Az általános adatvédelmi rendeletre való felkészülés komoly feladatot jelent a nagy multiktól kezdve a kkv-knak is, ugyanis már a munkatársak adatainak kezelése is GDPR-rendelet új szabályai alá tartozik, nem beszélve az ügyféladatokról, azok célhoz kötött felhasználásáról és törlési módozatairól. A külső védelem, az adatok biztonságban tartása miatt még fontosabb szempont lesz mostantól, különösen, hogy a bírságok kiszabásakor azt is figyelembe veszik, mennyire adatszivárgás és hackerbiztos az adott cég IT-rendszere. A GDPR audit illetve az adatvédelmi hatásvizsgálat segítenek feltárni, milyen intézkedések, új rendszerek kialakítása szükséges, az adatkezelés hol nem felel meg a GDPR-ban előírtaknak, és mit kell másképpen csinálni.
Adatvédelmi bírság szempontjából mindenképpen. Egy múlt heti adatvédelmi konferencián Péterfalvi Attila, a NAIH elnöke előadásában kifejtette, hogy a hatóság értelmezése és álláspontja szerint 2018. május 25-től – a GDPR-ban foglalt egységes jogalkalmazás okán – az adatvédelmi hatóság gyakorlata szempontjából vége a KKV-k első alkalommal történő bírság alóli mentesülésének.
Mint az ismeretes a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény (Kkv.tv.) 12/A. §-a alapján 2014. januárjától a hatósági ellenőrzést végző szervek a kis- és középvállalkozásokkal szemben az első esetben előforduló jogsértés esetén – a törvényben foglalt kivételektől eltekintve – bírság kiszabása helyett figyelmeztetést alkalmaznak.
Ettől eltérő gyakorlatot folytatott a kezdetekben több hatóság, így többek között az adatvédelmi hatóság is, ugyanakkor a Kúria több ügyben foglalkozott a kérdéssel, mely tekintetében még jogegységi határozat is született (2/2013. számú KMJE határozat). Kifejezetten a NAIH eljárásával kapcsolatos ügy volt Kúria Kfv. II. 37.886/2015. számú döntése, mely egyértelműsítette, hogy a Kkv. tv rendelkezéseit az adatvédelmi hatóság is köteles alkalmazni.
Ugyanakkor a dolog úgy áll, hogy ezen „tisztázás” csak átmeneti volt, ugyanis a NAIH elnökének múlt heti nyilatkozata alapján a hatóság kkv-kkal kapcsolatos gyakorlata változni fog. Álláspontja szerint az általános adatvédelmi rendeletnek egyrészt pont az a célja, hogy az adatkezelésre vonatkozó anyagi és – lehetőleg az – eljárási szabályok is egységesek legyenek a közösségen belül, amivel a kkv-k bírságmentessége – ebből a szempontból – nem lesz összeegyeztethető. Másrészt az információs önrendelkezés kapcsán alapjogról van szó, mely tekintetében a NAIH – Péterfalvi álláspontja szerint – nem ellenőrzést folytat, ahogy a Kkv tv. vonatkozó passzusa fogalmaz, hanem hatósági eljárást, ami minőségében is más.