Mi történt eddig és mi várható még?

A GDPR alkalmazásának kezdeti tapasztalatairól tartott előadást dr. Vass Norbert, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) szakértője egy szakmai konferencián. Mivel a téma a többek között a kábeltelevíziós szolgáltatók számára is rendkívül fontos, ezúttal részletesebben is idézünk az elhangzottakból.

Az EU Általános Adatvédelmi Rendeletében (General Data Protection Regulation – GDPR) foglaltakat 2018 május 25-től kell alkalmazni, mindenkinek, aki személyes adatokat kezel. A hírközlési szolgáltatók – köztük a kábeltársaságok – pedig, előfizetői táboruktól függően, jelentős mennyiségű ilyen adatot halmoznak fel. (A teendőikkel kapcsolatban részletes cikkek jelentek meg az MKM 2018. februári és márciusi számában). Azóta háromnegyed év, érdemes hát visszatekinteni, mi történt a piacon.

Hatósági tapasztalatok

A hírközlési szolgáltatóknál a telefonos ügyfélszolgálata értelemszerűen kérhet személyes adatokat, nevet, jelszót az ügyfél azonosításához. Ezen kötelezettsége többek között a GDPR megfelelő passzusaiból fakad, de természetesen a szükségesség, arányosság és adatminimalizálás keretein belül. Az elektronikus hírközlési előfizetői szerződések részletes szabályairól szóló NMHH rendelet alapján a telefonos ügyfélszolgálatra érkező előfizetői panaszról és hibajelentésről a szolgáltató köteles hangfelvételt készíteni, így önmagában ez nem ellentétes a GDPR-rel, feltéve, ha a jogszabályi cél megvalósul (vagyis panasz vagy hibajelentés történik, nem pedig érdeklődés vagy egyéb ügyintézés), és ennek során megfelelő a tájékoztatás. A NAIH eddigi gyakorlata alapján elutasította a kizárólag arra alapozott panaszokat, hogy a telefonos ügyfélszolgálat személyes adatokat kér az azonosításhoz, illetve hangfelvételt készít, hozzájárulási lehetőség nélkül, hiszen az jogszabályon alapul. Viszont a tájékoztatás ekkor is szükséges – és ezt általában a call center gépi hangja megteszi.

A Hatósághoz számos kérdés érkezett a KKV-któl, hogy alkalmazandó-e a rájuk a GDPR, ha csak kevés számú személyes adatot kezelnek, vagy alvállalkozóként csak céges ügyfelei vannak, és így kizárólag céges kapcsolattartó adatok formájában kezelnek személyes adatokat. A GDPR ezen esetekben is irányadó, a NAIH a honlapján is közzétett egy erről szóló állásfoglalást.

Jön még az ePrivacy Rendelet

Vass Norbert a hazai tapasztalatok mellett beszámolt arról is, hogy mi várható még uniós szinten. Az egyik legfontosabb az ePrivacy Rendelet, amelyet az Európai Unió eredetileg a GDPR alkalmazásának megkezdésével egyidejűleg kívánt hatályba léptetni, s amely az eddigi ePrivacy Irányelvet váltja fel. Mivel az új rendelet még tagállami egyeztetés alatt áll, így egy átmeneti időszakban a GDPR már közvetlenül hatályos és alkalmazandó, de az új ePrivacy Rendelet még nem. Ám a korábbi ePrivacy Irányelvet és az arra épülő tagállami szabályozást nem a GDPR-re tekintettel fogadták el, s emiatt a két rezsim párhuzamos létezése számos gyakorlati nehézséget jelentett. Több tagállam jelezte már az ePrivacy Rendelet tárgyalása során az Európai Unió Bizottságának, hogy hasznos lenne egy uniós szintű iránymutatás az átmeneti időszakra.

A NAIH gyakorlata alapján a magyar jogszabályokat azok megfelelő módosításáig – magasabb szintű jogszabály eltérő rendelkezése hiányában – a GDPR-rel összhangban alkalmazza és értelmezi, illetve a GDPR-rel ellentétes szabályokat eleve nem alkalmazza.

(A teljes cikk a Média-Kábel-Műhold 2019. márciusi számában olvasható.)