A GDPR és a teljes jogtalanság

gdprhammer.pngTévedés ne essék nem vagyok jogász.

Minden tiszteletem a jog napszámosaié, hiszen a jog a jó és a méltányos művészete, egyféle kötéltánc a törvény és az igazságosság vagy méltányosság oszlopai között.

Azonban a GDPR kapcsán, a rendelet betűit szentírásnak, vallási dogmának tekintő jogászok és rosszabb esetben jogászkodások mellett nem mehetünk el szótlanul.

Az ellenállás lángját három olyan alkalom lobbantotta fel a szívemben, amikor egy-egy szervezet azért nem vezetett be valamilyen védelmi intézkedést (műszakit, illetve adminisztratívat), mert az ott hatalmat gyakorló jogász szerint a védelmi intézkedés „problémás” lett volna GDPR szempontból.

Nyilván a vezetők ezt meghallva gyorsan elálltak a megvalósítástól, hiszen nincs ma félelmetesebb, mint a GDPR és a rendelet betűit recitáló „szakjogász” vagy DPO.

Summum ius summa iniuria

A Ciceró nevéhez is köthető (nem ő találta ki, de nála jelent meg névhez köthetően) mondás lényege, hogy a legteljesebb jog a legnagyobb jogtalansághoz vezet. Más formában, a legteljesebb mértékben érvényre juttatott jog vezet a legnagyobb mértékű jogtalansághoz.

A mondást pont egy - nem a fenti kategóriába tartozó,- zseniális szakjogász hölgytől hallottam, Dr. Holló Dóra idézte nekem, amikor egyszer egy közös audit során kissé kifakadtam Neki ebben a témában. Azóta is bennem van, hogy Ciceróval valamit kellene alkotni ebben a témában és helyre tenni a félrement dolgokat.

A törvények és rendeletek betű szerinti értelmezése, és főleg a betűre pontos betartása soha nem vezet jó eredményre. Egy törvényt vagy jogszabályt EGÉSZÉBEN kell értelmezni, és nem egyes blokkokat vagy fejezeteket kiragadva követni az adott részt vakon és süketen.

Lex iusta esto!

Szintén Ciceróhoz fűződik a mondás, miszerint a jognak az igazságon kell alapulnia.

Szerintem a GDPR rendelet tökéletesen megfelel ennek az elvnek, az érintettek korábbi (közel) jogtalanságán változtat és emeli fel az érintetteket, de a GDPR olyan értelmezése, hogy az érintetti jogok messze felette állnak az adatkezelők jogainak és érdekeinek, hibás és nem követendő, hiszen akkor az igazságosság normája sérül, jelen esetben sajnos az adatkezelők kárára.

Az adatkezelők kárára bekövetkező injúria oka a legtöbb esetben a rendelet betű, és nem értelem szerinti követése, azaz a legnagyobb jogtalanság pontosan a rossz és dogmatikus értelmezés miatt valósul meg, mert a rendeletet nem egészében, hanem blokkonként, fejezetenként, mondatonként akarják ráerőszakolni a szervezetekre.

Távol a valóságtól

A GDPR legnagyobb hibája a sterilitás.

Ez azt jelenti, hogy önmagában a rendelet bár szépnek és kidolgozottnak tekinthető, a való világgal ápolt kapcsolata azonban meglehetősen vékony.

Nyilván ezen az évek és tapasztalatok változtatni fognak, de jelenleg rengeteg problémát okoz az, hogy a vicc szerinti borotválkozógép használatát igyekeznek kikényszeríteni.

- Feltaláltam a borotválkozógépet. Bedugod a fejed az ablakon és a gép tökéletesen megborotvál.

- Dehát mindenkinek más méretű és formájú az arca!

- Igen, elsőre valóban...

 Ez nem csak a folyamatokra, adatkezelési gyakorlatokra vonatkozik, IT oldalról azonban szerintem sokkal kritikusabb blokkoló hatása van a GDPR-nak. Nagyon szükség volt már valamilyen, erővel keresztül vitt rendcsinálásra, de borúsabb napjaimon elgondolkodom azon, hogy vajon megérte-e?

Sokat nyerhet(ne) az IT, az IT biztonság – és ennek vannak is jelei, és nem csak arra gondolok, hogy az utolsó nyomtatót is a GDPR megfelelőséggel adják el, hanem hogy sok fejlesztés és korábban szőnyeg alá söpört védelmi intézkedés csak a GDPR rémületében tudott megvalósulni.

Azonban ahol fény, ott árnyék is van: sajnos sok esetben pont a GDPR miatt nem vezetnek be intézkedéseket, ez pedig nemcsak káros, de egyébként a GDPR egészének szellemével is ellentétes.

Blődség de igaz, a kiberhelyzet egyre fokozódik.

Olyan sérülékenységi vektorok, faktorok, traktorok vannak jelen, vagy jelennek meg naponta, hetente tömegével, amelyekről még az IT sem gondolta volna, hogy problémát okoznak, nemhogy a jogászok, akiknek (elnézést) a legösszetetteb informatikai rendszere a Complex Jogtár.

A GDPR tehát egyáltalán nem a jelenlegi kiberhelyzetre íródott, alighanem informatikus sem volt az épületben, amikor megalkották. Ebből adódóan viszont a fenyegetettségek elleni védekezés (amelyre egyébként a GDPR egészének szellemisége is utal), az érintettek adatainak megvédése, az érintettek jogainak biztosítása szenved csorbát, amikor a dogmatikus értelmezés miatt nem vezetnek be védelmi intézkedéseket, mert „problémás lehet” GDPR szempontból.

Sok esetben a (szerencsére nem mindegyik) jogász vagy a DPO egyszerűen nem akar felelősséget vállalni és elkaszál bevezetéseket és megvalósításokat, mivel úgy érzi, hogy a betű szerinti értelmezéssel nem összeegyeztethető a gyakorlat (és a valóság!), és szerinte a jog, a rendelet felette áll mindennek és mindenkinek.

Nyilván a rendelet is hibás lehet ebben, de ha a jogász vagy DPO a rendeletet EGÉSZÉBEN értelmezné, akkor képes lehetne konstruktív javaslatokkal, az IT-val, vagy más területtel együttműködést kialakítva megoldani a helyzetet (és nem pedig csak „bőrpapírokat” gyártana).

Sajnos azonban ehhez felelősséget kell vállalni, és igen, lehet, hogy egy kisebb kockázatot kell felvállalni ahhoz, hogy a szervezet egy nagyobb kockázatot elfogadható szintig tudjon csillapítani.

De sokkal egyszerűbb elbújni a betűk mögé és nyugodtan lehet azzal takarózni, hogy nem én, hanem a GDPR akarta így.