GDPR

Adatvédelem mindenkinek / Data protection for everyone

7 fontos feladat a kihirdetett GDPR salátatörvény alapján

2019. április 15. 09:30 - poklaszlo

Újabb feladatok elé állíthatja az adatkezelőket az ágazati törvények GDPR-ral összefüggő módosítása, amely április 11-én került kihirdetésre a Magyar Közlönyben (2019. évi XXXIV. törvény az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról). A módosítás több, mint 80 ágazati törvényt érint. A módosítások jelentős része a kihirdetését követő 15. napon, azaz április 26-án lép hatályba (néhány rendelkezés a kihirdetést követő 31. naptól hatályos). 

A módosítások közül néhányat már ismertettem korábban a blogon. Az alábbiakban a törvénymódosításokra tekintettel szükséges néhány feladatot gyűjtöttem össze, amelyet az adatkezelőknek el kell végezniük. Természetesen nem minden teendő vonatkozik minden adatkezelőre, illetve egyes adatkezelőknek ezeken túlmenően is lesznek feladataik, de igyekeztem a szélesebb adatkezelői kör számára legfontosabb módosításokat egy csokorba gyűjteni. 

1. Milyen teendőik vannak a munkáltatóknak?

Az Mt. módosítása nyomán a munkavállalókat érintő adatkezelések kapcsán több teendő is felmerülhet. Sok munkáltatónál kerül sor a leendő munkavállalókat érintő háttérellenőrzésre, amelyet leggyakrabban a hatósági erkölcsi bizonyítvány bemutatásának előírásával ellenőriznek a munkáltatók.

Kiemelten fontos ezen adatkezelések kapcsán a megfelelő jogalap meglétének garantálása. A munkaviszonyban a munkáltatók egyrészt a GDPR 6. cikk (1) bekezdés c) pontja és az adatkezelés részleteit szabályozó törvényi felhatalmazás alapján kezelhetik a bűnügyi személyes adatokat (lásd pl. a munka törvénykönyve 44/A. §-át), illetve amennyiben adott munkáltató, illetve munkakör vonatkozásában nincs törvényi előírás az adatkezelésre vonatkozóan, úgy a munkáltatók a munkavállalók bűncselekményre, illetve a kapcsolódó biztonsági intézkedésre, a büntetlen előélet megállapítására vonatkozó személyes adatait a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek alapján és a 9. cikk (2) bekezdés b) pontja szerinti feltétel teljesülése esetén kezelhetik. (Erről részletesebben lásd a munkavállalókat érintő adatkezelésekre vonatkozó korábbi posztot.)

Abban az esetben, ha a munkáltató a jogos érdekre kívánja alapozni az adatkezelést, akkor el kell végezni az érdekmérlegelési tesztet, figyelemmel a GDPR 9. cikkére is, valamint az Mt. új 11.§-ára. 

A munkáltatóknak gondoskodnia kell arról, hogy okiratmásolatok ne készüljenek, az okiratok esetében csak a bemutatást engedi az Mt. új szabálya (lásd az új 10. § (3) bekezdését). 

Érdemes felülvizsgálni a munkavállalók részére biztosított számítástechnikai eszközök használatára és ellenőrzésére vonatkozó belső szabályokat is, mivel az Mt. e tekintetben is módosult.  

2. Milyen teendőik vannak az elektronikus megfigyelő- és beléptetőrendszereket üzemeltetőknek? 

Ahogy korábban is írtuk, az elektronikus megfigyelő- és beléptetőrendszereket érintő szabályozást tartalmazó vagyonvédelmi törvény (a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény) tekintetében elsősorban deregulációra kerül sor, egyszerűsödnek a szabályok, illetve hatályon kívül helyezésre kerülnek a fölösleges, GDPR-nak ellentmondó rendelkezések.

Az adatkezelőknek érdemes átgondolniuk az alkalmazott jogalap kérdését (hiszen a hozzájárulás mellett a jogos érdek is szóba jöhet), továbbá - a megőrzési időkre vonatkozó merev szabályok hatályon kívül helyezésével - az adatkezelők feladata és felelőssége lesz a megfelelő megőrzési idő meghatározása is.    

Érdemes áttekinteni a vonatkozó tájékoztatókat és belső szabályzatokat, hogy a vagyonvédelmi törvény korábbi, esetenként a GDPR-ral is ellentétes szabályai ne okozzanak zavart a gyakorlatban. (E tekintetben az első, GDPR alapján kiszabott NAIH bírság is tanulságos példát szolgáltathat.)

3. Milyen teendőik vannak a kamerákat üzemeltető társasházaknak és lakószövetkezeteknek?

Tekintettel arra, hogy a vagyonvédelmi törvényhez hasonlóan a társasházi törvény és a lakószövetkezetekre vonatkozó törvény kamerarendszerekre vonatkozó szabályai is módosításra kerültek és számos rendelkezés hatályon kívül helyezésre került, így a lakóközösségeknek is érdemes a kamerarendszerekkel kapcsolatos szabályzataikat és a rendszerek működésével összefüggő gyakorlatot áttekintetniük és a szükséges módosításokat elvégezni. 

4. Mit kell tenniük a kereskedőknek a vásárlók könyvével kapcsolatban?

A más vásárlók által a vásárlók könyvébe bejegyzett személyes adatok megismerése lehetőségének kizárása céljából a vásárlók könyvéből a kereskedőnek a bejegyzést követően haladéktalanul el kell távolítania a panaszt vagy javaslatot tartalmazó oldalt, és azt elzártan – a folyamatos sorszámozás rendjének megfelelően – kell megőriznie és a hatóság felszólítására rendelkezésre bocsátania.  

5. Mit kell tenniük a pénzmosási törvény hatálya alá tartozó adatkezelőknek?

Az okiratmásolási szabályok betartása hangsúlyos szerepet kapott a korábbi hatósági gyakorlatban is. A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (Pmt.) kapcsán a gyakorlatban kérdésként merült fel, hogy az igazolványon szereplő képről készülhet-e másolat (előfordult olyan gyakorlat, ahol a képek kitakarásával készült a másolat), illetve a lakcímet igazoló hatósági igazolvány másolása kapcsán sem volt egyértelmű, hogy a másolat milyen adattartalommal készülhet. 

A Pmt. módosuló 7. § (8) bekezdése alapján egyértelművé válik, hogy a bemutatott okiratról az okiratban feltüntetett valamennyi személyes adatot tartalmazó másolatot kell készíteni, továbbá a lakcímkártyát úgy kell másolni, hogy az igazolvány személyi azonosítót tartalmazó oldala nem másolható (a személyi azonosító tehát nem kezelhető a Pmt. alapján). Az új 7. § (8a) bekezdés pedig egyértelművé teszi, hogy a másolással megszerzett személyes adatokat a szolgáltató jogszerűen kezelheti a Pmt. alapján (kivéve természetesen a személyi azonosítót, hiszen azt nem is másolhatja le). 

A Pmt. hatálya alá tartozó szolgáltatóknak az okiratmásolási gyakorlatukat tehát a fentiekhez kell igazítaniuk. 

6. Mit tegyenek a visszaélés-bejelentési rendszerek üzemeltetői?

Több ponton módosult panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény (Pkbtv.) is. 

A visszaélés-bejelentési rendszerek működtetésére vonatkozó alapvető szabályok nem változtak meg, de több fontos módosításra is sor került, amely a gyakorlati alkalmazhatóságot elősegítheti. Ilyen például, hogy a korábbi tilalommal szemben meghatározott körben különleges személyes adatok és bűnügyi személyes adatok is kezelhetők lesznek, így az ilyen adatokat is érintő visszaélések kivizsgálása is megfelelő keretek között történhet a jövőben.  

Pontosításra kerültek a bejelentések elutasítására és a külföldi adattovábbításra vonatkozó szabályok is. 

A működő visszaélés-bejelentési rendszerek szabályozását és a vonatkozó tájékoztatókat érdemes felülvizsgálni és szükség szerint módosítani, hogy a Pkbtv. módosuló szabályai alapján lehetővé tett módon folytathassák le a vizsgálatokat. 

7. Mit tegyenek, akik az egészségügyi adatok kezelésére vonatkozó törvényben meghatározott céloktól eltérő célra kívánnak egészségügyi adatot kezelni? 

Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (Eüak.) részletesen meghatározza azokat az adatkezelési célokat, amelyre egészségügyi adatot lehet kezelni. Ugyanakkor lehetőséget biztosított eddig is arra, hogy hozzájárulás alapján ezektől eltérő célra is sor kerülhessen egészségügyi adat kezelésére. Ehhez a hozzájáruláshoz viszont eddig írásbeli formát követelt meg. A módosítás alapján viszont a törvényben meghatározott céloktól "eltérő célra is lehet az érintett, illetve törvényes vagy meghatalmazott képviselője (a továbbiakban együtt: törvényes képviselő) – megfelelő tájékoztatáson alapuló önkéntes, egyértelműen kifejezett akaratot tartalmazó, és a szabályszerű nyilatkozat megtételét hitelt érdemlően bizonyító módon tett – hozzájárulásával egészségügyi adatot kezelni teljes körűen vagy egyes adatkezelési tevékenységre kiterjedően.” A GDPR-al összhangban (GDPR 9. cikk (2) bekezdés a) pont) a kifejezett hozzájárulás is megfelelő lehet a jövőben. Az ilyen adatkezelést folytatók vagy tervezők tehát az írásbeli nyilatkoztatás mellett más megoldások alkalmazhatóságát is megvizsgálhatják és a törvényi feltételeknek megfelelően alkalmazhatják. 

Szólj hozzá!
Címkék: munkaügy felkészülés jogalkotás portfolioblogger Magyarország HU kamerás megfigyelés Rendelet okiratmásolat különleges adatok

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr8414764096

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása