Jövő májustól kell alkalmazni az Európai Unió tagállamaiban, így Magyarországon is az új általános adatvédelmi rendeletet (GDPR). Az ehhez készült magyar törvénytervezetet vizsgálta meg a DIMSZ és többek között jelezték, hogy a szabályozás jelen formájában, bizonyos esetekben nehezen átlátható helyzeteket és többletkötelezettségeket okozna, amelyek versenyhátrányt jelentenének a magyar vállalkozások számára.
Az Igazságügyi Minisztérium 2017. augusztus 29-én bocsátotta társadalmi egyeztetésre a jelenlegi magyar adatvédelmi törvény módosításáról szóló tervezetét. A módosítást az indokolja, hogy a magyar adatvédelmi jogot, így többek között az Infotv.-t is összhangba kell hozni az EU általános adatvédelmi rendeletével (GDPR).
A DIMSZ, illetve annak Adatvédelmi és Adatbiztonsági Tagozata áttekintette a tervezet, és a rendelkezésre álló viszonylag szűk határidőben megküldte észrevételeit az Igazságügyi Minisztériumnak. A DIMSZ észrevételeit támogatja és azokhoz csatlakozik a Magyar Reklámszövetség (MRSZ) és annak szabályozási kérdésekre specializálódott Jogi Tagozata.
A szervezetek számos észrevétellel, javaslattal, kérésessel fordultak a minisztérium felé. Többek között jelezték, hogy a szabályozás jelen formájában, bizonyos esetekben nehezen átlátható helyzeteket és többletkötelezettségeket okozna, amelyek versenyhátrányt jelentenének a magyar vállalkozások számára. A szakmai szervezetek szerint hasznos lenne, ha a tervezet az ágazati adatvédelmi szabályozások felülvizsgálatát is magában foglalná, illetve megszüntetné az eddigi „kötelező adatkezelés” mint jogalap fenntartását.
„Üdvözlendőnek tartjuk a tervezet társadalmi egyeztetésre bocsátását, ugyanakkor e célból mindenképpen jóval hosszabb határidőt tartottunk volna szükségesnek, tekintettel a törvény kiemelt jelentőségére. Természetesen bízunk benne, hogy észrevételeinket figyelembe veszi az IM, és újabb egyeztetésekre kerül majd sor. Ehhez felajánlottuk szakmai segítségünket.” – mondta dr. Halász Bálint ügyvéd, a DIMSZ jogi partnereként dolgozó Bird & Bird ügyvédi iroda részéről.
„Meggyőződésünk, hogy az uniós GDPR jó irányba tereli a szabályozást. A tervezetet megismerve úgy látjuk, nagy szükség van a szakmai kommentekre és egyeztetésre, hogy a szabályozás következetessége és átláthatósága segítse az érintettek számára az annak való megfelelést, a hatóság számára pedig a számonkérést.” – tette hozzá Huszics György, a DIMSZ elnöke.
Az információs törvény tervezet szerinti módosítása jelentős versenyhátrányba hozná a magyar vállalkozásokat, így a direktkommunikációs és adatvezérelt marketing piacon tevékenykedő cégeket, mert olyan többletkötelezettségeket írna elő a GDPR-hoz képest, amely európai versenytársaikat valószínűleg nem fogja terhelni. Ilyen többletkötelezettség például annak az általános, háromévenkénti felülvizsgálata, hogy az adatok kezelése szükséges-e az adatkezelés céljának megvalósulásához – állapítja meg a DIMSZ elemzése.
A tervezet szerinti módosítása nehezen átlátható helyzetet teremtene, ugyanis a törvényt főszabály szerint a személyes adatok bűnüldözési, nemzetbiztonsági és honvédelmi célú kezelésére kell majd alkalmazni, míg a GDPR hatálya alá tartozó adatkezelésekre irányadó magyar rendelkezéseket egy salátásított felsorolás tartalmazza. Ezen új szakasz kereszthivatkozásai tekintetében egyes esetekben nem lehet eldöntetni, hogy pontosan mely norma irányadó a GDPR hatálya alá tartozó adatkezelésekre. Továbbá, a tervezet a GDPR hatályát gyakorlatilag kiterjesztené olyan tevékenységekre is, amelyekre a hatálya nem terjed ki. Ez ismét versenyhátrányt jelentene a magyar vállalkozásoknak, hiszen míg más országokban ilyen tevékenységeket megkötések nélkül lehet majd végezni, Magyarországon e tevékenységek esetén is meg kellene felelni a GDPR és az Infotv. rendelkezéseinek, nem is beszélve a 20 millió euróig, illetőleg a világ szintű árbevétel 4%-ig terjedő bírság kockázatáról, amellyel ezek szerint csak a magyar vállalkozásoknak kéne szembenézniük.
A tervezet sajnálatos módon nem foglalja magában az ágazati adatvédelmi szabályozások felülvizsgálatát, miközben az ezzel kapcsolatos várakozás óriási. Itt elsősorban a direkt marketinggel összefüggő és egyéb elektronikus hirdetési szabályok felülvizsgálata és GDPR-hoz igazítása lesz elengedhetetlen. Ezzel kapcsolatban a tervezet csak annyit tartalmaz, hogy ezek módosítását majd az illetékes minisztériumok külön-külön fogják elvégezni. Álláspontunk szerint ezt az IM-nek kellene koordinálnia egységes koncepció alapján, ellenkező esetben ugyanis jelentős a veszélye annak, hogy a végeredmény nem lesz ellentmondásoktól mentes.
„Nem tartjuk megfelelőnek az eddigi „kötelező adatkezelés” mint jogalap fenntartását, ugyanis a GDPR-ban található jogalapok egyike sem feleltethető meg ennek” – fogalmaz elemzésében a DIMSZ. A „kötelező adatkezelés” a magyar adatvédelmi szabályozás egyik kényszermegoldása volt arra az esetre, amikor nem lehetett vagy nem volt életszerű az érintett hozzájárulását beszerezni (pl. egy webshop esetében a rendelés lebonyolításához szükséges adatok kezelése). Ez azonban lehetőség volt, és nem valódi kötelező adatkezelés. Szükségesnek tartjuk ezért, hogy a jelenlegi ágazati adatvédelmi szabályozás is egységes koncepció alapján áttekintésre kerüljön és végeredményben a GDPR-ral összhangban álló, a piac számára is egyértelmű szabályok kerüljenek elfogadásra.
