A 2018-as év kiemelkedő év volt az adatvédelem szempontjából, hiszen május 25. óta alkalmazandó az EU általános adatvédelmi rendelete, a GDPR. Az év végéhez közeledve érdemes visszatekinteni az év jelentős történéseire, megnézni, hogyan kavarta fel az állóvizet a GDPR.
A GDPR - amely az 1995-ben elfogadott adatvédelmi irányelvet váltotta fel - két éves felkészülési időszakot követően vált alkalmazandóvá. A GDPR komoly mérföldkövet jelent az európai adatvédelem történetében, de hatása jóval túlmutat az EU határain. A GDPR-ra történő felkészülést, különösen az utolsó hónapokban felfokozott hangulat övezte, számos félreértés és tévedés is izgalomban tartotta az adatkezelőket.
Bár rendeletként a GDPR közvetlenül alkalmazandó a tagállamokban, de a tagállamoknak jogalkotási kötelezettséget is teremtett a GDPR (valamint a GDPR-ral együtt elfogadott, a bűnügyi adatkezelésekre vonatkozó 2016/680/EU irányelv). A tagállamok sok esetben csak késve készültek el a maguk implementációs szabályaival. Elsőként Németországban született meg a GDPR-hoz illeszkedő tagállami adatvédelmi szabályozás még 2017-ben, majd a tagállamok nagy része 2018. első felében fogadta el a saját szabályait. A GDPR több helyen is biztosítja a tagállamoknak az eltérés lehetőségét, amelyekkel részben éltek is a tagállamok. Magyarországon 2018. július 26-tól hatályos az Infotv. módosítása, amely eleget tett a bűnügyi adatkezelési irányelv átültetésének és az Infotv. GDPR-ra tekintettel történő módosításának. Ugyanakkor a jogalkotási kötelezettség Magyarországon ezzel még nem ért véget, mivel az ágazati törvények megfelelő módosítása is szükséges, de erre már csak 2019-ben kerülhet sor. (A törvénytervezet véleményezésre megjelent, de az Országgyűléshez még nem került benyújtásra.)
A GDPR alapján formálódni kezdett a gyakorlat is. Megjelentek az első bírságok (igaz még nem igazán nagy horderejű ügyekben), először Ausztriában, majd Portugáliában bírságolt a hatóság, azóta pedig Baden-Württembergben is kiszabásra került egy 20.000 euró összegű bírság. Az új rendelet alapján formálódó gyakorlat kapcsán sokkal többet fogunk majd megtudni jövőre és várhatóan a bírságok száma is megszaporodik majd.
Munkához látott a GDPR-ral létrehozott Európai Adatvédelmi Testület és elfogadta első iránymutatásait, illetve véleményeit. A Testület első véleményei a GDPR 34. cikk (5) bekezdése alapján a tagállami hatóságok által kiadásra kerülő ún. fekete listákra vonatkoztak. (A fekete listákon azok az adatkezelési tevékenységek szerepelnek, amelyek tekintetében kötelező adatvédelmi hatásvizsgálatot végezni.) A Testület véleménye alapján a tagállami hatóságok sorra jelentetik meg a végleges listáikat.
2018-ban nagy port felverő adatvédelmi incidensekben sem volt hiány. Több tízmillió (néha akár több százmillió) érintettet érintő adatvédelmi incidensek is előfordultak. Sajnos az borítékolható, hogy incidensekre 2019-ben is sor fog kerülni, abban bízhatunk, hogy a növekvő adatvédelmi tudatosság és az adatbiztonságra fordított nagyobb figyelem legalább részben ellensúlyozni tudja azt, hogy egyre több és több adat halmozódik fel különböző adatbázisokban.
Sűrű év végéhez értünk tehát, és bár olyan horderejű jogszabályi változásra nem kell felkészülnünk, mint idén (bár érkezhet az e-Privacy Rendelet), de biztos vagyok benne, hogy jövőre is mozgalmas évnek nézünk majd elébe!
