Úgy tűnik, hogy még idén pont kerülhet az adatvédelmi reform körül több éve húzódó vita végére, ugyanis az Európai Tanács elfogadta az EU-s adatvédelmi rendelet tervét, amely a következő hónapokban az Európai Bizottság, az Európai Tanács és az Európai Parlament között zajló háromoldalú tanácskozásokon nyerheti el végleges formáját. Bár a rendelet csak két évvel a publikálása után lép hatályba, a vállalatoknak érdemes figyelemmel kísérnie a folyamatot, ugyanis az új szabályok számos előkészületet igényelnek. Lássuk, mit érdemes tudni a reformról!
Az EU új adatvédelmi rendelete (General Data Protection Regulation – GDPR) célja, hogy a jelenleg tagállamonként eltérően implementált, 1995-től hatályos EU-s adatvédelmi szabályozást egységessé tegye az egész kontinensen. Az Európai Unió szervei júniustól kezdve többször találkoznak, hogy megvitassák a reform kérdéses pontjait. A rendelet végső formája már akár ez év végére is elkészülhet, a publikálástól számított két éven belül pedig hatályba is léphet. A rendelet hivatalos publikálásával az 1995-ös adatvédelmi irányelv (95/46/EC) hatályát veszti, az egyes tagállamok által implementált és alkalmazott adatvédelmi jogszabályok azonban vélhetőleg mindaddig hatályban maradnak, amíg az új rendelet hatályba nem lép. A korábbi tapasztalatok viszont azt mutatják, hogy egyelőre nem érdemes kőbe vésni a fenti időpontokat, ugyanis nem egyszer fordult már elő, hogy nézetkülönbségek miatt a tervezett dátumokat el kellett csúsztatni.
Mivel az új rendelet nem tud minden egyes adatvédelmi kérdésre felkészülni, az Európai Bizottság az adatvédelmi hatóságokkal együttműködve meghatározza a rendeletben szereplő rendelkezések gyakorlati alkalmazásához szükséges irányelveket, hogy valamennyi tagállam egyenlő módon implementálhassa őket. A reform számos vállalkozás számára új kihívásokkal fog járni, amihez elengedhetetlen, hogy az érintettek tisztán lássák és megértsék az új jogszabályt.
Ezek közé tartozik például a „személyes adat” fogalmának újradefiniálása, az „egyértelmű hozzájárulás” fogalmának értelmezése, a tisztességes eljárás részletes követelményeinek gyakorlati alkalmazása, az adatfeldolgozókra rótt újabb kötelezettségek meghatározása, a felejtéshez, illetve az adathordozhatósághoz való jog alkalmazása, a tájékoztatási kötelezettséggel kapcsolatos eljárások szigorodása, a rendeletben előirányzott tanúsítási eljárások részleteinek kidolgozása vagy a belső irányítási folyamatok szabályozása.
A szabálysértő cégek szankcionálására a Tanács a bírságok egy háromszintű rendszerét hagyta jóvá, amelyben a nemzeti adatvédelmi hatóságok a bírság mértékét a törvénysértő magatartás természetétől tennék függővé. A maximális kiszabható büntetés mértékét a Tanács a cégek globális árbevételének 2 százalékában, illetve 1 millió euróban határozná meg, ami jelentősen magasabb a Magyarországon jelenleg kiszabható maximális bírságnál, még azzal együtt is, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által kiszabható bírságösszeg az Országgyűlés júliusi döntése nyomán 10 millió forintról 20 millió forintra emelkedik. Az EP-képviselők azonban még a Tanács által javasoltnál is magasabb bírságot határoznának meg, az éves árbevétel 5 százalékát, illetve 100 millió eurót.
A rendelet hatásköre az Európai Unión kívülre is kiterjedne, olyan vállalatokra is, amelyek az európai uniós polgárok számára kínált árun vagy nyújtott szolgáltatás, illetve a viselkedésük elemzésén keresztül gyűjtenek és dolgoznak fel adatokat. Tehát a rendelet például olyan amerikai vállalatokra is kiterjedne, amelyek a weboldalukon keresztül gyűjtenek információt az európai felhasználókról.
Továbbá egy olyan bonyolult végrehajtási rendszer létrehozása is tervbe van véve, amely a nemzeti határokon túlra nyúló hatásokkal járó törvénysértésekkel foglalkozna. Többek között ezekben az esetekben jut majd kiemelt döntéshozói szerep a 29-es munkacsoportot leváltó új adatvédelmi szervnek, az Európai Adatvédelmi Testületnek (European Data Protection Board – EDPB), amely az egyes nemzetközi hatóságok közötti vitás kérdések megoldásában nyújt segítséget.
Bár a GDPR több hónapos viták és tanácskozások nyomán nyerheti el végső formáját, az már most látszik, hogy mind az Európai Unióban, mind az EU határain kívül működő cégeknek számos adatkezelési szabályzatukat és gyakorlatukat érintő változásra fel kell készülniük, ugyanis a rendelkezések be nem tartását az európai szervek – bármilyen felső értékhatárban állapodjanak meg –, a korábbinál jelentősen magasabb bírságokkal kívánják visszaszorítani.
A cikk szerzője:
Kozma Zoltán
Szellemi Alkotások és Technológiai csoportvezető