GDPR sorozatunk aktuális részében egy lehetséges hatósági ellenőrzéssel, annak menetével foglalkozunk. Erről jelenleg sem részleges, sem teljeskörű tájékoztatást, tanácsot nem tudunk adni konkrétumok hiányában. Ugyanakkor úgy véljük, hasonló hatósági eljárásrendek alapján egy esetleges NAIH ellenőrzésre is épp úgy fel lehet készülni, mint például egy NAV ellenőrzésre.

Hogyan fog zajlani egy hatósági ellenőrzés?

Egyenes és pontos választ jelenleg nem sok ember tudhat erre a kérdésre, lévén nem voltak még nyilvánosságra került hatósági ellenőrzések. Létezik a 29. jogi munkacsoportnak egy WP 253 számú ajánlása, ez, és a hasonló – bár teljesen más alapokon nyugvó – adóhatósági ellenőrzés gyakorlata jó kiindulási alapot adtak a kérdések megválaszolásakor.

Tehát nézzük a folyamatban lévő sok bizonytalanság között mégis mit feltételezhetünk:

Honnan lehet tudni, hogy jön ellenőrizni a NAIH?

Az eljárás megindításáról a NAIH vélhetően előzetesen értesíti majd az érintetteket. Ilyenkor – úgy véljük – a hatóság azt is jelzi majd, hogy milyen dokumentumokat fog kérni, és rendszerint egy előre egyeztetett időpontban látogat el az adott cég székhelyére. Az ellenőrzésre való felkészülés alatt hasznos lehet a kért iratokat előzetesen átnézetni szakemberrel is, hogy ne kerüljön a NAIH birtokába, az ellenőrző személyek tudomására olyan dokumentum, információ, amit esetleg nincs joguk megismerni. Kivételesen előfordulhat azonban az is, hogy különösebb előzetes értesítés nélkül a NAIH egyből a cég székhelyén jelenik meg. Főleg akkor, ha fennáll a lehetősége, hogy az előzetes értesítés meghiúsítaná az ellenőrzés célját. Pont úgy, mint egy esetleges NAV ellenőrzéskor.

Be kell-e engedni a NAIH ellenőrzést végzőket a céghez?

Igen. Az ellenőr beléphet a cég helyiségeibe, megvizsgálhatja az iratokat, a bizonylatokat és az információbiztonsággal kapcsolatos eljárásrendeket, szabályzatokat. A NAIH továbbá nyilatkozatot kérhet a cég alkalmazottjaitól vagy a céggel szerződéses kapcsolatban álló vagy korábban szerződéses kapcsolatban állt személyektől is (például a volt munkavállalóktól) az információ biztonsággal kapcsolatos kérdésekről, ismeretekről akár egy adott esemény kapcsán, akár általánosságban. Nem kötelező viszont beengedni a NAIH-ot a magánlakásba. A társas vállalkozások ott végzett adatkezelési eljárásainak ellenőrzésére ilyen esetben célszerűnek látszik megállapodni a hatósággal.

Kell-e bármit mondani a NAIH ellenőrzést végző munkatársainak?

Nem. Valószínűleg a NAIH is azt a gyakorlatot fogja követni, ami általános a különböző hatósági ellenőrzések során. (Pl. NAV ellenőrzés) Az eljárás alá vont cég képviselője (ideérve a hozzátartozókat is) nem lesz köteles nyilatkozni, akár indoklás nélkül megtagadhatja a nyilatkozattételt vagy a válaszadást. Természetesen ez később akár hátrány is lehet, az együttműködő magatartás – ha lesz mérlegelési lehetősége egy adott incidens esetén a NAIH-nak, – mindenképpen jól fog jönni. Lesznek majd olyan személyek, akik viszont csak kivételes esetben tagadhatják meg a nyilatkozattételt. Így például, akkor, ha őket titoktartás kötelezi (például ügyvédi titok), vagy ha vallomásukkal saját magukat vagy hozzátartozóikat vádolnák bűncselekmény elkövetésével.

Kell-e átadni a NAIH ellenőröknek bármilyen iratokat?

A fő szabály szerint vélhetően igen. Azonban fontos, hogy az átadott iratokról másolatot és tételes(!) listát készítsünk, mert hasonló hatósági ellenőrzések során gyakran van abból vita, hogy egy adott iratot megkapott-e az ellenőrzést végző hatóság. Az iratátadási kötelezettség alól van néhány kivétel. Egyrészt a NAIH sem kérhet olyan kimutatást, nyilvántartást, aminek elkészítésére nem kötelezi a jogszabály, rendelet a céget.

Mit fognak még ellenőrizni, megvizsgálni?

Erre csak a WP 253. számú ajánlásból következtethetünk. Meg fogják vizsgálni a jogsértés/incidens jellegét, súlyosságát és időtartamát. Ezek alapján feltárják, hogy „főbenjáró” vagy „kisebb megsértés” történt. Ez dönti el, hogy az adott esetben jobban vagy kevésbé szükséges, hogy közigazgatási bírság formájában kerüljön sor korrekciós intézkedésre. Vizsgálni fogják a jogsértés szándékos vagy gondatlan jellegét. A jogszabályi rendelkezések nyilvánvaló semmibevétele súlyosabb a nem szándékos jogsértésnél, ezért nagyobb valószínűséggel indokolja közigazgatási bírság alkalmazását. Megnézik az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés végrehajtásra vonatkozó eljárásrendet, dokumentációt, bizonylatot vagy naplót stb. Ez a rendelkezés az adatkezelőt terhelő felelősség mértékének értékelésére szolgál a jogsértés bekövetkeztét követően. Vonatkozhat olyan esetekre, amelyekben az adatkezelő/adatfeldolgozó nyilvánvalóan nem hanyag/gondatlan módon járt el, hanem a jogsértésről való tudomásszerzéskor minden tőle telhetőt megtett annak érdekében, hogy orvosolja a nem jogkövető magatartását. Végül megvizsgálják vélhetően az adatkezelő vagy az adatfeldolgozó felelősségének mértékét, figyelembe véve az általa foganatosított technikai és szervezési intézkedéseket. (GDPR 25-32. cikk)
Ha az adatkezelő vagy az adatfeldolgozó korábban elkövetett releváns jogsértést, az a szervezet előéletének értékelésére szolgál. (Pont, mint a NAV esetében :() Hiszen ez az előélet utalhat az adatvédelmi szabályok általánosságban nem kellő mértékű ismeretére vagy azok figyelmen kívül hagyására.
Fentieken kívül az ajánlásban számtalan szempont szerepel, amit a hatósági ellenőrzés során megvizsgálhatnak, megkérdezhetnek. Legjobb arra készülni, hogy a teljes adatkezelési folyamat bármely elemét képesek legyünk bemutatni, megfelelő számú és minőségű bizonyítékkal ellátni.

Mikor fog lezárulni az ellenőrzési folyamat?

Erre még nincs kialakult eljárásrend, sem hazai jogszabály. Vélhetően a hasonló hatósági gyakorlatokból az ellenőrzésnek akkor lesz vége, ha a NAIH úgy dönt, hogy a tényállást kellőképpen feltárta. Erre egy adózást érintő ellenőrzés esetén tételesen meghatározott határidőn, de minden esetben maximum egy éven belül sort kell keríteni. Vélhető, hogy a NAIH is e szerint fog eljárni. A hatóság az ellenőrzést követően jegyzőkönyvben foglalja össze a megállapításait. Bírságot a NAIH is csak határozatban szabhat ki, viszont már a jegyzőkönyvben remélhető, hogy a hatóság jelezni fogja, hogy a bírság vonatkozásában milyen enyhítő vagy súlyosbító körülményeket tárt fel. Már abban az eseteben, ha kapunk majd a hazai jogszabálytól annyit, hogy marad mérlegelési lehetősége a NAIH-nak.
• Hogyan megy majd tovább az eljárás?
• Lesz-e lehetőség észrevételeket tenni?
• Mikor és hogyan kell majd fizetni a bírságot?
• Mi lesz, ha nem tudunk fizetni?
Ezek mind olyan kérdések, amikre ma még nem tudunk pontos választ adni, ki lehetne indulni pl. a NAV gyakorlatából, vagy más hatósági eljárásrendekből, de egyelőre „AZ EGYÉNEKNEK A SZEMÉLYES ADATOK FELDOLGOZÁSA TEKINTETÉBEN VALÓ VÉDELMÉVEL FOGLALKOZÓ MUNKACSOPORT (29. Munkacsoport)” WP 253. számú ajánlása van, mint iránymutatás a közigazgatási bírság kiszabásáról és alkalmazásáról, de idevágó konkrét jogszabályi keretek még nincsenek.