Az átlagember ingerküszöbét nem hogy az uniós jogalkotás, de legtöbb esetben még a magyar sem éri el. Hogy ez mégis megtörténjen, ahhoz valami kiemelkedő dologra van szükség. Uniós szintű jogszabályok esetén talán nem túlzás azt mondani, hogy az elmúlt évtizedben kétszer kapta fel a fejét a polgár, hogy valami készül: a szerzői jogi irányelv és az adatvédelemről szóló rendelet kapcsán. Előbbi esetén azzal riogattak, hogy le fogják kapcsolni a YouTube-ot (és fizetniük kell a mémekért), utóbbi kapcsán meg azzal, hogy le fogják kapcsolni a Facebookot és a Google-t (és élőben kell beszélgetniük majd egymással).
Ahogy ezt korábbi bejegyzésünkben már tisztáztuk, a GDPR nem más, mint az Európai Unió általános adatvédelmi rendelete, a General Data Protection Regulation – 2016-ban fogadták el, de igazán 2018 elején indult körülötte az a felhajtás, amely miatt a legtöbbek buborékjába is beszivárgott. Egyre többször és több helyről hallottuk, hogy GDPR.
20 millió forintból 20 millió euró, ombudsmanból hatósági elnök
Írt a GDPR-ról politikai oldaltól függetlenül minden sajtóorgánum (de szinte még a sportsajtó is), bekerült a televízióba, ezzel párhuzamosan meg rohamosan elindult az ijesztgetés. Az első dolog, ami miatt az adatkezelői oldal megrettent és ami miatt a tanácsadói szektor hirtelen „aranytojást tojó tyúkként” tekintett a rendeletre, az a büntetési tételek jelentős megnövekedése volt. 20 millió forintról 20 millió euróra nőtt a tét – de akár az adatkezelő éves világszintű árbevételének 4%-ára is rúghat az összeg. (A Google a francia hatóságtól kapott is egy 50 millió eurós csekket 2019 elején.)
Ettől függetlenül az adatvédelmet nem 2016-ban (vagy 2018-ban) találták fel, már a magyar jogban is egészen a személyi szám alkotmányellenességéről döntő Alkotmánybírósági döntésig, 1991-ig visszamenő története van. 1992-től törvény védte a személyes adatokat, amely létrehozta adatvédelmi ombudsman intézményét. Az ombudsmannak azonban olyan kényszerítő eszköz, amelytől a jogellenes gyakorlatot folytató adatkezelők gyökeresen másként kezdtek volna működni, nem volt a kezében. Az adatvédelmi biztos a jogellenes adatkezelés észlelése esetén az adatkezelőt az adatkezelés megszüntetésére szólíthatta fel, de például pénzügyi szankciót nem alkalmazhatott. 2012. január 1-jétől az ombudsmant egy hatósági rendszer váltotta fel – a legnagyobb különbség az volt, hogy a hatóság immár akár pénzbírságot is kiszabhatott, eleinte 10 millió forintot. 2012. január 1-jével tehát felállt a Nemzeti Adatvédelmi és Információszabadság Hatóság. (Ide csak zárójelben: a mai napig sokszor még mindig tévesen jelenik meg a sajtóban, hogy „az adatvédelmi ombudsman” így és úgy, holott ez a pozíció immár több mint hét éve megszűnt: hatóság és hatósági elnök van.)
Mindenki késett – a riogatás azonban menetrendszerinti volt
A bírságplafon 2015-ben megduplázódott, akár már 20 millió forintos bírságot is kiszabhatott a NAIH – ám, ha a szívünkre tesszük a kezünket, még ez az összeg sem volt igazán elrettentő egy-egy nagyobb árbevételű szervezet számára. Sőt, sokaknál az ingerküszöböt sem érte el, hogy létezik ilyen törvény. Azzal azonban, hogy 2016-ban az Unió megalkotta és hatályba is lépett a GDPR, elindult az őrület, és hirtelen a csapból is az adatvédelem kezdett folyni. „Felkészülés a GDPR-ra” jegyben telt két év, holott igazából senki sem készült fel. Nem készült fel Magyarország: az első, GDPR miatti jogalkotás is már csak 2018. május 25. után történt, amikor az állam kijelölte a NAIH-ot magyar felügyeleti hatóságnak, holott erre két éve lett volna. Az igazi „nagy”, de még mindig nem teljesen átfogó jogalkotás 2019. április 26-án lépett hatályba, mintegy egyéves késéssel. Nem készült fel a NAIH: szó se róla, rengeteg helyen adtak elő a hatóság munkatársai az elnöktől az osztályvezetőkig, de sok esetben a „meglátjuk”-on túl nem jutottak. Az első segítő jellegű anyagok is csak 2018 márciusában láttak napvilágot. De nem készültek fel az adatkezelők sem. Holott naponta lehetett rengeteg pénzt kifizetni a hasznostól a mérhetetlenül haszontalan skálán mozgó konferenciákért, üzleti reggelikért. A hirtelen sokszorosára duzzadó tanácsadói szektorban többen meg őrült riogatásba kezdtek, hogy aki nem lesz kész 2018. május 25-én reggel 8 órára a GDPR-kompatibilis szabályzásával, azt minimum bilincsben viszi el a NAIH.
Holott a történet ennél jóval egyszerűbb, és persze bonyolultabb is egyben. Mint azt pár bekezdéssel fentebb említettük, az adatvédelmet nem most találták fel, szinte egyetlen olyan szabály sem került be a most hatályos szabályozásba, amelynek ne lett volna előképe a magyarországi szabályozásban. Szó se róla, az uniós szintű egységesítés jegyében sok tagállam adatkezelői szívhatták a fogukat, mert az addigi harmatgyenge-gyenge-közepes szabályozást egy igen erős előírásrendszer írta felül – a magyar szabályozás azonban már 1992 óta az egyik legszigorúbb volt az Unióban. Megmaradt (maximum kicsit új néven tért vissza) az összes, korábban betartandó adatvédelmi alapelv, sőt, a korábbi, Magyarországon alkalmazható jogalapok mellé újak érkeztek. Bár éppen az utóbbi komolyabb zavart keltett az űrben. Ezzel azonban a következő bejegyzésünkben foglalkozunk részletesebbek.
Amiről pedig nagyon-nagyon sokan elfelejtkeztek, az az, hogy az Európai Unió az adatvédelem újraszabályozásával nem egy bürokratikus, több száz felesleges oldalnyi szabályzatalkotási kötelezettséget akart megalkotni, hanem reagálni kívánt az elmúlt két évtized technológiai és gazdasági változásaira. És talán ez hangzik el a legritkábban a GDPR-ral kapcsolatosan, de gazdaságélénkítő szerepet is szántak neki. Az azonban sajnos nem kétséges, hogy a fentiek mellett ez teljesen elsikkadt és félrecsúszott.