PAULÁNYI BEA: A mai vendégem Dr. Pál Zoltán, adatbiztonsági, adatvédelmi és infokommunikációs szakjogász. Szervusz Zoltán!

DR. PÁL ZOLTÁN: – Szervusz! Üdvözlök mindenkit!

BEA: Nagyon köszönöm, hogy elfogadtad a meghívásomat a podcast csatornámra! A mai adásban arról beszélnénk, hogy aki az interneten egy weboldallal vagy bármilyen más módon megjelenik, hogyan tudja elkerülni a bírságot. Olvastam a ti saját weboldalatokon is, hogy 10-ből 7 weboldal érintett ebben a kérdésben, és szeretnék egy kicsit segíteni a hallgatóimnak, olvasóimnak, hogy el tudják kerülni ezeket az elég komoly bírságokat. Sok a tévhit arról, hogy mire van szükség jogilag egy weboldal elindításához. Kérdezik tőlem, hogy kell-e hozzá feltétlenül vállalkozás vagy magánemberként is el lehet kezdeni egy weboldallal megjelenni az interneten. Segítenél nekünk ebben egy kicsit, hogy mik azok a tényleg minimum jogi követelmények? Mert sok a tévhit, azt gondolom.

ZOLTÁN: Igen, igen. Hát igyekszem minden kérdésre válaszolni. Rögtön az első kérdés, ami megragadta a fülemet, az az, hogy milyen formában lehet elindítani egy vállalkozást. Tehát ha valaki akár az interneten keresztül, akár a valós térben szeretne valamiféle gazdasági tevékenységet űzni vagy csinálni, akkor kell hozzá egy adószám. Tehát úgy magánszemélyként, hogy csak adóazonosító jele van, azt úgy nem lehet gazdasági tevékenységként. Különböző formái vannak. Ez most nyilván nem a fő tárgya a beszélgetésnek – egyéni vállalkozást, céget lehet alapítani. Ha egyéni vállalkozó, akkor azon belül is, hogy milyen adózási forma…

De az a lényeg, hogy valamiféle olyan tevékenység, ami gazdasági előnnyel jár, azt valamilyen formában lehet. A legegyszerűbb az egy akár egy adószámos magánszemély, akár egy egyéni vállalkozó. Neki ezt el kell indítani. Szimplán magánszemélyként nem lehet.

BEA: Egy weboldalt sem indíthatok, ha még nem történik rajta semmilyen értékesítés? Sokan ugye úgy építik a vállalkozásukat, hogy először egy blogot indítanak. Kicsit finomítják a vállalkozási ötletüket, de még nincsen semmilyen jövedelem, akkor elindíthatja a weboldalt magánemberként?

ZOLTÁN: Így van. Tehát a kérdésben benne is volt a válasz: hogy amíg gazdasági tevékenységet nem folytat valaki, tehát teszem azt egy blogoldalt üzemeltet, azt magánszemélyként is üzemeltetheti.

És itt egy kicsit átkanyarodunk akkor az adatvédelmi szabályozásra, a GDPR-ra, ugye az általános adatvédelmi rendeletre. Adatkezelő lehet magánszemély is. Tehát egy természetes személy is betöltheti az adatkezelő pozícióját. Egyébként egy blogoldalnál, hogyha a funkció, a blogoldalnak a funkciója lehetővé teszi azt, hogy hozzászólhatnak az adott tartalomhoz, mondjuk egy névvel, email címmel ellátva, ott meg adatkezelés is történik.

BEA: Mik azok a minimum jogi feltételek, aminek eleget kell tennem? Vegyük azt a példát, amikor egy egyszerű blogoldalt elindítok, mert ugye beszéltünk arról, hogy magánszemélyként is elindíthatom. Mit kell kiraknom jogi dokumentumként az oldalamra ahhoz, hogy ne büntessenek meg?

ZOLTÁN: Hát meg kell vizsgálni elsőként, hogy történik-e az oldalon keresztül adatkezelés, és itt az adat az személyes adatnak minősül. Nem akarok nagyon belemenni itt a GDPR által használt fogalommeghatározásokba, de a személyes adat, én úgy gondolom, egy olyan definíció, amit nem árt tudni mindenkinek, aki adatkezelést fog folytatni.

Személyes adat az azonosított vagy azonosítható természetes személyre vonatkozó bármely információ. Jelen esetben ez lehet a neve, az e-mail címe, de ide tartozik az IP-címe is és minden olyan adat, ami valamilyen úton-módon kapcsolatba hozható az érintett személlyel, tehát beazonosíthatóvá válik az érintett természetes személy. Ugyanakkor meg kell vizsgálni, hogy az adott oldalon, mondjuk egy blogoldalon történik-e adatkezelés. Hogyha saját tartalmamat publikálom és egyáltalán nem vagyok kíváncsi a nézőimre vagy követőimre, akkor adatkezelésről egyelőre nem beszélhetünk. Annyira lebutítom ezt az oldalt, hogy még cookie-kezelés sem történik például, nemhogy nyomkövető cookie-k, tehát e-marketingre cookie-k, most ebbe nem szeretnék belemenni, szóval semmilyen adatkezelést nem történik, akkor nem kell tájékoztatni az érintetteket.

Viszont ha én bekérek egy személyes adatot, tehát teszem azt egy email címet, vagy lehetővé teszek bármiféle feliratkozást, akár tartalommegosztást, tartalomszolgáltatás kapcsán már egy email címet bekérek, ott már egy adatkezelési tájékoztató, mint jogi dokumentum, szükséges. De ugye a gyakorlat azt mutatja, hogy nem csak email címet kérnek el, itt egy szimpla kapcsolatfelvételi űrlap. Tehát én megadom a nevemet, esetleg a telefonszámomat, hogy a szolgáltató felvegye velem a kapcsolatot, már akkor is szükség van adatkezelési tájékoztatóra.

És ugye vannak ennél jóval bonyolultabb adatkezelések, ha más szolgáltatást szeretnénk igénybe venni vagy terméket szeretnék vásárolni, az megint külön történet. Ha ajánlatot szeretnénk kérni, tehát azért adom meg az adataimat, hogy a szolgáltató ajánlattal keressen meg engem, szintén szükséges az adatkezelési tájékoztató, mint jogi dokumentum, hiszen az adatvédelmi rendeletnek a 13. illetve 14. cikkelye rendelkezik arról, hogy kötelezően milyen információkat kell megadni az érintettek számára.

Ez az egyik kötelező dolog.

Az adatkezelési tájékoztatók – legfőképp a GDPR (ugye uniós szinten az adatvédelmi rendelet) is itt van, Magyarországon ezt az Infótörvény szabályozza, tehát ennek megfelelően kell tájékoztatni az érintetteket ezekről a kötelező 13., illetve 14. cikk alapján felsorolt dolgokról, de itt még egy kis különbséget tennék.

Itt “cikkezek” jobbra-balra, de az a lényeg, hogy vagy úgy tájékoztatom az érintettet, hogy ha az érintett saját maga adja meg ezeket az adatokat, tehát az érintettől származnak ezek az adatok, akkor a 13. cikk szerint kell tájékoztatni, vagy ha nem az érintettől szerzem be, és itt ugye direkt marketing felé is már kikacsintunk, én veszek egy jogtiszta adatbázist, például tehát nem az érintett adta meg közvetlenül nekem a nevét és az e-mail címét, telefonszámát, akkor a 14. cikk szerint kell tájékoztatni az érintettet.

De akkor a másik oldal, hogy ha valamiféle szolgáltatást igénybe lehet venni vagy terméket lehet megvásárolni: itt összefoglalásként annyit kell csak mondani, hogy valamiféle szerződés létrejön a felek között, akkor kell egy Általános Szerződési Feltétel nevezetű dokumentumot kirakni, amit a magyar jogszabályoknak megfelelően elsőként ugye az E-kereskedelmi törvényt tudnám mondani, illetve a fogyasztó és a vállalkozás közötti szerződés részletszabályairól szóló kormányrendeletet. Tehát ezeknek a jogszabályoknak meg kell, hogy feleljen az a bizonyos Általános Szerződési Feltételek című dokumentum. Ezt mindenképpen ki kell rakni. Rengeteg kötelező eleme van ennek a dokumentumnak, ami a felek közötti szerződéskötés szabályait hivatott rendezni.

BEA: Na, akkor szerintem térjünk át erre a rettegett GDPR-ra! Mesélj nekünk, légy oly kedves, egy kicsit arról, hogy mi az a GDPR, és hogyan érint ez minket, akik az interneten szeretnénk blogot vagy online vállalkozni?

ZOLTÁN: Nagyon sokat lehetne beszélni a GDPR-ról, a lényeg az, hogy uniós szinten szabályozzák, azon belül is rendeleti szinten szabályozzák már a természetes személyekre vonatkozó személyes adatokra vonatkozó kötelezettségeket. Miért fontos ez nekünk? Ugye Magyarországon van egy jogszabály, az Infótörvény, az információs önrendelkezési jogról és információszabadságról szóló törvény, ami foglalkozik a természetes személyek adatainak kezelésével, de uniós szinten a jogforrás hierarchiában magasabb szinten áll a rendelet, tehát közvetlen alkalmazandó, közvetlen hatálya van, minden tagállamban, abban a formában, ahogy közzétett, ahogyan le van fordítva, ezt a rendeletet kell alkalmazni.

Itt is két fogalmat emelnék ki, az egyik, amit már korábban is mondtam: a személyes adat fogalma, az azonosítható természetes személyre vonatkozó bármely információval, tehát aki ilyen információval dolgozik, az adatkezelővé válik. Adatkezelő pedig az a személy, aki a személyes adatok kezelésének céljait és eszközeit meghatározza, vagy egyedül vagy másokkal együtt. Tehát itt akkor már tudjuk, hogy mik nagyjából a személyes adatok, egy internetes blog bemutatkozó oldalnál is ott a telefonszám, email cím, ide tartozik az IP-cím is, és minden olyan adat, amit mi bekérünk és bekérhetünk egy természetes személytől, és hogyha ezeknek az adatoknak a céljait és eszközeit mi meghatározzuk, akkor adatkezelővé válunk.

Tehát magyarán ránk vonatkozni fog a GDPR. Tehát rengeteg kötelezettségünk lesz ezzel kapcsolatban. Itt tehát az érintetteket elsősorban tájékoztatni kell. Erre vonatkozik ez a bizonyos adatkezelési tájékoztató, vagy ahogy többen szokták mondani, adatvédelmi szabályzat, ezek szinonim fogalmak, mindenképpen a tartalma szerint kell elbírálni ezeket a szabályzatokat, tehát a tartalmáról egy kötelező tájékoztatás az szerepel, illetve eleget tesz a GDPR rendelkezéseinek, akkor a tájékoztatás az megtörtént.

De nem csak a tájékoztatás, mint kötelezettség tartozik ide, itt a adatbiztonsági követelményeknek is meg kell felelni. Itt arra gondol lényegében a törvényhozó, hogy ha a természetes személy megadja az adatait, vagy valamilyen úton-módon én megszerzem, mint adatkezelő, akkor ezeket az adatokat egyrészt meghatározott célból, és meghatározott jogalapon kell csak kezelnem. És biztonságban kell tartanom.

Itt nagyon lesarkítva csak annyit mondok, hogy illetéktelen személyek nem férhetnek hozzá, és az arra illetékes személyek meg férjenek hozzá, tehát lehetővé kell tenni, hogy ők hozzáférjenek. Ha ez nem történik meg, akkor beszélünk ugye adatvédelmi incidensről, amit a NAIH is vizsgálhat, bizonyos kritériumoknak megfelelően be kell jelenteni az Adatvédelmi Hatóság felé, ha bizonyos feltételek fennálnak, tehát ennek elkerülése a komoly célja ennek a szabályozásnak.

BEA: Beszéltünk a dokumentumokról, amiket az oldalunkon el kell helyezni. Mi a javaslatod annak, akinek szüksége van ilyen dokumentumokra?

ZOLTÁN: Többféle megoldás létezik. És akkor megint: a legolcsóbb és legegyszerűbb megoldástól a drágább megoldásokig. A legegyszerűbb az, hogy ezt mindenki maga intézi. Ugye a magyar nép az kreatív, tehát átmegyek egy konkurens weboldalra, megnézem, hogy ott milyen adatvédelmi tájékoztató van, azt lemásolom, legjobb esetben átírom az adatokat, legalább a szolgáltató adatai megváltozzanak, és kirakom. Ugye mit tanultunk az általános iskolából? Legalábbis azóta itt cseng a fülembe: amikor a tanító néni mondja, hogy ne less a padtársadról, mert biztosan rosszat ír. Tehát megvan a kockázata annak, hogy én mástól ellopom lényegében ezt a szabályzatot, az nem biztos, hogy jó lesz. Mert lehet, hogy ez a másik is rosszul rakta össze, vagy netalántán ő is lopta ezt egy harmadik személytől.

Tehát ezt semmiképpen javaslom, mert ezáltal az adatkezelő sem fogja abba a helyzetbe hozni magát, hogy egy kicsit is rálásson, hogy mi ez az adatvédelem, vagy jelen esetben az ÁSZF, tehát az elektronikus kereskedelmi szabályokkal mi újság – ezt nem fogja tudni. És egy hatósági megkeresés kapcsán vagy egy hatósági eljárás kapcsán senki nem fogja innentől kezdve garantálni, hogy ne büntessék meg őt, tehát én ezt a verziót nem ajánlom.

A másik, ami egy abszolút jogtiszta dolog, hogy az ember megkeres az ismeretségi körön belül egy olyan személyt, aki jogi végzettséggel rendelkezik, tehát mondjuk a szomszéd kisfia, aki éppen mondjuk ügyvéd, őt meg lehet keresni. Ő fog tudni ebben segíteni, ha ez a szakterülete, és fog adni erre egy árajánlatot. Ez lehet, hogy… sőt, úgy mondom, biztos, hogy jogilag rendben lesz, hogy ha ez a szakterülete, össze fogja tudni rakni ezeket a szabályzatokat. De mégis mi ezzel a gond?

Az a szabályzat, amit összerak az az ügyvéd vagy jogász, az akkor hatályos jogszabályoknak megfelelő. De mi lesz később? Egy jogkövetést vagy egy rendszeres felülvizsgálatot vagy nagyon drágán vállalnak jogi szakemberek vagy egyáltalán nem vállalnak. Tehát arra kell itt gondolni, hogy az ügyvéd átadja az Adatkezelési Tájékoztatót meg az ÁSZF-et megszerkesztve, a hatályos jogszabályoknak megfelelően, és onnantól kezdve a kapcsolat megszakad a megbízó és a megbízott, tehát a szolgáltató és az ügyvéd között. De mi van, ha később változnak a jogszabályok? Vagy a szolgáltatás bővül? Vagy a cég szempontjából újabb változtatások történnek? Vagy újabb adatok kerülnek az adatkezelőhöz, és ennek megfelelően módosítani kéne ezeket a szabályzatokat, az ÁSZF-et. Ez egy drágább megoldás, és nem feltétlenül kifizetődő, mert az adatkezelő nem feltétlenül tud felkészülni a jövőben az összes változásra.

Erre találtuk ki Krausz Miklós kollégámmal, vagyis ő a szülőatyja ennek a rendszernek, a Virtualjog nevezetű rendszernek, amit jelenleg ketten használunk, tehát a kolléga és jómagam. Szerintem a legjobb megoldás az adatkezelésekre, illetve a szerződési feltételek jogi megfelelésének biztosítására. Ez egy automatizált, felhő alapú szolgáltatás, melyben minden esetben mi ügyvédek szerkesztjük meg, tehát személyre szabottan, testre szabva a jogi dokumentumokat, de a rendszer lehetővé teszi, hogy a kliens oldalán online, tehát valós időben megjelenjen ez a dokumentum, és mi bármikor bele tudjunk nyúlni és meg tudjuk változtatni, ha szükséges. Egy bizonyos kódot ki kell helyezni a megfelelő helyre a kliens weboldalán, és a mi általunk a saját szerverünkön tárolt dokumentum automatikusan megjelenik ott.

Miért lesz ez jó? Ha jogszabály-változás van, mi egyből belenyúlunk és változtatjuk. Ha a kliens kéri, hogy szeretne valamit változtatni, pl. egy új szolgáltatást szeretne indítani, vagy egy másik adatkezelési célból szeretne újabb adatokat kezelni, megfelelően le tudjuk frissíteni ezeket a jogszabályokat. Én úgy gondolom, hogy ez a szolgáltatás az, ami most itt Magyarországon teljesen egyedülálló, és egyben a legköltséghatékonyabb is, hiszen szolgáltatásról van szó, folyamatosan nyújtunk, éves díjat kell fizetni, de ez az éves díj – különböző csomagok vannak – töredéke lehet egy ügyvédi munkának.

A másik, ami fontos, és még ide tartozik, hogy minket az motivál, hogy az ügyfél elkerülje a bírságot. És hogyan tudjuk ezt garantálni? Hogyha manuálisan, papír alapú dokumentumként átadjuk ezeket a kötelező jogi dokumentumokat, tehát ÁSZF-et, Adatkezelési tájékoztatót, ahogy említettem, fél évvel, egy évvel később, amikor nagyon sok jogszabály megváltozik, akkor ezt mi garantálni már nem is tudjuk. És ugye a felelősség az minden esetben az adatkezelőé, a szolgáltatóé. Tehát neki kell venni a fáradtságot, utánajárni, elolvasni, milyen jogszabályok változtak, tanácsot kérni ügyvédtől, megnézetni, lefrissíttetni ezeket a jogszabályokat, ami szintén plusz költség, és hát az adatkezelőnek ezzel foglalkozni kell. És mi ezt a terhet szeretnénk levenni a kliensek válláról, hogy mindenki foglalkozzon azzal, amivel kell. Ha valaki marketing szempontból szeretne dolgozni, akkor foglalkozzon a marketing részével. A jogi részét azt bízza ránk, azaz a Virtualjogra. Mert a Virtualjog automatizált, automatikusan a háttérben dolgozik, tehát nagyon sok terhet leveszünk a kliens válláról.

BEA: Most már ugye az én oldalamon is ilyen dokumentumok vannak, és meg lehet nézni, hogyan működnek a valóságban a Virtualjog folyamatosan frissülő dokumentumai.

ZOLTÁN: Igen.

BEA: Meg fogom adni a podcast leírásban az elérhetőségeteket, ha valakit esetleg érdekel. Nagyon szépen köszönöm a segítségedet! És hogy a rendelkezésünkre bocsátottad ezt a sok hasznos információt.

ZOLTÁN: Én köszönöm a lehetőséget. Sziasztok!