A szakmai szervezet szerint a magyar szabályozásra egyértelműen pozitívan fog hatni a megállapodás.
Állásfoglalást adott ki a Direkt és Interaktív Marketing Szövetség (DIMSZ) az új EU-s adatvédelmi szabályozásról, annak várható következményeiről. Dr. Domokos Márton, a CMS Ügyvédi Iroda munkatárs, a szakmai szervezet adatvédelmi és adatbiztonsági tagozatának tagja ennek keretében elmondta: a törvényhozási folyamat nyomon követése a hazai cégek számára is fontos, például a közeljövőben jelentősen emelkedhet a rendelet alapján kiszabható adatvédelmi bírságok összege, s a legsúlyosabb esetekben ez akár elérheti a cég éves világszintű bevételének 2 százalékát, illetve a 10 millió eurót.
A magyar szabályozásra egyértelműen pozitívan fog hatni a megállapodás
A DIMSZ szerint a rendelettervezet új szövegezésének elfogadása mindenképpen nagy lépés az EU-s adatvédelmi szabályok – és ez által a magyar jogi környezet – modernizálásában. Az egységes, EU-s szintű adatvédelmi rendelet, ha elfogadásra kerül, a meglévő szabályozásnál jóval hatékonyabban biztosítja az egyének adatvédelmi jogait, ugyanakkor az egyedi tagállami keretszabályok felülírásával a korábbinál több üzleti lehetőséget biztosít a magyar vállalkozások számára az egységes uniós digitális piacon. Úgy vélik, a tagállamokban közvetlenül alkalmazandó rendelet jobban elősegíti a személyes adatok szabad áramlását, és az egységes szabályozási környezet miatt egy-egy országhatáron átnyúló projekt során a magyar vállalkozások számára csökkenek a jogi, adminisztrációs és compliance költségek.
A jelenlegi EU-s adatvédelmi irányelv 20 éves, egy csomó újonnan keletkezett kérdést nem kezel. A rendelettervezet például olyan adatkezelési tevékenységek jogi környezetét is megteremtené, mint a profilozás, az anonim és álnevesített adatok felhasználása, vagy az adathordozhatóság biztosítása. Emellett a régi irányelvet a 28 különböző tagállam nem implementálta egységesen, ez pedig végrehajtási bizonytalanságokat és versenyhátrányt okoz az európai cégek számára. A magyar Infotv. is több olyan problémás rendelkezést tartalmaz, ami nem megfelelően veszi át a régi irányelv rendelkezéseit, más tagállamokhoz képest indokolatlanul kevésbé kedvező jogi környezetet teremtve ezzel a magyar vállalkozások számára. A legfontosabb például azoknak az eseteknek a meghatározása, amikor személyes adatok az érintett hozzájárulása nélkül is kezelhetők, például az adatkezelő jogos érdeke vagy szerződéskötés esetén. Az új európai jogszabály ezeket a gyakorlati szempontból hátrányos tagállami szabályokat is felváltaná, olvasható a DIMSZ állásfoglalásában.
Szintén fontos előrelépésnek tekintik a korábbi szabályozáshoz képest, hogy a rendelettervezet biztosítja a vállalatok számára, hogy az adatvédelmi intézkedéseik meghozatala során figyelembe vegyék az adatkezelés specifikus jellegét és célját, valamint az egyének jogaira és szabadságaira nézve jelentett kockázat valószínűségét és súlyosságát. Ez a „kockázatalapú megközelítés” a korábbinál nagyobb rugalmasságot biztosít a vállalatok számára belső adatvédelmi eljárásaik kialakításakor.
A rendelettel kapcsolatos következő lépések
Az Európai Parlament, az Európai Unió Tanácsa és az Európai Bizottság az év hátralevő részében úgynevezett „hármas” (trilogue) tárgyalásokat folytat egymással a rendelettervezet véglegesítése érdekében. A jogszabály mindhárom fél általi jóváhagyásának és a végleges változata elfogadásának céldátuma 2015 vége. Az első – a további lépéseket általánosságban meghatározó – tárgyalás időpontja 2015. június 24. Ezt követően, július 14-én a rendelettervezet területi hatálya és nemzetközi adattovábbítások kerülnek megvitatásra. A legnagyobb kihívás itt várhatóan az EU-n kívüli hatósági és bírósági megkeresésekkel kapcsolatos jogszerű adatátadások megfelelő szabályozása.
Szeptemberben kerülnek sorra a legkomplexebb kérdések: az adatvédelmi alapelvek, a személyes adatok kezelésének feltételei, az érintett személyek jogai, valamint az adatkezelők és adatfeldolgozó vállalatok kötelezettségei. A vállalatok számára itt az a legfontosabb, hogy a végleges rendelkezések elfogadásakor minél jobban érvényesüljön a jogszabály legutóbbi tervezetében a Tanács által támogatott „kockázatalapú megközelítés”. Az adatvédelmi hatóságok működésével és illetékességével kapcsolatos szabályok, valamint az adatvédelmi jogok és jogorvoslatok véglegesítése októberben várható. A novemberi tárgyalások témája az egyes szektorok (pl. közszféra, munkahely, tudományos kutatás) specifikus adatkezelései. Végül, decemberben, az érintett feleknek a rendelet alapján megvalósítandó részletszabályokat kell kidolgozniuk.
Tekintettel arra, hogy a rendelettervezet megtárgyalása eddig három évet vett igénybe, a DIMSZ szerint a fél éves határidő ambiciózusnak tűnik – a politikai és jogalkotói akarat mindenesetre most úgy tűnik, megvan a jogszabály véglegesítésére. Az új szabályoknak való megfelelést ezt követően egy vagy két éven belül kell biztosítaniuk a vállalkozásoknak. Ez hosszú időnek tűnik, de érdemes figyelembe venni, hogy ezalatt az idő alatt a vállalkozásoknak a teljes adatkezelési gyakorlatukat felül kell vizsgálniuk. A fenti átmeneti időn belül kell például a személyes adatok kezelését és továbbítását szabályozó szerződések szövegét hatályosítani, és az új rendelettel összhangban levő intézkedéseket beépíteni. Szintén fontos módosítani az adatkezeléseket dokumentáló belső eljárásokat, például a személyes adatok biztonságának sérülése esetén lefolytatandó értesítési eljárások megvalósítását.