Csaknem napra pontosan egy év múlva, 2018. május 25-én lép hatályba az Európai Unió új adatvédelmi rendelete, amely merõben új szemléletével jelentõs alkalmazkodási terhet ró a magyar vállalatokra is. A GDPR a korábbi adatvédelmi irányelvtõl eltérõen immár rendelet formájában jelent meg, azaz minden tagország számára egyformán kötelezõ hatályú, ezzel kizárja az eltérõ tagországi implementáció jelentõségét.

A KPMG errõl rendezett szakértõi konferenciáján dr. Péterfalvi Attila, a NAIH elnöke úgy fogalmazott: téved, aki arra számít, hogy a nemzetközi viszonylatban is rendkívül szigorúnak számító magyar infótörvény miatt a GDPR csak könnyítést hozhat a magyar adatkezelõknek. A rendelet ugyanis nagyon határozott és pontos utasításokat ad az adatkezelõknek, ahol pedig nem, ott olyan kitételeket tartalmaz, mint az adatkezeléskor rendelkezésre álló technológia, illetve észszerûen elvárható lépések, amit az adatvédelmi hatóságok és a bíróságok rendkívül szigorúan értelmezhetnek.

Péterfalvi Attila világossá tette, hogy a NAIH minden tekintetben a nemzetközi bírságolási gyakorlatot fogja alkalmazni, azaz ugyanaz az adatvédelmi szabálysértés ugyanolyan bírságot von majd maga után, mint Európa más országaiban. A NAIH a rendeletben definiált kölcsönös segítségnyújtás elvét úgy értelmezi, hogy amennyiben kérdésként merülne fel a bírság mértéke, úgy kikérné a tagállamok adatvédelmi hatóságainak gyakorlatát, és aszerint fog eljárni.

A bírság igen jelentõs lehet. A szabályozás szerint a kisebb súlyú ügyek 10, a nagyobb súlyúak 20 millió euró bírsággal sújthatók, és a rendelet pontos besorolást tartalmaz arra vonatkozóan, hogy mely szabálysértések mely csoportba tartoznak. A magyar adatvédelmi elnök ugyanakkor kijelentette, hogy bár az Európai Bizottság elvárja a tagállamok hatóságaitól, hogy adatvédelmi szabálysértés ne maradjon bírság nélkül, ennek nem látja értelmét. „Elképzelni sem tudja, hogy más tagállamok hatóságai ezt szó nélkül elfogadnák. A bírság mértéke a tagállami hatóságok döntési kompetenciája, az pedig lehetetlen, hogy egy egyébként évek óta tisztességesen mûködõ vállalkozást egy kisebb súlyú hiba miatt ne annak kijavítására kötelezzünk és figyelmeztetésben részesítsük, hanem még komoly bírsággal is sújtsuk” – mondta az elnök.

Ettõl függetlenül Péterfalvi Attila szerint a magyar cégeknek haladéktalanul meg kell kezdeniük a felkészülést a GDPR hatályba lépésére 2018. május 25. után, ugyanis mindent annak szellemében kell megítélnie a hatóságnak. A legfontosabb változás az eddigi adatvédelmi eljáráshoz képest a rendeletben talán az, hogy megfordul a bizonyítási kényszer, vagyis a cégeknek nemcsak be kell tartaniuk a szabályokat, de be is kell tudni bizonyítaniuk, hogy ez a helyzet, hiszen bármilyen panasz vagy adatszivárgás esetén nekik kell bemutatniuk, hogy valóban megfelelnek az elõírásoknak.

A NAIH elnöke elmondta, hogy a vállalkozásoknak lényegében minden eddigi adatkezelési gyakorlatot át kell vizsgálniuk, és a legtöbbet át is kell alakítaniuk, hiszen a magyar cégek közül csak igen kevesen felelnek meg például annak az új elõírásnak, hogy az érintettek számára biztosítani kell az adatok kikérhetõségét, ellenõrizhetõségét vagy ingyenes hordozhatóságát. Péterfalvi Attila úgy fogalmazott, hogy mindezek miatt minden magyar adatkezelõ jól teszi, ha 2018-as költségvetésében a szokásosnál jóval nagyobb informatikai költségekkel számol, hiszen mindez a rendszerek átalakítását igényli.

Ugyancsak a költségek növekedését vonja maga után, hogy a GDPR életbe lépését követõen a vállalatok szélesebb körében kell majd adatvédelmi tisztviselõt kinevezni, akiknek a felelõsségi köre is érdemben nõ, ezért komoly képzéseken is részt kell venniük. Ehhez hasonlóan a kiemelt adatkezelésnek minõsülõ tevékenység indítása esetén adatvédelmi hatástanulmányt is kell készítenie az alkalmazónak. Egészen biztosan ebbe a körbe esnek a térfigyelõ kamerák, a munkahelyi teljesítményösztönzõ rendszerek, vagy a profilalkotásra alkalmas eszközök, de ezzel kapcsolatban még elõkészületben van egy lista az Európai Bizottságnál.

A rendelet már nem kizárólag az államtól, hanem inkább a gazdasági szféra szereplõinek esetleges visszaéléseitõl is meg kívánja óvni a magánszemélyeket, továbbá reagál a technológiai fejlõdés által generált új élethelyzetekre (biometrikus adat, genetikai adat, online azonosítók mint pl. az IP-cím mint személyes adat kezelésére is) – mondta a konferencián dr. Tóásó Bálint, a KPMG Legal irodavezetõ ügyvédje. A GDPR éppen ezért egyértelmû elõírásokat tartalmaz arra vonatkozóan is, hogy a vállalkozások milyen módon szerezhetik be az érintettek hozzájárulását az adatkezeléshez. A régi engedélyeket ugyan nem kell újra bekérni, de 2018 májusa után az újakat már csak ennek megfelelõen lehet beszerezni.

A rendelet alkalmazására való felkészülést célszerû megfelelõ sorrendben végezni – emelte ki Hargitai László, a KPMG informatikai tanácsadója. Elsõként a szervezet stratégiájában kell súlyát megilletõ helyet találni az adatvédelemnek. Második lépésként célszerû teljes körû felmérést végezni arról, hogy az adott vállalat hol, milyen eszközökkel kezel személyes adatokat. Fontos, hogy ezt a sorrendet ne cseréljük fel, és ne abban gondolkodjunk, hogy egy új és sokat reklámozott technológia mûködtetéséhez hogyan igazítsuk hozzá a cégünk mûködését – hangsúlyozta az informatikai szakértõ.

A konferencián szó volt továbbá az energiaipar változó szabályozásáról is, elsõsorban az ún. Téli Csomag adatkezelésre vonatkozó tervezett rendelkezései mentén. Dinh Tamás, a KPMG energetikai és közüzemi tanácsadási csoportjának szakértõje kifejtette, hogy a fogyasztói adat immár kiemelt érték az energiaszolgáltatásban, és komoly versenyelõnyt jelent, ha egy-egy szolgáltató integráltan tudja kezelni fogyasztóinak adatait, hiszen így hatásos szegmentálást tud végrehajtani a kiegészítõ szolgáltatások nyújtásához, valamint a költségcsökkentést lehetõvé tevõ digitális szolgáltatások bevezetéséhez (pl. elektronikus számla). A fogyasztói adatok központosított, integrált kezelése számos szolgáltatónál még nem megoldott, így annak fejlesztését akár össze is lehet kötni a GDPR-felkészüléssel – szögezte le Dinh Tamás.

A KPMG konferenciájának fõ üzenete az volt, hogy készülni kell: a technológiai-jogi megoldások megvannak, és még éppen elég idõ van egy alapos felkészülésre. De az óra ketyeg.