PDF letöltés

Módosult az Infotv, nincsen többé KKV kedvezmény

Az Európai Unió Általános Adatvédelmi Rendelete (GDPR) 2018. május 25. napjával alkalmazhatóvá vált. Habár az EU megfelelő, két éves felkészülési időt biztosított mind az adatkezelők, mind pedig a tagállami jogalkotók számára, mindkét oldalon jelentős késedelem volt tapasztalható. A hazai vállalkozások megfelelőségének ellenőrzése, illetve annak megvalósítása ugyanis az esetek jelentős részében még várat magára. Hasonlóképpen késedelmes a jogi szabályozás változtatása is. Az Infotv. átfogó módosítása (2018. évi XXXVIII.tv.) 2018. július 25. napján, azaz két hónappal az alkalmazhatóvá válást követően jelent meg, illetve ekkor került a 117. számú Magyar Közlönyben kihirdetésre. Változás előtt állnak azonban még az ágazati jogszabályok, illetve a munka törvénykönyve is. Az alábbiakban az Infotv. változásának legfontosabb elemeit mutatom be:

A módosuló Infotv. hatályát tanácsos többször is elolvasni

Az Európai Bizottság 2018 januárjában állásfoglalást adott ki azzal összefüggésben, hogy a közvetlenül alkalmazandó joganyag átvétele mit jelent. Rámutatott arra, hogy a rendelet vagy annak egyes részeinek tagállami jogba történő átmásolása, magyarázata, értelmezése ellentétes az Európai Unió jogának elsődlegességével. Látható tehát, hogy a jogalkotó számára meglehetősen szűk terep maradt a jogalkotásra. A hazai jogalkotó az implementációt egy meglehetősen bonyolult (saláta)technikával oldotta meg. Egyrészt módosította az Infotv-t, melynek rendelkezései azonban többségükben nem alkalmazandóak a GDPR hatálya alá tartozó adatkezelésekre. Azt, hogy melyek a "kivételi" körbe eső, alkalmazandó területek, a törvény hatályát szabályozó rendelkezésekből (hivatkozásokból) kell beazonosítanunk. A szabályok szétválogatása azonban meglehetősen bonyolult. Az Infotv. 3.§-a (adattovábbítás) például a GDPR hatálya alatti adatkezelésekre is vonatkozó alapdefiníció. Annak alpontjai (lsd. közvetett adattovábbítás) azonban már nem. Ennek következtében mondatonként kell vizsgálni, hogy az adatkezelésekre mely szabály vonatkozik.

Íme a hatály szabályozása, amely az elhatárolás megértésének a kulcsa:

 (2) Személyes adatoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) hatálya alá tartozó kezelésére az általános adatvédelmi rendeleteta III-V. és a VI/A. Fejezetben, valamint a 3. § 3., 4., 6., 11., 12., 13., 16., 17., 21., 23–24. pontjában, a 4. § (5) bekezdésében, az 5. § (3)–(5), (7) és (8) bekezdésében, a 13. § (2) bekezdésében, a 23. §-ban, a 25. §-ban, a 25/G. § (3), (4) és (6) bekezdésében, a 25/H. § (2) bekezdésében, a 25/M. § (2) bekezdésében, a 25/N. §-ban, az 51/A. § (1) bekezdésében, az 52–54. §-ban, az 55. § (1) és (2) bekezdésében, az 56–60. §-ban, a 60/A. § (1)–(3) és (6) bekezdésében, a 61. § (1) bekezdés a) és c) pontjában, a 61. § (2) és (3) bekezdésében, (4) bekezdés b) pontjában és (6)–(10) bekezdésében, a 62–71. §-ban, a 72. §-ban, a 75. § (1)–(5) bekezdésében és az 1. mellékletben meghatározott kiegészítésekkel kell alkalmazni.

Személyes adatoknak az általános adatvédelmi rendelet hatálya alá tartozó kezelésére e törvény a (2) bekezdésben meghatározott rendelkezéseit, valamint más, törvényben meghatározott, a személyes adatok védelmére és a személyes adatok kezelésének feltételeire vonatkozó előírásokat – ha törvény vagy az Európai Unió kötelező jogi aktusa másként nem rendelkezik – akkor kell alkalmazni, ha

a) az adatkezelőnek az általános adatvédelmi rendelet 4. cikk 16. pontjában meghatározott tevékenységi központja vagy az Európai Unión belüli egyetlen tevékenységi helye Magyarországon van, vagy

b) ha az adatkezelőnek az általános adatvédelmi rendelet 4. cikk 16. pontjában meghatározott tevékenységi központja vagy az Európai Unión belüli egyetlen tevékenységi helye nem Magyarországon van, de az adatkezelő vagy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési művelet

ba) áruknak vagy szolgáltatásoknak a Magyarországon tartózkodó érintettek számára történő nyújtásához kapcsolódik, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért, vagy

bb) az érintett Magyarország területén belül tanúsított viselkedésének megfigyeléséhez kapcsolódik.

Nem kell alkalmazni e törvény rendelkezéseit a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire.

Gyakorlati tanácsként a rendelet szövegét vegyük minden esetben alapul.

 A hatállyal összefüggésben ugyanakkor fontos arra rámutatni, hogy az Infotv. a GDPR hatályát minden adatkezelésre kiterjeszti. A rendelet szerint ugyanis a szabályok csupán a részben vagy egészében automatizált módon történő adatkezelésekre vonatkoznak, valamint azon személyes adatoknak a nem automatizált módon történő kezelésére, amelyek nyilvántartás részét képezik vagy annak részévé kívánják tenni. 

 

Ezek a bírósági jogorvoslat kiegészítő szabályai

Az érintett személy (akinek az adatait kezelik) az adatkezelő, illetve – az adatfeldolgozó tevékenységi körébe tartozó adatkezelési műveletekkel összefüggésben – az adatfeldolgozó ellen bírósághoz fordulhat, ha megítélése szerint az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó, jogszabályban vagy a rendeletben meghatározott előírások megsértésével kezeli. Azt, hogy az adatkezelés a személyes adatok kezelésére vonatkozó, jogszabályban vagy a rendeletben meghatározott előírásoknak  megfelel, az adatkezelő, illetve az adatfeldolgozó köteles bizonyítani.

A pert az érintett – választása szerint – a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a Hatóság az érintett pernyertessége érdekében beavatkozhat. 

Ha a bíróság a keresetnek helyt ad, a jogsértés tényét megállapítja és az adatkezelőt, illetve az adatfeldolgozót a jogellenes adatkezelési művelet megszüntetésére, az adatkezelés jogszerűségének helyreállítására, illetve az érintett jogai érvényesülésének biztosítására pontosan meghatározott magatartás tanúsítására kötelezi, és szükség esetén egyúttal határoz a kártérítés, sérelemdíj iránti igényről is. A bíróság ezen túlmenően elrendelheti ítéletének – az adatkezelő, illetve adatfeldolgozó azonosító adatainak közzétételével történő – nyilvánosságra hozatalát, ha az ítélet személyek széles körét érinti, ha az alperes adatkezelő, illetve adatfeldolgozó közfeladatot ellátó szerv, vagy ha a bekövetkezett jogsérelem súlya a nyilvánosságra hozatalt indokolja.

 A személyes adatokkal összefüggő jogok érvényesítése az érintett halálát követően

Az Infotv. 25.§-a szerint az érintett halálát követő öt éven belül az Infotv-ben, illetve a rendeletben meghatározott, az elhaltat életében megillető jogokat az érintett által arra ügyintézési rendelkezéssel, illetve közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal – ha az érintett egy adatkezelőnél több nyilatkozatot tett, a későbbi időpontban tett nyilatkozattal – meghatalmazott személy jogosult érvényesíteni.

Ha az érintett nem tett jognyilatkozatot, a Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult meghatározott, az elhaltat életében megillető jogokat érvényesíteni az érintett halálát követő öt éven belül. Az érintett jogainak e bekezdés szerinti érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja.

Kérelemre vagy hivatalból indulhat eljárás, mely 120 napig tarthat

A személyes adatok védelméhez való jog érvényesülése érdekében a Hatóság az érintett erre irányuló kérelmére adatvédelmi hatósági eljárást indít, illetve hivatalból adatvédelmi hatósági eljárást indíthat. 

A Hatóság hivatalból adatvédelmi hatósági eljárást indít, ha vizsgálata alapján megállapítja, hogy a személyes adatok kezelésével kapcsolatban jogsérelem következett be vagy annak közvetlen veszélye áll fenn, és az Infotv. 56. §-a szerinti felszólítás vagy ajánlás alapján a jogsérelem orvoslására, illetve a jogsérelem közvetlen veszélyének megszüntetésére a Hatóság által meghatározott határidőben nem került sor, illetve ha vizsgálata alapján megállapítja, hogy a személyes adatok kezelésével kapcsolatban jogsérelem következett be vagy annak közvetlen veszélye áll fenn és az általános adatvédelmi rendelet rendelkezései alapján bírság kiszabásának van helye. 

Az adatvédelmi hatósági eljárásban a kérelmezőt költségmentesség illeti meg, a Hatóság előlegezi az olyan eljárási költséget, amelynek előlegezése a kérelmezőt terhelné. Az adatvédelmi hatósági eljárásban az ügyintézési határidő százhúsz nap.

Jogi kötelezettség és közhatalmi jogosítvány, mint jogalapok esetén pótlólagos előírások érvényesülnek

Kötelező adatkezelés esetére az Infotv. előírja, hogy a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozhatja meg. Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrziés azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság rendelkezésére bocsátja.

Néhány praktikus adat

Az Infotv.75/A§-ában nevesített KKV kedvezmény a GDPR hatálya alá tartozó adatkezelésekre NEM alkalmazható, így a bírság kiszabásától a NAIH nem köteles első alkalommal sem eltekinteni !

A NAIH, mint felügyeleti hatóság az adatvédelmi incidensek, valamint az adatvédelmi tisztviselő személyének bejelentésére online felületet biztosít. Míg az incidensbejelentő felület működőképesnek tűnik, az adatvédelmi tisztviselők online bejelentése ez idáig még nem lehetséges. Az incidensbejelentő felület csupán az adatkezelők adatvédelmi incidenseinek bejelentésére szolgál, amennyiben érintettként panasszal szeretne élni, akkor neki a panaszbejelentő / on-line ügyindító rendszert kell használni, vagy panaszát  az ugyfelszolgalat@naih.hu e-mail címre kell elküldeni.

Az adatkezelők előtt álló feladatokkal összefüggésben segítséget nyújt a NAIH éves beszámolója, melyben számos fontos terület vonatkozásában bemutatja a felügyeleti hatóság a megfelelés szempontjait. A 2017. évre vonatkozó beszámoló itt érhető el:

https://www.naih.hu/files/NAIH-BESZAMOLO-2017-mid-res.pdf

Ezekre a jogalkotói lépésekre várunk még

Amint arra a bevezetőben utaltam, a jogszabálymódosítások még nem értek véget. Őszre várható az ágazati szabályok megfelelő módosítása benne a munka törvénykönyvének a módosításával.


Végezetül mindenki figyelmébe ajánlom a Magyar Könyvvizsgálói Kamara Oktatási Központjának, az EDUCON Kft-nek, illetve a System Mediának és a Menedzser Praxisnak az adatvédelmi tisztviselő képzéseit.

Dr. Kéri Ádám 

ügyvéd

 

Adatvédelmi szakértő

A PM munkajogi kodifikációs bizottság tagja
adam.keri.office@icloud.com