A GDPR (General Data Protection Regulation), azaz az Európai Unió új, általános adatvédelmi rendelete 2018. május 25-én lép hatályba. Ezzel kapcsolatban dr. Balogh Gyöngyi, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) Adatvédelmi Főosztályának vezetője elmondta, hogy mindenkinek joga van a személyes adatainak védelmére, ez alkotmányos alapjog.
A most bejövő változás, hogy az eddigi uniós irányelv helyett rendeleti szabályozás fog életbe lépni május végétől, ami közvetlenül alkalmazandó. Ez annyiban nem meglepő, hogy a cégeknek két évük volt a felkészülésre.
"Ennek az időszaknak az elején ez még nem tudatosult a vállalkozásokban, sokan most, az utolsó pillanatban kezdtek el a GDPR-ral foglalkozni" - mondta Balogh az előadása során. Szerinte nyilvánvaló, hogy a hatóságoknak is kell felkészülési időszak, így nem kell arra számítani, hogy "sok, átfogó vizsgálat kezdődik május végétől." A Hatóság a legtöbb esetben panaszbeadványok alapján jár el, ha tehát esetleg május 26-ra nem tökéletesen van rendben minden részkérdés, akkor még reménykedhetnek az adatkezelők abban, hogy lesz idejük befejezni a feladatokat" - emelte ki a főosztályvezető.
Mindenki helyzetét jól megbonyolítja
Azt Balogh is elismerte, hogy nehezen értelmezhető szabályozásról van szó, "de ezt kell elfogadnunk". Az egységes alkalmazással kapcsolatban kiemelte, hogy amikor a rendelet készült, akkor komoly lobbizás volt, így a multicégeknek, nagy cégcsoportoknak sikerült elérniük azt, hogy ne tagállamonként eltérő értelmezések és joggyakorlat legyen, hanem ugyanolyan szabályok szerint tudjanak dolgozni különböző országokban. Az új rendelet az adatok szabad áramlását is lehetővé teszi" - mondta Balogh, aki szerint ugyanakkor teljesen átalakul az ügyintézés.
"Minden hatóság minden tagállam, ugyanúgy értelmez minden kérdést" - mondta a célt, ám elismerte, hogy ezzel kapcsolatban még sok egyeztetés van hátra. Itthon a nemzeti ügyekben az eljáró hatóság magyar lesz, ám a határon átnyúló ügyekben, ha egy cégcsoportnak külföldön van anyavállalata, akkor elképzelhető, hogy ott lesz a fő felügyeleti hatóság. "Ha több hatóság között vita lesz, és nem egyeznek meg például a bírság összegében, akkor van egy vitarendezési fórum, az Adatvédelmi Testület. E testület fog dönteni, illetve eleve iránymutatással szolgál a hatóságok számára - emelte ki Balogh.
Sok kérdésben radikális változást nem hoz a GDPR. Az adatvédelmi garanciák tekintetében például nem született koncepcionálisan új dolog. A megfogalmazásban, részletekben persze vannak különbségek, illetve vannak új jogintézmények, így összességében elmondható, hogy az elvek területén nincs nagy változás, viszont például a számon kérhetőségben már lesznek újdonságok.
Adatvédelmi nyilvántartással kapcsolatban Balogh elmondta, hogy a területen jelentős változásra lehet számítani, hiszen amíg eddig a NAIH vezette az adatvédelmi nyilvántartást, addig ez május végétől megszűnik, nem is lesz bejelentési kötelezettség. A cél az adminisztratív terhek csökkentése volt.
A hatóság sincs teljesen készen
Május végétől az adatkezelőknek kell vezetniük a saját nyilvántartásukat, a felkészülés során javasolt először ezzel foglalkozniuk a cégeknek Balogh szerint. "Érdemes áttekinteni, hogy milyen fajta adatkezelést végez a cég, adatleltárt készíteni. Ebbe beletartozik a munkáltatói adatkezeléstől kezdve a tanfolyamszervezésen át a kamerás megfigyelés is. Az excel tábla is megfelelő, de persze vannak ennél modernebb eszközök is. A Hatóság pedig mostantól a saját döntéseit fogja nyilvántartani."
Az incidens-nyilvántartás eddig is vezetendő volt, de eddig nem volt bejelentési kötelezettség a hatóság felé. Ez megváltozik, hiszen mostantól ez utóbbi is kötelező lesz. És mi számít incidensnek: minden adatkezelési probléma, ami adatbiztonsággal kapcsolatos. Tehát a hackertámadás ugyanúgy ennek számít, mint egy jogosulatlan személynek véletlenül elküldött e-mail. A szakértő azt ajánlotta, hogy az incidensek kérdéskörét mindenki alaposan tekintse át, hiszen a bejelentés elmaradása is bírságot vonhat maga után.
Egyelőre a hatóságnál is a felkészülés zajlik, az incidensnyilvántartó-rendszer készülőben van, a Hatóság honlapján lesz több információ erről. A tesztüzem most kezdődik, a Hatóság minden jel szerint megfelelően készen fog állni e feladatkörének ellátására.
Lesz bírságolás is
A hatóság jelenleg többségében vizsgálat eljárásokat folytat le, ekkor nincs bírságolás, nincs határozat, hanem felszólítás van, ha pedig ezt teljesíti az adatkezelő, akkor lezárul az ügy és nincs további következménye. Május végétől viszont a hatóságnak csökken a mérlegelési lehetősége, hogy milyen eljárást indítson - hívta fel a figyelmet Balogh, aki szerint a kisebb ügyekben is határozathozatal és bírság lehet az eljárás vége, hiszen sokkal kötöttebb lesz a hatóság keze.
Fontos részlet, hogy a jelenlegi magyar jogi szabályozással szemben - megszűnik a kis- és középvállalkozások bírságkiszabás alóli mentessége (első jogsértés esetén). A nagy bírságösszegek, amik nevesítve lettek - nevezetesen 20 millió forint helyett immár 20 millió euró maximális bírság - főként a nagy cégcsoportok megregulázására lesz alkalmas, egy kisebb cégnek nem kell attól tartania, hogy ekkora büntetést fog kapni. "A döntéseket mindig egyedi szempontok szerint fogják meghozni a hatóságok" - emelte ki Balogh.