GDPR a szállásadók szemszögéből

Néhány GDPR-ral kapcsolatos kérdéssel kerestük meg Dr. Pozsgay Pétert, hogy segítsen a szállásadóknak eligazodni a rendelet életbelépésének kapcsán.

Mely vállalkozásokat érint a GDPR? Egy 2 apartmant üzemeltető kisvállalkozásnak is kell ezzel foglalkozni?

Kezdjük ott, hogy a GDPR egy európai uniós rendelet, ami azt jelenti, hogy az EU minden tagállamában közvetlenül alkalmazandó, így Magyarországon is, ráadásul a jogszabályok hierarchiájában törvényeinket is megelőzi. A GDPR hatálya kiterjed szinte minden személyes adat kezelésére, ha azt az Unióban letelepedett személy vagy cég végzi, illetve, ha külföldi adatkezelő uniós állampolgárok adatait kezeli. A kivétel igen szűk körű: csak a magáncélú, személyes kapcsolatokhoz fűződő adatkezelések jelentenek kivételt, tehát minden üzleti célú adatkezelés a rendelet hatálya alá tartozik. A rendelet betartása, és az esetleges meg nem felelés esetén kiszabásra kerülő büntetés nem függ az adatkezelő működési formájától és gazdasági jelentőségétől, így ugyanúgy be kell tartani a két szobát és a kétszáz szobát üzemeltetőnek is.

Mely területeken érinti a szállásadókat a GDPR életbe lépése?

A szállásadók – elsősorban jogszabályi kötelezés miatt – rengeteg adatot rögzítenek. Ezen túlmenően lassan megkerülhetetlen a marketing valamilyen formája, amely újabb adatkezeléssel jár. Ezekben közös, hogy ugyanúgy a szállásadó felelőssége az adatkezelés jogszerűségének biztosítása, így különösen a vendégek előzetes, megfelelő tájékoztatása, és az adatok fizikai és szoftveres védelme is.

Korábban azok a hírek láttak napvilágot, hogy először csak figyelmeztetésekre számíthatnak a mulasztók. Látszik már a hatóság büntetési gyakorlata?

A hatóság részéről többször leszögezték, hogy mivel 2016-ban fogadták el az uniós rendeletet, ezért bőven volt ideje mindenkinek felkészülni, így nem alkalmaznak enyhébb szankciókat a hatálybalépést követő időszakban. Májusban lesz egy éve, hogy hatályba lépett a GDPR, és az első büntetéseket már ki is szabták a rendelet alapján. Ezekből még nem derül ki pontosan a hatóság bírságolási gyakorlata, de az már látszik, hogy nem tolerálják a felkészülés teljes hiányát, illetve a rendeletnek nem megfelelő adatkezelési gyakorlatot, mivel az ilyen esetekben mindig milliós bírságok kiszabására került sor.

Mit kezdhetnek a szállodák a korábban begyűjtött e-mail adatbázisukkal?

Visszatérő kérdés az ügyfelek részéről, hogy a régebben összegyűlt hírleveles e-mail listát hogyan tudják továbbra is hasznosítani. Itt minden esetben azt kell megvizsgálni, hogy szabályszerű volt-e a hozzájárulások beszerzése, illetve bizonyítható-e az előzetes, megfelelő tájékoztatás nyújtása? Ha igen, akkor továbbra is használható az adatbázis, ellenkező esetben törölni kell azt.

Mi a kockázata annak, ha EU-n kívüli szoftvereket használunk?

Az Európai Unió mindig élen járt az adatvédelem terén, ezért az is kiemelt figyelmet kapott, hogy a területén kívüli adattárolások vagy éppen onnan származó szoftverek, okoseszközök mennyiben felelnek meg a szigorú előírásoknak. Ilyen tekintetben sajnos az sem megbízható tájékozódási pont, hogy az adott szoftver vagy eszköz például az Egyesült Államokból származik, amely országról hajlamosak lennénk azt feltételezni, hogy a technikai fejlesztések mellett az adatvédelemre is nagy hangsúlyt fektet, valójában pedig nagyon kezdetleges az adatvédelmi szabályozásuk. Ennek okán nemzetközi szerződések (Safe Harbour, Privacy Shield, stb.) jöttek létre, amivel az Unió próbálja elérni, hogy megbízható partneri kapcsolatok jöhessenek létre harmadik országokkal az adatvédelem tekintetében. Ettől függetlenül a tapasztalatok azt mutatják, hogy ha az egyes gyártók gyakorlatilag csekély figyelmet szentelnek a szigorú uniós szabályok betartásának, mivel a termékeiket használók lesznek azok akik felelősek lesznek a termékeikkel folytatott adatkezelések megfelelőségéért, ezért – legalábbis rövid- és középtávon – nem érdekük a költséges fejlesztések kivitelezése, amit a megváltozott európai jogszabályi környezet megkövetelne. Összefoglalva: az unión kívüli szoftverekkel különösen óvatosnak kell lenni, mert alapvetően nem az uniós piacra tervezték őket, és jellemzően nem is hajlandóak a rengeteg járulékos költséget vállalni, amit a programok módosítása jelentene.