A hatóságok többsége nem áll készen a GDPR-ra
Az európai uniós felügyeleti szervek felkészültségét mérte fel a Reuters egy rövid kérdőívvel. A válaszadó hatóságok nagyon kis része érzi úgy, hogy a május 25-től alkalmazásba lépő GDPR betartását ellenőrizni tudná a kijelölt időponttól kezdve.
Sok európai uniós országban a felügyeleti szervek még egyáltalán nem tudják elkezdeni május 25-én az új adatvédelmi rendelet (GDPR) betartásának ellenőrzését, mivel nincs meg a megfelelő pénzügyi vagy jogköri támogatásuk a feladat elvégzésére - derül ki a Reuters felméréséből. A hírügynökség négy kérdést tartalmazó kérdőíves felmérésének eredményei alapján a válaszadó 24 hatóságból - 18 nemzeti hatóság és 6 német szövetségi állami hatóság (összesen 16 német szövetségi állami hatóság van) - 17 esetében (!) hiányzik valamilyen feltétel - az összefoglaló nem sorolja fel tételesen a válaszadó országokat, de az összefoglaló videóból látszik, hogy többek közt Magyarország sem töltötte ki a kérdőívet, ellentétben például Szlovákiával, Csehországgal, Lengyelországgal vagy Romániával.
Néhány ország felügyeleti szerve azonban interjúban is kifejtette a helyzetet a Reuters kérdésére. A francia adatvédelmi hatóság, a CNIL elnöke is elmondta, hogy az erőforrásaik nem elegendőek a GDPR által megszabott új feladatok teljesítésére, ezért a kormányzatot sürgetik a költségvetés és a munkaerő növelésére. Az olasz adatvédelmi hatóság vezetője, Antonello Soro pedig konkrétan megjelölte, hogy a 2018-as 25 millió euró alatti költségvetést duplázni szeretné, és a 122 munkavállaló helyett 300 főt tart szükségesnek a működéshez. Arra viszont nem tértek ki a felügyeleti szervek, hogy a forráshiány milyen feladatok elvégzését korlátozza. Egyes szakértők szerint az is kérdéses, hogy a szabályok betartásának ösztönzésére vagy a jogsértők elleni végrehajtási intézkedésekre kell inkább koncentrálni.
A Reuters kérdőíves kutatására választ adó országok (részlet a Reuters TV felvételéből)
Más országokban viszont az a törvény sem frissült, amely magában foglalná az egész EU-ra kiterjedő szabályozást. Maga a folyamat pedig még több hónapot is igénybe vehet, amíg minden államnak sikerül alkalmazkodnia a helyzethez. A 17, önmagát jelenleg nem egészen felkészültnek érző hatóság közül 11 bízik a helyzet megoldásában a közeljövőben. A 24 fős mintából viszont csak 5 hatóság nyilatkozott úgy, hogy minden feltétel adott a GDPR május 25-i alkalmazásba lépése kapcsán az ellenőrzések megkezdéséhez.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A nemzeti felügyeleti szerveknek vezető szerepet kell majd vállalniuk az EU elvárása szerint az országhatárokon belül tevékenykedő vállalatok GDPR-megfelelőségének ellenőrzésében. Ezenkívül létrejön a nemzeti hatóságokból álló Európai Adatvédelmi Tanács (EDPB) is, amely majd biztosítja a törvény következetes alkalmazását a teljes EU-n belül, valamint a szabályozók számára egyfajta fórumként szolgál, és a vitás esetekben kötelező erejű határozatokat hoz.
Jelen kutatásban a Reuterst leginkább az érdekelte, hogy a Facebookhoz és a Google-höz hasonló nagyvállalatokat hogyan fogják ellenőrizni az európai hatóságok a jövőben - mivel például az Európán belül írországi központtal rendelkező cég legutóbbi Cambridge Analytica botrányában csak az ír és a brit hatóság vizsgálódhatott, de más európai szervek nem vállalhattak aktív szerepet. A GDPR alkalmazásba lépését követően viszont az európaiak adatait is kezelő EU-n kívüli cégeket a 28 tagállam nemzeti és regionális hatóságai közösen fogják szemmel tartani. A kutatás eredményei szerint viszont május 25-től az országos szervek még nem fognak készen állni erre az ellenőrzésre, ezért egyelőre a végrehajtási rendszer gyengébb lesz mint például az Európai Bizottság antitröszt ellenes hatóságai.
Hogyan áll a felkészüléssel a magyar hatóság?
Az Országgyűlés még nem fogadta el azt a sarkalatos törvényt, amellyel kijelölné a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH-ot) a Rendelet szerinti magyar felügyeleti szervként. Ahhoz, hogy május 25-től a GDPR-nak érvényt lehessen szerezni, szükséges egy ilyen jogszabály megalkotása – emelte ki dr. Horváth Katalin, a Sár és Társai Ügyvédi Iroda partner ügyvédje. Ez a jogszabály nem kell, hogy ennél többet tartalmazzon, akár pársoros törvényalkotással megoldható.
Az új Országgyűlés várhatóan ezt a sarkalatos törvényt május 25-ig megszavazza, így nem lesz akadálya annak, hogy a NAIH megkezdje a munkáját, beleértve az ellenőrzéseket is, akár a május 25-i időpontig visszamenőleg is büntethető lesz a cégek gyakorlata. Azonban a NAIH elnökének nyilatkozatai szerint a hatósági ellenőrzésekre hosszú, akár 180 napos határidőket fog megállapítani a módosított Infotv., így az első ellenőrzések lezajlására és az első határozatok megszületésére, esetleges bírságok kiszabására leghamarabb ez év végén kerülhet sor.
Ennél nagyobb mértékű törvényhozási feladat az Infotv. GDPR-nak megfelelő módosítása, mivel a rendelettel kapcsolatos rendelkezéseket, vagyis mindazon szabályokat, amelyek a GDPR hatálya alá tartoznak, és abban szabályozottak, ki kell emelni az Infotv-ből és meg kell teremteni az összhangot a két jogszabály között. Az Infotv. módosításának tervezetét a NAIH elnökével együttműködve az igazságügyi minisztérium már elkészítette, azonban az új Országgyűlés miatt nem valószínű, hogy azt a rendelet hatályba lépéséig elfogadja a Parlament. Erre reális esély kora ősszel lehet. Addig azonban a vállalkozásoknak együtt kell élniük azokkal az anomáliákkal, amelyek a két jogszabály ellentétes rendelkezéseiből erednek.
Az Infotv. módosítását követően pedig az ágazati jogszabályok GDPR-nak megfelelő módosítása szükséges, így például a Reklámtörvény eDM küldésre vonatkozó szabályainak összhangba hozása a rendelettel, erre valószínűleg 2018. év végéig kerül sor.
A NAIH élénk toborzást folytat a létszám feltöltésére az új hatósági feladatok ellátására, arról azonban a NAIH nem adott ki információt, hogy rendelkezésre állnak-e a szükséges költségvetési források a megnövekedett feladatmennyiség hatékony ellátásához.