Egyre fogy az idő a GDPR, az új, az Európai Unió minden tagállamában kötelezően alkalmazandó adatvédelmi rendelet hatálybalépéséig, ami nagy fejtörést okozhat a hazai cégeknek – már amelyek egyáltalán tudják, miről van szó: a Quadron kibervédelmi cég a napokban olyan becslésekre hivatkozott, amelyek szerint a hazai cégek és szervezetek 30 százaléka soha nem hallott még az egységes európai adatvédelmi rendelet szabályairól, a maradék 70 százalék több mint fele pedig hallott ugyan róla, de fogalma sincs, mihez kellene kezdenie velük.
Az országgyűlési választások eredménye sok kérdésre választ adott, mivel a kormánypártoknak módjukban áll majd a következő parlamenti ciklusban a kétharmados törvények módosítása, így többek között a rendelet betartását felügyelő szervet is kijelölhetik. Ez minden bizonnyal a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) lesz, amely jelenleg is felelős a GDPR-ral kapcsolatos ügyekért. Mindez viszont az eddigi tapasztalatok alapján nem jelent könnyítést az egyes cégeknek a felkészülésben.
Liber Ádám, a Hegymegi-Barakonyi és Társa Baker & McKenzie Ügyvédi Iroda szakértője a napokban azt mondta, hogy hatósági részről sincs kellő támogatás. Jelenleg a NAIH úgy foglalkozik a GDPR témával, hogy nem nyújt segítséget a hazai vállalkozásoknak. Liber elmondása szerint a NAIH jellemzően elzárkózik a konzultációs megkeresésektől, többek között forráshiányra hivatkozva. Azonban nem tett egyéb lépéseket sem, mert például átültethette volna más országok által elkészített, a rendeletnek megfelelő protokolljait és formanyomtatványait.
A kérdésben több uniós ország hatósága mutat jó példákat, Németországban, Nagy-Britanniában, de akár a közép-európai térségben is elérhetők olyan információforrások és ténylegesen használható formadokumentumok, amelyek itthon nem. Ezek közül néhányat jelenleg közösségi munkában fordítanak magyarra.
Mindez jelentős költséget is jelent majd a vállalatoknak, és úgy tűnik, elkerülhetetlen költséget, mivel a téma bonyolultsága miatt nem látszik reálisnak, hogy egy, amúgy a kérdést nem követő vállalat magától eleget tudna tenni az előírásoknak. Mint azt Bereczki Tamás – szintén a Baker & McKenzie ügyvédje – elmondta, az aránytalanságot éppen az adja, hogy az amúgy is szigorúan szabályozott iparágak, mint a bankrendszer vagy a távközlés már eleve komoly adatkezelési előírások mentén működnek. Azonban egy kkv-nak ez jó eséllyel teljesen új terület. Megjegyezte, az iránymutatáson túl más országok, például a francia felügyelet nyílt forráskódú szoftverrel is támogatja a cégek felkészülését az egyéb elérhető útmutatók mellett, de Magyarországon ilyen sincs.
A kormánypárti kétharmados parlamenti többséggel megvan a lehetőség, hogy az Országgyűlés még időben megszavazza a szükséges törvénymódosításokat. Liber elmondása alapján a GDPR végrehajtását szolgáló jogszabály elfogadásának elmulasztása az okozott presztízsveszteségen túl jelentős gyakorlati problémákat is eredményezne. Mivel hatályban van egy uniós rendelet, ez felülírja a hazai törvényt, azonban nem lenne egy felhatalmazott hatóság, amely mindezt érvényesítse. A jogérvényesítésre továbbra is marad lehetőség bírósági úton, azonban akkor már ügyvédi költséggel és időigénnyel is számolni kell, éppen kiesik az a funkció, amelyet a hatóság feladata lenne biztosítani.
Lapunk kérdésére, miszerint mi történne akkor, ha csak az őszi parlamenti időszakban lenne kijelölt hatóság, és egy korábbi jogsérelmet jelentene be az állampolgár, Liber azt jelezte, hogy ez az utóbb elfogadott végrehajtási jogszabálytól függ.
Liber szerint a GDPR bevezetésére való felkészülés sok tekintetben elmulasztott lehetőség volt, lévén megteremtethette volna egy átfogó adatkezelési reform lehetőségét, amit a piaci szereplők amúgy is sürgetnek. Az itthon várhatóan életbe lépő új rendszer megfelel a minimális követelményeknek, de így is megmarad sok ellentmondás, egyes gazdasági területek fogalomrendszere sincs összhangban. Egyúttal annak is látja realitását, hogy a jövőben az egyes részterületeken megtörténjenek a kívánatos módosítások.
Azon túl, hogy Magyarország aligha mondható éllovasnak a GDPR-ra való felkészülésben, a rendelet más tagállamokban is komoly kihívást jelent, és a teljes körű megfelelés szinte lehetetlennek tűnik. – A GDPR-ral kapcsolatban az a rossz hír, hogy soha senki nem fogja tudni kijelenteni azt, hogy a szervezet 100 százalékig felkészült és a jogszabály minden pontjának megfelel – mondta Solymos Ákos, a Quadron szakértője. Ez azért van, mert a személyes adatok védelme – hasonlóan az információvédelemhez – kockázat-alapú megközelítésen nyugszik: ahogy a szervezet, úgy a fenyegető tényezők is változnak. – Mindössze annyi várható el, hogy a szervezet elfogadható kockázati szinten működjön. Ahogy nincs 100 százalékos biztonság, úgy nincs 100 százalékos GDPR-megfelelés sem – tette hozzá.
Egy lapunknak nyilatkozó ügyvéd szerint a bevezetést követő időszakban a közbeszéd és a hatósági lépések nyomán várhatóan javulni fog a GDPR ismertsége, egyre több cég tehet lépéseket a megfelelés érdekében. Ezzel együtt azzal is számol, hogy a már most vegyesnek ígérkező tapasztalatok nyomán várhatóan magát a rendeletet is módosítani fogja az EU.