DIMSZ Adatvédelmi kerekasztal Schremsről és a sütikről
Az adatvezérelt-marketing szövetség adatvédelmi kerekasztala nyolcvan percben, négy szakértő bevonásával járta körül a két aktuálisan legforróbb témát: a Schrems II ítélet hatását az EGT területén kívüli adattovábbításokra és a weboldalakon alkalmazott sütikkel kapcsolatos szabályozási kérdéseket.
Úgy tűnik, tisztul a szabályozás és annak számonkérési gyakorlata. Büntetések helyett egyelőre inkább egyeztetések és ajánlások segítik a tisztánlátást, és az elhangzottak alapján az elkötelezett piaci szereplők törekszenek a megfelelésre, amit helyi adatvédelmi hatóságok is igyekeznek a maguk eszközeivel támogatni.
A kerekasztal résztvevői voltak: dr. Domokos Márton (DIMSZ Adatvédelmi és Adatbiztonsági tagozat, CMS), dr. Kiss Ernő (NAIH Adatvédelmi főosztály, osztályvezető), dr. Baja Márk (jogi igazgató, Microsoft Magyarország), Varju János (Digitális Analitikai Kompetencia Központ vezető, OTP Bank).
Dr. Domokos Márton (DIMSZ Adatvédelmi és Adatbiztonsági tagozat, CMS) felvezető prezentációjában az EGT területén kívülre történő adattovábbítások esetében ismertette, hogy a kiválasztott célországoknál négy alapelv teljesülését kell dokumentáltan vizsgálni a megfelelés érdekében. Az EU Bizottság új általános adatvédelmi kikötéseket (Standard Contractual Clauses – SCC) fog kibocsátani, addig is, a szervezetnek ki kell egészíteni a jelenleg használatos SCC-ket.
A süti (cookie) szabályozás kapcsán dr. Domokos Márton a francia Adatvédelmi Hatóság ajánlásai és a NAIH állásfoglalásai alapján mutatta be a szabályozásnak való megfelelés legfontosabb aktualitásait. Kiemelte, hogy miközben az úgynevezett sütifalak (az adott tartalom elérése kizárólag a sütiszabályzat elfogadása esetén lehetséges) alkalmazása ugyan nincs kifejezetten kizárva, hozzátéve – és a NAIH képviselője által megerősítve -, hogy ezek – elsősorban a sütik használatához való hozzájárulás önkéntessége alapján – egyedi elbírálás alapját képezik a hatósági vizsgálat során. Hangsúlyozta továbbá, hogy a sütik esetében a hallgatás nem beleegyezés, valamint a hozzájárulás 6 havonként történő megerősítése is elvárás. Az előadás diái itt elérhetők.
Az EGT területén kívülre történő adattovábbításokról beszélve dr. Baja Márk, a Microsoft jogi igazgatója elmondta, hogy a cég – a törvényi előírások szigorú betartása mellett – további vállalásokat is tesz az adatvédelem területén. A harmadik országba történő adattovábbítások esetén a Microsoft az állami szektor vagy a vállalati ügyfelek adatai tekintetében vállalja, hogy ha jogi lehetősége van rá, jogorvoslattal él minden kormányzati adatkéréssel kapcsolatban. Ezt a saját vállalást ráadásul kiegészíti azzal, hogy amennyiben mégis kiadná az adatokat egy kormányzati kérés alapján, ezzel sértve a GDPR előírásait, akkor anyagi kompenzációt vállal.
A megrendelői oldal érintettségét tárgyalva Varju János, az OTP Digitális Analitikai Kompetencia Központjának vezetője elmondta, hogy a pénzügyi intézmények szabályozása eddig is szigorú volt, a szervezet számára nem idegen a szigorú kötöttségek mentén történő működés. Éppen ezért folyamatosan vizsgálják és finomhangolják az adatvédelmi érintettségű felületeiket, tartalmaikat, folyamataikat. Illetve agilis működés keretében kialakították a jogi osztály, az IT és a marketing együttműködését, hiszen sok esetben egy-egy kérdés nem értelmezhető a másik terület ismerete vagy bevonása nélkül. Ennek köszönhetően a cookie tájékoztatásban érdemi változtatás nem volt szükséges. Inkább kérdés számukra, hogy várható-e a szolgáltatók részéről a sütik megszüntetése és helyettük más technikai megoldások bevezetése.
A magyar adatvédelmi hatóság tapasztalatait dr. Kiss Ernő, NAIH Adatvédelmi főosztályának osztályvezetője foglalta össze. Az EGT területén kívülre történő adattovábbítás kapcsán elmondta, jó hír, hogy az Egyesült Királysággal folynak az egyeztetések, hogy megkapják az Európai Bizottság „megfelelőségi határozatát”, és szabadon lehessen továbbítani adatokat a brit szolgáltatók számára is a BREXIT-et követően. A cookie megfelelés kapcsán a szakember kiemelte, hogy a NAIH nyomon követi a különböző országok hatóságainak ajánlásait, jellemzően egyetértenek az ott kijelentettekkel, de az egyedi esetekben természetesen egyedi döntések születnek. Összességében úgy látják, hogy Magyarországon az adatvédelmi tudatosság meg fejleszthető és fejlesztendő, és ebben segítséget kell nyújtani a piacnak, amiben a NAIH – mint például a jelenlegihez hasonló rendezvényen való részvétel – lehetőségeihez képest szerepet vállal.
A DIMSZ a webinár sorozatában további hasonló, a marketing és kommunikációs ipart érintő szabályozási kérdésről ad tájékoztatást és vitatja meg azokat.