„Jó úton haladunk, hogy 2015-ben létrejöjjön az adatvédelmi reform” – nyilatkozta Vera Jourová, az Európai Unió igazságügyért felelős biztosa, miután június 24-én kezdetét vette az európai adatvédelmi rendelet tervezetéről szóló háromoldalú tanácskozás az Európai Bizottság, az Európai Tanács és az Európai Parlament között. Hamarosan tehát mérföldkőhöz érkezhet az adatvédelem uniós szabályozása, hiszen az új adatvédelmi rendelet az „egy kontinens egy jog” elv alapján közvetlen hatállyal bírna valamennyi tagállamban.
A jelenlegi uniós adatvédelmi irányelveket ugyanis a kitűzött célok elérése mellett az egyes tagállamok eltérőképpen implementálhatták, amely így szükségképpen eltérő adatvédelmi szabályozáshoz és gyakorlathoz vezetett. Az új rendelet azonban egy egységes adatvédelmi szabályozást hozna létre, így az érintetteket mindenhol ugyanazok a garanciák illetnék meg. Az egységes szabályozás emellett segítené a tisztességes verseny megvalósulását és támogatná a több tagországban működő vállalkozásokat abban, hogy a lehető legtöbbet profitáljanak az Egységes Digitális Piac nyújtotta lehetőségekből.
Az egységes szabályrendszer alkalmazása az EU Bel- és Igazságügyi Tanácsa szerint évente mintegy 2,3 milliárd euróval csökkentheti a cégek költségeit. „Elég csak arra gondolnunk, hogy mekkora idő- és költségmegtakarítással járhat egy több tagállamban jelen lévő nemzetközi cégcsoportnak, ha az egységes szabályrendszer miatt központilag tudja kialakítani az adatvédelmi szabályzatait, tájékoztatóit és eljárásait. A tagállamokban közvetlenül alkalmazható adatvédelmi szabályok emellett megteremthetnék egy egységes bírósági gyakorlat alapjait is, ugyanis például egy spanyol bíróság által az adatvédelmi rendelet alapján hozott ítélet közvetlenül hivatkozható lenne egy magyar bíróság előtt perben.” – fejtette ki Párkányi Rita, a KCG Partners Ügyvédi Társulás adatvédelmi szakértője.
A szabályozással kapcsolatos egységes európai álláspont már évek óta formálódik, azonban az Európai Unió Bel- és Igazságügyi Tanácsának állásfoglalása 2015. június 15-én újabb lökést adott a jogalkotási folyamatnak és számos fontos változást vetített előre. Az újszabályozás hatására a tagállamokban erősödhetnek az érintettek jogai, szigorodhatnak a tájékoztatási kötelezettséggel kapcsolatos elvárások, az Európai Bíróság gyakorlatából átemelésre kerülhet a felejtéshez való jog (az ún. „right to be forgotten”), további korlátozások várhatóak a profilalkotással kapcsolatban és a határokon átívelő ügyekben „egyablakos” ügyintézés válhat lehetővé. Az adatvédelmi bírság felső határa emellett akár 1 millió euróra, vagy cégek esetén az éves árbevétel 2 százalékára is emelkedhet, amely a Magyarországon jelenleg kiszabható maximális bírságot lényegesen meghaladja.
Bár az adatvédelem Magyarországon egyre átfogóbb és szigorúbb szabályozás alá esik, ennek ellenére a jelentőségét számos adatkezelő alábecsüli. A vállalkozások adatvédelmi tájékoztatói gyakran hiányosak, az adatkezelések nem arányosak és nem célhoz kötöttek, az adatfeldolgozásra vonatkozó megállapodások pedig több adatfeldolgozás esetében létre sem jönnek.
A NAIH 2014-es beszámolójából az derül ki, hogy a tavalyi évben lezárt adatvédelmi hatósági eljárások mintegy 90 százaléka végződött bírsággal. A hatóság elmarasztaló döntését pedig a legtöbb esetben a bíróságok is helybenhagyják. A statisztikák ugyanis azt mutatják, hogy a NAIH határozatai ellen indított bírósági felülvizsgálatok csak kevés esetben eredményeztek részleges vagy teljes hatályon kívül helyezést, és egyszer sem anyagi jogi kérdéssel összefüggésben. Azt is fontos kiemelni, hogy a NAIH a bírság kiszabásakor a jogsértés súlyát, ismétlődő jellegét és az érintettek körének nagyságát köteles figyelembe venni, az adatkezelő teljesítőképességére azonban nem kell tekintettel lennie. A nyilvánosan elérhető hatósági határozatokból megállapítható, hogy a kiszabott bírság összege több alkalommal is meghaladta az adatkezelő mérleg szerinti eredményét.
Magyarországon még az uniós adatvédelmi rendelet hatályba lépése előtt is jelentős változásokra számíthatunk. 2015. június 26-án ugyanis benyújtásra került az Országgyűléshez az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotörvényv) módosítására vonatkozó törvényjavaslat, amely még a közeljövőben hatályba léphet. A javaslat többek között a kiszabható adatvédelmi bírság felső határát 20 millió forintra emelné, erősítené a NAIH jogait, kötelezné az adatkezelőt az adatvédelmi incidensek nyilvántartására, továbbá megteremtené a multinacionális vállalkozások számára a kötelező szervezeti szabályozások (az ún. „binding corporate rules”) alkalmazásának lehetőségét.
A KCG Partners szerint fontos, hogy a küszöbön álló változásokra a cégek időben felkészüljenek. Ennek érdekében javasolt a belső szabályzatok, adatvédelmi tájékoztatók, adatkezelési és adatfeldolgozási folyamatok teljes felülvizsgálata, illetve egy átfogó adatvédelmi megfelelőségi vizsgálat további segítséget jelenthet a jogszerű működés hosszútávú biztosításában.
