Holott a mindenik uniós tagországra (pontosabban az unióban mindenkire, és minden, az unió területén zajló cselekményre) kötelező rendeletet két évvel ezelőtt fogadták el, tehát gyakorlatilag két év állt rendelkezésre a felkészüléshez, felkészítéshez, tájékoztatáshoz, eligazításhoz. Mégis sok még a kérdőjel a mától már alkalmazandó jogszabály kapcsán, amihez az is hozzájárul, hogy a jogalkalmazói gyakorlat még hiányzik, és vannak tisztázatlan, megválaszolatlan helyzetek. A személyes adatvédelem természetesen nem újkeletű sem Romániában, sem az unió többi tagországában. Korábban uniós szinten csak irányelvek léteztek, amelyeket a tagországok a maguk módján ültettek át belső törvénykezésükbe. Romániában egy 2001-ben elfogadott törvény szabályozta a személyes adatok feldolgozását és szabad áramlását. Tehát sok minden tilos illetve törvénytelen volt eddig is a személyes adataink felhasználását, kezelését, továbbítását, tárolását illetően, ellenben kevesebb öntudattal álltunk hozzá ehhez a kérdéshez, az adatainkon úgymond nyerészkedők pedig nagyobb magabiztossággal vagy éppenséggel nemtörődömséggel kezelték (vagy nem kezelték) azokat.
Mi változik akkor mától, mitől olyan izgalmas ez a GDPR-kifejezés, hogy ezen a héten már állítólag sokkal többen rákerestek a kifejezésre az interneten, mint Beyoncé Giselle Knowless 22-szeres Grammy-díjas amerikai énekesnőre. Valóban nagy volt a hírverés az adatvédelmi rendelet körül, inkább most, az utolsó száz méteren, és nagyon úgy tűnik, hogy nem tudunk lespórolni újabb fogalmakat, meghatározásokat, plusz munkát, nagyobb kiadást, anyagi megterhelést, de további kiszolgáltatottságot sem. Hozzá kell szoknunk az adatvédelmi és adatkezelési tájékoztatókhoz, adatvédelmi nyilvántartásokhoz, a cégek belső szabályzatának vonatkoznia kell az adatkezelés mellett a panaszkezelésre, incidens-bejelentésre és sok egyébre, amelyek mostantól kezdenek majd a “felszínre kerülni”. Sőt, új kollégákkal is kénytelenek leszünk “szembenézni”, vagy legalábbis új szerepköröket mindenképpen rákényszerít a cégekre a GDPR, mert kötelezően meg kell “személyesíteni” az adatkezelőt és adatfeldolgozót. Pluszban adatvédelmi tisztviselőt is foglalkoztatni kell(ene) majd: alkalmazni ugyan nem kötelező, de sokak szerint a cégek 99 százaléka esetében kötelező lesz kijelölni – tehát mindenképpen pénzbe kerül. A Kifizetésekről szóló Európai Jelentés felmérése egyébként a költségekre is kitér: kilenc hazai cégből egy cégnek legalább ezer euróig terjedő kiadást jelentett eddig a rendelet alkalmazása, a cégek körülbelül tíz százaléka költött többet, ötvenezer euróig, a háromnegyedének pedig nem került eddig plusz költségébe a GDPR – vagy nem is hallottak róla. Európai szinten a kis és közepes vállalkozásoknak átlagban nyolcezer euróba kerül a GDPR előírásainak való megfelelés, az unión belül az összes jogi személy kiadása a rendelet alkalmazására már megközelíti a 200 milliárd eurót.
Várhatóan tehát sok minden változni fog mától, hiszen a rendelet előírásai mondhatni (szinte) mindenkit érintenek: egyrészt nincs ember személyes adat nélkül, másrészt nincs olyan társadalmi, gazdasági meg egyéb cselekményünk, amelybe ne kerülne be rólunk valamilyen formában akár csak egyetlen, kicsike adatocska, amelyről felismerhetőek, azonosíthatóak lehetnénk. Ebből kifolyólag pedig (szinte) minden cég, vállalkozás, állami intézmény valamint hatóság kezel, feldolgoz személyes adatokat - elég, ha csak a saját személyzetének adatait -, tehát kötelesek alkalmazni az adatvédelmi rendelet előírásait. A GDPR egyébként kizárólag jogi személyekre vonatkozik, ha valaki történetesen otthon magánszemélyként kezeli valamilyen formában más személyes adatát, akkor nem kell tartania a GDPR-től. És mégsem egyértelmű ez sem, hiszen sokan állítják, ha valaki magánszemélyként bloggol, és blogértesítője vagy facebook oldala, statisztikája van, már adatkezelőnek számít…
A hatályba lépés időpontjának közeledtével inkább gyűltek, semmint tisztázódtak volna a GDPR-vel kapcsolatos kérdések. És egyelőre a kételyek sem oszlottak el arra vonatkozóan, hogy valóban jóhiszemű célt követ és szolgál az adatvédelmi rendelet. Valóban biztosak lehetünk benne, hogy személyes adatainkat a szándékunk szerint használják és kizárólag azok, akikre rábíztuk? Ténylegesen és eredményesen gyakorolhatjuk majd az “elfeledtetéshez” való jogunkat? Egyáltalán (meg)tudhatjuk-e, kik és mennyi helyen tárolnak rólunk és milyen adatokat? Adatfeldolgozó cégként, kisvállalkozásokként kivédhetjük-e az esetlegesen rosszul, vagy éppenséggel rosszindulattal értelmezett incidens-bejelentést túlbuzgó adatvédők részéről? A rendelet be nem tartásáért kiróható hatalmas büntetéseket valóban tényszerűen, jogszerűen és célszerűen fogják-e kiróni? A GDPR mától alkalmazandó. Bízzunk benne, hogy valóban a mi érdekünkben.
