2018. május 29-én benyújtásra került az Országgyűléshez a T/335. számú törvényjavaslat, amely a jelenlegi Infotörvény jogharmonizációs célú módosításáról szól.
Gulyás Gergely korábbi nyilatkozata nagy port kavart a KKV-szektor körében, ugyanis nyilatkozata szerint a Kormány a Nemzeti Adatvédelmi és Információszabadság Hatósággal (továbbiakban: NAIH) közösen olyan szabályozást tűzött ki célul a KKV-szektor irányába, hogy szankcionálás nem, csak figyelmeztetés érné az esetleges jogsértőket.
Ugyanakkor fontos tisztázni, hogy egy véleménynyilvánítás nem írhatja felül az Általános Adatvédelmi Rendeletet (továbbiakban: GDPR), hiszen a magyar szabályozás felett áll a GDPR. A fent említett törvényjavaslat nem tartalmaz olyan rendelkezést, amely kifejezetten megtiltja a bírságolást a KKV-k irányába.
Mindezeket figyelembe véve a KKV-szektor sem mentesül a szankcionálás alól, ahogyan a nagyvállalatok sem, az új szabályoknak való megfelelést továbbra is folytatni kell (vagy el kell kezdeni) minden vállalkozás számára. Május 25-én a közvetlenül alkalmazandó GDPR hatályba lépett Magyarországon is, és csak kivételes esetekben, nagyon ritkán enged eltérést saját szabályai alól.
A GDPR rendelet teljes összképet ad arról, hogy a független hatóságnak a bírság kiszabásánál mit kell figyelembe vennie: mérlegelnie kell a jogsértés súlyát, valamint a korábbi adatkezelő vagy adatfeldolgozó általi jogsértést is számításba kell vennie. Amennyiben korábbi jogsértés nem tapasztalható, egyértelműen enyhítő körülményként fog szolgálni a bírság kiszabásánál. Ez a mérlegelési jogkör a GDPR értelmezésében a független hatóságot illeti meg.
A törvényjavaslat értelmében a jelenlegi magyar adatvédelmi törvényt (Info tv) az alábbiak szerint javasolt megváltoztatni a jogharmonizáció céljából:
- A Nemzeti Adatvédelmi és Információszabadság Hatóság kijelölése, mint a GDPR szerinti független hatóság. A törvényjavaslat kijelöli a feladat ellátására a NAIH – ot.
- A Hatóság a jogsértések észlelése esetén a szankciókat az arányosság elvének figyelembevételével gyakorolja.
- A Hatóság (NAIH) a jogsértés első alkalmával elsősorban – az eset összes körülményére, így a jogsértés súlyára, annak ismétlődő jellegére, valamint az érintetti kör nagyságára is figyelemmel – az adatkezelő vagy az adatfeldolgozó figyelmeztetésével kezdi a szankcionálást.
Emellett az Európai Bizottság is egyértelművé tette, hogy a tagállamok csak abban az esetben térhetnek el a GDPR rendelkezései alól, amennyiben azt a rendelet lehetővé teszi és megengedi. Ellenkező esetben, ha a tagállam egy kógens rendelkezéstől tér el, vele szemben az Európai Bizottság kötelezettségszegési eljárást fog indítani.