Nemcsak Magyarország nem tudott időben felkészülni a GDPR alkalmazandóvá válására. Franciaországban júniusban kihirdették és hatályba lépett a 2018. június 20-i 2018-493. számú törvény, a francia adatvédelmi jogszabály módosítása. A jogszabály mind a GDPR, mind pedig a bűnügyi személyes adatok szabad áramlásával kapcsolatos 680/2016 EU Irányelv átültetéséről rendelkezik.
A francia törvény – a magyar jogszabályhoz hasonlóan – elsősorban a GDPR nemzeti végrehajtásával kapcsolatos rendelkezéseket tartalmazza. A francia adatvédelmi hatóság (CNIL) álláspontja szerint a nemzeti jogszabályok és a GDPR harmonizációja miatt várhatóan hat hónapon belül a francia adatvédelmi törvény novellája várható. Erre az elfogadott módosító törvény adott felhatalmazást a végrehajtó hatalom számára, hogy Parlamenti vita nélkül elvégezhesse (forrás).
A CNIL honlapján közzétett tájékoztatás szerint ugyanakkor a módosítás miatt a francia adatvédelmi törvény (i) egyes rendelkezései ugyan formailag változatlanok, de mégsem alkalmazhatók a GDPR hatálya alatt, (ii) a módosítással sem teljes a jogszabály, mivel több, GDPR-ral kapcsolatos rendelkezést nem ültetett át (pl. adathordozhatósághoz való jog, adatvédelmi hatásvizsgálatok elvégzésének kötelezettsége), illetve (iii) a tengerentúli területek esetében eltérő hatállyal rendelkezik a nemzeti jogszabály (forrás: https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee).
A főbb módosítások a francia adatvédelmi törvényben:
- A francia nemzeti adatvédelmi szabályok alkalmazandók, ha az érintett Franciaországban tartózkodik. Viszont, ha az adatkezelő nem honos Franciaországban, úgy a honosság szerinti adatvédelmi jogszabályt is alkalmazni kell. Franciaország területén, más tagállam adatvédelmi hatósága által végzett vizsgálatok során a CNIL ügynökei is jelen lesznek.
- A módosítás kiterjeszti a CNIL feladatkörét a megfelelést és kockázatelemzések elvégzését segítő eszközök, iránymutatások és ajánlások közzétételével kapcsolatban;
- A CNIL munkatársainak és ügynökeinek lehetősége van a vizsgálataik elvégzéséhez adatokról másolatot kérni, eszközökhöz és az adatokhoz hozzáférést kapni, amelynek korlátja a hivatásbeli titok megőrzése (ügyvédi, újságírói és
orvosi titok); A legfontosabb viszont, hogy ezen felül fedőnév alatt bármilyen online tranzakciót végrehajthatnak a vizsgálatukhoz, amelynek az eredményét szintén fel is használhatják. Természetesen ennek korlátja, hogy
bűncselekményt nem követhetnek el; - A módosítás szélesítette a CNIL által alkalmazható intézkedéseket és szankciókat; a szankciók köre bővült, így a CNIL Szankciós Bizottsága akár napi 100 000 EUR büntetést is kiszabhat a GDPR szankciói, illetve az időszakos
vagy végleges adatkezeléstől eltiltás, az adatvédelmi minősítés, a harmadik országba történő adattovábbítás megtiltása vagy a kötelező erejű vállalati szabályok jóváhagyásának visszavonása mellett. - Fő szabály szerint a francia jogban is tilos a különleges személyes adatok kategóriáinak kezelése és az adatkezelésekkel kapcsolatban elsőbbséget kapnak az adatvédelmi hatásvizsgálatok; a nemzeti azonosító számok, illetve az
egészségügyi személyes adatok kezelése továbbra is kötöttebb intézkedéseket igényel; - A módosítás a bírósági határozatokban szereplő személyes adatok újra feldolgozhatóságát támogató szabályokat tartalmaz, lehetővé téve azok kezelését az érintettek jogainak sérelme nélkül;
- A hozzájárulási korhatár 15 év lesz;
- A módosítás szélesíti a közérdekű keresetek megindításának lehetőségét, valamint
- A CNIL kezdeményezésére a francia legfelső közigazgatási bíróság (Conseil d’État) átmenetileg felfüggesztheti az adatkezelőnél a nemzetközi adattovábbításokat.
Hasonló a francia és a magyar jogalkotó megközelítése a GDPR nemzeti végrehajtásával kapcsolatban azzal, hogy a francia jogszabály kifejezett felhatalmazást tartalmaz a későbbi módosításokra, amelyek a CNIL szerint szükségesek a nemzeti jogszabályi koherencia megteremtése és egy régi jogszabály teljes felülvizsgálata érdekében.