Valamennyi személyes adatot kezelő szervezetet érintő módosítás lehet azonban, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által kiszabható bírságösszeg 10 millió forintról 20 millió forintra emelkedhet. Ennek a magasabb – az európai gyakorlathoz egyebekben jobban közelítő – bírságösszegnek már komoly visszatartó hatása lehet, érdemes lesz tehát jobban törekedni az eddig nem mindig a fontosságának megfelelő figyelmet kapott terület, az adatvédelem szabályainak a betartására is.

Emellett, a multinacionális cégek cégcsoporton belüli adattovábbítását segítő, Magyarországon eddig nem elismert jogintézmény, a kötelező erejű vállalati szabályok (közismert elnevezésével ‘Binding Corporate Rules’ vagy ‘BCR’) is bevezetésre kerülhet, ha az előterjesztésből valóban elfogadott törvény lesz - figyelmeztet Kozma Zoltán, a DLA Piper Szellemi Alkotások és Technológia csoportjának ügyvédje legfrissebb blogbejegyzésében.

A BCR hasonlóan a multinacionális cégek által alkalmazott más belső szabályzatokhoz, egy cégcsoport által a cégcsoport tagjai tekintetében elfogadott és világszerte alkalmazott belső szabályzat, amely meghatározza, hogy milyen módon lehet személyes adatokat továbbítani a cégcsoport azon tagjai részére, amelyek olyan országban találhatóak, ahol nem biztosított a személyes adatok megfelelő szintű védelme (gyakorlatilag néhány kivétellel ezek az EGT tagországokon kívüli országok). Ilyen BCR-t használ már a cégcsoporton belüli adattovábbítások tekintetében például az American Express, az AXA, a BMW, a BP, a Hewlett Packard, a Total és még számos multinacionális társaság. Ha az előterjesztésből törvény lesz, ezek a társaságok a BCR-jük használatát Magyarországra is kiterjeszthetik.

A BCR használata tehát az eddigi nehézkesebb cégcsoporton belüli adattovábbítási lehetőségek alternatívája lehet a Magyarországon is leányvállalatot működtető külföldi cégek számára. A BCR bevezetése a magyar jogba valóban nagyon időszerű lenne, tekintettel arra, hogy ennek használatát szinte valamennyi EU tagország már lehetővé teszi, ez pedig versenyhátrányt okoz Magyarország számára. Az új EU adatvédelmi rendelettervezet pedig szintén bővíteni kívánja a BCR-ek használatának lehetőségét. Fontos hangsúlyozni, hogy a BCR kizárólag a cégcsoporton belüli adattovábbításokat könnyítheti meg, a cégcsoporton kívülre történő adattovábbításoknál maradnak az eddigi szabályok.

Az előterjesztés továbbá be kívánja vezetni az ‘adatvédelmi incidens’ fogalmát, amely tulajdonképpen a személyes adatok bármely okból történő megsértését jelenti, azaz különösen a jogosulatlan hozzáférést, továbbítást, megváltoztatást, nyilvánosságra hozatalt. Ezt a jogintézményt hírközlési törvényünk (Eht.) már ismeri, az NMHH által ebben a tekintetben elfogadott rendelettel együtt számos részletszabályt állapít meg, azonban kizárólag a hírközlési szolgáltatókra nézve. Az előterjesztés valamennyi adatkezelő számára elő kívánja írni, hogy az ilyen adatvédelmi incidensekről az adatkezelők nyilvántartást vezessenek. Ennek a szabálynak a hasznossága ilyen formában azonban megkérdőjelezhető, kérdés továbbá, hogy nem ró-e felesleges adminisztratív terhet az adatkezelőkre minden egyes – akár jelentéktelen – adatvédelmi incidens regisztrálása.