„Lényegében hetek vannak csak hátra az új, az EU minden tagállamában egységesen alkalmazandó adatvédelmi rendelet bevezetéséig. Az eddigi tapasztalatok alapján a GDPR-nek hívott előíráscsomag összetett, költséges és időigényes feladatot ró a hazai kkv-szektorra, és nem állítható, hogy jól állnánk a felkészülésben.
Május 25-én lép hatályba az európai uniós új adatvédelmi rendelet, az angol General Data Protection Regulation elnevezésből GDPR-nek rövidített csomag. Mindez védelmet hivatott biztosítani az ügyfeleknek és munkavállalóknak, egyúttal alapjaiban változtathatja meg sok kisebb vállalat működését, amelyeknek egy teljesen új területet kell bevenniük a napi ügyvitelbe, és akár bírságokra is számíthatnak, ha ezt elmulasztják.
A GDPR eredeti célja az volt, hogy az olyan nagy nemzetközi cégeket, amelyek tetemes mennyiségű személyes adatot kezelnek, mint a Google vagy a Facebook, szigorúbban szabályozzák. Utóbbi esetében mindez, látva, hogy lényegében kétmilliárd felhasználójának adataihoz férhettek hozzá illetéktelenek, nem is tűnik indokolatlan elvárásnak. Az ilyen sok milliárd dolláros vállalatoknak nem is jelenthet gondot megfelelni az új előírásoknak, a nagyobb probléma abból adódott, hogy a rendelet kidolgozásakor a különböző állami álláspontok ütköztetésében nem tudták mentesíteni a kis- és középvállalatokat, így technikailag egy hazai, például gyártásban tevékeny közepes cégnek ugyanazon előírásoknak kell megfelelnie, mint egy multinacionális vállalatnak.
Ebből pedig, minden előjel szerint, jelentős nehézségek adódhatnak. A jelenleg hatályos infotörvény 20 millió forintos maximális büntetést tesz lehetővé. Azonban az uniós szintű rendelet felülírja a hazai jogszabályt, így a maximális büntetési tétel 20 millió euró, több mint 6 milliárd forint, vagy a nemzetközi árbevétel 4 százaléka lesz. A szakma várakozása szerint kicsi a valószínűsége annak, hogy adatkezelési ügyekben többmilliárdos büntetéseket rónának kkv-kra, hacsak nem többszörös, súlyos jogsértéseket követnek el. Igaz, egyúttal az ellenkezőjére sincs garancia.
Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vezetője – amely jelenleg az illetékes hazai szerv a GDPR-ügyekben – azt mondta korábban, hogy nem lesz moratórium, vagyis a hazai hatóság szigorúan betartatja az előírásokat. Korábbi beszélgetéseink során elhangzott, a május 25-i dátum már sok szempontból önmagában egy moratórium eredménye, a GDPR bevezetésére már több éve felkészülhettek volna akár a tagállamok hatóságai, akár vállalatai.
A NAIH által sugallt szigor jelenleg komoly bizonytalanságot jelenthet sok hazai cégnek. Egy kkv esetében egy esetleges többmilliárdos büntetés értelemszerűen azonnali csődöt jelenthet, különösen olyan kérdéskörben, amit itthon a legtöbben nem ismernek, és lehetőségük sincs érdemben megfelelni az előírásoknak.
Újfent bizonytalanságot jelent, hogy a NAIH lenne a logikus felügyelője a GDPR betartásának a májusi hatálybalépést követően, ez azonban kétharmados parlamenti szavazást igényel. Ha egyik politikai oldal sem jut alkotmányozó többséghez a holnapi szavazást követően, az látszik valószínűbbnek, hogy az elfogadáshoz szükséges politikai alkudozás elhúzódhat, így annak is reális esélye van, hogy a rendelet hatálybalépésekor nem lesz Magyarországon illetékes szerv kijelölve a felügyeletre.
Komoly probléma, hogy ilyen kevés idővel az élesítés előtt még az alapvetések tisztázása sem történt meg. A GDPR értelmében szigorú házon belüli szabályokat kell bevezetni arról, miként kezeli a vállalat a munkavállalók személyes adatait. Sok esetben az is probléma lehet, hogy nem tudják az adott cég vezetésénél, hogy mi minősül személyes adatnak.
Az értelmezés még sokkal bonyolultabb lehet olyan területeken, mint a gyógyszergyártás, ahol a klinikai vizsgálatoknál a cég kezeli az egyes személyek egészségügyi adatait, az ügyvédeknél, akik munkájukból adódóan számos érzékeny adattal találkoznak, vagy – mint arra egy szakértőnk felhívta a figyelmünket – az újságíróknál, akik szükségszerűen rendelkeznek adott esetben több ezer ember telefonszámával vagy egyéb elérhetőségeivel.
A GDPR nagyon jó üzleti lehetőséget jelent jogászoknak és informatikusoknak, akik jelenleg is tartják a képzéseket a cégeknek, hogy eleget tudjanak tenni a rendelet előírásainak. Itt azonban egyből visszaüt az a tény, hogy a követelmények ugyanazok egy globális cég, mint egy hazai kistelepülésen működő kft. esetében. Mint az szakértői beszélgetésekből kiderült, egy kkv átvilágítása egy ügyvédi irodának 50 vagy 100 munkaórát jelent, és itt még nincs szó a szükséges informatikai megfelelésről.
Ez önmagában jelentős anyagi terhet jelenthet a vállalatoknak, amit megkerülni sem lehet. Mint azt egy, a területet ismerő ügyvéd lapunknak elmondta, annyira bonyolult a kérdés, hogy egy kkv-nak nincs érdemi esélye önerőből megfelelni az előírásoknak. Ráadásul sok iparág számos, eltérően működő cégére még csak egységes „megoldókulcsot” sem lehet kidolgozni.”
Forrás:
Új helyzet az adatvédelem terén ; Rácz Gergő; Magyar Idők; 2018. április 8.
