GDPR: utólagos kapkodás és félreértett büntetlenség?

Közel hat évvel ezelőtt kezdtek el dolgozni uniós szinten a mára a köztudatba GDPR (General Data Protection Regulation ) rendeletként beépült adatvédelmi szabályozáson. A GDPR ugyan 2016 áprilisában hatályba lépett, ám csak kétéves türelmi idő lejárta után, 2018. május 25-től lett alkalmazandó az EU tagállamokban. Mint ebből is látható, meglehetősen nehéz indokot találni arra, miért tűnik úgy, mintha a hazai kormányt és a magyar vállalkozásokat váratlanul érte volna a dolog. Egészen odáig szinte senki nem törődött a GDPR idei bevezetésével, amíg nyilvánosságra nem kerültek a hatalmas, akár 10 millió eurós büntetési tételek. Innentől kezdve aztán jött a kapkodás: egyre több hazai cég kezdte komolyan venni a kérdést és megkezdeni a felkészülést az új adatvédelmi gyakorlatra. Az utolsó pillanatban, kapkodva, de jó esetben azért szakértői segítséget is kérve. Aztán történt valami egy nappal a GDPR életbelépésének május 25-ei határideje előtt, amitől egy csapásra leapadt a felkészülési láz. 

Sajtótájékoztató a megnyugvásért

Történt ugyanis, hogy a magyar kormány május 24-én sajtótájékoztatót tartott, ahol Gulyás Gergely Magyarország miniszterelnökséget vezető minisztere bejelentette: igyekeznek úgy alakítani a hazai szabályozást, hogy első alkalommal ne büntessék a GDPR felkészülést leginkább nyűgként megélő hazai kkv-kat.

Mindez szép és jó, s bár a kormány hivatalosan nem mehetne szembe az EU-s szabályozással - amelyben ilyesféle szemet hunyási lehetőség nyomokban sem található -, nincsenek egyedül. Úgy tűnik, a Magyar és az Osztrák kormány is megcsúszott kissé a GDPR és a saját jogszabályok összehangolásával, így előre menekültek és úgy döntöttek (vagy egyelőre a törvényjavaslat alapján úgy terveznek dönteni), hogy az első incidensnél még nem kell remegniük a kis- és közepes vállalkozásoknak az azonnali temetéstől (lássuk be, hogy az „enyhébb” 10 millió eurós büntetési tétel, de akár a minimális 100 ezer eurós büntetés is azonnal agyoncsapná a hazai kkv-k többségét), csak figyelmeztetésben részesülnek.

https://www.youtube.com/watch?v=lICSCKgEllA

A gond csak annyi, hogy a hazai kkv-k e bejelentésből mindössze a “nem büntetnek” részletet tették magukévá, így aztán mire 25-én felkelt a nap, itthon már senkit nem érdekelt, hogy bevezetődik a GDPR. Úgysem büntetnek.

Van azonban ezzel pár aprócska probléma. Például az, hogy a kormány hivatalosan nem mehetne szembe a GDPR szabályozás kitételeivel. Viszont ha átviszik, annak itthon minden kkv örül majd. Csak hát ugye, mi is pontosan az a kkv? A pontos meghatározás homályos, így viszont e bejegyzés írásakor nehéz megmondani, kire vonatkozik ez a fajta “engedmény, vagyis ki ússza meg az első incidenst egy ejnye-bejnyével. 

Másodszor a vállalkozásoknak érdemes lenne egész mondatokban gondolkodni: a “nincs büntetés” elé mégiscsak oda kellene biggyeszteni az “első incidensig” kitételt. Nem mintha a sajtótájékoztatón kiderült volna, hogy mi lesz a második alkalommal, de józan paraszti ésszel is feltétezhető, hogy ott már bírsággal kell számolni. Szóval a felkészülést sutba dobni finoman szólva is felelőtlenség.

További izgalmas tény, hogy a GDPR esetében az adatvédelmi incidenst nem vagyunk kötelesek az adott országban bejelenteni. Ez egy EU-s szabályozás, szóval EU-n belül bárhol tehető bejelentés (elvileg a bírság sem az adott kormányhoz vándorol, hanem megy a közösbe és onnan osztják tovább, egyelőre ismeretlen algoritmus szerint).

Az ellenőrzés egyébként elvileg nem a felügyelőszervként kijelölt NAIH fő feladata lesz. Bár ők igyekeztek technikailag és emberállománnyal is felkészülni a GDPR bevezetésére, de elsősorban megtörtént incidensekkel foglalkoznak, illetve igyekeznek állásfoglalásokkal segíteni a hazai cégeket a GDRP megfelelőség összehozásában. A NAIH-nak egyébként sincs mindig mérlegelési jogköre, hiszen vannak bizonyos esetek, amelyeknél egzaktul le van írva, mit a teendő. A WP29 munkacsoportnál nyilatkoznak a szankciók sávozásáról. A tagállamoknak van ugyan némi mozgásterük, de mint az a bevezetőből is kitűnt, az eltelt hat - vagy szorosan véve két - évben ezzel kapcsolatban nem sikerült mindent rendesen előkészíteni. Idehaza persze az eddigi információs törvény is kellően szigorú volt (itt-ott még szigorúbb, mint a GDPR szabályozásai), de ez legfeljebb könnyíthetné a jogalkotók munkáját. A jogharmonizáció ettől még nem elkerülhető.

Még mindig csak részleges a felkészültség

Nálunk egyébként nem csak multinacionális cégek kértek - oktatási fázissal kiegészített - segítséget a felkészüléshez, hanem nagyobb kkv-k is. Akik komolyan vették, azoknak a 24-ei bejelentésnél is egyértelmű volt, hogy ez mindössze időhúzásra jó, vagyis az, hogy az első incidens megúszható figyelmeztetéssel, nem jelenti azt, hogy a másodiknál nem jön a belebegtetett, több millió eurós büntetés. Ráadásul olyan korban élünk, ahol az adatvédelmi incidensek gyakorlatilag mindennaposak, így a GDPR nem egy újabb EU-s macera, hanem a felhasználók, ügyfelek érdekeit keményen védő rendelkezés. Utálni lehet, de a szükségessége nagyon nehezen megkérdőjelezhető (más dolog, hogy mindenben logikus-e. vagy itt-ott talán elszálltak agyban kicsit az alkotói). Az adatbiztonsággal foglalkozni kell, a GDPR pedig hatalmas pofont adott ehhez a cégeknek, hogy a megfelelő irányba lendítse őket ezen a területen. A felkészülés tehát a 24-ei sajtótájékoztató ellenére is ugyanolyan fontos, mint amilyennek előtte tűnt. Az első incidens esetleges büntetlenségét nem arra kell felhasználni, hogy megnyugodva hátradőljünk, hanem arra, hogy kihasználjuk az extraként kapott időt és legalább egy esetleges második alkalommal már teljesen kompatibilis legyen a cégünk a GDPR rendelkezéseivel.