Óriási bírságokkal riogatják a magyar cégeket - tényleg az armageddon jön egy év múlva?

Az elmúlt hónapokban nem telt el úgy nap, hogy valamilyen hír ne jelent volna meg az Európai Unió új adatvédelmi rendeletéről. A legtöbb megjelenés, akár jogi, akár üzleti oldalról is született, elsősorban arról próbálja meggyőzni a közönségét, hogy olyan nagy horderejű újdonságok és változások kerülnek bevezetésre ezáltal, amelyeket a cégek - különösen a kkv-szektor - csak nagyon nehezen, hosszú felkészüléssel tud teljesíteni. A valóság azonban az, hogy azok a vállalkozások, akik eddig is ügyeltek arra, hogy megfeleljenek a magyar adatvédelmi jogszabályoknak és a NAIH-előírásainak, az új rendelet hatályba lépésével nem kényszerülnek gyökeres változtatásokra - írja összefoglalójában dr. Horváth Katalin, a Sár és Társai Ügyvédi Iroda adatvédelemben jártas ügyvédje.

Azok a cégek viszont, akik eddig sem foglalkoztak az adatvédelemmel és nem tanúsítottak jogkövető magatartást, tényleg újdonságokkal találkozhatnak – persze nem azért, mert annyira más lesz az új jogszabály, hanem azért, mert a régit sem ismerték és nem követték, és most egyszerre kell megfelelniük egy szigorúbb szankciót alkalmazó új rendeletnek.

1. tévhit: A rendeletre nincs elég idő felkészülni

A rendelet 2018. május 25-én, azaz több, mint egy év múlva lép hatályba, így sok idő áll még rendelkezésre ahhoz, hogy az eddig is gondos és jogkövető vállalkozások felkészüljenek az alkalmazására. Az egy éves időtartam elsősorban azoknak tűnhet rövidnek, akik nem foglalkoztak az adatvédelmi kérdésekkel az elmúlt években.

2. tévhit: Sokkal szigorúbb szabályokat ír elő a rendelet az adatkezelésre

A magyar adatvédelmi jogszabály, az Infotörvény. eddig is a legszigorúbbak közé tartozott az Európai Unióban, a jogalkalmazásban pedig az adatvédelmi hatóság (NAIH) is az egyik legrigorózusabban járt el - írja a szakértő. Az eddigi bírságplafon 20 millió forint volt, a nagyobb vállalatok ezt gyakran már be is kalkulálták költségvetésükbe - az új bírságplafon viszont kitolja kisebb súlyú jogsértés esetén 10 millió euró (bő 3 milliárd forint) illetve az előző éves forgalom 2 százaléka, míg súlyos jogsértés esetén 20 millió euró illetve a forgalom 4 százaléka, amit már nem olyan egyszerű csak úgy benyelni a nagyobb cégeknek sem.

Változás, hogy adatvédelmi felelőst szélesebb körben kell majd alkalmazni - mindenkinek, aki olyan adatkezelést végez, amely az érintettek nagymértékű, szisztematikus és rendszeres megfigyelését teszi szükségessé.

Emellett az új rendelet általános jelleggel korlátozza a hozzájárulás nélküli profilalkotást, bár ez részben már eddig is helyet kapott a magyar jogszabályban.

Ezen túlmenően azonban a rendelet inkább sok helyen enyhít a magyar szabályokhoz képest:

• a különleges adatok kezeléséhez az írásbeli hozzájárulás helyett csak kifejezett hozzájárulást követel meg;
• az előzetes tájékoztatást nem az adatkezelés megkezdése előtt kell megadni, hanem elegendő legkésőbb az adatok megszerzésének időpontjában;
• meghatároz olyan esetköröket, amikor nem kell törölni az adatokat - ezek eddig a magyar jogban a törlési kötelezettség alá estek;
• az adatkezelés elleni tiltakozási jogot kötelezően csak a közvetlen üzletszerzés érdekében történő adatkezelésre, valamint a közérdekű adatkezelés és jogos érdeken alapuló adatkezelés esetén biztosítja, az egyéb célú adatkezelésre nem biztosít ilyen jogot kötelezően és általánosan, szemben a magyar jogszabállyal
• nem írja elő a központi állami adatvédelmi nyilvántartásba történő adatkezelési bejelentést az adatkezelés megkezdése előtt, pusztán azt követeli meg, hogy az adatkezelők maguk vezessenek adatkezelési nyilvántartást.

3. tévhit: A rendelet alapjaiban változtatja meg az adatkezelés elveit és jogalapját

Dr. Horváth Katalin szerint a magyar Infotörvény és az uniós jogszabály adatkezelésre vonatkozó alapelvei kevés kivétellel szinte teljesen megegyeznek, mindkettő megköveteli az adatkezelőtől egyebek közt azt, hogy személyes adatot csak előre meghatározott célból kezeljen, a cél megvalósulásáig. Vagyis aki eddig betartotta a magyar jogszabályt, annak az új rendelet alapján sem lesz félnivalója - írja a szakértő.

4. tévhit: Az új rendelet rengeteg újdonságot hoz

Kétségkívül hoz újdonságokat az adatvédelmi rendelet, de a magyar szabályozáshoz képest rengeteg nóvumról azért nem beszélhetünk – hangsúlyozta dr. Horváth Katalin ügyvéd.

Az új rendelet bevezeti az elszámoltathatóság alapelvét, amely alapján az adatkezelő felelős az adatkezelés elveinek betartásáért (ez eddig is így volt), azonban most már ezt ténylegesen igazolnia is tudni kell (a NAIH gyakorlata pedig eleve ezt az elvet követte jogszabályi előírás nélkül is).

Új fogalmakat hoz az EU-s jogszabály, mint például a profilalkotás általános fogalmát, a genetikai, biometrikus és egészségügyi adat fogalmát, amely utóbbit a magyar Infotörvény részletesen nem tartalmazta (de magát a fogalmat használta), hanem csak az egészségügyi ágazati jogszabályban került eddig meghatározásra.

A rendelet az önkéntes, tájékozott hozzájáruláson és a jogszabályi engedélyen alapuló adatkezelés mellé egy harmadik adatkezelési jogalapot is bevezet: a jogos érdeken alapuló adatkezelést, ami alapján az adtakezelés jogszerű, ha az az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

Igazi újdonság viszont a rendeletben az adatvédelmi hatásvizsgálat (Data Protection Impact Assessment – DPIA) bevezetése, amely alapján az adatkezelő köteles hatásvizsgálatot végezni, ha a tervezett, új technológiát alkalmazó adatkezelés valószínűsíthetően magas kockázattal jár az érintettek jogaira és szabadságaira nézve, és ha a magas kockázatot a vizsgálat kimutatja, akkor a felügyeleti hatósággal történő előzetes konzultáció lefolytatása is szükséges lesz.

5. tévhit: A felkészüléshez csak a rendelet szabályainak kell megfelelni

A legtöbb sajtóban megjelent összefoglaló, az adatkezelőknek tartott felkészítő kurzus, tanfolyam nem említi, hogy a rendelet egyes témaköröket tagállami hatáskörben tart, vagy legalábbis megengedi, hogy a tagállamok kiegészítő vagy esetleg szigorúbb, illetve eltérő szabályokat állapítsanak meg. Ez azt jelenti, hogy nem elegendő a vállalkozásoknak az új rendelet szövegének megfelelni, figyelemmel kell kísérni az adott tagállami jogalkotást is, amely pedig – legalábbis Magyarországon – nem kapkod, és még nem kerültek elfogadásra a rendelet hatályba lépésével szükségessé váló vagy éppen ezen lehetőséget kihasználni törekvő kiegészítő jellegű jogszabály módosítások.

A rendelet hatályba lépése előtt egy évvel a felkészüléshez csak a jogszabályok megközelítőleg 80%-a ismert, a többi 20% még nem tudható, és akár jelentős szigorítást, eltérést vagy kiegészítő feltételeket is magával hozhat - emelte ki dr. Horváth Katalin ügyvéd.