Mi lesz május 25. után? Bírságol a NAIH? – GDPR 4. rész

A hazai KKV-k többsége még legyint a május 25-én alkalmazandó EU-s adatvédelmi rendeltre. Pedig sok helyen olvasni az esetleges bírságról, de olyan óriási összegeket írnak, hogy erre a cégvezetők többsége azt mondja nem hiszi el, hogy ilyen nagy bírságot kiszabna rá a Nemzeti Adatvédelmi és Információszabadság Hatóság, vagyis röviden a NAIH. Meg egyébként is, nincs erre kapacitásuk, engem ellenőrizni. Emiatt nem is sürgős senkinek, és a többség bár elkezdett vele minimálisan foglalkozni, de hamar akadályokba ütköznek. Összegyűjtöttem a lehetséges variációkat.

A rendelet – GDPR lényege

Most csak röviden írom le a többit a cikksorozat első részében el tudod olvasni. AZ EURÓPAI PARLAMENT ÉS TANÁCS (EU) 2016/679 RENDELETE 2016. április 27-től hatályban van, de csak 2018. május 25-től kell alkalmazni az EU valamennyi tagállamában. A GDPR rövidítés a General Data Protection Regulation szavak kezdőbetűiből áll. A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről, és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet).

Mi akadályozza a felkészülést? Sajnos itthon nem módosították még az Infotörvényt, és a NAIH sem segíti a vállalkozásokat (sok a kérdőjel a rendelet értelmezésében). Adatvédelmi szakemberből hiány van, a jogászok többsége egy-egy IT-s kérdésnél csak vakargatja a fejét. Nem is beszélve arról, hogy mennyire költséges. 

Bírság

Akár adatkezelő, akár az adatfeldolgozó megsérti a rendeletet:

• maximum 10 millió eurós
• vagy a cég árbevételének 2%-ával megegyező mértékű bírság szabható ki, melyek közül a magasabb összeg lesz érvényes.

Ennek duplája – 20 millió euró, vagy az árbevétel 4%-a – lehet a bírság maximuma, amennyiben az ügyfeleket direktebb módon érintő problémát, például adatkezelési jogainak megsértését állapítja meg a hatóság.

Mi várható május 25-től itthon? Mit csinál a NAIH?

A NAIH új munkatársakat is felvett, de tény, hogy az összes cég ellenőrzésére nem lenne kapacitásuk. Körbejártam a várható forgatókönyveket. Több GDPR előadás, rendezvény és üzleti megbeszélés alatt ezek jöttek szóba:

1. Nem bírságol, csak figyelmeztet, segít
   Több helyen is hallani, hogy bár a Rendeletben azt olvasni, hogy igenis komolyan fogják venni a bírságolást, ám itthon nem biztos, hogy egyből ezzel vegzálják a cégeket. Ez még érthető is lenne, elvégre itthon a NAIH is el van késve a megfelelő tájékoztatással, sok kérdőjel van a Rendelet alkalmazásával kapcsolatban. Ez megnyugtató is lehet.
2. Elrettent a NAIH – megbírságol egy-két céget
   Gondolj bele! Ott állnál alig 100 fős csapattal ennyi céggel szemben és mindenkit ellenőrizgetned kellene. Mikor érnél a végére a fenti első pontban megjelölt “simogató” figyelmeztetésekkel? Na ugye! Lehetséges, hogy még meg se kell nagyon mozgatnia magát a hatóságnak, ha egy-két céget megbírságol. Ezzel máris megijeszti a cégeket, és mindenki elkezd a GDPR-ral foglalkozni.
3. Csak az incidens bejelentéseket vizsgálja – Na, ki jelent be téged? Indul a konkurencia feljelentgetés?
   Utóbbi a legvalószínűbb forgatókönyv. Gondolj bele, hogy van egy cég, aki több százezret, nagyobbak esetében több milliót költött az elmúlt időszakban arra, hogy felkészítse a cégét a GDPR rendeletre, és látja a konkurenciát, hogy ő meg nem csinál semmit??!! Hm persze vannak jó szívűek, akik nem foglalkoznak vele, na de ott a másik réteg, aki lehetőséget lát abban, hogy piacot szerezzen. És bizony bejelenti a konkurenciát a NAIH-nál.

Mit kell tenned? Szeretnél felkészülni a GDPR-ra? A Minner cikksorozatával átfogó képet kapsz:

• GDPR 1. rész: GDPR tudnivalók vállalkozóknak, cégeknek, HR-eseknek, marketingeseknek
• GDPR 2. rész: 3 terület, amit mindenképpen érint a GDPR egy vállalkozásnál
• GDPR 3. rész: Ez változik a marketingben a GDPR alkalmazását követően 
• GDPR 4. rész : Mi lesz május 25. után? Bírságol a NAIH?
• GDPR 5. rész: Mi lesz a május 25. előtti adatbázisokkal?