Május 25-én lépett hatályba az új európai uniós általános adatvédelmi rendelet (GDPR), ami a várakozások szerint jelentős változásokat hoz majd az Európai Unióban a személyes adatok kezelésében. Az előírással kapcsolatban az egyes tagállamoknak jogharmonizációs feladatai vannak, és a magyar kormány 2018. 06. 19-én előterjesztést nyújtott be az információs önrendelkezési jogról és az információszabadságról szóló törvény az Európai Unió adatvédelmi reformjával összefüggő átfogó módosításával kapcsolatban. 

A törvényjavaslathoz fűzött általános indokolásban a kormány egyértelműen kifejtette álláspontját, miszerint a GDPR közvetlenül alkalmazandó szabályait – így a bírságra vonatkozó akár húszmillió eurós maximumot – „elsősorban a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok ellen fellépve szükséges alkalmazni” – mutatott rá Majoros Gábor, a Deloitte Legal Ügyvédi Iroda adatvédelmi szolgáltatásokért felelős ügyvédje. 

Mint mondta: az általános indokolásban foglaltak arra engednek következtetni, hogy a NAIH elsősorban a multinacionális vállalatokat fogja ellenőrizni. A többi gazdasági szereplő, így a kis- és középvállalkozások (kkv) tekintetében a kormány megengedőbb álláspontot fogalmazott meg a törvényjavaslat indoklásában, esetükben az arányosság elvét figyelembe véve a figyelmeztetés jogkövetkezményét indokolt alkalmazni. Ugyanakkor a kkv-k sem dőlhetnek hátra, mert a NAIH egyik közelmúltban közzétett döntését figyelembe véve ezek a társaságok sem mentesülnek a bírságolás alól.