GDPR

Adatvédelem mindenkinek / Data protection for everyone

Pörög a visszaszámláló

2017. május 25. 11:30 - poklaszlo

Félidejéhez érkezett a GDPR (az EU új általános adatvédelmi rendelete) alkalmazására való felkészülési időszak. Pontosan egy év múlva, 2018. május 25. napjától a GDPR közvetlenül alkalmazandó lesz valamennyi EU tagállamban.

Az alábbiakban néhány olyan kérdést gyűjtöttem össze, amelyek felmerülhetnek a felkészülés kapcsán.

Sok vagy kevés a felkészüléshez a hátralévő időtartam? Ráérünk még?

Az egy év hosszú időnek tűnik, mégis célszerű a felkészülést minél előbb megkezdeni, ha ez még nem történt volna meg.

A GDPR önmagában is egy tartalmas olvasmány, a maga 99 cikkével és a nagyon részletes preambulummal. Ennek megfelelően arra is időt kell szánni, hogy minden adatkezelő és adatfeldolgozó fel tudja egyáltalán mérni, hogy rá pontosan milyen kötelezettségek vonatkoznak és milyen feladatok várnak.

A felkészülés ráadásul ideális esetben több lépcsős folyamat: első körben célszerű áttekinteni és felmérni, hogy milyen adatkezelések történnek, milyen célból és milyen személyes adatok tekintetében. Számba kell venni a már folyamatban lévő adatkezeléseket, illetve az új szabályok tükrében érdemes előkészülni az újonnan tervezett adatkezelésekre.

Az adatkezelések feltérképezését követően kerülhet sor annak a vizsgálatára, hogy pontosan milyen kötelezettségeknek kell megfelelni a különböző célból és jogalappal folytatott adatkezelések esetében.

Ha ez is megtörtént, akkor kerülhet sor a meglévő adatkezelési szabályzatok, tájékoztatók, adatfeldolgozókkal kötött szerződések és egyéb dokumentumok felülvizsgálatára annak érdekében, hogy ezek megfeleljenek a követelményeknek.

Arról se feledkezzünk meg, hogy a felkészülés nem csupán jogi feladat, hanem sok esetben informatikai fejlesztést, belső képzések szervezését és lebonyolítását és számos más teendőt foglal magában. Ezek szintén időigényes feladatok lehetnek.

Több tagállami hatóság igyekszik különböző útmutatókkal lépésről lépésre segíteni a felkészülést. Érdemes ezeket is figyelembe venni, mielőtt belevágunk a munkába. (Ezeket egy korábbi - angol nyelvű - posztban gyűjtöttem össze.)

Hogyan készüljek fel, hiszen még rengeteg a nyitott kérdés?

Bár a GDPR közvetlenül alkalmazandó a tagállamokban, a tagállami jogalkotóknak is van feladatuk a hátralévő időben. Egyes kérdések tekintetében a GDPR maga ad mozgásteret a tagállami szabályozás számára (pl. adatvédelmi tisztségviselő kijelölésére vonatkozó kötelezettség bővítése – GDPR 37. cikk (4) bekezdés; a gyermekek tekintetében a korhatár, ami felett nem kell szülői hozzájárulás, tagállami szinten leszállítható 13 éves korig – GDPR 8. cikk (1) bekezdés), más esetekben a GDPR által nem szabályozott kérdésben fogadhatnak el rendelkezéseket vagy éppen a GDPR által felülírt rendelkezéseket kell hatályon kívül helyezni.

A vonatkozó nemzeti jogszabályok elfogadásáig tehát valóban vannak ismeretlen tényezők, ugyanakkor a Rendelet szabályozása elég széles körű, így a nem szabályozott kérdések száma nem olyan nagy, hogy ez kizárná a felkészülés megkezdését. A tagállamok ráadásul nem sietnek a vonatkozó szabályok megalkotásával, eddig csak néhány tervezet látott napvilágot (pl. Hollandiában, Ausztriában és Írországban), illetve Németországban került elfogadásra az új jogszabály, amely kihirdetésre vár. Nem valószínű tehát, hogy a jövő év tavasza előtt teljesen kitisztul a kép. Viszont a felkészülés megkezdésével nem késlekedhetünk ilyen sokáig, mert egyébként kifutunk az időből!

A Rendelet szövegének értelmezése is sok kérdést vet fel. Ezekhez kapcsolódóan sorra jelennek meg az iránymutatások, vélemények. (Erről lásd a korábbi posztunkat itt.) Ezek sokat segítenek az eligazodásban már most is.

KKV-kra is vonatkozik a Rendelet?

Ugyanúgy ahogy a jelenlegi hatályos adatvédelmi szabályokat is minden adatkezelőnek és adatfeldolgozónak alkalmaznia kell, a GDPR is – főszabály szerint – kiterjed minden adatkezelésre, így a kisvállalkozások által folytatott adatkezelési tevékenységekre is.

Érdemes ugyanakkor áttanulmányozni a Rendeletet, mert a mikro-, kis- és középvállalkozások sajátos helyzetét igyekszik figyelembe venni, például a nyilvántartás vezetésére vonatkozó kötelezettség tekintetében is. Rögzíti azt is a Rendelet preambuluma (13. pont), hogy „e rendelet alkalmazása során az uniós intézményeket és szerveket, és a tagállamokat és azok felügyeleti hatóságait ösztönözni kell, hogy vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit.

Mi történik, ha nem sikerül 2018. május 25-ig felkészülni? Lesz türelmi idő?

Azzal, hogy a Rendelet hatályba lépésétől számítva két év felkészülési idő áll rendelkezésre, a jogalkotó lehetőséget biztosít mindenki számára, hogy megtegye a szükséges lépéseket a Rendelet alkalmazására 2018. május 25-ig. Ezt követően külön türelmi időt nem biztosít a Rendelet. Természetesen, mint minden új jogszabály hatályba lépése esetén, a GDPR alkalmazásában is számos gyakorlati kérdés, jogalkalmazási nehézség várható különösen az első időkben, de törekedni kell arra, hogy jövő év május végéig a felkészülés megfelelően megtörténjen.