Péterfalvi Attila adatvédelmi biztos a Portoflio GDPR Summit-on cáfolta azt a híresztelést, mely szerint új hivatalt hozhatnak létre a választások után a egységes európai adatvédelmi rendelettel, azaz a GDPR-ral összefüggő feladatok ellátására. Új hatóság ugyanis nem hozható létre kétharmados törvénykezés nélkül, az alaptörvényben pedig az szerepel, hogy csak egyetlen független törvénnyel létrehozott adatvédelmi hatóság létezik.

Az Infotörvény GDPR miatti módosításait legkésőbb május 8-án, az első parlamenti ülésen kellene elfogadni, és minél gyorsabban ki kell jelölni a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH) a GDPR-ral összefüggő feladatok elvégzésére. Gőzerővel folyik a legfontosabb szektorális törvénymódosítások egyeztetése, az Igazságügyi Minisztérium és különböző érdekképviseleti szervek egy kerekasztalt hoztak létre erre, a kérdés pedig az, hogy május 25-ig mely jogszabályok tudnak átmenni a parlamenten. A GDPR felhatalmazást ad a nemzeti jogalkotóknak a közhatalmi adatkezelésekkel kapcsolatban. Szabályozható a bírság mértéke, pl. egy kórház vagy kormányhivatal bírságolásánál az állam egyik zsebéből pakolná a pénzt a másik zsebébe, ezért itt a tervek szerint megmaradna a maximum 20 millió forintos bírság.

Meg kell alkotni az eljárási szabályokat is, a tervezet szerint 180 napos, vagyis hosszú határidők lesznek, 2 hiánypótlással és egy egyeztetéssel. Miután a GDPR nem ismételhető meg nemzeti jogban, ezért első lépésben az Infotörvényből ki kell venni azokat a részeket, amelyek a GDPR-ban már benne vannak, majd ezeket egy későbbi időpontban nemzeti jogba kell ültetni, azaz vissza kell helyezni eredeti helyére. A bíróságok peres és nem peres eljárásaival kapcsolatos adatkezelései kivételt jelentenek, május 25-e után sem fognak az adatvédelmi hatóság vagy más párhuzamos hatóság felügyelete alá tartozni. Minden más vonatkozásban marad a hatóság kompetenciája, mely változatlanul kiterjed az egyházak adatkezelésére is.

A cégeknek át kell vizsgálni az adatkezelési gyakorlatukat, de nemcsak jogi, hanem IT-oldalról is. A NAIH általában panaszbeadványok alapján jár el, nem fog váratlanul megjelenni az adatkezelőknél, de az biztos, hogy azokat a dokumentumokat el fogják kérni, amivel igazolják, hogy megvizsgálták az adatkezelésüket, és hogy megfelelnek a GDPR-ban előírtaknak. Kocsis Zsolt, az IBM Security technológiai vezetője szerint hiába adták ki az IT-seknek a GDPR-re való felkészülés keretében a feladatokat, nem tudták, milyen hatalmas kihívás elé állították kollégáikat. Nem triviális ugyanis, hogy az adatok elfeledtetésére is képes legyen egy rendszer, ráadásul az adattérkép elkészítése önmagában is óriási feladat volt.