Módosult az adatvédelmi törvény a GDPR hatására

Az általános adatvédelmi rendelettel (továbbiakban: GDPR) összefüggésben 2018. július elsején hatályba lépett az információs önrendelkezési jogról szóló 2011. évi CXII. törvény (továbbiakban: Info tv.) módosítása. Az új Info tv. 2. § (2) bekezdése alapján a GDPR hatálya alá tartozó adatkezeléseket az Info tv. alapján meghatározott kiegészítésekkel együtt kell alkalmazni. Ezen kiegészítő szabályok felsorolásáról a jogalkotó az Info tv. 2. § (2) bekezdése alatt rendelkezik. A módosítások alkalmazandóságáról a Nemzeti Adatvédelmi és Információsszabadság (továbbiakban: Hatóság) állásfoglalásában az alábbi módon tért ki:[1]


„a Hatóság – az alábbiakban meghatározottak szerint – az általános adatvédelmi rendeletben kimerítően (eltérést, kiegészítést nem engedő módon) szabályozott tárgykörökben a rendeletben foglalt előírásokat tekinti alkalmazandónak, azok teljes terjedelmében”

„A Hatóság az általános adatvédelmi rendeletben meghatározott azon előírások vonatkozásában, amelyek végrehajtásához magyar jogszabályi rendelkezések alkalmazása is szükséges (tipikusan a Hatóság eljárásaira vonatkozó szabályrendszer), a hatályos magyar jogi rendelkezéseket megfelelően (az általános adatvédelmi rendelettel összhangban értelmezve) alkalmazandónak tekinti.”

Kihangsúlyozandó, hogy az Info tv. túlmutat a GDPR által szabályozott személyes adatkezelések hatályán. Az Info tv. rendelkezései az irányadóak a bűnüldözési, nemzetbiztonsági és honvédelmi célú adatkezelésekre is. Összefoglalónk célja az Info tv. azon főbb változások bemutatása, amelyek GDPR-ral összefüggésben keletkeztek.

Adatvédelmi hatásvizsgálat

A GDPR alapján a Hatóság feladata, hogy nyilvánosságra hozza azon adatkezelések típusainak jegyzékét, amelyek magas kockázatú adatkezeléseknek minősülnek. Ezen a ponton megjegyeznénk, hogy jelenleg a Hatóság ilyen jegyzéket eddig még nem hozott nyilvánosságra. A GDPR 35. cikk (4) bekezdése, továbbá az Info tv. 25/G. § (2) bekezdése alapján ezen magas kockázatú adatkezelésekre vonatkozóan az adatkezelőnek kötelessége ún. adatvédelmi hatásvizsgálatot lefolyatni. Az adatvédelmi hatásvizsgálat tartalmazza legalább a tervezett adatkezelési műveletek általános leírását, az érintettek alapvető jogainak érvényesülését fenyegető, az adatkezelő által azonosított kockázatok leírását és jellegét, az e kockázatok kezelése céljából tervezett, valamint a személyes adatokhoz fűződő jog érvényesülésének biztosítására irányuló, az adatkezelő által alkalmazott intézkedéseket.

Fontos kiegészítés lehet a gyakorlat számára, hogy az Info tv. 25/G. § (6) bekezdése alapján a jogszabályi kötelezettségen alapuló adatkezelések esetében ezen hatásvizsgálatot nem az adatkezelőnek, hanem a jogszabály előkészítőjének kell lefolytatni.

Kötelező adatkezelések felülvizsgálata

Ugyancsak fontos kiegészítés, hogy az Info tv. 5. § (5) bekezdése alapján az adatkezelő három évente köteles felülvizsgálni, hogy az általa jogszabályi kötelezettség alapján kezelt adatok (pl.: bérkartonok, munkabaleseti jegyzőkönyvek) továbbra is feltétlenül szükségesek az adatkezelési cél eléréséhez, feltéve, hogy az adott jogszabály nem rendelkezik kifejezetten az adatkezelés időtartamáról. Erről a felülvizsgálatról dokumentációt kell készíteni, és tíz évig megőrizni. Az Info tv. 75. § (3) bekezdése alapján a 2018. május 25-ét megelőzően megkezdett adatkezelések vonatkozásában az 5. § (5) bekezdésében meghatározott felülvizsgálatot 2021. május 25-ig kell elvégezni.

A gyakorlati cél, hogy a viszonylag gyakran változó jogszabályi környezetben az adatkezelő legalább háromévente ellenőrizze, hogy az egyes adatokra vonatkozó adatkezelési kötelezettsége továbbra is fennáll, nem történt-e változás a jogszabályi rendelkezésekben.

Adatkezelési engedélyezési eljárás

A vállalatok adatkezeléseinek szempontjából a magatartási kódexeknek és tanúsítványoknak való megfelelés kiemelt fontosságú lehet az adatvédelmi kötelezettségek teljesítésének szempontjából. Magatartási kódexeket jellemzően adatkezelő vagy adatfeldolgozó vállalatok kategóriáit képviselő egyesületek készítenek, míg a tanúsító szervezetek külön entitások, amelyek igazolhatják egy vállalat adatvédelmi megfelelőségét, a tanúsításnak megfelelően.

Az új Info tv. 60/0. § (1) bekezdése alapján a magatartási kódexeket és tanúsítványokat engedélyeztetni kell a Hatósággal. Jelenleg Magyarországon még nincsenek akkreditált tanúsító szervezetek, illetve elfogadott magatartási kódexek. A magatartási kódexek és tanúsítványok jelentősége, hogy megkönnyítik a gyakorlatban az adatvédelmi szabályoknak való megfelelést megkönnyítik olyképp, hogy az adott ágazat speciális igényeit összeegyeztetik az adatvédelmi kötelezettségekkel. Fontos kihangsúlyozni, hogy amennyiben egy harmadik országbeli adatkezelő/adatfeldolgozó részére történik adattovábbítás, akkor ezen harmadik országba való adattovábbításra megfelelő jogalapot képezhet a magatartási kódexnek való alávetés, vagy a tanúsítvány megléte.

Az Info tv. említést tesz egy további fontos körülményről is: harmadik országbeli adatkezelő/adatfeldolgozó igénybevétele esetén az adattovábbítás jogalapja a megfelelő adatvédelmi szerződéses rendelkezések is lehetnek. Ezzel összefüggésben kiemelendő, hogy a 64/A. § (1) bekezdés d) pontja értelmében ezen szerződéses rendelkezéseket is engedélyeztetni kell a Hatósággal. A gyakorlat szempontjából fontos, hogy ez utóbbi szabály csak azon adatvédelmi kikötésekre vonatkozik, amelyek eltérnek az Európai Bizottság által elfogadott kikötésekről. A Bizottság által elfogadott rendelkezésék alkalmazása esetén ugyanis nem szükséges a felügyeleti hatóság külön engedélye, a GDPR 46. cikk (2) bekezdésének c) pontjával összhangban.

Változások az érintett által indítható bírósági jogérvényesítésben

Az Info tv. a 23. § (1) bekezdése alapján eddig is biztosította az érintett bírósághoz való fordulásának jogát. Ezen jogosultság a GDPR-ral összefüggésben kiegészült néhány olyan részletszabállyal, amely ezen jog érvényesítésének körülményeit tisztázza.

A változásokkal kapcsolatban megemlítendő, hogy a bírósági eljárás során a fordított bizonyítási teher szabályát kell alkalmazni. Az Info tv. 23. § (2) bekezdésének megfelelően nem az érintettnek kell bizonyítania a jogsértést, hanem az adatkezelőnek/feldolgozónak kell meggyőznie a Bíróságot arról, hogy nem sérültek az érintett jogai.

A szankciók körében a Bíróság az adatvédelmi jogok megsértése esetén kötelezheti az adatkezelőt/adatfeldolgozót a jogellenes adatkezelési művelet megszüntetésére, az adatkezelés jogszerűségének helyreállítására, valamint olyan magatartásra, amely biztosítja az érintett jogainak érvényesülését.

Továbbá is érvényesül az a szabály, hogy amennyiben adatkezelő/adatfeldolgozó a személyes adatok jogellenes kezelésével kapcsolatban kárt okoz az érintettnek, vagy megsérti a személyiségi jogait, úgy az érintett részére a Bíróság kártérítést vagy sérelemdíjat is megítélhet, azonban az adatkezelő/feldolgozó mentesül ez utóbbi szankció alól, ha bizonyítja, hogy a jogsérelem rajta kívül álló okból kifolyólag következett be.

Elhunyt családtagjaink és a Facebook

Tankönyvi példába illő kérdés, hogy mi történik a rengeteg személyes adatot kezelő Facebook profillal, ha az érintett már elhunyt. Természetesen a példa alanya nem csak a Facebook, hanem bármely más adatkezelő lehet.

Ezzel összefüggésben a GDPR követelményeinek megfelelően rendezésre került ez a gyakorlatot régóta foglalkoztató kérdés. Az Info tv. 25. §.-ának értelmében elsősorban az érintett által meghatalmazott lesz jogosult az elhunyt érintett adatainak törlését kérelmezni, feltéve, hogy azok kezelése már az érintett életében jogellenes volt, vagy azok kezelésének célja az érintett halálával megszűnt. Meghatalmazott hiányában az elhunyt érintett közeli hozzátartozója élhet a törlés jogával a fentiek szerint.

Az érintett halálát ebben az esetben halotti anyakönyvi kivonattal szükséges igazolni, és megemlítendő, hogy az említett jogok érvényesítésére a halál bekövetkeztét követő öt éven belül van lehetőség.

Titoktartási kötelezettség

Az új Info tv. 25/M. § (2) bekezdése alapján kötelezi az adatvédelmi tisztviselőt arra, hogy jogviszonyának fennállása alatt és annak megszűnését követően is titokként megőrzi a tevékenységével, annak ellátásával kapcsolatban tudomására jutott személyes adatot, minősített adatot, illetve törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó nem köteles törvény előírásai szerint a nyilvánosság számára hozzáférhetővé tenni.

 

 

 

[1] http://naih.hu/files/2018-05-25-GDPR-koezlemeny.pdf

close
ENEN