PDF letöltés

Adatvédelemi változások !

Az adatvédelem szabályrendszere 2018. május 25. napjával jelentősen megváltozott. Egyrészt kétéves átmeneti időtartamot követően alkalmazhatóvá vált az Európai Unió Általános Adatvédelmi Rendelete (GDPR), másrészt ezzel egyidejűleg és ehhez igazodva a tagállami szabályozás is megváltozik. Ezen változás fontosabb elemeiből válogatok írásomban.



Módosítják az Infotv.-t, melyet Mt.-módosítás követ

Az Európai Uniós szabályozás – rendeleti jellegéből eredően – közvetlen hatállyal bír, ami azt jelenti, hogy a rendeletet a tagállamok sem magyarázni, sem másolni, sem kiegészíteni nem jogosultak. 

A várva-várt Infotv.-módosítás forradalmi újdonságokat a GDPR szabályaihoz képest nem fog hozni. 

Változni fog ugyanakkor a munka törvénykönyvéről szóló 2012. évi I. tv. (Mt.) is. Ennek oka a munkahelyi adatkezelés szabályainak változása, melyet a vonatkozó munkajogi kódexnek is vissza kell tükröznie. 

A munkajogi szabályozásban az adatkezeléssel összefüggő tájékoztatási szabályok, a személyes adatok különleges kategóriáinak a kezelése, illetve a munkahelyi ellenőrzés szabályai változnak. Az ágazati szabályok, így az Mt. változása azonban ősz előtt nem várható.

Megszűnő hatósági bejelentés, új nyilvántartások, módosuló tájékoztatók

Az egyik sarkalatos változást a bejelentési rendszer megszűnése jelenti. Ennek értelmében május 25. napjától kezdődően a hatósághoz adatkezeléseinkkel kapcsolatos bejelentést (pl. nyereményjáték, elektronikus megfigyelőrendszer, Robinson lista stb.) nem kell tennünk. Ehelyett hatályosítanunk kell a munkavállalók, az ügyfelek és a szerződéses partnerek személyes adatainak kezelésére vonatkozó tájékoztatóinkat, illetve belső nyilvántartásokat kell vezetnünk az adatkezeléseinkről. 

A tájékoztatókban ne feledkezzünk el a jogalapok megvizsgálásáról, illetve az érintetti jogok módosításáról!

Szigorodnak az incidensbejelentés szabályai, így képesnek kell lennünk arra, hogy az adatvédelmi incidenst a tudomásszerzéstől számított 72 órán belül nyilvántartásba vegyük és a felügyeleti szervnek, valamint kivételesen az érintettnek bejelentsük. 

Meg kell továbbá vizsgálnunk, hogy szükségünk van-e adatvédelmi tisztviselőre, illetve az egyes adatkezelések vonatkozásában előzetes hatásvizsgálatra.

Direkt marketing esetében kicsit nagyobb lesz a szabadságunk

A változások egyik területe a direkt marketing szabályozása. A rendelet 47. preambulum cikke szerint ugyanis az adatkezelő vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget, figyelembe véve az adatkezelővel való kapcsolata alapján az érintett észszerű elvárásait. 

Az ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll. 

A rendelet rámutat arra is, hogy a jogos érdek fennállásának megállapításához mindenképpen körültekintően meg kell vizsgálni többek között azt, hogy az érintett a személyes adatok gyűjtésének időpontjában és azzal összefüggésben számíthat-e észszerűen arra, hogy adatkezelésre az adott célból kerülhet sor.  

Végezetül rámutat arra is, hogy a személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető. 

Amennyiben tehát a jogos érdeket tekintjük jogalapnak, az érintett hozzájárulásának beszerzése nem szükséges. Ehelyett a rendelet 13. cikkében foglaltaknak megfelelően az érintettet az adatok felvételének az időpontjában az adatkezelés körülményeiről kell pusztán tájékoztatni azzal, hogy a jogai között ki kell emelni azon jogát, hogy az adatkezelés ellen tiltakozhat. Ebben az esetben pedig az adatkezelést haladéktalanul meg kell szüntetni. 

Mielőtt azonban ebből azt a következtetést vonnánk le, hogy a hozzájárulástól a jövőben eltekinthetünk, érdemes a rendelet szabályozását a hamarosan szintén alkalmazhatóvá váló ún. e-privacy rendelettel együtt olvasni. Ez utóbbi rendelet ugyanis azt mondja, hogy a közvetlen üzletszerzés céljából történő adatkezelés jogalapja a hozzájárulás, s csupán ügyfélkapcsolat fennállása esetén alkalmazható a jogos érdek jogalap lehetősége. 

A cikk eredeti verziója az Adózóna oldalán jelent meg 2018. június 11. napján.

Dr. Kéri Ádám
ügyvéd

adam.keri.office@icloud.com