GDPR

Adatvédelem mindenkinek / Data protection for everyone

Véleményezhető az Infotörvény módosításának tervezete

2017. szeptember 05. 11:00 - poklaszlo

Hosszú várakozás után végre felszállt a füst és megjelent az EU általános adatvédelmi rendeletéhez kapcsolódóan a magyarországi szabályozás módosításának első tervezete. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról szóló előterjesztés 2017. szeptember 8-án 14 óráig észrevételezhető. A közzétett tervezet egyrészt az EU általános adatvédelmi rendeletének (GDPR) végrehajtásához, másrészt a bűnügyi adatkezelésekre vonatkozó 2016/680/EU irányelv implementálásához szükséges módosításokat tartalmazza.

A tervezet szerint a módosítás után az Infotörvény tárgyi hatálya lényegében három adatkezelést ölel fel:

  • a GDPR hatálya tartozó adatkezelések esetén az Infotörvény meghatározott rendelkezéseit (különösen a NAIH-ra, mint felügyeleti hatóságra és az eljárásaira vonatkozó szabályok) is figyelembe kell venni, amelyek kiegészítik a GDPR-ban foglalt szabályokat,
  • a személyes adatok bűnüldözési, nemzetbiztonsági és honvédelmi célú kezelésére - a 2016/680/EU irányelvvel összhangban módosított - Infotörvényt kell alkalmazni,
  • a GDPR hatálya alá nem tartozó, de bűnüldözési, nemzetbiztonsági és honvédelmi célú adatkezelésnek sem minősülő adatkezelésekre a GDPR-t és az Infotörvény meghatározott rendelkezéseit együttesen kell alkalmazni.

A területi hatály tekintetében a tervezet rögzíti, hogy  személyes adatoknak az általános adatvédelmi rendelet hatálya alá tartozó kezelésére az Infotörvény meghatározott rendelkezéseit, valamint más, törvényben meghatározott, a személyes adatok védelmére és a személyes adatok kezelésének feltételeire vonatkozó előírásokat – ha törvény vagy az Európai Unió kötelező jogi aktusa másként nem rendelkezik – akkor kell alkalmazni, ha

a) az adatkezelő tevékenységi központja Magyarországon van, vagy

b) ha az adatkezelő tevékenységi központja nem Magyarországon van, de az adatkezelő vagy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési művelet

ba) áruknak vagy szolgáltatásoknak a Magyarországon tartózkodó érintettek számára történő nyújtásához kapcsolódik, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért, vagy

bb) az érintett Magyarország területén belül tanúsított viselkedésének megfigyeléséhez kapcsolódik.

A tervezet deklaráltan törekszik arra, hogy olyan adatkezelésekre is kiterjessze a hatályát, amelyeket a GDPR nem fed le. Ilyenek lehetnek például a papír alapuló, nem rendszerezett módon történő adatkezelések. Ennek indokaként a tervezet a személyes adatok védelméhez fűződő jog (Alaptörvény, VI. cikk) minden adatkezelés tekintetében történő érvényesülését jelöli meg.

A tervezetben - némileg zavaró módon - egyes, a GDPR-ban is szereplő definíciók kissé eltérő szövegezéssel jelennek meg. Az EU joggal való összhang megteremtése érdekében tett fontos lépés ugyanakkor, hogy például az adatfeldolgozás fogalma kikerül az Infotörvényből és ezzel megszűnik az az állapot, hogy a magyar jog olyan fogalommal operál, amelyet sem a 95/46/EK irányelv, sem a GDPR nem alkalmaz.

A tervezet alapján, ha az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább 3 évente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt 10 évig megőrzi és azt a NAIH kérésére rendelkezésére bocsátja.  

A tervezet - figyelemmel a NAIH online adatok halál utáni sorsáról szóló ajánlására is - rendezi a személyes adatokkal összefüggő jogok érvényesítésének kérdését az érintett halálát követően. Ez alapján az érintett halálát követő 5 éven belül az elhaltat életében megillető meghatározott jogokat (hozzáféréshez való jog, helyesbítéshez való jog, adatkezelés korlátozásához való jog, törléshez való jog, illetve tiltakozáshoz való jog)  az érintett által arra ügyintézési rendelkezéssel, illetve közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal meghatalmazott személy jogosult érvényesíteni. Bizonyos esetekben ilyen nyilatkozat hiányában is felléphetnének az érintett közeli hozzátartozói egyes jogok gyakorlása érdekében.

A tervezetből kiderül az is, hogy az adatvédelmi incidensek bejelentését a NAIH által erre a célra kialakított elektronikus felületen kell majd teljesíteni.

A tervezet szerint megmaradna a belső adatvédelmi felelősök konferenciája is (immár adatvédelmi tisztviselők konferenciája néven), amelyet szükség szerint, de évente legalább egyszer össze kell majd hívni.

A NAIH eljárásait érintően is számos rendelkezést tartalmaz a tervezet. A személyes adatok kezelése tekintetében a NAIH bejelentés alapján és hivatalból vizsgálatot folytathat (jelenleg ez csak bejelentésre történik), az érintett kérelmére és hivatalból adatvédelmi hatósági eljárást folytat (jelenleg erre csak hivatalból van lehetőség). A hatósági eljárásban kerülhet sor a GDPR-ban meghatározott szankciók alkalmazására, beleértve a bírságot is. A hatósági eljárások tekintetében a 2018-ban hatályba lépő általános közigazgatási rendtartás (2016. évi CL. törvény) eljárási szabályai - az Infotörvényben meghatározott eltérésekkel - alkalmazandók.  

Új eljárás is megjelenik: az adatkezelő vagy az adatfeldolgozó kérelmére adatkezelési engedélyezési eljárást folytat. Ennek keretében kerülhet sor a magatartási kódexek vagy a kötelező erejű vállalati szabályok jóváhagyására, illetve a jóváhagyott magatartási kódexeknek való megfelelés ellenőrzésére, továbbá a GDPR 46. cikke szerinti megfelelő garanciákkal történő adattovábbítások engedélyezésére.

Megmarad, de jelentősen át is alakul az adatvédelmi nyilvántartás. 2018. május 25-ét követően az alábbi adatokat tartalmazná:

  • Az adatvédelmi hatósági eljárásban hozott határozatokat, amelyek nyilvánosságra hozatalát a NAIH elrendeli (az adatkezelő, illetve az adatfeldolgozó azonosító adatainak közzétételével), ha a határozat személyek széles körét érinti, ha azt közfeladatot ellátó szerv tevékenységével összefüggésben hozta, vagy ha a bekövetkezett jogsérelem súlya a nyilvánosságra hozatalt indokolja.
  • Az adatkezelési engedélyezési eljárásban meghatározott határozatok legfontosabb adatait.
  • Az adatvédelmi tisztviselők elérhetőségét és a tisztviselők által képviselt adatkezelők vagy adatfeldolgozók megnevezését.

A tervezet tartalmaz a NAIH nemzetközi együttműködésekben való részvételével és a tanúsítási eljárások lefolytatására vonatkozóan is szabályokat. A nemzetközi együttműködés keretében sor kerülhet jogsegélynyújtásra, kölcsönös segítségnyújtásra, illetve közös műveletek végzésére.  

A tervezet az Infotörvényen kívül számos más jogszabály módosítására vonatkozóan is tartalmaz rendelkezéseket. A deregulációs célú módosításokon túl, kiemelést érdemel, hogy az illetékekről szóló törvény módosításával tárgyi illetékmentességet élveznek a személyes adatok védelméhez fűződő jog megsértésével kapcsolatban indított eljárások.

Összességében a tervezet alapján az állapítható meg, hogy a GDPR "implementáció" kapcsán lényegében a minimumra szorítkozott a jogalkotó. Bár az új adatvédelmi rezsim megjelenésével akár olyan kérdések is terítékre kerülhettek volna, amely hosszabb ideje okoznak nehézséget a jogalkalmazás során, azonban ezek rendezésére vélhetően a jogharmonizációval egyidejűleg nem kerül sor.