Frissült Magyarország adatvédelmi szabályzata
Közel két hónapos csúszással végül 2018. július 25-én került kihirdetésre, majd július 26-án hatályba is lépett az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info. törvény) átfogó módosítása, amelyben többek között az Európai Unió Adatvédelmi Rendelete (GDPR) által nyitva hagyott egyes területek kerültek szabályozásra. Gondos Orsolya és Tálos Dániel, a Horváth és Társai Ügyvédi Iroda DLA Piper ügyvédjelöltjei összefoglalták a legfontosabb változásokat.
GDPR és/vagy Info. törvény?
Az új szabályozás alapja az Info. törvény általános rendelkezései között elhelyezett új szakasz, amely teljes körűen felsorolja az Info. törvény azon rendelkezéseit, amelyeket a GDPR hatálya alá tartozó adatkezelések esetén alkalmazni kell. Az itt felsorolt rendelkezések tehát kiegészítik a GDPR szabályait, ezért az Info. törvény hatálya alá eső adatkezelések esetén a GDPR mellett ezeket a szabályokat is vizsgálni szükséges.
Módosultak az Info. törvény hatályát szabályozó rendelkezések is. Az új szabályok rendezik azt a kérdést, hogy milyen esetekben terjed ki az Info. törvény hatálya azon adatkezelésekre, amelyek alapvetően a GDPR hatálya alá tartoznak, azaz hogy az ilyen adatkezelések esetében mikor kell alkalmazni az Info. törvénynek az előző bekezdésben bemutatottak szerint alkalmazandó szabályait.
Az új rendelkezések alapján az ilyen adatkezelésekre alapvetően akkor terjed ki az Info. törvény hatálya, ha az adatkezelő tevékenységi központja, vagy az EU-n belüli egyetlen tevékenységi helye Magyarországon van, illetve ennek hiányában ha az adatkezelő vagy az általa megbízott adatfeldolgozó által végzett adatkezelési művelet Magyarországon tartózkodó személyek felé irányuló áruértékesítéshez vagy szolgáltatásnyújtáshoz, illetve személyek magyarországi viselkedésének megfigyeléséhez kapcsolódik. A tevékenységi központ fogalma megegyezik a GDPR-ban meghatározott fogalommal, azonban a “tevékenységi hely” fogalmát sem a GDPR, sem az Info. törvény nem határozza meg, így feltehetően ez a fogalom még értelmezési kérdéseket fog felvetni.
Új kötelezettség: hároméves kötelező felülvizsgálat
Jelentős újítás, hogy az Info. törvény a jogszabályi kötelezettségen alapuló (GDPR 6. cikk (1) bek. c) pont) vagy közérdekből szükséges (GDPR 6. cikk (1) bek. e) pont) adatkezelések esetében előírja, hogy amennyiben az adatkezelés alapjául szolgáló törvény vagy önkormányzati rendelet nem írja elő az adatkezelés szükségességének időszakos felülvizsgálatát, úgy az adatkezelő köteles az ilyen vizsgálatot legalább háromévente elvégezni.
Tekintettel arra, hogy az ilyen adatkezelések alapját képező magyar ágazati jogszabályok jellemzően nem írnak elő ilyen felülvizsgálati kötelezettséget, így a gyakorlatban ez az új szabály azt eredményezi, hogy például a jogalapként gyakran alkalmazott jogszabályi kötelezettségen alapuló adatkezelések (pl. bérszámfejtés, adózás) esetén az adatkezelőnek háromévente el kell végeznie az adatkezelés szükségességének felülvizsgálatát. A 2018. május 25-ét megelőzően megkezdett adatkezelések esetében a vizsgálatot 2021. május 25-ig kell elvégezni. A vizsgálat eredményét az adatkezelőnek 10 évig meg kell őriznie, és kérés esetén azt be kell nyújtania a felügyeleti hatóság részére, így mindenképpen szükséges, hogy a vizsgálatról megfelelő dokumentáció is készüljön.
Tisztviselői titoktartás
A GDPR új intézményként vezette be az egyes kiemelt adatkezelők által kötelezően alkalmazandó adatvédelmi tisztviselői feladatkört. Ennek következtében szükségessé vált a magyar adatvédelmi jog által korábban ismert hasonló szerepkörre, a belső adatvédelmi felelősökre vonatkozó rendelkezések hatályon kívül helyezése, amit az Info. törvény második módosítása megfelelően el is végzett.
A GDPR meglehetősen részletesen meghatározza az adatvédelmi tisztviselők jogait és kötelezettségeit, így az egyes tagállamok csak az adatvédelmi tisztviselőre vonatkozó titoktartási kötelezettség tekintetében kapnak felhatalmazást saját szabályok megalkotására.
Az Info. törvény ennek megfelelően, a GDPR részletszabályainak mintegy kiegészítéseként mondja ki, hogy az adatvédelmi tisztviselő ezen jogviszonyának fennállása alatt és azt követően is köteles titokként megőrizni a vonatkozó tevékenységével kapcsolatban tudomására jutott azon személyes adatot, minősített adatot, törvény által titoknak minősített adatot, illetve minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó törvény előírása alapján nem köteles nyilvánosságra hozni.
Bírósági jogérvényesítés
Az Info. törvény a GDPR vonatkozó rendelkezésével összhangban biztosítja a jogot az érintettek számára, hogy a felügyeleti hatósághoz történő panasztétellel párhuzamosan bírósági jogorvoslatot is igényeljenek, amennyiben megítélésük szerint valamely adatkezelő vagy adatfeldolgozó a személyes adataiknak kezelése során megsértette adatvédelemre vonatkozó jogaikat.
Az Info. törvény által korábban is tartalmazott közvetlen bírósági jogérvényesítésre vonatkozó részletszabályok ugyan nem változtak gyökeresen a GDPR nyomán, azonban egyrészről a most elfogadott törvénymódosítás néhány helyen pontosítja és kiegészíti a korábbi rendelkezéseket, másrészről pedig a vonatkozó jogosultságokra és kötelezettségekre mindenképpen érdemes ismételten felhívni a figyelmet.
Fontos szabály, hogy az érintett által kezdeményezett bírósági eljárás során nem az érintettnek kell bizonyítania adatvédelemmel kapcsolatos jogai megsértését, hanem az adatkezelő vagy adatfeldolgozó köteles bizonyítani azt, hogy az érintett ezen jogai nem sérültek. Fordított tehát a bizonyítási teher, így az adatkezelők számára a gyakorlatban is rendkívül fontos lehet annak biztosítása, hogy valóban csak olyan adatkezelési tevékenységeket végezzenek, amelyek jogszerűségét akár bíróság előtt is képesek bizonyítani.
Amennyiben a bíróság az érintett keresetének helyt ad, alapvetően a jogsértés tényének megállapítására, a jogellenes adatkezelési művelet megszüntetésének elrendelésére, kártérítés vagy sérelemdíj megállapítására jogosult, illetve kötelezheti az adatkezelőt valamely meghatározott magatartás tanúsítására is.
Hatályban marad azonban az a további szankciós lehetőség is, amely szerint a bíróság bizonyos esetekben elrendelheti marasztaló ítéletének az adatkezelő azonosító adatainak közzétételével történő nyilvánosságra hozatalát. A bíróságok ugyan eddig is élhettek ezzel a lehetőséggel, azonban a közvélemény GDPR-nak köszönhetően megnövekedett adatvédelmi tudatossága, valamint a közelmúltban bekövetkezett és nagy sajtónyilvánosságot kapott adatvédelmi incidensek következtében nem kizárt, hogy egy-egy marasztaló ítélet ilyen módon történő nyilvánosságra hozatala az érintett adatkezelők számára az eddiginél jelentősebb reputációs kockázatot jelent majd.
Adatvédelem a túlvilágon
Az Info. törvény újítása, hogy az érintettek bizonyos esetekben akár még a túlvilágról is “kísérthetik” a személyes adatokkal nem megfelelően bánó adatkezelőket. Az Info. törvény ugyanis lehetővé teszi az érintettek számára, hogy okiratban kijelöljenek egy olyan személyt, aki az érintett halála esetén öt éven belül még gyakorolhatja az érintett érdekében a GDPR-ban meghatározott érintetti jogokat (az adathordozhatóság kivételével).
Azonban okirat hiányában sem kell a jövőben tétlenül néznünk a túlvilágról az adatainkkal való visszaélést, ugyanis az Info. törvény bizonyos jogokat biztosít az érintett közeli hozzátartozóinak is, amely jogok szintén az érintett halálát követő öt éven belül lesznek gyakorolhatók.
Jut is, marad is
Láthatjuk, hogy megkésve bár, de az Info. törvény második módosítása révén mégis megtörtént a GDPR implementálásával kapcsolatos legfontosabb kérdések rendezése. Ez azonban így is csak a jogalkotói munka első lépésének tekinthető, ugyanis van még legalább egy fontos terület, aminek (újra)szabályozásával továbbra is adós maradt a jogalkotó. Ez pedig a szektorális jogszabályok GDPR-nak megfelelő módosítása.
Az Info. törvény most elfogadott módosításának egy korábbi tervezete még tartalmazta a legfontosabb ágazati jogszabályok módosítását is, azonban a végül a Parlament elé kerülő javaslatból ezek kimaradtak.
Így tehát számos szektorális jogszabály (pl. a biztosítási törvény, a munka törvénykönyve vagy a vagyonvédelmi törvény) tartalmaz továbbra is olyan adatvédelmi vonatkozású rendelkezéseket, amelyeket jóval a GDPR hatályba lépése előtt fogadtak el, és amelyek így egyáltalán nem állnak összhangban a GDPR alapelveivel, struktúrájával vagy éppen követelményeivel.
Ez a gyakorlatban jelentős jogértelmezési bizonytalanságokat okozhat az egyes érintett szektorokban tevékenykedő adatkezelők számára, aminek következtében azok még jogkövető magatartás iránti elkötelezettségük esetén sem lehetnek biztosak adatkezelési tevékenységeik jogszerűségében. Minderre tekintettel tehát különösen fontos volna az általános adatvédelmi szabályokon túl, az ágazati szabályok mihamarabbi megfelelő módosítása is.
Gondos Orsolya és Tálos Dániel
Kapcsolódó cikkek
- Fejlett fájlkezeléssel a zsarolóvírusok és a GDPR kihívásai ellen
- A multik kerülhetnek először célkeresztbe a GDPR miatt
- NAV Online Számla Adatközpont (NOSZA)
- Féltett adatait az irodai szerverrel együtt is ellophatják!
- GDPR: büntetni a NAIH fog, de a kis- és középvállalatokat egyelőre csak figyelmezteti
- Vigyázat, GDPR-hez kapcsolódó ingyenes webinarokkal támadnak a kiberbűnözők!
- Nem a külső adathordozók betiltása jelenti a megoldást a GDPR-ra
- Sikeres a GDPR Antológia
- Hogyan érinti a GDPR az oktatási intézményeket?
- 100%-ban megbízható adatvédelem a Vibernél
Megoldás ROVAT TOVÁBBI HÍREI
Facility managementben erősít az ICON
Három kiemelkedő épülettel, két irodaházzal és egy logisztikai ingatlannal bővült az ICON Real Estate Management ingatlanüzemeltetési portfoliója. A BEM Irodaház, a D2 Szabadkikötő, és az ELTE egyik megújult ingatlanja nem csupán az építészeti megoldásaik tekintetében példaértékűek, de a fenntarthatóság és az energiahatékonyság terén is úttörő megoldásokat alkalmaznak.
Új korszak az elektromobilitásban
A Maserati „Folgore Day” névre keresztelt nagyszabású eseményén mutatta be első 100%-ban elektromos kabrióját, a GranCabrio Folgore-t, melyet az úgynevezett „IT TURNS YOU ON” kampánnyal népszerűsítenek, az olasz művész, Damiano David szerepelésével. A modenai székhelyű márka fennállásának 110. évfordulóján a szigonyos márka ismertette ambiciózus céljait az elektromos átállás terén, valamint lerántotta a leplet TRIDENTE elektromos motorcsónakjáról is.
Mesterséges intelligenciával készítik össze az Unilever B2C webshopjának rendeléseit
Közel 800 cikkszámot kezel, illetve mesterséges intelligenciával ellátott eszközökkel végzi a komissiózási feladatokat a Waberer’s Csoport leányvállalata, a WSZL az Unilever Magyarország Unishop elnevezésű B2C webshopjában. Az új megbízásnak köszönhetően a Waberer’s eddigi tevékenysége bővült és egy 14.500 négyzetméteres raktári terület kezelése mellett immár az Unishop raktárlogisztikai és fullfilment kiszolgálását is végzi.
Terjednek az alacsony kódú technológiák
Az elmúlt években állandó slágertéma volt a globális informatikushiány, majd elkezdtek záporozni a hírek a techszektorban zajló tömeges elbocsátásokról és a szakértők máris a vészharangokat kongatták. A fordulatot a legtöbben a mesterséges intelligencia számlájára írják, ugyanakkor egyre nagyobb szeletet hasítanak a piacból a low-code platformok is. Ezekkel minimális kézi kódolással fejleszthetünk gyorsan és hatékonyan, miközben rugalmasan alkalmazkodhatunk a változó igényekhez és egyszerűen hangolhatjuk össze az üzleti és technológiai szempontokat.