adatvédelem;hiányosságok;

2018-05-17 07:20:00

Adatvédelmi hiátusok - Sokba fog kerülni

Egyre nyilvánvalóbb, hogy nem lesz meg határidőre az uniós adatvédelmi rendelet alkalmazásához szükséges magyar törvénymódosítás. Ígéret sincs rá.

Miközben a nagyobb cégek rohamtempóban igyekeznek elvégezni a pár nap múlva életbelépő európai uniós adatvédelmi rendelet miatt szükséges módosításokat, addig a kisebb cégek – tévesen - úgy gondolják, az egész egyáltalán nem is vonatkozik rájuk. Őket nyilvánvalóan az sem zavarja, hogy a GDPR (General Data Protection Regulation) alkalmazásához szükséges magyar jogszabályok sem születtek még meg, és egyre inkább úgy tűnik, hogy a május 25-i határidőig nem is fognak. „A törvényjavaslatok benyújtásáról az új kormány fog dönteni” – ezt a választ kaptuk az Igazságügyi Minisztériumtól, amikor azt szerettük volna megtudni: mikor nyújtják be a parlamentnek az adatvédelmi hatóságot kijelölő törvénymódosítást, illetve mire számíthatnak a cégek, ha ők sem végzik el határidőig a szükséges változtatásokat. Az új kormány tagjai pénteken teszik le a hivatali esküt, de kérdés: az adatvédelmet tartják-e olyan sürgős kérdésnek, mint például a Stop Sorost.

Az idő mindenképpen sürget, mivel az uniós rendelet értelmében a tagállamoknak május 25-ig ki kell jelölniük egy nemzeti adatvédelmi hatóságot. Ehhez kétharmados törvénymódosításra van szükség, ami nélkül hiába létezik hazánkban évek óta a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), jövő péntektől nem tud majd eljárni adatvédelmi ügyekben. Az adatvédelmi előírások megsértése ugyanakkor a GDPR értelmében minden eddiginél nagyobb – akár 20 millió eurós vagy az árbevétel 4 százalékáig terjedő – bírságot vonhat maga után.

Az Európai Unió még 2016-ban fogadta el a GDPR-t, további két éves felkészülési időt adva a tagállamoknak. Az új szabályozás célja a személyes adatok és a magánszféra védelme, ezért az egész unióban egységes, szigorú követelményeket ír elő a személyes adatok kezelésére és tárolására, hatálya pedig kiterjed minden, az unió területén működő vállalkozásra. A digitalizáció előtérbe kerülése ugyanis egészen új szemléletű adatkezelést igényel: nem mindegy, hogyan tárolják, ki és milyen célra használja fel az okostelefonok, a különböző applikációk, honlapok és webshopok által begyűjtött tetemes mennyiségű személyes adatot, információt.

A hazai alkalmazáshoz az adatvédelmi hatóság kijelölésén túl számos ágazati törvényt is át kellett volna írni, ez azonban az előző ciklusban nem történt meg. Csupán egy – adatvédelmi szempontból meglehetősen minimalista - salátatörvény tervezete készült el, de az sem került a parlament elé. Az új kormánynak pedig csupán egyetlen hete lesz minderre.

- Most már világos, hogy május 25-ig nem fog megszületni a GDPR-hez kapcsolódó kétharmados törvénymódosítás, amit ráadásul még ki is kell hirdetni. Az eddigi kommunikáció alapján ez nem is tűnik egyelőre prioritásnak, ami nem a legideálisabb helyzet a cégek számára - fogalmazott érdeklődésünkre Liber Ádám, a Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda adatvédelmi, IT-jogi praxisának vezetője. Megjegyezte: a vállalkozások ugyanakkor továbbra sem dőlhetnek hátra, hiszen a GDPR új szabályai május 25-től vonatkozni fognak rájuk. A NAIH átmenetileg ugyan visszaminősül majd ombudsmani hivatallá - nem indíthat majd hivatalból eljárást, nem szabhat ki bírságot -, az adatvédelmi jogok megsértése esetén azonban bírósághoz lehet fordulni.

Az uniós tagállamok legalább harmadában egyébként szintén nem születtek még meg a szükséges törvénymódosítások, ráadásul a nemzeti adatvédelmi hatóságok konzultatív munkacsoportja – a leendő Európai Adatvédelmi Testület - is adott ki még áprilisban is a felkészülést jelentősen befolyásoló állásfoglalást az adatkezelésekkel kapcsolatban. Vagyis úgy tűnik, nem bizonyult elegendőnek a két éves felkészülési idő - véli Liber Ádám, aki arra számít: szeptemberre lesz majd meg a hazai törvénymódosítás.

Kérdés, hogy az új kormány a már ismert, kereszthivatkozásokkal teli salátatörvényt nyújtja-e be, vagy a kétharmad birtokában nekivág egy, a szakma által is nagyon várt, valódi adatvédelmi reformnak. Elképzelhető olyan forgatókönyv is, miszerint egy egymondatos módosítással rövid úton kijelölik az adatvédelmi hatóságot, az ágazati törvények módosítását pedig későbbre hagyják.

A kis cégek nem értik az egészet
Komoly fejtörést okoz a cégeknek, hogy a hazai ágazati törvények helyenként ellentmondanak a GDPR-nek - ezért is volna szükség a módosításukra. Az uniós rendelet szerint például e-mailmarketing útján fel lehet keresni azokat, akik már ügyfelei a cégnek, a magyar reklámtörvény szerint viszont csak annak küldhetők ilyen levelek, akik ahhoz hozzájárulásukat adták - magyarázza Horváth Katalin, a Sár és Társai ügyvédi iroda ügyvédje. Nehéz most megmondani, május 25. után melyik előírást kell alkalmazni. A nagyobb cégek ettől függetlenül igyekeznek a lehető legjobban felkészülni. A kisebb cégekre ez már korántsem igaz. Sokan úgy gondolják: a GDPR nem vonatkozik rájuk, csak mert van egy olyan kitétel, miszerint, ha egy vállalkozás csak alkalomszerűen kezel adatokat, nem szükséges adatvédelmi nyilvántartást vezetnie. Ez nem ilyen egyszerű: ha már egy alkalmazott is dolgozik a cégnél, akkor adatainak kezelése miatt nyilvántartást kell vezetni. A kisebb webáruházak pedig azt hiszik, elég egy adatvédelmi mintát valahonnan kimásolni, és máris megoldották a dolgot. Pedig ez nem elég, számtalan más dokumentációra is szükség van – sorolja a tévhiteket Horváth Katalin. Szerinte hiába a két év felkészülési idő: a kisebb cégek valójában még mindig azt sem tudják, eszik-e vagy megisszák a GDPR-t.