Módosult az Info törvény
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az Európai Unió Általános Adatvédelmi Rendelete (a továbbiakban: GDPR, vagy rendelet) 2018. május 25. napjával alkalmazandóvá vált. Habár az EU megfelelő, két éves felkészülési időt biztosított mind az adatkezelők, mind pedig a tagállami jogalkotók számára, sajnos mindkét oldalon jelentős késedelem tapasztalható. A hazai vállalkozások megfelelőségi felkészülése, illetve ennek kontrollja sok esetben még várat magára. Hasonlóképpen késedelmes a jogi szabályozás változtatása is. Az Info tv. (2018. évi XXXVIII.tv.) átfogó módosítása 2018. július 25. napján, azaz a GDPR alkalmazási kötelezettségének beállta után két hónappal jelent meg a 117. számú Magyar Közlönyben, de változás előtt állnak még az ágazati jogszabályok, illetve a munka törvénykönyve is. Az alábbiakban az Info tv. változásának legfontosabb elemeit mutatjuk be.
Az Info tv. hatálya nem egyszerű kérdés
Az Európai Bizottság 2018 januárjában állásfoglalást adott ki azzal összefüggésben, hogy a közvetlenül alkalmazandó joganyag átvétele mit jelent. Rámutatott, hogy a teljes rendelet, vagy a norma egyes részeinek tagállami jogba történő átmásolása, magyarázata, értelmezése ellentétes az Európai Unió jogának elsődlegességével. Látható tehát, hogy a jogalkotó számára meglehetősen szűk terep maradt a jogalkotásra. A hazai jogalkotó az implementációt egy meglehetősen bonyolult (saláta)technikával oldotta meg. Módosította az Info tv-t, melynek rendelkezései többségükben nem alkalmazandóak a GDPR hatálya alá tartozó adatkezelésekre. Azt, hogy melyek a „kivételi” körbe eső, alkalmazandó területek, a törvény hatályát szabályozó rendelkezésekből (hivatkozásokból) kell beazonosítanunk. A szabályok szétválogatása erre figyelemmel meglehetősen bonyolult. Az Info tv. 3.§-a (adattovábbítás) például a GDPR hatálya alatti adatkezelésekre is vonatkozó alapdefiníció, annak alpontjai (lsd. közvetett adattovábbítás) azonban már nem… Ennek következtében mondatonként kell vizsgálni, hogy az adatkezelésekre mely szabály vonatkozik.
Íme a hatályra vonatkozó szabály, amely az elhatárolás megértésének a kulcsa:
„(2) Személyes adatoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) hatálya alá tartozó kezelésére az általános adatvédelmi rendeletet a III-V. és a VI/A. Fejezetben, valamint a 3. § 3., 4., 6., 11., 12., 13., 16., 17., 21., 23–24. pontjában, a 4. § (5) bekezdésében, az 5. § (3)–(5), (7) és (8) bekezdésében, a 13. § (2) bekezdésében, a 23. §-ban, a 25. §-ban, a 25/G. § (3), (4) és (6) bekezdésében, a 25/H. § (2) bekezdésében, a 25/M. § (2) bekezdésében, a 25/N. §-ban, az 51/A. § (1) bekezdésében, az 52–54. §-ban, az 55. § (1) és (2) bekezdésében, az 56–60. §-ban, a 60/A. § (1)–(3) és (6) bekezdésében, a 61. § (1) bekezdés a) és c) pontjában, a 61. § (2) és (3) bekezdésében, (4) bekezdés b) pontjában és (6)–(10) bekezdésében, a 62–71. §-ban, a 72. §-ban, a 75. § (1)–(5) bekezdésében és az 1. mellékletben meghatározott kiegészítésekkel kell alkalmazni.
Személyes adatoknak az általános adatvédelmi rendelet hatálya alá tartozó kezelésére e törvény a (2) bekezdésben meghatározott rendelkezéseit, valamint más, törvényben meghatározott, a személyes adatok védelmére és a személyes adatok kezelésének feltételeire vonatkozó előírásokat – ha törvény vagy az Európai Unió kötelező jogi aktusa másként nem rendelkezik – akkor kell alkalmazni, ha
a) az adatkezelőnek az általános adatvédelmi rendelet 4. cikk 16. pontjában meghatározott tevékenységi központja vagy az Európai Unión belüli egyetlen tevékenységi helye Magyarországon van, vagy
b) ha az adatkezelőnek az általános adatvédelmi rendelet 4. cikk 16. pontjában meghatározott tevékenységi központja vagy az Európai Unión belüli egyetlen tevékenységi helye nem Magyarországon van, de az adatkezelő vagy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési művelet
ba) áruknak vagy szolgáltatásoknak a Magyarországon tartózkodó érintettek számára történő nyújtásához kapcsolódik, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért, vagy
bb) az érintett Magyarország területén belül tanúsított viselkedésének megfigyeléséhez kapcsolódik.
Nem kell alkalmazni e törvény rendelkezéseit a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire.”
Gyakorlati tanács, hogy a rendelet szövegét vegyük minden esetben alapul.
A hatállyal összefüggésben fontos arra is rámutatni, hogy az Infotv. a GDPR hatályát minden adatkezelésre kiterjeszti. A rendelet szerint ugyanis a szabályok csupán a részben vagy egészében automatizált módon történő adatkezelésekre vonatkoznak, valamint azon személyes adatoknak a nem automatizált módon történő kezelésére, amelyek nyilvántartás részét képezik, vagy amelyeket annak részévé kívánnak tenni.
A bírósági jogorvoslat kiegészítő szabályai
Az érintett személy (akinek az adatait kezelik) az adatkezelő, illetve – az adatfeldolgozó tevékenységi körébe tartozó adatkezelési műveletekkel összefüggésben – az adatfeldolgozó ellen bírósághoz fordulhat, ha megítélése szerint az adatkezelő, illetve az általa megbízott, vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait az előírások megsértésével kezeli. Azt, hogy az adatkezelés a személyes adatok kezelésére vonatkozó, jogszabályban vagy a rendeletben meghatározott előírásoknak megfelel, az adatkezelő, illetve az adatfeldolgozó köteles bizonyítani.
A pert az érintett akár a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja. A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a Hatóság az érintett pernyertessége érdekében beavatkozhat.
Ha a bíróság a keresetnek helyt ad, a jogsértés tényét megállapítja és az adatkezelőt, illetve az adatfeldolgozót a jogellenes adatkezelési művelet megszüntetésére, az adatkezelés jogszerűségének helyreállítására, s az érintett jogai érvényesülésének biztosítására pontosan meghatározott magatartás tanúsítására kötelezi. Szükség esetén a bíróság egyúttal határoz a kártérítés, sérelemdíj iránti igényről is. A bíróság elrendelheti továbbá az ítéletének – az adatkezelő, illetve adatfeldolgozó azonosító adatainak közzétételével történő – nyilvánosságra hozatalát is, ha az ítélet személyek széles körét érinti, ha az alperes adatkezelő, illetve az adatfeldolgozó közfeladatot ellátó szerv, vagy ha a bekövetkezett jogsérelem súlya ezt indokolja.
A személyes adatokkal összefüggő jogok érvényesítése az érintett halálát követően
A jogalkotó Magyarországon a GDPR alkalmazásának körét az elhunyt (a törvény szövegében: elhalt) személyekre is kiterjesztette. Az Info tv. 25. §-a így akképpen rendelkezik, hogy az érintett halálát követő öt éven belül az Info tv-ben, illetve a rendeletben meghatározott, az elhaltat életében megillető jogokat meghatalmazott személy is jogosult érvényesíteni. Ehhez az szükséges, hogy az érintett e tekintetben jognyilatkozatot tegyen. Ha az érintett nem tett ilyen jognyilatkozatot, a Ptk. szerinti közeli hozzátartozója annak hiányában is jogosult meghatározott, az elhaltat életében megillető jogosultságok érvényesítésére. A határidő ebben az esetben is az érintett halálát követő öt év. Az érintett jogainak érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja.
Kérelemre vagy hivatalból indulhat eljárás
A személyes adatok védelméhez való jog érvényesülése érdekében a Hatóság az érintett erre irányuló kérelmére adatvédelmi hatósági eljárást indít, illetve hivatalból adatvédelmi hatósági eljárást indíthat.
A Hatóság hivatalból adatvédelmi hatósági eljárást indít, ha vizsgálata alapján megállapítja, hogy a személyes adatok kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye áll fenn, és az Infotv. 56. §-a szerinti felszólítás vagy ajánlás alapján a jogsérelem orvoslására, illetve a jogsérelem közvetlen veszélyének megszüntetésére a Hatóság által meghatározott határidőben nem került sor. Abban az esetben is jogosult hivatalból eljárást indítani, ha vizsgálata alapján megállapítja, hogy a személyes adatok kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye áll fenn, és az általános adatvédelmi rendelet rendelkezései alapján bírság kiszabásának van helye.
Az adatvédelmi hatósági eljárásban a kérelmezőt költségmentesség illeti meg. A Hatóság előlegezi az olyan eljárási költséget, amelynek előlegezése a kérelmezőt terhelné. Az adatvédelmi hatósági eljárásban az ügyintézési határidő százhúsz nap.
Kötelező adatkezelés
Az Info tv. a közhatalmi jogosítvány gyakorlását, illetve jogi kötelezettség teljesítését kötelező adatkezeléseknek minősíti. Erre az esetre az Info tv. előírja, hogy a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát, vagy szükségessége időszakos felülvizsgálatát az adatkezelést elrendelő törvényben, illetve önkormányzati rendeletben kell meghatározni. Ha a kötelező adatkezelés időtartamát, vagy szükségessége időszakos felülvizsgálatát a norma nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy a személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e még. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, s e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére rendelkezésére bocsátja.
Néhány praktikus információ
A NAIH, mint felügyeleti hatóság az adatvédelmi incidensek, valamint az adatvédelmi tisztviselő személyének bejelentésére online felületet biztosít. Míg az incidensbejelentő felület működőképesnek tűnik, az adatvédelmi tisztviselők online bejelentése e cikk lezárásakor még nem lehetséges. Az incidensbejelentő felület csupán az adatkezelők adatvédelmi incidenseinek bejelentésére szolgál, amennyiben érintettként kíván valaki panasszal élni, akkor a panaszbejelentő / on-line ügyindító rendszert kell használni, vagy a panaszt az ugyfelszolgalat@naih.hu e-mail címre kell elküldeni.
Az adatkezelők előtt álló feladatokkal összefüggésben segítséget nyújt a NAIH éves beszámolója, melyben számos fontos terület vonatkozásában bemutatja a felügyeleti hatóság a megfelelési szempontjait. A 2017. évre vonatkozó beszámoló itt érhető el:
További jogalkotás
Amint arra a bevezetőben utaltam, a jogszabálymódosítások még nem értek véget. Őszre várható az ágazati szabályok megfelelő módosítása, közöttük a munka törvénykönyvének sokak által kíváncsian várt korrekciója, amiről szintén beszámolunk majd.
A cikk szerzője:
Dr. Kéri Ádám ügyvéd, adatvédelmi szakértő, a PM munkajogi kodifikációs bizottságának tagja, a Magyar Könyvvizsgálói Kamara Oktatási Központjának oktatója.