Eljött a nap: mától kötelezően alkalmazandó az uniós adatvédelmi rendelet, azaz a General Data Protection Regulation, a GDPR. Annak ellenére, hogy még néhány hónappal ezelőtt is arra számíthattunk, hogy a magyar jogalkotó elkészül a szükséges módosításokkal, sem a Büntető Irányelv implementálása, sem az infotörvény módosítása, sem az ágazati jogszabályok kitisztítása nem történt meg. Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke azonban óva intette az adatkezelőket attól, hogy erre hivatkozva megszegjék az új uniós szabályokból fakadó kötelezettségeiket.
Mikor két hónappal ezelőtt beszélgettünk (Péterfalvi Attilával készült korábbi interjúnkat ITT olvashatja), akkor azt valószínűsítette, hogy a határidőre elfogadják az infotörvény módosítását. Most hogy látja, mikor kerülhet erre sor?
– Nem szeretnék találgatni, ezek fontos jogszabályi változások, prioritást élveznek a kormányzat oldaláról. Abban bízom, ahogy a költségvetés benyújtása – sajtóértesülések szerint – még a nyári szünet előtt megtörténik, úgy a Büntető Irányelv implementálására (amelynek határideje május 6. lett volna) és az infotörvény módosításának benyújtására az Országgyűlés elé is sor kerülhet a következő hetekben, a legfontosabb szektoriális szabályozásokkal egyetemben.
>
Melyiket tartja a legfontosabbnak?
– A magunk részéről az infotörvény módosítását tartanám a legfontosabbnak, mivel ez a NAIH működése szempontjából is létfontosságú. Ahhoz ugyanis, hogy a NAIH be tudja tölteni azt a feladatkört, amelyet a GDPR előírásai szerint be kell töltenie, hiányzik a jogköreinek kiterjesztése, rendezése.
– Bizonyosfajta eljárások lefolytatására még nincs lehetőség. Ilyen például, az incidensbejelentés utáni ellenőrzés lefolytatása, a vizsgálati típusú eljárások lefolytatása, de például az ágazati magatartási kódexek véleményezésére, jóváhagyására sincs még megfelelő felhatalmazásunk.
A NAIH oldaláról felkészültek a feladatok ellátására?
– Amit lehetett, azt megtettük. Elvégeztük a szükséges informatikai fejlesztéseket, folyamatosan zajlik az állásfoglalások, tájékoztató anyagok közzététele, folyik a nemzetközi kapcsolatok kialakítása más országok adatvédelmi hatóságaival, az osztrák hatóságokkal közösen nemrégiben például a közelmúltban közös gyakorlatokat is végeztünk. Nyilván a jogszabályi háttér hiányosságai miatt vannak területek, amelyeken elmaradtunk, de emögött nemcsak a magyar jogszabályokat értem, uniós szinten sincs még minden tekintetben kibontva a GDPR sok részlete, és sok más tagállam is lemaradt a felkészüléssel.
És ez még csak a GDPR! A Büntető Irányelv implementálása is létfontosságú lenne például a bűnüldözési célú adatkezelések szempontjából, így hamar sort kell keríteni a rendőrségi törvény módosítására is.
Ebben a helyzetben mit tehetnek a vállalkozások?
– Be kell tartaniuk a GDPR előírásait. Minden céges adatkezelőt óva intenék attól, hogy az elmaradt jogszabályokra hivatkozva megsértse a GDPR-ból fakadó kötelezettségeit. Senki sem mondhatja mától egy adatalanynak azt, hogy nem ad tájékoztatást a kezelt adatairól, mert nem készült el az infotörvény. A GDPR-ból eredő közvetlen kötelezettségeknek meg kell felelni, akár van nemzeti szabályozás, akár nincs. Továbbmegyek: mától ezt a bíróságoknak is figyelembe kell venniük.
– Az ellenőrzés eddig sem úgy működött és ezután sem lesz olyan, hogy 27-én rátörjük valakire az ajtót. A panaszbeadványok kapcsán eddig is volt és ezután is lesz lehetőségünk ellenőrizni. Mint említettem, egyes esetekben, mint például az incidensek bejelentése után, hiányoznak az ezt követő hatósági ellenőrzés bizonyos feltételei, de azért eljárási szabályok eddig is voltak. De tény, hogy egyértelműbb lenne a helyzet, és ilyen téren hiányosságként jelenik meg az infotörvény módosításának elmaradása.
Hogyan látja most, a célvonalban, az üzleti szektor felkészültségét?
– Nincsenek megbízható információink arról, hogy az adatkezelők közül hányan végezték el a szükséges feladatokat, tehát hányan tekintették át az adatkezelési gyakorlatukat, és alakították át úgy folyamataikat, hogy az megfeleljen a GDPR-nak. De amit lehetett az elmúlt időszakban, megtettünk: sorra járjuk a konferenciákat, jelenítjük meg a tájékoztatókat. Egyébként a tapasztalataim szerint a nagyvállalatok, különösen a multinacionális cégek elvégezték a házi faladatot, de tartok tőle, hogy a kvv-szektor érzékenyebb kérdés lehet.
Több iparági szervezet is jelezte, hogy szívesen veszi a NAIH útmutatásait, és szorosabb együttműködést, rendszeres konzultációt szorgalmaznak. Lát erre lehetőséget?
– Ami azt illeti, eddig is így jártunk el, és ezután is így fogunk. Azonban nagy kérdés, hogy a konzultációk milyen szinten zajlanak majd. Ezután nagyobb szerepet kap majd az uniós tagállamok más hatóságaival, ágazati érdek-képviseleti szerveivel folytatott együttműködés, hiszen egy-egy felmerülő problémára egységes választ kell adnia Európának, sok esetben nem a nemzeti megoldások fogják a megoldást jelenteni. Ugyanakkor a GDPR-on belül is vannak olyan területek, ahol a nemzeti jogalkotásnak nagy szerepe van, itt viszont olyan szabályozást kell létrehozni, ami a nemzeti érdekeket szolgálja. Ehhez azonban idő kell: évekbe fog telni, amíg valóban egységes, jól működő rendszer állhat fel.
Ön személy szerint hogyan éli meg a mai napot?
– Számomra is fontos dátum ez. Már a nyolcvanas évek óta foglalkozom adatvédelemmel, részt vettem az első, még a szocialista érában fogant törvény kidolgozásában is. Azután az ombudsmani rendszerben az első perctől kezdve részt vettem az adatvédelmi biztos munkájában is, megéltem az uniós csatlakozásunkat, a schengeni rendszerbe történő belépésünket, az ombudsmani rendszer hatósággá alakulását. Azt, hogy most a NAIH elnökeként az új egységes szabályozás bevezetésében vehetek részt, óriási szerencsének és kegynek tartom.
A GDPR tulajdonképpen a technológia fejlődésére adott válasz. A fejlődés azonban nem áll meg, sőt egyre gyorsul. Elképzelhetőnek tartja, hogy előbb-utóbb, ahogy most az infotörvény, úgy a GDPR is elavulttá válik?
– Ennek a szabályozásnak pont az az egyik szerepe – és egyik legfontosabb megközelítése –, hogy technológiasemleges. A rendelet azért annyira általános, hogy megpróbálhat reagálni az új kihívásokra. Ami nagy kihívás a jövőben, az az, hogy ez a típusú szigorú adatvédelem mennyiben válhat globálissá. A GDPR ugyanis megpróbál egybeterelni, nyomon követhetővé és számon kérhetővé tenni minden olyan tevékenységet, ami az európai polgárok adatainak kezelésével, megfigyelésével jár. De az, hogy ezt mennyire sikerül unión kívüli országokban is „átvinni”, az még nyitott kérdés. Hogyan fog ez a gyakorlatban működni Oroszországban vagy Kínában? Hogyan lesz az európai polgárok adatainak ottani kezelése ellenőrizhető? A világban jelenleg több szemléletmód is uralkodik, ami az adatkezelést illeti, de ahogy a globalizáció gyorsul, előbb-utóbb ki fog alakulni egy egységes, világszintű adatvédelmi mechanizmus, amely majd kiegészítheti vagy felválthatja a GDPR-t, de azt hiszem, ez már egy következő generáció feladata lesz.