Hosszas előkészületek után elérkeztünk a GDPR fémjelezte, új adatvédelmi korszakba. A bűvös május 25-i napot megelőzően tetőfokára hágott a hangulat és mindenki vérmérsékletének megfelelően rágta a körmeit vagy éppen kínjában nevetett a kialakult adatvédelmi pánikon. (Új műfaj is született, megjelentek az "adatvédelmi viccek", sőt aki zenében is az adatvédelmet keresi, egyes szolgáltatóknál, GDPR playlisttel is találkozhatott. Lehet, hogy a magyar költők adatvédelmi antológiáját is össze lehetne állítani, benne Petőfitől a "Minek nevezzelek?" és Karinthytól a "Nem mondhatom el senkinek" c. versekkel.)

Max Schrems adatvédelmi aktivista (aki pár éve az EU és az USA közötti adattovábbításokat lehetővé tevő Safe Harbor mechanizmust is megbuktatta) sem vesztegette az időt és már május 25-én panaszt nyújtott be az internetes óriások (Google és Facebook) ellen. 

Közben Magyarországon is benyújtásra került az Országgyűléshez a törvénytervezet, amely alapján a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) kerülne kijelölésre a GDPR alapján eljáró hatóságként, valamint a tervezet deklarálja, hogy első jogsértés esetén inkább a figyelmeztetés eszközével kellene élnie a hatóságnak. (Ez persze nem jelenti azt, hogy a NAIH nem bírságolhat már első alkalommal is, hiszen ezt nem zárja és nem is zárhatja ki a jogszabály, de egy erős jelzést küld az elvárásokról.) 

A NAIH honlapján is megjelent néhány újdonság május 25-én: egyrészt elérhetővé vált az adatvédelmi incidensek bejelentésére szolgáló oldal, továbbá elektronikus felület áll rendelkezésre az adatvédelmi tisztviselők bejelentésére is, amely azonban még fejlesztés alatt áll. (Az incidensek papír alapon is bejelenthetők, ehhez is elérhetők a nyomtatványok a NAIH honlapján.) Érdemes lehet böngészni a Hatóság által közzétett adatkezelési tájékoztatókat is (például az adatvédelmi tisztviselők bejelentésével kapcsolatos tájékoztató elérhető itt), mert ezek jelzik, hogy a NAIH milyen elvárásokat támaszthat a tájékoztatók tartalmával kapcsolatban. Bár az Infotv. módosítására nem került sor, a NAIH honlapján elérhető információk alapján a Hatóság 2018. május 25-től nem tekinti irányadónak az Infotv. adatvédelmi nyilvántartásra vonatkozó rendelkezéseit, és ezáltal az adatvédelmi nyilvántartást a Hatóság a továbbiakban nem vezeti. A GDPR 30. cikke szerint az adatkezelők és adatfeldolgozók által vezetett belső nyilvántartások helyettesítik majd az eddigi hatósági nyilvántartást.

Hivatalosan is megalakult az Európai Adatvédelmi Testület, amely lényegében a 29-es Cikk szerinti Munkacsoport (WP29) helyét veszi át a jövőben és iránymutatásai, döntései nagyon fontos igazodási pontként szolgálnak majd az adatvédelmi szabályok alkalmazása során. A Testület az egységes jogalkalmazás megteremtése érdekében kötelező döntéseket is hozhat. A WP29 korábbi, GDPR-ral kapcsolatos iránymutatásait megerősítette a  Testület, így azokra a továbbiakban is érdemes lesz figyelemmel lenni. 

Elkezdtek megjelenni a GDPR-t és a körülötte kialakult hangulatot értékelő írások is. Az éles üzem első hete alapján a GDPR-t magát még nyilván nem lehet érdemben értékelni, az viszont biztos, hogy számos megállapítás (akár igen sarkosak is) tehetők az elmúlt időszakkal kapcsolatban: kétségtelen, hogy már magát a GDPR-t is sok bírálat érte eddig is, de a gyakorlat mutatja majd meg, hogy szabályait lehet-e úgy alkalmazni, hogy az szolgálja a személyes adatok védelmét, de megfelelő környezetet nyújtson a normál és életszerű működésnek mind a magán-, mind a közszférában. (Az elmúlt hetekben a GDPR-ra hivatkozva már olyan vadhajtások is előtörtek, amelyek alapján a névjegyek cseréjére is csak az adatkezelési tájékoztatók és hozzájárulások kölcsönös aláírásával lehetne csak lebonyolítani...) Az viszont elmondható, hogy a jogalkotó és a hatóságok is tehettek volna többet annak érdekében, hogy az átállás zökkenőmentesebb legyen. Európai szinten még mindig nem született meg az e-Privacy Rendelet, Magyarországon pedig sem az Infotv., sem az ágazati jogszabályok módosítása nem történt meg (a helyzet egyébként hasonló sok más EU tagállamban is). Néhány nagyon aktív hatóságot leszámítva a Rendelet betartatását segíteni hivatott szervek sem siettek igazán az adatkezelők és adatfeldolgozók segítségére. Bár május 25-e elmúlt, de nem született meg egy egységes fekete lista a hatásvizsgálatot igénylő adatkezelésekről (csak egyes hatóságok tervezetei voltak elérhetők), bizonytalanok a tanúsítási mechanizmusok, és adatvédelmi jelölések körüli kérdések is.

Az első hét tehát eseménydús volt, kíváncsian várjuk a folytatást...