Megmenekültünk a GDPR-tól! Vagy még sem?


Tegnap megjelent a NAIH helyzetét a GDPR-hoz igazító törvénymódosítási javaslat, ami tartalmaz egy fontos kiegészítést, miszerint a Nemzeti Adatvédelmi és Információszabadság Hatóság az adatvédelmi jogszabályok első megsértésekor “elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik”.

Vagyis első alkalommal nem büntet. Sőt, kifejezetten kiemeli, hogy nem a KKV-knak, hanem a multiknak van “félnivalójuk”:

“a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok ellen fellépve szükséges alkalmazni, míg a többi gazdasági szereplő – elsősorban és kiemelten a kis- és középvállalkozások – tekintetében az arányosság elvét figyelembe véve a figyelmeztetés jogkövetkezményét indokolt alkalmazni. Magyarországon ugyanis igen nagyszámú kis- és középvállalkozás működik, amely vállalkozásokra jelentős terheket ró a Rendeletnek való megfelelés biztosítása. “

Most akkor megmenekültünk a GDPR-tól?
Nem kell átalakítani a szabályzatainkat és a folyamatainkat, nem kell cookie banner, nem kell jóváhagyás a hírlevél feliratkozáshoz, változás nélkül mehet tovább a remarketing?

Ébredjünk fel az adatvédelmi rémálomból, és térjünk vissza a munkához?

Nos nem erről van szó.
Egyrészt az adatvédelem fontos. Hogy miért tartom annak, azt leírtam egy cikkben a Forbes.hu-n.

[Frissítés 2018.05.30. 15:30] Arról nem is beszélve, hogy több jogásztól is hallottam már olyan értelmezést, hogy nem biztos, hogy ez a törvénymódosítás tud enyhíteni az EU-s rendeleten. Egy részletesebb indoklást itt olvashattok.

De azt gondolom, nem is ez a lényeg…

Másrészről pedig nagyon gyorsan körbeér a folyamat, ha ugyanis valakinek van egy multi ügyfele, akire a kormány a KKV-k helyett szeretne fókuszálni adatvédelmi büntetés ügyben, akkor a multi meg fogja követleni a beszállítóin a GDPR megfelelést. Ha pedig egy beszállító nem fog megfelelni, könnyen lehet, hogy elveszti az ügyfelét.

Lehet, hogy a hatóság nem fog büntetni azonnal (!), de a piac igen.

Viszont kaptunk egy kis időt.
Nem arra, hogy megvárjuk, amíg először bekopogtat a hatóság.

Hanem arra, hogy megszülessenek azok a döntések, amik eddig olyan nehézzé tették a megfelelést, hiszen nem volt tiszta a NAIH álláspontja. Kell-e DPO, mikor alkalmazható pontosan a jogos érdek, és még számos olyan kérdés van, amihez jó lenne látni a hivatal állásfoglalását, mielőtt megszületnek az első büntetések.

Azt javaslom, aki még nincs kész, ne tegye teljesen félre az ügyet.
Kövesse a helyzet alakulását, működjön továbbra is együtt egy szakértővel, és ahogy jönnek a pontosabb részletek, alakítsa hozzájuk mindenképpen a saját szabályzatait, rendszereit, folyamatait. És persze addig is tegyen meg mindent amit csak tehet a törvényi megfelelésnek.

Mert lehet, hogy a NAIH soha nem fog eljutni a cégéhez, és így megússza a büntetést. De piaci oldalról egyre nagyobb igény lesz a GDPR megfelelés, és ez komolyabb kényszerítő erő lehet, mint egy hivatalos ellenőrzés.

Leave a Reply

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.