MIÉRT VONJ BE ÜGYVÉDET CÉGED GDPR PROJEKTJÉBE?

18 June 2018

A GDPR hatályba lépésével együtt elárasztották a piacot az adatvédelmi megfelelést ígérő különböző szolgáltatók: adatvédelmi szakemberek, adatvédelmi tanácsadók, informatikai szakértők, stb. Ezek mellett az adatvédelmi jog területén jártas jogászok és ügyvédek is nyújtanak GDPR megfeleltetési szolgáltatást. A jelen cikkben összegyűjtöttük azokat az okokat, amiért érdemes őket bevonnod céged GDPR felkészülésébe.

Jog vagy informatika?

Az EU Általános Adatvédelmi Rendeletét szokták a jogászok és informatikusok „szörnyszülöttjének” is hívni, mivel szabályai olyan kérdéseket rendeznek, melyek alapvetően ezen két szakma területeihez kapcsolódnak. Így az adatvédelmi szakemberek, tanácsadók alap képzettségüket tekintve vagy jogászok, vagy informatikusok, akik karrierjük egy pontján az adatvédelemre, információ biztonságra szakosodtak.

Annak érdekében, hogy eldöntsd elég-e az, ha csak informatikust  bízol meg a GDPR megfeleltetéssel, érdemes végig gondolni, hogy a GDPR megsértése esetén milyen eljárás indulhat céged ellen és abban a jogászok, illetve informatikusok milyen szerepet töltenek be.

Leegyszerűsítve a kérdést: adatvédelmi jogsértés esetén informatikai eljárás indul, amibe a jogászokat szakértőnek vonják be, vagy jogi eljárás indul, amibe az informatikusokat vonhatják be szakértőnek?

Az Adatvédelmi Hatóság eljárása

Jó tudni, hogy a GDPR betartását az adatvédelmi hatóság ellenőrzi, mely vizsgálat esetén ún. közigazgatási hatósági eljárást folytat le, mely alapvetően egy „jogi” eljárás, amit jogász végzettségű jogi előadók, illetve jogtanácsosok vezetnek.

A közigazgatási eljárásban kétfajta kérdéskör merülhet fel:

1. jogkérdés (pl. adatkezelés jogalapjának meghatározása, tájékoztatók megfelelősége, stb.) melyet a hatósági eljárást koordináló, jellemzően jogász végzettségű munkatárs dönt el, illetve
2. informatikai szakkérdés (pl. informatikai biztonsági intézkedések megfelelősége) melyekre nézve a hatósági vizsgálatot folytató jogász informatikai szakértőt rendelhet ki.

A gyakorlatban az egyik leggyakrabban előforduló hiba a felek személyének rossz azonosítása (ki az adatkezelő - ki az adatfeldolgozó) illetve a rossz választás az adatkezelés 6 (hat) lehetséges jogalapja közül (pl. hozzájárulás, jogos érdek, stb.).

Ha ezekre a kérdésekre véletlenül rossz válasz születik, az egész GDPR projekt alapjaiban elhibázott lehet, melynek komoly következményei lehetnek.

Ezek tisztán jogkérdések, melyeket jogászok döntenek el.

A fentieken túl természetesen még informatikai probléma is felmerülhet, mely a közigazgatási eljárásban szakkérdés. Ilyenkor azt követően, hogy elkészült az informatikai szakvélemény, az adatvédelmi hatóságnál az eljárást vezető és koordináló jogász hozza meg a végső döntést egy közigazgatási határozat formájában.

Bírósági út

Amennyiben az adatvédelmi hatóság döntését meg akarod támadni, azt a Közigazgatási és Munkaügyi Bíróságon teheted meg, úgy, hogy közigazgatási pert indítasz az adatvédelmi hatóság ellen.

A közigazgatási perben a jogi képviselet kötelező, így a pert kizárólag ügyvéddel tudod megindítani a hatóság ellen, akit a perben szintén egy jogász képvisel.

A perben döntést hozó bíró szintén jogász, aki abban az esetben, ha az ügyben nem csak jogkérdés, hanem informatikai szakkérdés is felmerül, és szerinte ez a döntés szempontjából fontos, ugyancsak bevonhat informatikai szakértőt.

A jogász és az informatikus viszonya

A fentiek alapján látható, hogy egy adatvédelmi jogsértés miatt indult hatósági ügyekben az eljárás fő irányát és alapvető kérdéseit jogászok döntik el, míg informatikai szaktudásra egy jól körülhatárolható, speciális területen van szükség.

Adatvédelmi jogsértés esetén tehát nem arról van szó, hogy egy informatikai eljárásba vonnak be jogi szakértőt, hanem éppen fordítva arról, hogy egy jogi eljárásba vonnak be informatikai szakértőt, ha az jogi szempontból szükséges.

Kire bízd a GDPR megfeleltetést?

Ha céged GDPR megfeleltetését egy felkészült és tapasztalt ügyvédre, tehát jogi szakemberre bízod, biztos lehetsz benne, hogy ugyanazzal a „szemmel” fogja megvizsgálni cégedet, mint amilyen szemmel az adatvédelmi hatóság vizsgálója, vagy hatóság döntését felülvizsgáló bíró fogja nézi az ügyet.

Egyértelmű, hogy jogászra érdemes bízni annak a kérdésnek az eldöntését, hogy céged adatkezelőnek, vagy adatfeldolgozónak, netán mindkettőnek minősül, hiszen ez alapján lehet tudni, hogy milyen kötelezettségeid vannak és milyen a felelősséged.

Egy jogászra érdemes bízni annak a kérdésnek az eldöntését is, hogy milyen jogalapon kezeli céged az adatokat, hiszen ebből következik, hogy milyen tartalommal kell tájékoztatnod ügyfeleidet, munkavállalóidat.

Miután a két fenti kérdés alapvető kérdés eldőlt, számos kérdésekben szükség lehet informatikusra, és egy adatvédelemből felkészült ügyvéd tudni fogja, hogyan működjön együtt a megfeleltetés során az informatikai szakértővel.