Szokás azt mondogatni, hogy amiről az emberek nem tudnak, az nem fáj, attól nem félnek, attól nem tartanak. Ebben a hitben leledzettek eddig azok a vállalkozások, amelyek azt hitték, ők a GDPR alapján az első alkalommal nem lesznek büntethetők, mert ezt megígérték nekik. Éppen ezért szólunk most, mert az alábbiakról való nem tudás fájdalmas felsimeréssé válhat:
Eltörölték a KKV szektorban azt a jogszabályi helyet, ami az első elmarasztalás alkalmával a figyelmeztetés kötelezettségét írta elő a magyar hatóságok számára. [1]
Ami sajnos annak ellenére nem váltott ki érdeklődést, hogy ez az egyetlen apró módosítás az alapjaiban írta át a KKV szektor fenyegetettségi szintjét [2], mivel ez a mondat pontosan azt jelenti, aminek hangzik:
A módosítás annulálta azt a 2018 május 24.-én bejelentett kormányzati ígéretet, hogy a KKV törvény hatálya alá tartozó vállalkozásokat a GDPR megsértése miatt az első alkalommal nem lehet bírságolni.
Ami persze már akkoriban sem jelentette azt, hogy ne lehetett volna azokban az esetekben sem bírságot kiszabni, amiknek már volt előzménye [3]. Nem győzzük ugyanis elégszer hangsúlyozni, hogy habár a nevében nemzeti, de a GDPR tekintetében a NAIH egy Európai Uniós hatóság, amely ráadásul 2019 óta nem csak önállóan képes vizsgálatok lefolytatására, hanem a települések jegyzőit is felkérheti helyszíni ellenőrzések lefolytatására. [4].
Természetesen nem szabad a fentieket sem félreérteni, sem félreértelmezni.
Nem arról van szó, hogy a figyelmeztetés lehetőségét törölték el. Jó szándékúan akár úgy is lehetne értelmezni a hivatkozott jogszabályi hely törlését, hogy ezentúl bármikor és bármennyiszer lehet figyelmeztetésben részesíteni egy vállalkozást és nincs kiemelt szerepe az első alkalomnak. Ugyanakkor viszont az biztos, hogy ez a szándék a GDPR tekintetében éppen nem lenne értelmezhető, mert ebben az esetben a hozzá nem értés önmagában bírság kiszabását teheti kötelezővé. Éppen ezért most már minden vállalkozó és vállalkozás elemi érdeke az, hogy legalább egy minimális felkészültséggel rendelkezzen.
Ez pedig valójában nem is nehéz.
Elérhető például a Személy-, Vagyonvédelmi és Magánnyomozói Szakmai Kamarával közösen készített, és teljesen ingyenes videórögzítés módszertanunk. Ebben bemutatjuk az alapokat, az elvárt gondolatmenetet, a szükséges tudnivalókat és a szabályzatot is. Ez pedig azért is hasznos, mert mindez segít megérteni azt, hogy miért nem lehet már a korábban megszokott - és a rövid videórögzítési idő miatt sokat bírált - jogszabályokra való hivatkozásokat alkalmazni.
Érdemes tehát felkészülni és a minimális elvárásoknak megfelelni - ami valójában sokkal könnyebb, mint ahogy azt eddig gondolták. Nézzenek majd vissza a blogunkra, mert a jövőben ehhez is segítséget fogunk nyújtani.
Hivatkozások:
[1] "A 2019. évi LXVII. Törvény 97. §: Hatályát veszti a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény 12/A. §-a. Hatályos 2020 január 1." Ez a jogszabályi hely írta elő korábban azt, hogy a KKV szektorban az első alkalommal - a kivételektől eltekintve - kötelező a figyelmeztetést alkalmazni.
[2] A Személyes adatokat nem is lehet addig kezelni, amíg valaki nincs tisztában az alapokkal. Éppen ezért a minimális elvárásoknak való meg nem felelés, vagy a felkészületlenség önmagában bírságot vonhat magával.
[3] Példa: 2019 Lex Sziget precedens
[4] Infotv. 71§ (1b)
