Az uniós szabályoknak megfelelő rendelettervezet új szövegezésének elfogadása mindenképpen nagy lépés az EU-s adatvédelmi szabályok – és ezáltal a magyar jogi környezet – modernizálásában. „Az egységes, EU-s szintű adatvédelmi rendelet, ha elfogadják, a meglévő szabályozásnál sokkal hatékonyabban biztosítja az egyének adatvédelmi jogait, ugyanakkor az egyedi tagállami keretszabályok felülírásával a korábbinál több üzleti lehetőséget nyújt a magyar vállalkozások számára az egységes EU-s digitális piacon” – vélekedett dr. Domokos Márton, a CMS Ügyvédi Iroda munkatársa, a Direkt Marketing Szövetség (DIMSZ) adatvédelmi és adatbiztonsági tagozatának tagja.
A tagállamokban közvetlenül alkalmazandó rendelet még jobban elősegíti a személyes adatok szabad áramlását, és az egységes szabályozási környezet miatt egy-egy országhatáron átnyúló projekt során a magyar vállalkozások számára csökkenek a jogi, adminisztrációs és compliance költségek.
A jelenlegi EU-s adatvédelmi irányelv 20 éves. A maga idejében világszinten előremutató jogszabály volt az adatvédelem területén, a technikai fejlődés és a joggyakorlat azonban meghaladta. A rendelettervezet például olyan adatkezelési tevékenységek jogi környezetét is megteremtené, mint a profilozás, az anonim és álnevesített adatok felhasználása vagy az adathordozhatóság biztosítása.
Nem volt egységes a szabályozás
A jogi szakértő szerint ezen túlmenően, a régi irányelvet a 28 különböző tagállam nem implementálta egységesen, ez pedig komoly végrehajtási bizonytalanságokat és jelentős versenyhátrányt okoz az európai cégek számára. A magyar infotv. is több olyan problémás rendelkezést tartalmaz, ami nem megfelelően veszi át a régi irányelv rendelkezéseit, más tagállamokhoz képest indokolatlanul kevésbé kedvező jogi környezetet teremtve ezzel a magyar vállalkozások számára. A legfontosabb például azoknak az eseteknek a meghatározása, amikor személyes adatok az érintett hozzájárulása nélkül is kezelhetők, például az adatkezelő jogos érdeke vagy szerződéskötés esetén. Az új európai jogszabály ezeket a gyakorlati szempontból hátrányos tagállami szabályokat is felváltaná.
A rendelettel kapcsolatos következő lépések
Az Európai Parlament, az Európai Unió Tanácsa és az Európai Bizottság az év hátralevő részében úgynevezett „hármas” („trilogue”) tárgyalásokat folytat egymással a rendelettervezet véglegesítése érdekében. A jogszabály mindhárom fél általi jóváhagyásának és a végleges változata elfogadásának céldátuma 2015 vége. Az első – a további lépéseket általánosságban meghatározó – tárgyalás időpontja 2015. június 24. Ezt követően, július 14-én a rendelettervezet területi hatálya és nemzetközi adattovábbítások kerülnek megvitatásra. A legnagyobb kihívás itt várhatóan az EU-n kívüli hatósági és bírósági megkeresésekkel kapcsolatos jogszerű adatátadások megfelelő szabályozása. Szeptemberben kerülnek sorra a legkomplexebb kérdések: adatvédelmi alapelvek, a személyes adatok kezelésének feltételei, az érintett személyek jogai, valamint az adatkezelők és adatfeldolgozó vállalatok kötelezettségei. A vállalatok számára itt az a legfontosabb, hogy a végleges rendelkezések elfogadásakor minél jobban érvényesüljön a jogszabály legutóbbi tervezetében a Tanács által támogatott „kockázatalapú megközelítés”. Az adatvédelmi hatóságok működésével és illetékességével kapcsolatos szabályok, valamint az adatvédelmi jogok és jogorvoslatok véglegesítése októberben várható. A novemberi tárgyalások témája az egyes szektorok (pl. közszféra, munkahely, tudományos kutatás) specifikus adatkezelései. Végül, decemberben, az érintett feleknek a rendelet alapján megvalósítandó részletszabályokat kell kidolgozniuk.
Egy-két éve lehet a cégeknek
Tekintettel arra, hogy a rendelettervezet megtárgyalása eddig 3 évet vett igénybe, a féléves határidő ambiciózusnak tűnik – a politikai és jogalkotói akarat, mindenesetre most úgy tűnik, megvan a jogszabály véglegesítésére. Az új szabályoknak való megfelelést ezt követően egy vagy két éven belül kell biztosítaniuk a vállalkozásoknak. Ez hosszú időnek tűnik, de érdemes figyelembe venni, hogy ez alatt az idő alatt a vállalkozásoknak a teljes adatkezelési gyakorlatukat felül kell vizsgálniuk.
A fenti átmeneti időn belül kell például a személyes adatok kezelését és továbbítását szabályozó szerződések szövegét hatályosítani, és az új rendelettel összhangban levő intézkedéseket beépíteni. Szintén fontos módosítani az adatkezeléseket dokumentáló belső eljárásokat, például a személyes adatok biztonságának sérülése esetén lefolytatandó értesítési eljárások megvalósítását.
