Először figyelmeztetést kapnának a GDPR-t megsértő cégek
Hamarosan végre kinevezheti az Országgyűlés a GDPR hazai felügyeleti szervének a NAIH-ot, legalábbis a már publikusan is olvasható Infotv. módosítási javaslatból erre lehet következtetni. A törvénymódosítás azt is kifejezetten tartalmazza, hogy a NAIH először csak figyelmezteti a cégeket, ha megsértik az EU-s rendeletet.
Megjelent a GDPR-ral összefüggésben a törvényjavaslat a Parlament oldalán, amely mutatja a hazai törvényhozók szándékait Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (röviden Infotv.) jogharmonizációs célú módosításával kapcsolatban, és némileg megnyugvást is jelenthet a hazai vállalkozások számára. Ez az a régen várt, de még mindig nem elfogadott törvénymódosítás, amely kimondja, hogy "a felügyeleti hatóság részére megállapított feladat- és hatásköröket (...) a Hatóság gyakorolja". Azaz a NAIH ennek a módosításnak az elfogadásától kezdve ellenőrizhet és büntethet majd cégeket, de emellett a szöveg más információkat is tartalmaz.
Jókor mondják, hogy "Ne pánikolj!"
Ezek szerint az Infotv. ki fog egészülni többek közt a 75/A paragrafussal is, amelynek megfelelően az általános adatvédelmi rendelet megsértésekor a vállalatok először csak figyelmeztetésben fognak részesülni. A törvénymódosítás konkrét szövege szerint ez így hangzik: "A Hatóság az általános adatvédelmi rendelet 83. cikk (2)-(6) bekezdésében foglalt hatásköreit az arányosság elvének figyelembevételével gyakorolja, különösen azzal, hogy a személyes adatok kezelésére vonatkozó (...) előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt (...) elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik."
A törvénymódosítás általános indoklása pedig még ennél is részletesebben kifejti a Kormány álláspontját, mely szerint a GDPR-t "elsősorban a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok ellen fellépve szükséges alkalmazni", míg a hazai KKV-k esetében az arányosság elvének alkalmazásával csak "a figyelmeztetés jogkövetkezményét indokolt alkalmazni". A dokumentum szerint ugyanis hazánkban nagyon sok kis- és középvállalkozás működik, amelyekre a GDPR megfelelés biztosítása jelentős terheket ró. A Kormány értelmezése szerint pedig az EU-s adatvédelmi rendelet inkább a nemzetközi nagyvállalatokat, akár például a Google vagy a Facebook adatkezelését szeretné szabályozni az európai felhasználókkal kapcsolatban, nem pedig a hazai vállalatok működését ellehetetleníteni.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
Ettől függetlenül azért a NAIH kinevezését és a feladatra felkészülését (például szükséges számú alkalmazott felvételét) követően azért lehet számítani ellenőrzésekre. A törvényjavaslat pedig a lehetséges (maximum 20 millió eurós vagy az éves árbevétel akár 4 százalékát jelentő) bírságot effektíve nem zárja ki, de utal rá, hogy a NAIH hatáskörébe elsősorban a figyelmeztetés tartozik, méghozzá nem csak a KKV-kkal, hanem a hazai vállalatokkal szemben általánosságban véve is. Az viszont egyértelmű, hogy eleinte a bírságtól biztosan nem kell tartani a magyarországi cégeknek, mivel először csak figyelmeztetést kaphatnak. Továbbá a törvényjavaslat indoklása arra is kitér, hogy a hazai adatvédelem eddig is szigorú volt, azaz "a hatályos jog is tartalmaz ehhez hasonló - a hatósági jogalkalmazást orientáló - rendelkezéseket".
Egyelőre még csak a NAIH kinevezéséről és arányosság elvéről szóló törvényjavaslat jelent meg, amely a szándékot fejezi ki, és mivel a törvényjavaslat bizonyos paragrafusai sarkalatosnak minősülnek az Alaptörvény szerint, ezért az országgyűlési képviselők kétharmadának "igen" szavazatára lesz szükség az elfogadásához. Erre egyelőre nem tudni, hogy mikor fog sor kerülni, mivel az Országgyűlés honlapján egyelőre nem jelenik meg a következő ülés időpontja, de a módosítás annak kihirdetését követő napon hatályba lép - írja az Adatvédelmi rendelet blogja. Mivel maga a GDPR már alkalmazásba lépett május 25-én, ezért a hazai felügyeleti szerv kinevezését sem lehet már sokáig halogatni. Az Infotv. módosításait követően viszont még az ágazati jogszabályok GDPR-nak megfelelő módosítása is szükséges lesz, így például a Reklámtörvény eDM küldésre vonatkozó szabályainak összhangba hozása a rendelettel, ami várhatóan még 2018. év végéig szintén megtörténik.