Az adatvédelmi törvény (Infotv.) GDPR-ra tekintettel való módosítása
A 2018. június 30-án hatályba lépett 2018. évi XIII. törvényben a jogalkotó kijelölte a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH), mint a GDPR végrehajtásáért felelős hatóságot. A törvény tartalmaz továbbá egy olyan rendelkezést is, amely szerint a hatóság első alkalommal megállapított jogsértés esetén annak orvoslása iránt elsősorban az adatkezelő / adatfeldolgozó figyelmeztetése révén intézkedik. Ezzel a rendelkezéssel a jogalkotó a NAIH gyakorlatát orientálni kívánja.
A fentieken kívül érdemes felhívni a figyelmet arra, hogy a Kormány június 19-én T/623. számon benyújtotta az alábbi linken elérhető törvényjavaslatot ("Javaslat"), amely az Infotv. GDPR-ra való tekintettel történő részletesebb módosítását tartalmazza. (A törvényjavaslat egyben a nyomozó hatóságok általi adatkezelésről szóló, 2016/680 európai parlamenti és tanácsi irányelv ("Irányelv") magyar jogba való átültetéséről is szól.)
http://www.parlament.hu/irom41/00623/00623.pdf
A Javaslat az alábbi négy "pillérre" épül:
(a) tartalmazza azon kiegészítő szabályokat, amelyeket a GDPR hatálya alá eső adatkezelések tekintetében a GDPR szabályaival együttesen kell alkalmazni;
(b) tartalmazza az Irányelvet átültető szabályokat;
(c) a GDPR rendelkezéseit rendeli alkalmazni (i) a GDPR hatálya alá nem tartozó adatkezelésekre (azaz a GDPR szerinti "nyilvántartási rendszer" részét nem képező személyes adatok kezelésére), valamint (ii) az Irányelv hatálya alá nem tartozó adatkezelésekre;
(d) a GDPR (27) preambulumbekezdésében foglaltak alapján tartalmazza a személyes adatokkal összefüggő jogok érintett halálát követő érvényesítésének szabályait.
A Javaslat a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:
Kötelező adatkezelések háromévenkénti felülvizsgálata
A Javaslat az ún. kötelező adatkezelések tekintetében előírja, hogy az adatkezelő az adatkezelés megkezdésétől számított legalább háromévente felülvizsgálja azt, hogy az általa vagy a megbízásából eljáró adatfeldolgozó által kezelt személyes adatok kezelése az adatkezelés céljának eléréséhez szükséges-e. A vizsgálat eredményét dokumentálni kell és azt 10 évig meg kell őrizni, valamint azt a NAIH kérésére a hatóság rendelkezésére kell bocsátani.
Kötelező adatkezelésnek az az adatkezelés minősül,
(i) amelyet személyes adatok tekintetében törvény vagy törvény felhatalmazása alapján helyi önkormányzati rendelet közérdekből elrendel, vagy
(ii) amely különleges adatok (pl. egészségügyi, genetikai, biometrikus adatok) tekintetében nemzetközi szerződés végrehajtásához szükséges vagy amelyet az Alaptörvényben biztosított jog érvényesítése érdekében vagy nemzetbiztonsági vagy honvédelmi érdekből törvény elrendel, vagy
(iii) amely a GDPR szerinti, az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (6. cikk (1) bekezdés c) pont), vagy
(iv) amely a GDPR szerinti közérdekből szükséges (6. cikk (1) bekezdés e) pont).
A 2018. május 25-ét megelőzően megkezdett adatkezelések vonatkozásában a felülvizsgálatot 2021. május 25-ig kell elvégezni.
Személyes adatokkal összefüggő jogok érintett halálát követő érvényesítése
A Javaslat szerint a GDPR hatálya alá tartozó adatkezelések esetén az érintett halálát követő öt éven belül az elhaltat életében megillető hozzáférési jogot, helyesbítéshez való jogot, törléshez való jogot, adatkezelés korlátozásához való jogot, illetve tiltakozási jogot az érintett által közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal meghatalmazott személy jogosult érvényesíteni. A GDPR hatálya alá nem tartozó adatkezelések esetében a gyakorolható jogok a hozzáférési jogot, helyesbítéshez való jogot, törléshez való jogot és az adatkezelés korlátozásához való jogot jelenti.
Ha az érintett nem tett a fentiek szerinti jognyilatkozatot, a Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult bizonyos jogok gyakorlására a GDPR hatálya alá tartozó adatkezelések, illetve az az alá nem eső adatkezelések tekintetében, az érintett halálát követő öt éven belül. Az érintett jogainak érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja.
Magas kockázatú adatkezelések, nem magas kockázatú adatkezelések
A Javaslat szerint amennyiben a NAIH valamely adatkezelés-típust magas kockázatú adatkezelésnek minősít és e megállapítását közzéteszi, és a tervezett adatkezelés e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet alkalmazásával jár, a tervezett adatkezelés tekintetében annak magas kockázatát vélelmezni kell.
Amennyiben a NAIH valamely adatkezelés-típus tekintetében azt állapítja meg, hogy nem minősül magas kockázatú adatkezelésnek és e megállapítását közzéteszi, és a tervezett adatkezelés kizárólag e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet alkalmazásával jár, a tervezett adatkezelés tekintetében azt kell vélelmezni, hogy az nem minősül magas kockázatú adatkezelésnek.
Adatvédelmi tisztviselő titoktartási kötelezettsége
A Javaslat alapján az adatvédelmi tisztviselő jogviszonyának fennállása alatt és annak megszűnését követően is titokként megőrzi a tevékenységével kapcsolatban tudomására jutott személyes adatot, minősített adatot, illetve törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó nem köteles törvény előírásai szerint a nyilvánosság számára hozzáférhetővé tenni.
Vizsgálati eljárás, hatósági eljárás
A Javaslat értelmében vizsgálati eljárás hivatalból is, hatósági eljárás pedig kérelemre is indítható. Adatvédelmi hatósági eljárásban az ügyintézési határidő 120 nap.
Szankciók
A Javaslat alapján a fent utalt négy "pillér" közül a fenti (c) pontban jelzett adatkezelések tekintetében is a GDPR szerinti szankciók alkalmazhatók. Költségvetési szerv esetén a bírság maximális összege 20 millió forint (nem Euro), amely azt jelenti, hogy a jogalkotó (részben) élni kíván a GDPR 83. cikk (7) bekezdésében foglalt felhatalmazással.
A Javaslat indokolása hangsúlyozza, hogy a NAIH bírságolását orientáló szabályt a Javaslat érintetlenül hagyja.
Bírság megfizetésével kapcsolatos szabályok
A Javaslat szerint a bírság mérséklésének a kötelezett kérelmére nincs helye, azonban halasztás vagy részletekben történő fizetés kérhető. A kérelemben a kötelezettnek igazolnia kell, hogy rajta kívül álló ok lehetetlenné teszi a határidőben való teljesítést vagy az számára aránytalan nehézséget jelentene.
Adatkezelési engedélyezési eljárás
A Javaslat szerint a NAIH bizonyos esetekben ún. adatkezelési engedélyezési eljárást folytat le (pl. a GDPR szerinti magatartási kódexek, tanúsítási szempontok, adattovábbításra vonatkozó szerződéses rendelkezések, illetve kötelező erejű vállalati szabályok (BCR) jóváhagyása). Az ügyintézési határidő 180, illetőleg 90 nap, attól függően, hogy mely dokumentum jóváhagyásáról van szó.
Tanúsítás
A Javaslat tartalmazza a GDPR szerinti tanúsítás NAIH általi lefolytatására vonatkozó szabályokat. (A GDPR alapján a tagállamok, a felügyeleti hatóságok és az EU ösztönzik olyan tanúsítási mechanizmusok létrehozását, amelyek bizonyítják, hogy az adatkezelő vagy adatfeldolgozó által végrehajtott adatkezelési műveletek megfelelnek a rendelet előírásainak.)
A tanúsítás lefolytatására vonatkozó megállapodás megkötésének feltételeit, a tanúsításért nyújtandó ellenszolgáltatást, valamint a tanúsítás lefolytatásának menetét és a tanúsítási szempontokat a NAIH közzéteszi. A tanúsítás lefolytatására vonatkozó megállapodás megkötésének feltételeit, a tanúsításért nyújtandó ellenszolgáltatást a Hatóság állapítja meg.
Hatósági közzétételek
A Javaslat értelemében
(i) a NAIH közzéteheti az adatvédelmi hatósági eljárás során hozott határozatát, ha pl. a határozat személyek széles körét érinti vagy a bekövetkezett jogsérelem súlya indokolja a nyilvánosságra hozatalt;
(ii) a NAIH közzéteszi az adatkezelési engedélyezési eljárás során hozott jóváhagyó határozatát;
(iii) a NAIH közzéteszi a bejelentett adatvédelmi tisztviselővel kapcsolatos adatokat.
dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)
A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.