A GDPR a korábbiakkal ellentétben már nemcsak egy európai uniós irányelv, amit be kell építeni a nemzeti jogrendekbe, hanem az egész unió egységesen ezt a jogszabályt fogja használni az összes tagállamban, így Magyarországon is.
Itthon viszont a választások miatt már nem várható, hogy a GDPR hatályba lépéséig a törvényhozás elfogadja az ezt szabályozó végrehajtási rendeletet.
A jelenlegi infotörvény helyébe lépő egységes uniós adatvédelmi szabályozás, a GDPR minden cégre vonatkozik majd, mely természetes személyek adatait kezeli, legyen szó akár munkavállalóról, akár vevőről, tehát gyakorlatilag minden olyan vállalkozásra kiterjed az ország és az unió területén, amelyik letelepedési hellyel, tevékenységi központtal rendelkezik itt, sőt még letelepedési hely nélkül is kiterjed az unión kívüli vállalkozásokra, amennyiben azok az EU-ban személyes adatot kezelnek.
Bár a hazai sajtóban leggyakrabban a nagyon komoly szankciós rendszerrel riogatták az olvasókat, hiszen a maximális bírság 20 millió forintról 20 millió euróra, vagy a világszintű árbevétel 4 százalékára, illetve bizonyos esetekben 10 millió euróra vagy a világszintű árbevétel 2 százalékára nő,
de a GDPR-nak nem a büntetés fog a fókuszában állni, ez csak a jogsértés esetében alkalmazott szankció, ott is a legsúlyosabb.
A fókusz az adatkezelési tevékenységek nyilvántartásán lesz, és az adminisztratív kötelezettségek alól a kkv-k sem tudnak majd kibújni. (Annak ellenére, hogy a kkv-k kaphattak volna könnyítéseket vagy mentességeket a GDPR alól, hiszen alapvetően nem ők vannak a szabályozás célkeresztjében.) Az adatvédelmi incidenseket be kell majd jelenteni, ha azok kockázattal járnak, és ilyennek számíthat akár egy ártatlan e-mail félreküldése is, melyben személyes adatok szerepelnek. Ha pedig netán magas kockázattal jár majd egy incidens, akkor arról még az érintettet is értesíteni kell.
A magyar kormány szerette volna elfogadni a GDPR hazai bevezetését biztosító jogszabályt, ez azonban a választások miatt nem sikerült. A választásokig már biztosan nem fog sorra kerülni, az új kormány megalakulásával pedig annyi idő el fog menni, hogy a rendelet várhatóan már nem fog tudni átmenni a törvényhozáson 2018 május 25-ig. Ráadásul külön problémát jelent, hogy a kormány megalakulását követően nagyon hamar beáll a nyári törvényhozási szünet, így jelen pillanatban még nem lehet előre látni, hogy pontosan mikor is várható a GDPR hazai bevezetését biztosító jogszabály megjelenése.
Ettől függetlenül a GDPR az Európai Unióban, így hazánkban is kötelezően érvénybe lép, viszont a fent tárgyalt új jogszabály megjelenéséig hatályban marad a jelenlegi Infotörvény is, amely több ponton ellentétes egymással.
De nem merül ki ennyiben a várható átmeneti időszak.
A vállalkozások számára talán legfontosabb probléma az, hogy
a felügyeleti hatóság nincs kijelölve.
Ez majd várhatóan a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) lesz, de amíg törvény nem jelöli ki, addig a NAIH-nak nincs joga bármit is tenni. Azaz 2018. május 25-től az adatvédelemnek és a GDPR-nak várhatóan nem lesz felügyelete Magyarországon és ez nem csak azt jelenti, hogy nem fordulhatnak majd panasszal az érintettek adatvédelmi kérdésekben egy állami hatósághoz, de így nem lesz olyan hatóság sem, amelyik bírságolhat.
Ahhoz, hogy a hatóságot kijelölje a jogalkotó, kétharmados parlamenti jóváhagyás szükséges. Ez tehát függ majd az új kormány többségétől és politikai alkupozícióitól is, nem csupán egy kormányzati döntés kérdése.
Dr. Liber Ádám, a Baker McKenzie szakértője azt is koherenciazavarnak látja, hogy az átmeneti időszakban, tehát a magyar jogszabály életbe lépéséig bűnügyi személyes adatok nem kezelhetők, azaz
nem lehet majd erkölcsi bizonyítványt sem kérni a leendő munkavállalótól. A jelenlegi törvények ezt csak egy-két apró kivétellel engedélyezik.
Szintén probléma lesz az átmeneti időszakban az egészségügyi személyes adatok kezelése, miután az Infotörvényben más az adatok fogalma, mint amit a GDPR meghatároz: írásbeli hozzájárulás helyett kifejezett hozzájárulás kell. A kettő között elsősorban a digitális eszközökön, okostelefonokon megadott egészségügyi személyes adatok jelentik a különbséget, ahol az írásbeliség nem értelmezhető, csak a kifejezett hozzájárulás.
De ugyanúgy problémás lesz több munkahelyi adatkezelés, hiszen a mai törvények már elavultak. Ide tartozik például a munkavállalók megfigyelése, amelyet szintén a magyar törvénynek kéne szabályoznia. A kamerás megfigyelés vagy az e-mail megfigyelés például jelenleg nincs szabályozva, és ez a szabályozatlanság inkább a munkavállaló számára hátrányos, bár a cégeknek sem jó.
Direkt marketing esetében szintén hiányozni fog az átmeneti időszakban a jogos érdek alapján történő adatkezelés, azaz feleslegesen kell kérni már meglévő partnerektől is hozzájárulást például reklám küldéséhez, holott ezt a jogos érdek külön hozzájárulás nélkül is lehetővé tenné.
Amennyiben nem kerül sor a GDPR hazai végrehajtási rendeletének megalkotására a GDPR hatályba lépéséig, akkor a jelenlegi Infotörvény és a GDPR közötti ellentéteket az oldja majd fel, hogy mindig az uniós jog az erősebb, tehát
ütközés esetén a GDPR rendelkezéseit kell alkalmazni az új hazai jogszabály megjelenéséig,
mely feloldja majd az ellentéteket.
Természetesen addig is lehet érvényt szerezni a GDPR rendelkezéseinek, amíg a hazai végrehajtási rendelet nem készül el és lép hatályba, azonban hatóság előtt nem, csak bíróság előtt. A bíróság viszont jellemzően hosszabb határidővel és bonyolultabb eljárás keretében dönt, mint egy hatóság.
Egy multinacionális cég elvileg fordulhat külföldi adatvédelmi hatósághoz is az Európai Unión belül, de annak nincs jogérvényesítési hatásköre Magyarországon, így ez sem lehet megoldás.
Dr. Bereczki Tamás arról beszélt, hogy a Privacy-by-design hét alapelvét be kell tartani a GDPR-ban, azaz:
Az adatkezelést minden egyes esetben az érintett döntésére kell bízni, tehát nem szabad például előre bejelölni egy hozzájárulást. Az adatkezelésnek nem gátolnia kell az üzleti folyamatokat, inkább támogatnia.
A gyakorlatban olyan szempontokra kell figyelmet fordítani, mint például a fizikai tér és eszközök elrendezése, mit lát az ügyfél és mit látnak a munkatársak (például ügyfél az ügyféltérből nem láthat rá az ügyintéző képernyőjére), biztonsági zónák.
A GDPR alapján végzett hatásvizsgálat eredményét közzé kell tenni a felhasználók vagy a fogyasztók részére. Ebben benne kell lennie, hogy milyen adatokat kezel a vállalkozás és milyen biztonsági szinttel. A folytatáshoz (egy honlapon is) a felhasználó beleegyezését kell kérni.
A felhasználó által kért adattörléskor kizárólag a teljes anonimizálást vagy a tényleges törlést fogadja csak el a GDPR,
semmi más olyan megoldást nem, amelynél a személyes adatok visszaállíthatók.
Az Üzletrész kérdésére Dr. Liber Ádám elmondta, hogy a kkv-k esetében kicsi az esély arra, hogy valamilyen adatkezelési ellenőrzésbe fussanak bele, hiszen a NAIH eddig csak néhány tíz ellenőrzést végzett évente, amely a GDPR kapcsán legfeljebb duplázódni-triplázódni fog majd, és a GDPR amúgy sem a kkv-kra van kihegyezve. Egy kkv-nak még akkor sem kell tartania a jelentős összegű bírságoktól, ha valamely munkavállalója vagy ügyfele feljelenti majd a hatóságnál, hiszen a hatóságnak megvannak az eszközei arra, hogy ezeket az ügyeket gyakorlatiasan kezelje és ne egyből a bírságolás vagy a teljes adatkezelési ellenőrzés következzen egy ilyen feljelentésből.
Megéri azonban elkészíteni a GDPR rendelkezései szerinti nyilvántartásokat, hiszen amennyiben mégis ellenőrzést kap egy kkv, akkor kisebb a baj, ha megvan az adatkezelési nyilvántartás, de annak tartalma hiányos vagy rossz, mintha a vállalkozás vezetője csak széttárja a kezét, hogy nem volt hozzá szakértelme vagy nem volt rá ideje. A hatásvizsgálat, nyilvántartás megléte még jobb helyzetet eredményez.
A magyar hatóság, a NAIH gyakorlatilag nem tett közzé semmilyen tájékoztatót, amelyben segítené a kkv-k felkészülését a GDPR betartására. Igaz, mint kihangsúlyozta, ez nem is törvényi kötelezettsége, de más országokban az adatvédelmi hatóságok sokkal aktívabbak voltak a kkv-k megsegítése terén.
A magyarországi kkv-k számára ezért információbiztonsági szakértő és ügyvéd segítsége javasolt, ha fel szeretnének készülni a GDPR betartására.
Aki azonban egy kis kkv-ban, vagy családi vállalkozásban nem szeretne, vagy nem tud ilyen szakemberekhez fordulni, az sajnos magyar nyelven ingyen nem jut konkrét, gyakorlati segítséghez a GDPR betartásához.
A német, holland, angol, francia és spanyol adatvédelmi hatóságok azonban tettek közzé tájékoztatót, sablont, módszertant a kkv-k megsegítésére, sőt készített ilyet a román hatóság is.
Ezeket természetesen a magyar vállalkozások is használhatják, ha meg akarnak felelni a GDPR rendelkezéseinek, hiszen a GDPR az egész unióban egységes.
Ezek magyar nyelvű feldolgozásához online fordítóprogramok nyújthatnak ingyenes segítséget, de némelyik megoldáshoz még fordításra sincs feltétlenül szükség, tekintve hogy grafikai alapúak.
A francia adatvédelmi hatóság ment a legtovább, ők készítettek egy szoftvert, amelyik végigvezet a GDPR betartásához szükséges szabályokon és nyilvántartásokon, melyre cseh és lengyel nyelven már készült is közösségi fordítás.
Talán Magyarországon is indulhat ilyen kezdeményezés.
Addig is közöljük a Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda gyűjtései alapján azokat a linkeket, amelyeken a külföldi hatóságoknál a hazai kkv-k ingyenes segítséget kaphatnak a GDPR rendelkezéseinek betartásához:
A francia adatvédelmi hivatal (CNIL) Privacy Impact Assessment szoftvere:
https://www.cnil.fr/en/open-source-pia-software-helps-carry-out-data-protection-impact-assesment
Adatkezelési tevékenységek nyilvántartása - sablon a francia hatóságtól:
https://www.cnil.fr/fr/cartographier-vos-traitements-de-donnees-personnelles
Mintatáblázat:
https://www.cnil.fr/sites/default/files/atoms/files/registre-reglement-publie.xlsx
Az angol hatóság (ICO) sablonja az adatkezelési tevékenységek nyilvántartására:
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/documentation/
Mintatáblázatok:
https://ico.org.uk/media/for-organisations/documents/2172937/gdpr-documentation-controller-template.xlsx
https://ico.org.uk/media/for-organisations/documents/2172936/gdpr-documentation-processor-template.xlsx
Az angol hatóság adatvédelmi hatásvizsgálati sablonnal kapcsolatos oldala:
https://ico.org.uk/for-organisations/guide-to-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection-impact-assessments/
A konkrét sablon (ez még egyeztetés alatt áll az Egyesült Királyságban)
https://ico.org.uk/media/about-the-ico/consultations/2258461/dpia-template-v04-post-comms-review-20180308.pdf