NAIH;GDPR;

Shutterstock illusztráció

- GDPR: a kormány csak a multikra sújtana le szigorral

Pár napos csúszással, de kedd este végül megszületett az információs önrendelkezési jogról és információszabadságról szóló törvény módosítására irányuló kormányelőterjesztés, amely kijelöli adatvédelmi ügyekben eljáró hatóságként a Nemzeti Adatvédelmi és Információszabadság Hivatalt (NAIH), valamint a cégek számára első körben felmentést ad az Európai Unió új adatvédelmi rendelete (GDPR) értelmében kiszabható tetemes bírság alól. A GDPR május 25-től alkalmazandó minden uniós tagállamban. Célja a személyes adatok fokozott védelme, ezért kiterjed minden, az EU területén működő vállalkozásra és intézményre. A rendelet értelmében a jogsértés esetén kiszabható bírság is egységes minden tagállamban: ennek összege maximálisan 20 millió euró lehet, vagy, ha az a magasabb, akkor a cég éves pénzügyi forgalmának 4 százaléka.

Hazánkban eddig a bírság legföljebb 20 millió forintra rúgott, ráadásul a kis és középvállalkozások (kkv) jogsértése esetén a NAIH első körben csak figyelmeztetett. Az uniós rendelettel szembe menve ezt a rendszert tartaná meg továbbra is a kormány, nagy mozgásteret adva ebben a NAIH-nak. A javaslat szerint ugyanis a hatóság a hatáskörét "az arányosság elvének figyelembevételével gyakorolja", a személyes adatok kezelésére vonatkozó előírások első alkalommal történő megsértése esetén pedig elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik.

A javaslat indoklásában azt írják: Magyarország az infotörvénnyel, illetve a NAIH létrehozásával eddig is kiemelten biztosította a személyes adatok védelmét, ezért az uniós szabályozás tárgyalása során a magyar kormány azt az álláspontot képviselte, hogy az ne rendeleti, azaz közvetlenül alkalmazandó formában, hanem hanem irányelvi, azaz tagállami mozgásteret biztosító jogforrásban jöjjön létre. Ezt a tagállamok többsége nem fogadta el, mondván: egységes szabályozással lehet elkerülni, hogy egyes multinacionális nagyvállatok a tagállamok eltérő adatvédelmi rezsimeit kijátsszák.

A kormány ennek ellenére továbbra is úgy értelmezi: a GDPR „közvetlenül hatályosuló szabályait eredeti rendeltetésüknek megfelelően, vagyis elsősorban a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok ellen fellépve szükséges alkalmazni, míg a többi gazdasági szereplő – elsősorban és kiemelten a kis- és középvállalkozások – tekintetében az arányosság elvét figyelembe véve a figyelmeztetés jogkövetkezményét indokolt alkalmazni”. Magyarán: csak a nagy adatkezelő multikra kell teljes szigorral lesújtani, a kis hazai cégeket elég lesz csak figyelmeztetni (miközben egyébként épp utóbbiak nem tartják be a még a korábbi előírásokat sem). Kérdés, ezt az álláspontot Brüsszel is elfogadja-e, ágazati szakértők szerint ugyanis a magasabb szintű uniós rendelet előírásait nem lehet tagállami szabályozással felülírni.