“Az újabb kérdéseik jelzik, ha beépült egy szervezetnél az adatvédelem” – interjú dr. Domokos Mártonnal
Domokos Márton a CMS Budapest ügyvédi irodánál dolgozik, ahol nemzetközi szinten is nagy hangsúlyt helyeznek az ESG területére. Márton adatvédelmi jogi tanácsadással vesz részt az Impact Academy munkájában, alább a pro bono munkájáról, és annak eredményeiről kérdeztük.
Az Impact Academy, az Ashoka Magyarország partnerségében megvalósuló program a társadalmi szervezetek hatásmérését segíti. Az Impact Academy képzésben több vállalati partner is részt vett pro bono alapon.
- Hogyan kerültél bele az Impact Academy-vel közös projektbe, és hogyan zajlik a velük végzett pro bono munkád?
- A CMS Budapest egy jogi és adójogi szolgáltatásokat nyújtó iroda, ügyvédi csapatunk a jogi szolgáltatások teljes spektrumán nyújt tanácsot hazai és nemzetközi vállalatok számára. Az én fő szakterületem a Technology, Media & Telecommunications (TMT) iparág, ezen belül is a személyes adatok védelme, ezért minden olyan pro bono munka, ahol segíteni tudok, általában GDPR-megfelelésről szól. A GDPR az EU általános adatvédelmi rendelete, amely most már 3 éve alkalmazandó. Az ennek való megfelelés pedig elég sok erőforrást igényel, mind időben, mind szaktudásban, és ha egy szervezet a megfeleléssel kapcsolatos feladatokat nem maga csinálja, akkor pénzben.
- Miért pont az Impact Academy munkájába kapcsolódtatok be ilyen módon?
- A CMS számára fontos az olyan szervezetek támogatása, amelyek valamely kirekesztett társadalmi csoportot képviselik, illetve megoldásokat kínálnak különféle társadalmi problémákra. Az Impact Academy szakterülete, a társadalmi hatásmérés, nagyon fontos része ezen problémák megoldásának, így örömmel támogatunk olyan szerveződéseket, mint amilyen az Impact Academy is. A hozzánk érkező minden pro bono felkérést egyébként Ormai Gabriella fog össze és koordinál: ő a CMS Budapest korábbi vezető partnere (1996–2018), jelenleg partnere és a Munkajogi csoport vezetője, valamint a Kereskedelmi jogi csoport társvezetője. Emellett Gabriella a Piros Orr Bohócdoktorok Alapítvány kuratóriumának elnöke is.
- Hogyan nézett ki az Impact Academy-vel végzett közös munkád?
- Egyes weboldalak adatvédelmi megfelelőségét vizsgáltuk, különös tekintettel weboldalon keresztül gyűjtött személyes adatok körére, és a felhasználásukkal kapcsolatos adatkezelési tájékoztató elkészítésére. A GDPR-nak való megfelelés jelentős dokumentációs kötelezettséggel jár. Először is kell egy belső adatvédelmi nyilvántartás arról, hogy milyen személyes adatokat kezel a weboldalt üzemeltető szervezet. Ehhez jogi szempontból fel kell mérni, hogy a gyűjtött adatok közül mi minősül természetes személyek azonosítására alkalmas személyes adatnak. Minden ilyen munkát azzal kezdünk, hogy az erre kidolgozott kérdőívünket elküldjük az adott szervezetnek, amely a kérdéseink segítségével be tudja mutatni a saját tevékenységét. Ez alapján segítünk eldönteni, mi a személyes adat, és azt is segítünk megállapítani hogyan lehet felhasználási célok szerint csoportosítani ezeket az adatköröket. A GDPR úgy “gondolkodik”, hogy adatokat előre meghatározott, specifikus célokra lehet felhasználni, így ezekhez a célokhoz kell hozzárendelni a GDPR szerinti jogalapot (pl. hozzájárulás, szerződéskötés), vagy a szervezet un. “jogos érdeke”, valamint adatmegőrzési időt, és rögzíteni kell, ha az adatokat esetleg a szervezeten kívülre továbbítják, nem beszélve az adatbiztonsági intézkedések számbavételéről. Az első lépés tehát az adatleltár, azaz megállapítani, hogy milyen adatvagyonnal rendelkezik egy szervezet. Az adatleltárral kapcsolatos információk a szervezettel kapcsolatban lévő személyek felé a weboldalon elhelyezett adatkezelési tájékoztató formájában manifesztálódnak. Az Impact Academy-nél is weboldal adatkezelési tájékoztatók készültek a munkánk eredményeként.
- Milyen szervezetekkel dolgoztál együtt?
- Pro Bono munkánk során együttműködünk PILnet Budapesttel és az UNICEF Alapítvánnyal. Irodánk körülbelül 16 szervezetet támogat évente, átlagosan több mint 800 órában és összesen 50+ NGO-nak nyújtottunk már tanácsot. Segítettük többek között a Nyitottak Vagyunk Nonprofit szervezetet, az Igazgyöngy Alapítványt, itthon mi alapítottuk az idén 25 éves Piros Orr Bohócdoktorok Alapítványt és segítjük működésüket azóta is. 2018-ban, a GDPR kötelező válását közvetlenül megelőzően a Bátor Tábornak segítettünk átállni az új jogszabályra. Ez szintén elég átfogó munka volt - erre vagyok a legbüszkébb, Horváth Katalin és Klicsu Annamária kolléganőimmel egy éven keresztül folyamatosan segítettük a szervezet munkáját, szoros együttműködésben Martinovic-Benkő Líviával, a Bátor Tábor akkori marketingkommunikációs vezetőjével. A Bátor Tábor működése adatvédelmi szempontból elég komplex - támogatók, önkéntesek, és táborozók személyes adatait egyaránt kezelik, a kapcsolódó adatkezelési tájékoztatóknak pedig átláthatónak és közérthetőnek is kell lenniük. Nem az a cél, hogy egy senki által nem olvasott tájékoztatót készítsünk, amit az érintettek csak átgörgetnek vagy “lektattintanak”, hanem hogy érdemi, ugyanakkor tömör információk segítségével bemutassák a szervezet adatkezelését. A Bátor Tábornál például kihívás, hogy egy-egy tábor megszervezése jelentős mennyiségű egészségügyi személyes adat kezelését igényli, szerteágazó célokkal - már a táborba való jelentkezés és az utazás során, ezt követően pedig a tábor lebonyolításával, és az esetleg váratlan helyzetek kezelésével összefüggésben, utána pedig a táborozók visszajelzéseinek és a táborban készített médiaanyagok kezelése során. Fontos tehát, hogy az ezekkel kapcsolatos tájékoztatót ne egy nagy köteg paksamétaként tolják oda az érintett szülő elé a tábor kezdetekor, hanem közérthető formában ismertessék, milyen körben és célra kezelhetik a gyermekek egészségügyi és egyéb személyes adatait. Sőt, az adatkezelési tájékoztatót maguk a gyermekek is elolvashatják. Mivel a gyermekek különös védelmet igényelnek, a GDPR előírja, hogy kifejezetten gyermekekre vonatkozó adatkezelés vonatkozásában minden információt és kommunikációt olyan világos és közérthető nyelven kell megfogalmazni, amelyet a gyermek könnyen megért. Az adatvédelmi tudnivalókat ezért “gyereknyelven” is elkészítettük, elsősorban azért is, hogy a gyerekek tisztában legyenek adatvédelmi jogaikkal - például ha nem érzik komfortosnak, kérhetik, ne készüljön róluk fénykép, vagy videofelvétel egy-egy esemény során.
- Milyen benyomásokat szereztél magáról az Impact Academy programjáról?
- A munka elején sokat beszélgettünk, hogy miről szól ez a program, ami alapján nagyon pozitív érzésem alakult ki. Szintén fontos fokmérű, hogy a szervezet gyakorlati tevékenységének bemutatását hogyan tudjuk leírni jogi és adatvédelmi nyelven: ha egy jól érthető tájékoztatóval be tudom mutatni, mit csinál egy szervezet, milyen adatok segítségével végzi a munkáját, ez minősíti és biztosítja az ő programjuk átláthatóságát is.
- Hogy látod, a szervezetek, akikkel dolgoztál, hogyan hasznosították a tőled kapott szaktudást?
- Az adatvédelmi tanácsadás ideális esetben edukáció is, azaz a munkánkkal olyan adatvédelmi tudatosságot tudunk teremteni, amely a szervezet napi folyamatainak a része lesz. Nagyobb cégeknél ez könnyebb, mert ott alapesetben is rengeteg belső folyamat és eljárásrend létezik: ha érkezik még négy vagy öt új, adatvédelmi témájú szabályzat, az adaptáció nem olyan nehéz. Egy kisebb szervezetnél ez kihívás lehet, és - a szervezet méretétől függetlenül - az is, hogy olyan eljárásrendeket alakítsunk ki, ami nem blokkolja a napi folyamatokat. Mivel a szervezetek nem feltétlen tudnak külön embert dedikálni az adatvédelemre, a célunk a legszükségesebb adatvédelmi tudatosság átadása. A szervezetnek adott segítségnyújtás során nem feltétlenül adatvédelmi jogászokat képzünk, hanem olyan tudást kell átadnunk, ami alapján egy nem adatvédelmi szakember fel fogja ismerni, ha adatvédelmi kérdés merül fel, és ha bizonytalan, akkor tudja, hogy igénybe veheti a pro bono adatvédelmi jogász segítségét. Tehát nem arról van szó, hogy kipipáljuk: megvan egy-egy adatvédelmi dokumentum - a GDPR napi szintű odafigyelést és megfelelést kíván. Nekünk is az a jó visszajelzés, ha a szervezetek időről időre visszajönnek kérdésekkel a napi folyamatokkal kapcsolatban - ez jelzi, hogy beépült az adatvédelem a működésükbe.
- Számotokra, neked mint magánembernek és a CMS-nek mint cégnek milyen pozitív hatással jár a non-profit szférával való együttműködés?
- Értéket adunk azoknak, akik segítenek másoknak - az általunk támogatott szervezet azt az erőforrorrást, amit jogi költségre kellene költenie, a saját működésére és értékteremtésre tudja fordítani. Ezzel kapcsolatban a legutóbbi fejlemény, hogy a CMS csatlakozott az Egyesült Nemzetek Szervezete (ENSZ) által közzétett, úgynevezett Fenntartható Fejlődési Célokhoz, amelyeknek elérésére a budapesti iroda is célzott lépéseket tesz, többek között Pro Bono tevékenységével. Nemrég arra is lehetőségünk nyílt, hogy a Down szindrómával élő gyermekeket támogassuk regionális szinten. Az eseményben hét régiós iroda többszáz munkatársa vett részt, és a vendégünk a Down Syndrome International egyik olasz vezetője volt, aki maga is egy Down Szindrómával élő kislány édesanyja. A jogi tanácsadás persze nem minden: minden év végén, karácsonykor pénzbeli/tárgyi adományt is eljuttatunk egy vagy több, előzetesen kiválasztott nonprofit szervezet számára.
Az Ashoka nemzetközi és magyar szervezete több mint egy évtizede támogatja vállalati partnereit hatékony pro bono programok tervezésében és szervezésében. Ha érdekel, hogyan lehet hatékony pro bono programokat szervezni, az ingyenesen letölthető kézikönyvben most megosztjuk mindazt, amit eddig tanultunk.
Az interjút készítette: Szeszlér Vera, Scale Impact