Dr. Domokos Márton kifejtette: a GDPR fő célja az EU-n belüli szabad adatáramlás és az egységes szintű adatvédelem biztosítása. Az új szabályok bevezetéséhez nincs szükség külön helyi törvények elfogadására. Ha például egy webáruház több EU-s országban működik, nem kell majd többé 28 különböző adatvédelmi szabályozásnak megfelelnie – felhasználóinak adatait a GDPR szabályai szerint kell kezelnie, függetlenül attól, honnan nyújtja szolgáltatásait.

Elvileg legalábbis így lesz – jegyezte meg. A magyar adatvédelmi törvény (Infotv.) ugyanis jelenleg még számos olyan rendelkezést tartalmaz, ahol majd a GDPR lesz irányadó. Ilyenek a személyes adatok kezelésének előfeltételei, az adatbiztonsági előírások, és az adatok EU-n kívülre – például felhőszolgáltatók számára – történő átadása.

2018. május 25-ét követően ezek a szabályok várhatóan kikerülnek az Infotv.-ből, maga a jogszabály viszont megmarad, és egyéb, a GDPR által nem érintett területeket szabályoz. Fontos ugyanakkor, hogy a törvényalkotó biztosítsa: ne legyen összeütközés a GDPR és a helyi jogszabályok között, és ne is maradjon adatvédelmi szempontból szabályozatlan kérdés.

De mik is azok a helyzetek, amikor az EU-s országok a továbbiakban is szabadon alakíthatják – és szigoríthatják – adatvédelmi szabályaikat?

Genetikai adatokat, biometrikus adatokat és az egészségügyi adatokat alapvetően az egészséggel kapcsolatos célokból lehet kezelni. Ilyen a minőségellenőrzés, az egészségügyi ellátás, vagy a tudományos kutatás. Az országok meghatározhatnak szigorúbb szabályokat, jellemzően határokon átnyúló adatkezelés esetében, de nem akadályozhatják az adatok EU-n belüli szabad áramlását.

A magyar jogszabályoknak kifejezetten rögzíteniük kell majd azt is, milyen esetekben lehet bűnügyi személyes adatokat kezelni. Ha például egy cég a munka bizalmi jellege miatt erkölcsi bizonyítványt kérne leendő dolgozójától, erre csak akkor lesz jogosult, ha a magyar munkajog ezt kifejezetten lehetővé teszi – hangsúlyozta dr. Domokos Márton.

A GDPR kiemelten védi a gyermekek adatait, mert ők kevésbé lehetnek tisztában az adatkezelési kockázatokkal. 16 éven aluliak adatainak online gyűjtése (például marketing, vagy felhasználói profil létrehozása) csak szülői beleegyezéssel lesz majd lehetséges. Az egyes országok kulturális sajátosságai és elvárásai azonban eltérőek. A tagállamok ezért alacsonyabb életkort is megállapíthatnak, ami minimum 13 év.

A GDPR részletesen meghatározza a cégek megbízása alapján eljáró szolgáltatók – az úgynevezett „adatfeldolgozók" – kötelezettségeit. Az egyes országok jogszabályban írhatják elő, hogy a szolgáltató a megbízó utasításaitól mikor térhet el. Ilyen eset lehet, ha egy IT szolgáltatóhoz bűnüldözési vagy adóhatósági adatkérés érkezik, és a megbízója utasításától függetlenül köteles lehet egy adat kiadására.

2018. május 25-től a nagyobb kockázatot jelentő adatkezelések előtt (például új technológiák bevezetése esetén) a cégeknek úgynevezett adatvédelmi hatásvizsgálatot kell majd végezniük. Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság határozhatja majd meg, milyen esetekben kötelező ilyen hatásvizsgálatot végezni – emelte ki.

A GDPR egységesen előírja, mikor kell a belső adatvédelmi megfelelését ellenőrző, úgynevezett adatvédelmi tisztviselőt kinevezni. Kötelező lesz például közhatalmi szervek számára, vagy ha egy cég főtevékenysége vásárlói profilok készítése, illetve nagyszámú egészségügyi adat kezelése. A tagállamok további eseteket is meghatározhatnak – így egyes szektorokban (Magyarországon jelenleg a pénzügyi és az elektronikus hírközlési szektor) vagy bizonyos dolgozói létszám felett.

Adatvédelmi jogaik megsértése esetén a magánszemélyek adatvédelmi egyesületeket bízhatnak meg, hogy panaszt nyújtsanak be az illetékes adatvédelmi hatóságnál vagy bíróságnál. Az országok lehetővé tehetik, hogy ezek az egyesületek kártérítést is kérhessenek, és az érintettek megbízásától függetlenül is kérhessenek adatvédelmi jogorvoslatot. Magyarországon jelenleg még nincs ilyen lehetőség, de egy ilyen megoldás a fogyasztóvédelemhez hasonló hatékonysággal ruházná fel az adatvédelem intézményét.

A GDPR egységesen 10.000.000 – 20.000.000 EUR összegben határozza meg az egyes országok adatvédelmi hatóságai által kiszabható pénzbüntetést. Vállalkozások esetén az előző pénzügyi év teljes éves világpiaci forgalmának 2-4 százalékát kell nézni. A tagállamok további közigazgatási és büntetőjogi szankciókat határozhatnak meg, így a jogsértés - például adatbázis jogellenes vásárlása - útján szerzett vagyon elvonását.

A véleménynyilvánítás szabadsága és a tájékozódáshoz való jog biztosítása érdekében a tagállamok bizonyos adatvédelmi szabályoktól eltérhetnek, várhatóan újságírás, tudományos kutatás, vagy művészeti célból. A munkaügyi adatkezeléseket – munkaerő-felvétel, munkaszervezés, munkahelyi egyenlőség és sokszínűség, egészségvédelem stb. – külön helyi törvényben kell szabályozni.

Egyes jogszerű automatizált döntéshozatali mechanizmusokat (ügyfél-profilalkotás csalásmegelőzés, szolgáltatásbiztonság stb. céljából) szintén a tagállami törvényeknek kell lehetővé tenniük – hangsúlyozta végezetül dr. Domokos Márton.