Hosszú, kétéves felkészülési időszak végéhez érkeztünk. 2018. május 25-től alkalmazandó az EU általános adatvédelmi rendelete, a GDPR. Az adatvédelmi szabályozás új korszaka ezzel hivatalosan is kezdetét veszi. Visszatekintve, úgy tűnik, hogy nagyon gyorsan lejárt a felkészülésre szánt időtartam, feladat viszont még maradt bőven, hiszen egyes felmérések azt mutatják, hogy az adatkezelők egy része még messze nem készült fel az új szabályok alkalmazására. A felkészüléssel azonban nemcsak az adatkezelőknek gyűlt meg a bajuk, de a tagállamok jelentős része sem tett eleget jogalkotási kötelezettségeinek és a felügyeleti hatóságok is elmaradással küzdenek. Az előzetes tervekkel ellentétben pedig az e-Privacy Rendelet elfogadása jelentősen elcsúszott a GDPR-hoz képest, de vélhetően néhány hónapon belül ez is elfogadásra kerülhet. Miután ezek  az új szabályok is megszületnek, egy újabb (kisebb) felkészülési feladat még várhat az adatkezelők egy részére. 

Mire kell készülnünk május 25-e után?

A változások, amelyeket a GDPR elindított vélhetően hosszabb távon érnek majd be. Az érintettek oldaláról egyre nagyobb tudatosságra számíthatunk, míg az adatkezelők oldalán a megnövekvő adatvédelmi kitettség, felelősebb és átgondoltabb adatkezeléseket hozhat magával. 

Talán nem kell arra számítanunk, hogy a felügyeleti hatóságok rögtön "rávetik magukat" az adatkezelőkre, de előbb-utóbb a GDPR által lehetővé tett nagyobb szigornak is tanúi lehetünk. A joggyakorlat egységesedés is csak fokozatosan következhet be, de a 29-es Munkacsoport helyét átvevő Európai Adatvédelmi Testület központi szerepet fog játszani az uniós adatvédelmi joggyakorlat alakításában.   

A GDPR egyik fontos újdonsága, hogy azon adatkezelőkre is kötelezettségeket telepít, amelyek az EU-ban nem telepedtek le, de az EU területére irányuló szolgáltatásokat nyújtanak (extraterritoriális hatály). Az viszont kétséges, hogy a gyakorlatban érvényt lehet-e szerezni ezeknek az előírásoknak. Több területen is komoly versenytényező lehet, hogy az adatvédelmi szabályok betartása mellett elérhetők-e áttörések a mesterséges intelligencia vagy a big data területén. Egyes vélemények szerint a mesterséges intelligencia piacon Kína lehet a nyertes, mert az ottani adatkezelők kezét nem kötik meg az adatvédelmi szabályok.   

Beválthatja-e a GDPR a hozzá fűzött reményeket?

Vajon alkalmas lesz a GDPR arra, hogy a viharos gyorsaságú technológiai fejlődés mellett megfelelő keretet adjon az adatvédelmi elvek érvényesülésének? Alkalmas lesz-e a GDPR arra, hogy a rohamosan növekvő digitális gazdaság kibontakozását támogassa, de egyúttal az érintettek jogait is megfelelő védelemben részesítse? 

Ezeket a kérdéseket egyelőre nehéz megválaszolni. A GDPR alapvetően tág kereteket és technológiailag semleges szabályokat biztosít, de kérdés, hogy maga az az adatvédelmi keretrendszer, amelyen a GDPR ugyan sok tekintetben alakít, de nem változtat meg teljesen, hosszú távon is működőképes lesz-e. (Máshogyan megfogalmazva: vajon a GDPR is kibír 20 évet, mint az elődje, a 95/46/EK irányelv?) 

Számos olyan terület van, ahol a meglévő adatvédelmi keretek bizony szűknek bizonyulhatnak. Ilyen lehet a már említett mesterséges intelligencia kutatás, a big data alkalmazása és az egyre terjedő IoT megoldások is. Egy biztos, május 25. után sem fogunk unatkozni, sőt az igazi izgalmak talán csak most következnek.....