A GDPR, azaz az Európai Unió általános adatvédelmi rendelete már tavaly május óta éles, mégis még mindig sok a bizonytalanság azzal kapcsolatban, hogy a gyakorlatban hogyan változtatja meg az életünket - már ha megváltoztatja egyáltalán. Ennek részben az az oka, hogy bár a rendelet minden tagországban közvetlenül alkalmazandó, az egyes országok jogszabályait mégis csak hozzá kell igazítani. Magyarországon ezért a feladatért egy GDPR-salálatörvény, a 2019. évi XXXIV. törvény felelős, amely minden érintett jogszabályban elvégzi a szükséges módosításokat. A salálatörvényt április 11-én hirdették ki, a módosítások április 26-án, azaz majdnem egy évvel a GDPR után léptek hatályba.

Teljesen tiszta vizet azonban még ez sem öntött a pohárba. Ezt jól mutatta a bolti panaszkönyvek esete: április közepén mi is megírtuk, hogy ezentúl újfajta panaszkönyvre lehet szükség, hogy a vásárlók ne láthassák az előttük beírók személyes adatait. Később az Innovációs és Technológiai Minisztérium közleménye annyiban finomított ezen, hogy nem kell teljesen új panaszkönyv, elég, ha az eddig használtakból eltávolítják és elzárva tárolják a bejegyzéseket, hogy azokhoz más fogyasztók ne férjenek hozzá. De hasonló esetnek tűnt még tavaly ősszel az a hír is, miszerint a GDPR hatására eltűnhetnek a nevek a bécsi kaputelefonokról.

Ezekről eszünkbe jutott még egy rakás további olyan hétköznapi szituáció, amelyek eddig maguktól értetődőnek tűntek, de ha komolyan vesszük a GDPR szellemiségét, lehet, hogy fel kell őket áldoznunk a szigorúbb adatvédelem oltárán. Összegyűjtöttünk néhány ilyen esetet, és megkerestük velük Kulcsár Zoltánt, a PPOS adatvédelmi jogászát, hogy segítsen tisztázni, milyen eddig mindennapos gyakorlatoknál rezeghet ezentúl a léc (vagy miért nem). Nézzük az egyes szituációkat, illetve a szakértő válaszát:

Évek óta azt mondjuk az ügyfeleinknek, hogy nem jó az a gyakorlat, hogy a vásárlók elkezdik böngészni a többi vásárló ügyes-bajos bejegyzéseit, névvel és egyéb adatokkal. Meg kell oldani, hogy ne férjenek hozzá mások a bejegyzésekhez, amennyiben a vásárlók könyvébe bejegyzés kerül, azt haladéktalanul el kell távolítani és elzártan megőrizni, illetve a hatóság felszólítása esetén rendelkezésére bocsátani.

Átesünk a ló másik oldalára. Természetesen van az a helyzet, amikor valaki nem szeretné feltüntetni a nevét a kaputelefonon (például védett tanú vagy az erőszakos feleség elől a gyerekével bujkáló apuka), de ezeket kellene külön kezelni, és nem kell leszedni az összes kaputelefon-címkét.

Nemcsak politikai, de bármilyen aláírásgyűjtésnél problémás, ha más is látja a többi résztvevő adatait. Gondoljunk csak bele, könnyen kideríthetem, melyik szomszédom ajánlotta az adott párt jelöltjét. Nekem nagy kedvencem, amikor egy 200 fős rendezvénynél (mivel „ennyi hoszteszt nem tudunk biztosítani”) körbeadják a jelenléti ívet, hogy névvel, elérhetőségi adatokkal regisztráljanak – miközben ma már mindenkinél van egy kézi “szkenner”.

Önmagában a papíros gyűjtés teljesen rendben van, ha az egyéb feltételek is teljesülnek.

Sőt, akkor vegyük ide a nyilvános felelést is. Ha mindezeket alaposan megvizsgálnánk, bizony arra jutnánk, hogy nagy a baj. Azt az olvasóra lehet bízni, hogy az adatkezelési gyakorlattal nagy a probléma vagy a GDPR-ral.

Ezek kapcsán pont mostanában adott közzé egy állásfoglalást [pdf] a NAIH, és jogszerűnek találja, amennyiben egy érdekmérlegelési teszttel az iskola bizonyítja, hogy szükséges és az arányos adatkezelésről van szó. Nagy tétben mernék fogadni arra, hogy egy iskola sem készített erre megfelelő tesztet, így elmondhatjuk, hogy a teljes gyakorlat jogellenes.

Ez is problémás. Ezt a célt szolgálja a név nélküli “Foglalt” tábla, a kocsmáros pedig nyilvántartja maga, és egészen a nap végéig kezeli az adatot.

És a címet is. A mentőben pedig még azt is megtudhatjuk, mi a baja az illetőnek. Elavult technika, nem állná ki a GDPR próbáját. Az eset nekem analóg azzal, amikor köremailt küldünk minden ügyfélnek, és véletlenül nem a BCC (titkos másolat), hanem a címzett mezőbe írjuk be az összes emailcímet. Ezért már több esetben bírságolt a NAIH.

Határeset. Ha egy gyerekmegőrzőről van szó, akkor kérjék el a telefonszámot az ilyen esetekre. Ha a boltban csak úgy elkallódik a gyerek, akkor indokolt és jogszerű lesz a bemondás – jobb eszköz híján.

Ez belefér.

Ez is belefér, így könnyebb a kapcsolatfelvétel egy olyan munkakörben, ahol a vendég és az eladó közötti kommunikáció nagyon fontos. Fontos lehet az azonosíthatóság, ha esetleg késve érkezik vagy nem érkezik ki az asztalhoz a későbbre ígért menü. De jó megoldás lehet az a városi legenda is, mely szerint a gyorsétteremben van néhány fiú és lány névtábla, és ha megjön az új kollegina, akkor ő lesz az új Andi.

Problémás. Ehhez képest még nagyobb baj, amikor a műsorban a gyanútlan Ágit élő adásban be is kapcsolják, hogy átadják az üzenetet.

Kiváltható sorszámmal, indokolatlan és ebből eredően jogellenes a név szerinti szólítás.

Hogy mindebből mit fog valóban szankcionálni az adatvédelem felett őrködő Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), azt leginkább a következő időszak gyakorlata fogja megmutatni.