Pedig akkorra a hazai adatvédelemre 2011-ben elfogadott adatvédelmi törvény (Infotv.) alapján már nem lehet szankcionálni, az uniós jog szerinti alkalmazásnak pedig még nem lesznek meg a legalapvetőbb feltételei. A személyes adatok kezelésével kapcsolatos európai uniós szabályozást (General Data Protection Regulation) 2016-ban fogadták el, a tagországoknak és az azokban működő vállalkozásoknak két évük volt az alkalmazkodáshoz.

Mindkét oldal nagy lemaradásban van

A GDPR-szabályozás kiterjed minden olyan hatóságra, gazdasági társaságra és szervezetre, amely az EU-ban élők személyes adatait kezeli, vagy feldolgozza. A rendelet nemcsak az unió területén működő vállalkozásokra, hanem minden olyan társaságra -  akár az USA-ban működő webáruházakra is - kötelező érvényű, amelynek vannak EU-beli ügyfelei. Az uniós rendelet egységesíti a tagországok, így Magyarország adatvédelmi rendelkezéseit, az érvényes helyi adatvédelmi szabályokat is az új előírásoknak megfelelően kell módosítani.

Itthon egyelőre mindkét oldal rossz osztályzatot érdemel, sem az ezzel kapcsolatos állami feladatok nem teljesültek, sem a szabályozás hatálya alá eső társaságok nem állnak jól a felkészülésben. Leginkább a nagyvállalatok, a multik hazai érdekeltségei tették eddig a legtöbbet a ennek érdekében, de még ezek többsége sem lesz "GDPR-képes" a megadott határidőre.

A legnagyobb gondot azonban az állami oldal felkészületlensége okozza, hiszen komoly jogbizonytalanságot teremthet a vállalatok körében, ha addigra nem készül el a GDPR végrehajtását biztosító hazai jogszabályi háttér. Ennek a hiánya ugyanis nem halasztó hatályú, a magyarországi vállalkozásoknak is május végétől az új rendelet szerint kell eljárniuk – hangsúlyozta  Liber Ádám, a Baker McKenzie szakértője, a témához kapcsolódó háttérbeszélgetésen. A lemaradást szerinte az idei parlamenti választások nem megfelelő időzítése is okozza. Hozzáteszi, a hazai adatvédelem teljes körű reformja elmaradt, az Infotörvényhez készült ugyan egy módosító tervezet, ez azonban végül nem került a parlament elé.

Mikor állhat fel az új hatóság?

A rendelet itthoni alkalmazásához legsürgősebben a felügyeleti hatóságot kellene addigra felállítani, amihez azonban kétharmados többség kell. Szükség lesz még a bíróságon kívüli szankciók megállapítására, a tanúsító szervek akkreditációjára, illetve bizonyos, a jelenleg érvényben lévő adatvédelmi törvénnyel ütköző koherenciazavarok felszámolására is, ezek egy része is a kétharmados körbe tartozik.

Másként szabályozza ugyanis a hazai jogszabály például az egészségügyi személyes adatok kezelésével kapcsolatos előírásokat és másként a munkaadó és a munkavállaló közötti jogokat, például azt, hogy előbbi kérhet-e erkölcsi bizonyítványt jövendő munkavállalójától. Liber Ádám szerint a választások után felálló parlamentnek a megadott határidőig már nem lesz ideje a felsoroltak végrehajtására.

Pedig igen nagy a tét: a GDPR szabályainak megsértése esetén kiszabható bírság mértéke elérheti a 20 millió eurót (több mint 6 milliárd forintot), vagy a vállalkozás előző pénzügyi évében elért, teljes bevételének a 4 százalékát is. Ha viszont nem lesz hatóság, amely a rendeletet végrehajtja, és ha kell, bírságol, a jogsérelmet szenvedettek számára csak a bíróságok maradnak. A hatósági szankcionálási egyszerűbb, rövidebb és olcsóbb, mint a pereskedés.

Kulcskérdés az adatvédelem és a kockázatkezelés

A GDPR szigorú előírásokat tartalmaz a beépített (Privacy-by-Design) és az alapértelmezett adatvédelmi elvek (Privacy-by-Default) alkalmazására is, biztosítva a vállalati működés során kezelt adatok teljes körű védelmét. Az előbbinél a cégeknek figyelembe kell venni, hogy a működésük során valóban a megfelelő szintű adatvédelem érvényesüljön. Ennek érdekében már a tervezésbe épített, a teljes körű működést támogató adatvédelmet és kockázatkezelést kell biztosítani. "A teljes adatkezelési életciklus alatt végponttól végpontig terjedő biztonsági megoldásokat, beleértve a az adatgyűjtéseket, adattovábbításokat és -tárolásokat, megfelelő szintű titkosítási megoldásokat kell alkalmazni, a végén pedig a személyes adatokat anonimizálni kell" – sorolta Bereczki Tamás, a Baker McKenzie másik szakértője.

A Privacy-by-Design az adatvédelmi hatásvizsgálatok elvégzésén keresztül valósul meg, ennek érdekében a cégeknek ügyelniük kell az uniós módszertan szerinti kockázatmenedzsment folyamatok kialakítására és működtetésére, a megfelelő belső kockázatkövetési és jelentési tevékenységekre.