Módosult az infotörvény! Módosul a GDPR?

2018. július 26-án lépett hatályba – mintegy két hónapos csúszással – az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (infotörvény) átfogó módosítása, amelyben egyebek mellett az Európai Unió Adatvédelmi Rendelete (GDPR) által nyitva hagyott – ezzel sok fejtörést okozó - egyes területeket szabályozzák.

GDPR és/vagy infotörvény?

Az új szabályozás teljes körűen felsorolja a törvény azon rendelkezéseit, amelyeket a GDPR hatálya alá tartozó adatkezelések esetén alkalmazni kell. Az itt felsorolt rendelkezések tehát kiegészítik a GDPR szabályait, ezért az infotörvény hatálya alá eső adatkezelések esetén a GDPR mellett ezeket a szabályokat is vizsgálni szükséges.
Az új  szabályok rendezik azt a kérdést is, hogy milyen esetekben terjed ki az infotörvény hatálya azon adatkezelésekre, amelyek alapvetően a GDPR hatálya alá tartoznak, azaz hogy az ilyen adatkezelések esetében mikor kell alkalmazni az infotörvény szabályait. Például, ha az adatkezelő tevékenységi központja, vagy az EU-n belüli egyetlen tevékenységi helye Magyarországon van, illetve ennek hiányában ha az adatkezelő vagy az általa megbízott adatfeldolgozó által végzett adatkezelési művelet Magyarországon tartózkodó személyek felé irányuló áruértékesítéshez vagy szolgáltatásnyújtáshoz kapcsolódik.


Háromévente kötelező felülvizsgálat

Fontos újítása a törvénynek, hogy amennyiben az adatkezelés alapjául szolgáló törvény vagy önkormányzati rendelet nem írja elő az adatkezelés szükségességének időszakos felülvizsgálatát, úgy az adatkezelő köteles az ilyen vizsgálatot legalább háromévente elvégezni.
A vizsgálat eredményét az adatkezelőnek 10 évig meg kell őriznie, és kérés esetén azt be kell nyújtania a felügyeleti hatóság részére, így mindenképpen szükséges, hogy a vizsgálatról megfelelő dokumentáció is készüljön.

Tisztviselői titoktartás

A GDPR újként vezette be az az adatvédelmi tisztviselői feladatkört és meglehetősen részletesen meghatározza az adatvédelmi tisztviselők jogait és kötelezettségeit, így az egyes tagállamok csak az adatvédelmi tisztviselőre vonatkozó titoktartási kötelezettség tekintetében kapnak felhatalmazást saját szabályok megalkotására.

Az infotörvény a GDPR részletszabályainak mintegy kiegészítéseként mondja ki, hogy az adatvédelmi tisztviselő, ezen jogviszonyának fennállása alatt és azt követően is köteles titokként megőrizni a vonatkozó tevékenységével kapcsolatban tudomására jutott azon személyes adatot, minősített adatot, törvény által titoknak minősített adatot, illetve minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó törvény előírása alapján nem köteles nyilvánosságra hozni.

Bírósági jogérvényesítés

Az infotörvény a GDPR vonatkozó rendelkezésével összhangban biztosítja a jogot az érintettek számára, hogy a felügyeleti hatósághoz történő panasztétellel párhuzamosan bírósági jogorvoslatot is igényeljenek, amennyiben megítélésük szerint valamely adatkezelő vagy adatfeldolgozó a személyes adataiknak kezelése során megsértette adatvédelemre vonatkozó jogaikat.

Az érintett által kezdeményezett bírósági eljárás során nem az érintettnek kell bizonyítania adatvédelemmel kapcsolatos jogai megsértését, hanem az adatkezelő vagy adatfeldolgozó köteles bizonyítani azt, hogy az érintett ezen jogai nem sérültek. Fordított tehát a bizonyítási teher, így az adatkezelők számára a gyakorlatban is rendkívül fontos lehet annak biztosítása, hogy valóban csak olyan adatkezelési tevékenységeket végezzenek, amelyek jogszerűségét akár bíróság előtt is képesek bizonyítani.

Amennyiben a bíróság az érintett keresetének helyt ad, alapvetően a jogsértés tényének megállapítására, a jogellenes adatkezelési művelet megszüntetésének elrendelésére, kártérítés vagy sérelemdíj megállapítására jogosult, illetve kötelezheti az adatkezelőt valamely meghatározott magatartás tanúsítására is.

Szechenyi_Logo    vosz-logo-szines-feher-hatter-1 1.[1]