Törvénymódosítási javaslatot [PDF] nyújtott be a kormány a 2011-es Infotörvényhez, amely néhány ponton finomítja a GDPR meglehetősen kemény előírásait. A tegnap este beadott – egyébként Semjén Zsolt miniszterelnök-helyettes jegyezte – módosító törvénybe iktatja, hogy az EU-s általános adatvédelmi rendelettel kapcsolatos felügyeleti feladatokat Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) látja el.

Sokkal fontosabb azonban az a módosítás, amely az intézkedések arányosságáról szól.

A magyar kkv-k először megúszhatják egy figyelmeztetéssel

"A Hatóság az általános adatvédelmi rendelet 83. cikk (2)-(6) bekezdésében foglalt hatásköreit az arányosság elvének figyelembevételével gyakorolja, különösen azzal, hogy  […] előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt [...] elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik" – áll a módosítási javaslatban.

Ezt a két dologgal is indokolják. Az egyik magyarázat az, hogy a magyar infotörvény az Európai Unióban az egyik legmagasabb szintjét biztosítja a személyes adatok védelmének. A másik indok mögött azonban inkább gazdasági megfontolás áll.

A kormány álláspontja szerint a GDPR elsődleges célja az, hogy multinacionális cégek ne tudják kihasználni adatkezelési gyakorlatukban a tagállamok eltérő szabályozását, azaz ne legyen lehetőségük olyan tagállamban kezelni bármely EU-s állampolgár adatait, ahol számukra kedvezőbb a szabályozás. Itt elsősorban az olyan nagy adatkezelőkre lehet gondolni, mint a Google vagy a Facebook, melyek megrendszabályozásával évek óta próbálkozik a EU, de a tagállamok egyedileg is próbálkoznak.

A kis- és középvállalkozásoknál azonban – fogalmaz a módosító indoklása – az arányosság elvét kell alkalmazni. Magyarországon ugyanis igen nagyszámú kis- és középvállalkozás működik, melyekre jelentős terheket róna a GDPR-nek való megfelelés biztosítása. Ezért írná elő a törvény, hogy az első vétséget csak figyelmeztetéssel sújtsa a NAIH.

Arányosság nélkül lényegében betarthatatlan

A GDPR célkitűzéseit senki sem vitatta. A megváltozott digitális környezetben szükség volt arra, hogy a lehető legjobban egységesítsék a tagállamok adatvédelmi szabályait, hogy a felhasználók nagyobb ellenőrzési jogot kapjanak saját adataik fölött az adatkezelő cégekkel szemben. A szigorúbb adatkontrollnak elvileg lehet olyan hatása is, hogy magasabb szintű védelmet biztosít a kiberbűnözők adatlopásai ellen.

A célok teljesülését az EU brutális bírságoktól várja. Például korábban Magyarországon a maximális büntetés az adatvédelmi szabályok megsértésérét 20 millió forint volt, ami most a GDPR életben lépésével 20 millió euróra, azaz 6,4 milliárd forintra emelkedik (vagy a jogsértő cég előző évi forgalmának 4 százaléka). Ez olyan súlyos szankció, amely extrém esetben akár teljes szektorokat is kifektethet rövid idő alatt. A módosítási javaslat ennek menne elébe.