társaságok az esetlegesen hibásan végzett adatkezeléseket megszüntethetik, és ami egyben a jövőre nézve is megkönnyíti a folyamatokat. Ez segít abban is, hogy az érintett személy (legyen akár előfizető vagy saját munkavállaló) arra vonatkozó igénye esetén könnyen teljesíthető legyen az adatai kezelésére vonatkozó információ adása.

Mindez a gyakorlatban azt jelenti, hogy minden kezelt adatot tételesen ellenőrizni kell, azaz meg kell vizsgálni, hogy milyen adatot, milyen jogalapon, milyen módon, milyen időtartamig kezel a szolgáltató. Az ellenőrzést nemcsak adatonként, hanem folyamatonként is el kell végezni. Ennek során kiszűrhetők nemcsak a duplikált, hanem a felesleges adatok is, amiket „csak úgy” – hátha-jó-lesz-még alapon – kezelnek, tárolnak. Az ellenőrzést a GDPR alapelvei szerint szükséges elvégezni, tehát a célhoz kötöttség mellett az adattakarékosság, a pontosság, a korlátozott tárolhatóság figyelembevétele is szükséges.

Azt hiszem, ezen szempontok némelyikét érdemes külön is megvizsgálni. Mi adhat például jogalapot az adatok rögzítésére, kezelésére?

Azt, hogy egy vállalkozás milyen alapon kezel személyes adatot, az Infotv. (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról) jelenleg és 2018 májusáig két körben határozta meg: vagy az érintett hozzájárulása szükséges, vagy törvény, illetve ennek felhatalmazása alapján kibocsátott jogszabály. A hírközlési szolgáltatók esetében az Eht., illetve a 4/2012.(I.24.) NMHH rendelete számos konkrét személyes adatra vonatkozóan teremti meg a jogalapot az adatkezelésre jelenleg is.

Feltételezhetjük, hogy az előfizetői szerződések tartalma ma mindenkinél megfelel az említett jogszabályi előírásoknak, hiszen ezek egyértelműen meghatározzák, hogy miket kell tartalmaznia egy előfizetői szerződésnek. Ezek tehát jogszerűen kezelhető adatok...

Egy ilyen aktualizálás az uniós rendelettől függetlenül is hasznos lehet. Da vajon van-e még valami, ami szintén kötelező elvárás?

A letisztított adatbázisokat ki kell egészíteni olyan, alapvetően informatikai megoldásokkal, hogy azok összhangban kezelhetőek legyenek az adatkezelési nyilvántartással...

Mit gondol, a kisebb vagy közepes kábeltársaságok el tudják-e látni házon belül, saját munkatársukkal ezt a tevékenységet?

Mindennapos dolog, hogy a könyvelést, az informatikai-rendszergazdai feladatokat külső vállalkozóra bízzák a kisebb cégek, hiszen ehhez komoly tanulmányok kellenek, de legalábbis megalapozott szakmai képzés, amit nem lehet háromnapos tanfolyamon elsajátítani ahhoz, hogy valaki felelősséggel végezhesse. Maga az adatvédelem is olyan szakmai tárgy, amit meg kell tanulni, amiben rutint kell szerezni. Az MKSZ megpróbál ebben segíteni, tervezünk egy szakmai útmutatót kiadni a tagjainknak, ami részletesen tartalmazza majd a GRPR-rel és az új adatkezelési elvekkel kapcsolatos ismereteket, tennivalókat.

Galvács László

(A teljes cikk a Média-Kábel-Műhold 2018. márciusi számában olvasható.)