Tegnap megjelent a NAIH helyzetét a GDPR-hoz igazító törvénymódosítási javaslat, ami tartalmaz egy fontos kiegészítést, miszerint a Nemzeti Adatvédelmi és Információszabadság Hatóság az adatvédelmi jogszabályok első megsértésekor “elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik”.
Vagyis első alkalommal nem büntet. Sőt, kifejezetten kiemeli, hogy nem a KKV-knak, hanem a multiknak van „félnivalójuk”:
„a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok ellen fellépve szükséges alkalmazni, míg a többi gazdasági szereplő – elsősorban és kiemelten a kis- és középvállalkozások – tekintetében az arányosság elvét figyelembe véve a figyelmeztetés jogkövetkezményét indokolt alkalmazni. Magyarországon ugyanis igen nagyszámú kis- és középvállalkozás működik, amely vállalkozásokra jelentős terheket ró a Rendeletnek való megfelelés biztosítása. „
Most akkor megmenekültünk a GDPR-tól?
Nem kell átalakítani a szabályzatainkat és a folyamatainkat, nem kell cookie banner, nem kell jóváhagyás a hírlevél feliratkozáshoz, változás nélkül mehet tovább a remarketing?
Ébredjünk fel az adatvédelmi rémálomból, és térjünk vissza a munkához?
Nos nem erről van szó.
Egyrészt az adatvédelem fontos. Hogy miért tartom annak, azt leírtam egy cikkben a Forbes.hu-n.
[Frissítés 2018.05.30. 15:30] Arról nem is beszélve, hogy több jogásztól is hallottam már olyan értelmezést, hogy nem biztos, hogy ez a törvénymódosítás tud enyhíteni az EU-s rendeleten. Egy részletesebb indoklást itt olvashattok.
De azt gondolom, nem is ez a lényeg…
Másrészről pedig nagyon gyorsan körbeér a folyamat, ha ugyanis valakinek van egy multi ügyfele, akire a kormány a KKV-k helyett szeretne fókuszálni adatvédelmi büntetés ügyben, akkor a multi meg fogja követleni a beszállítóin a GDPR megfelelést. Ha pedig egy beszállító nem fog megfelelni, könnyen lehet, hogy elveszti az ügyfelét.
Lehet, hogy a hatóság nem fog büntetni azonnal (!), de a piac igen.
Viszont kaptunk egy kis időt.
Nem arra, hogy megvárjuk, amíg először bekopogtat a hatóság.
Hanem arra, hogy megszülessenek azok a döntések, amik eddig olyan nehézzé tették a megfelelést, hiszen nem volt tiszta a NAIH álláspontja. Kell-e DPO, mikor alkalmazható pontosan a jogos érdek, és még számos olyan kérdés van, amihez jó lenne látni a hivatal állásfoglalását, mielőtt megszületnek az első büntetések.
Azt javaslom, aki még nincs kész, ne tegye teljesen félre az ügyet.
Kövesse a helyzet alakulását, működjön továbbra is együtt egy szakértővel, és ahogy jönnek a pontosabb részletek, alakítsa hozzájuk mindenképpen a saját szabályzatait, rendszereit, folyamatait. És persze addig is tegyen meg mindent amit csak tehet a törvényi megfelelésnek.
Mert lehet, hogy a NAIH soha nem fog eljutni a cégéhez, és így megússza a büntetést. De piaci oldalról egyre nagyobb igény lesz a GDPR megfelelés, és ez komolyabb kényszerítő erő lehet, mint egy hivatalos ellenőrzés.