Sohasem túl késő – emlékeztető a GDPR és a magyar adatvédelmi törvény módosításairól

Az Európai Parlament és a Tanács (EU) 2016/679 Rendeletének, azaz az új EU Általános Adatvédelmi Rendeletnek (a továbbiakban: GDPR) alkalmazására előírt határidőt követően pontosan két hónappal, 2018. július 25-én kihirdette az információs önrendelkezési jogról és az információszabadságról szóló az 2011. évi CXII. törvény (a továbbiakban: Infotv.) jogharmonizációs célú módosítását (2018. évi XXXVIII. törvény, a továbbiakban: Mód. törvény), mely tisztázni volt hivatott számos, a GDPR hazai alkalmazása körüli, mindaddig nyitott kérdést. A jogszabály 2018. július 26-án lépett hatályba.

Alább összefoglaljuk az Infotv. akkori főbb változásait, elsősorban azokra az adatkezelésekre irányadó szabályokra koncentrálva, mely adatkezelések egyébként a GDPR hatálya alá tartoznak, hiszen a legtöbb cég által folytatott belső és a cégek közötti adatkezelés is ebbe a kategóriába tartozik.

1. Hatály

A Mód. törvény által hozott legfontosabb változás az Infotv. hatályának jelentős leszűkítése volt. 2018. július 26.-a óta az Infotv. elsősorban személyes adatok bűnüldözési, nemzetbiztonsági és honvédelmi célú kezelésének körében alkalmazandó. Vannak azonban olyan szabályok, melyek azokra az adatkezelésekre is irányadók, melyek egyébként a GDPR hatálya alá tartoznak, azaz bizonyos kérdésekben a GDPR-ral párhuzamosan kell az Infotv.-t alkalmazni.

Mindezek mellett az Infotv. rendezte azoknak az adatkezeléseknek a „sorsát” is, melyekre egyébként – a GDPR saját hatálymeghatározása alapján – a GDPR nem lenne alkalmazandó, de nem is minősülnek bűnüldözési, nemzetbiztonsági vagy honvédelmi célú adatkezelésnek (így például a papír alapú, nyilvántartási rendszer részét nem képző adatkezelések): ezekre maga az Infotv. írta elő a GDPR bizonyos szabályainak alkalmazását, illetve egyes kérdésekben fenntartotta saját kiegészítő hatályát.

Részletesen rögzíti a Mód. törvény azt is, hogy az egyébként a GDPR hatálya alá tartozó adatkezeléseken belül pontosan mely adatkezelések tekintetében áll fenn az Infotv. GDPR-t kiegészítő, azzal párhuzamos hatálya. Ennek megfelelően az Infotv.-t a GDPR-ral együtt akkor kell alkalmazni, ha

• az adatkezelő tevékenységi központja, vagy az EU-n belüli egyetlen tevékenységi helye Magyarországon van, vagy
• az adott adatkezelési művelet Magyarországon tartózkodó személyek felé irányuló áru vagy szolgáltatás nyújtásához, illetve személyek magyarországi viselkedésének megfigyeléséhez kapcsolódik.

2. Kötelező felülvizsgálat háromévente

Fontos – és az adatkezelőkre várhatóan jelentős terhet helyező – újítás, melyet a Mód. törvény vezetett be – a legalább háromévente elvégzendő kötelező felülvizsgálat olyan esetekre, ahol az adatkezelés jogalapja az adatkezelőt terhelő jogi kötelezettség teljesítése, vagy az adatkezelés közérdekből szükséges és a vonatkozó jogszabály nem írja elő az adatkezelés időtartamát vagy nem ír elő ettől eltérő (akár hosszabb) felülvizsgálati időtartamot. A felülvizsgálat körében azt kell értékelni, hogy az e körben kezelt személyes adatok kezelése továbbra is szükséges-e az adatkezelés céljának megvalósulásához. A felülvizsgálatot és annak eredményét dokumentálni kell, a dokumentációt tíz (10) évig meg kell őrizni és kérés esetén a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) rendelkezésére kell bocsátani.
A 2018. május 25-ét megelőzően megkezdett adatkezelések vonatkozásában a felülvizsgálatot első ízben 2021. május 25-ig kell elvégezni.

3. Bírósági jogérvényesítés

Az Infotv. továbbra is lehetővé teszi az érintettek számára, hogy bírósági jogorvoslatot igényeljenek, amennyiben megítélésük szerint jogsértően kezelik az adataikat. Újdonság e körben az Infotv.-ben, hogy – a GDPR vonatkozó előírása nyomán – már nem csak az adatkezelő ellen lehet helye az eljárás megindításának, hanem közvetlenül az adatfeldolgozó ellen is – amennyiben kifejezetten az adatfeldolgozó tevékenységi körébe tartozó adatkezelési műveletekkel összefüggésben merül fel a feltételezett jogsértés.

Egyéb tekintetben nem hozott számottevő változást a Mód. törvény az érintettek bírósági jogérvényesítési lehetőségeinek terén. Továbbra is fordított bizonyítási teher érvényesül, azaz az adatkezelőt terheli annak bizonyítása, hogy az eljárása megfelelt a vonatkozó jogszabályoknak. A per megindítható az érintett választása szerint akár a lakó- akár a tartózkodási helye szerint illetékes törvényszék előtt.

Amennyiben a bíróság megállapítja a jogsértés tényét, úgy jogosult elrendelni a jogellenes adatkezelési művelet megszüntetését, az adatkezelés jogszerűségének helyreállítását, kötelezheti az adatkezelőt valamely meghatározott magatartás tanúsítására és kártérítés, illetve sérelemdíj megítéléséről is határozhat. Fennmarad továbbá az a lehetősége is a bíróságnak, hogy elrendelje az elmarasztaló ítéletének az adatkezelő vagy adatfeldolgozó azonosító adatait is tartalmazó nyilvánosságra hozatalát. Erre a komoly reputációs kockázatot jelentő szankcióra akkor kerülhet sor, ha az ítélet személyek széles körét érinti, ha az alperes közfeladatot ellátó szerv, vagy ha a bekövetkezett jogsérelem súlya indokolja a nyilvánosságra hozatalt.

Jelentős új szabály, hogy az adatkezelő és az adatfeldolgozó, illetve közös adatkezelők egyetemlegesen felelnek az érintettel szemben az esetlegesen bekövetkező károk tekintetében és egyetemlegesen kötelesek helytállni a megítélt sérelemdíj esetén is.

4. Adatvédelem a síron túl

Teljesen új rendelkezéseket implementált a Mód. törvény amikor rendezett egyes, az érintett halálát követően felmerülő adatvédelmi kérdéseket. Egyfajta „síron túli” eljárást intézményesített ebben a körben a Mód. törvény. Lehetővé teszi ugyanis a módosított Infotv., hogy az érintett még életében okiratban kijelöljön egy olyan személyt, aki a halála esetén öt (5) éven belül még gyakorolhatja az őt a GDPR alapján megillető jogokat (kivéve értelemszerűen az adathordozhatósághoz való jogot). Vonatkozó okirat hiányában is lehetősége van az érintett közeli hozzátartozóinak egyes jogok gyakorlására, szintén az érintett halálát követő öt (5) éven belül.

5. Belső adatvédelmi felelős helyett adatvédelmi tisztviselő

A belső adatvédelmi felelős kiiktatásával megszüntette a Mód. törvény azokat a jogértelmezési nehézségeket, amiket a GDPR által intézményesített adatvédelmi tisztviselők és a korábbi Infotv. által létrehozott belső adatvédelmi felelősök párhuzamossága okozott.

Az Infotv. rögzíti, hogy az adatvédelmi tisztviselő jogviszonyának fennállása alatt és annak megszűnését követően is köteles titokként megőrzi a tevékenységével kapcsolatban tudomására jutott személyes adatot, minősített adatot, illetve törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó nem köteles a nyilvánosság számára hozzáférhetővé tenni.

6. Búcsú az adatvédelmi nyilvántartástól és adatvédelmi audittól

A Mód. törvény nyomán kikerült az Infotv-ből az adatvédelmi nyilvántartás intézménye. A 2018. július 26-át megelőzően az adatvédelmi nyilvántartásban kezelt adatokat a NAIH zárolta és azokat kizárólag az azt megelőzően végzett adatkezelési műveletekkel kapcsolatban indult eljárásban használhatja fel. Megszűnt továbbá az adatvédelmi audit is, helyette a módosított Infotv. rögzítette a GDPR által bevezetett tanúsítási eljárás alapjait.

7. Bírósági adatkezelési műveletek ellenőrzése

Új jogintézményként jelent meg a bírósági adatkezelési műveletek ellenőrzése, melyre ún. adatvédelmi kifogás útján kerülhet sor. A kifogás előterjesztésére a fél, a vádlott és az eljárás egyéb résztvevője (különösen a sértett, a magánfél, a tanú és a szakértő) és az jogosult, aki jogi érdekét a kifogás előterjesztésével egyidejűleg valószínűsíti. A kifogás alapján a bíróság azt vizsgálja, hogy az eljáró bíró, ülnök vagy igazságügyi alkalmazott az adatkezelési tevékenysége során a személyes adatok védelmére vonatkozó jogszabályi előírásoknak megfelelően járt-e el.


A jelen hírlevélben található információ nem tekinthető a KNP LAW Nagy Koppány Varga és Társai Ügyvédi Iroda vagy annak közreműködő ügyvédjei által nyújtott jogi tanácsadásnak. További információkért keressen fel minket.