A GDPR legfontosabb részleteiről a Nemzeti Adatvédelmi és Információszabadság (NAIH) elnöke beszélt a Portfolio GDPR Summit 2018 konferenciáján.
Péterfalvi Attila előadása elején határozottan cáfolta azt a híresztelést, amely szerint új hivatalt hozhatnak létre a választások után a GDPR-ral összefüggő feladatok ellátására. Új hatóság nem hozható létre kétharmados törvénykezés nélkül, és az alaptörvényben az szerepel, hogy csak egyetlen független, törvénnyel létrehozott adatvédelmi hatóság létezik.
Már elkészült az Infotörvény módosításának tervezete, amely teljes mértékben tükrözi a NAIH véleményét, a jogszabálytervezetet az Igazságügyi Minisztériummal együtt alkották meg. Legkésőbb május 8-án, az első parlamenti ülésen kellene elfogadni az Infotörvény GDPR miatti módosításait, illetve minél gyorsabban ki kell jelölni a NAIH-ot a kapcsolódó feladatok elvégzésére. Utóbbi elmulasztása ugyanis kötelezettségszegési eljárást eredményezhet Magyarország ellen. Az Infotörvény feles törvény, de a szervezet kijelöléséhez kétharmad kell.
Gőzerővel folyik a legfontosabb szektorális törvénymódosítások egyeztetése is, az Igazságügyi Minisztérium és különböző érdekképviseleti szervek egy kerekasztalt hoztak létre erre.
Szabályozható a bírság mértéke
Péterfalvi Attila elmondta, hogy a GDPR ad felhatalmazást a nemzeti jogalkotóknak, elsődlegesen a közhatalmi adatkezelésekkel kapcsolatban. Szabályozható a bírság mértéke, például egy kórház vagy kormányhivatal bírságolásánál az állam egyik zsebéből pakolná a pénzt a másik zsebébe, ezért itt a tervek szerint megmaradna a maximum 20 millió forintos bírság.
Miután a GDPR nem ismételhető meg nemzeti jogban, ezért első lépésben az Infotörvényből ki kell venni azokat a részeket, amelyek a GDPR-ban már benne vannak (példuál alapfogalmak). A rendeletben szereplő egyes részeket ugyanakkor egy későbbi időpontban nemzeti jogba kell ültetni. Tehát egy első pillanatban ki kell venni az Infotörvényből, majd vissza kell tenni GDPR szerint.
A bíróságok peres és nem peres eljárásaival kapcsolatos adatkezelései kivételt jelentenek, május 25. után sem fognak az adatvédelmi hatóság vagy más párhuzamos hatóság felügyelete alá tartozni. Minden más vonatkozásban marad a hatóság kompetenciája, változatlanul kiterjed az egyházak adatkezelésére is.
Át kell vizsgálni az adatkezelést és az IT-rendszert is
Az adatvédelmi incidensekről az adatkezelőknek saját maguknak kell nyilvántartást vezetni, viszont ahol eddig incidens történt, sehol nem létezett ilyen rendszer. Egy KÖFOP pályázat keretében épül ki egy olyan központi rendszer/szoftver, amely az incidenskezelést szabályozza.
Az adatkezelőknek át kell vizsgálniuk az adatkezelésüket, de nem csak a jogi oldalt, hanem az IT-felkészültséget is. A NAIH általában panaszbeadványok alapján jár el, nem fog váratlanul megjelenni az adatkezelőknél, de az biztos, hogy azokat a dokumentumokat el fogják kérni, amivel igazolják, hogy megvizsgálták az adatkezelésüket, és hogy megfelelnek a GDPR-ban előírtaknak – emelte ki az elnök.
Nem triviális az adatok elfeledtetése
Kocsis Zsolt, az IBM Security technológiai vezetője előadásában a felkészülés informatikai-technikai részleteiről beszélt. Mint elmondta, egy régiós banki projekt keretében a jogi osztály előírta az IT-feladatokat, hogy minek hogyan kell kinéznie, milyen képességekkel kell rendelkeznie egy rendszernek, de ők nem tudták, milyen hatalmas kihívás elé állították kollégáikat. Nem triviális ugyanis, hogy az adatok törlésére, elfeledtetésére képes egy rendszer, és az adattérkép elkészítése is óriási feladat, különösen, ha nagy, komplex és széttagolt architektúráról van szó.
Kiemelt fotó: Thinkstock
