Adatvédelmi Hírlevél 2018/1.

Hatályba lépett az adatvédelmi törvény (Info tv.) módosítása – Összefoglaló

1. Bevezetés

Fontosnak tartjuk, hogy Ügyfeleink részére naprakész információkat szolgáltassunk a jogszabályi változások tekintetében, ezért rendszeresen illetve alkalmi jelleggel hírlevél formájában is tájékoztatást szeretnénk nyújtani Ügyfeleink részére a fontosabb jogszabályváltozásokról.

2018. július 26. napján hatályba lépett (augusztus 25. napján részben módosult) az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.) módosítása, amelyben a jogalkotó célja, hogy a hazai adatvédelmi jogi szabályokat az európai unió általános adatvédelmi rendeletének (közismert nevén a GDPR) rendelkezésivel összhangba hozza.

Sajnos az ágazati adatvédelmi jogszabályok (pl.: egészségügyi személyes adatok kezeléséről szóló törvény) módosítására még várni kell, ezek vélhetően a Parlament őszi ülésszakában kerülnek elfogadásra, addig is a jelen hírlevélben igyekeztünk összeszedni azokat a fontosabb változásokat, amelyek Ügyfeleink részére fontosak lehetnek.

1. Info tv. módosításának rövid összefoglalása

1. Fogalomrendszer/Alapelvek/Kiegészítő rendelkezések

 Az Info tv. módosítása a GDPR fogalomrendszerének bevezetése mellett, kijelölte a GDPR hatálya alá eső adatkezelések alapelveinek irányait, valamint a GDPR hatálya alá eső adatkezelések esetében, megalkotta azokat a kiegészítő rendelkezéseket, amelyekre a GDPR a tagállami (nemzeti) jogalkotásnak felhatalmazást ad.

2. Jogalapok/Kötelező felülvizsgálat

Az Info. tv. módosítás rögzíti, hogy a jogi kötelezettség teljesítéséhez szükséges adatkezelések esetében, a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit valamint az adatkezelés egyéb körülményeit továbbra is törvény vagy önkormányzati rendelet határozza meg..

Az Info tv. rögzíti, hogy a jogi kötelezettség teljesítéséhez szükséges adatkezelés időtartamát és szükségességét – eltérő jogszabályi rendelkezés hiányában – 3 évente kötelezően felül kell vizsgálni. A felülvizsgálat eredményét dokumentálni kell és 10 éves időtartamig meg kell őrizni, amelyet az adatvédelmi hatóság (NAIH) kérésére, rendelkezésre kell bocsátani.

3. Bírósághoz fordulás joga

Az Info tv. módosítás részletezi a bírósági jogérvényesítés feltételeit. Az adatkezeléssel érintett természetes személy jogosult az adatkezelő illetve az adatfeldolgozó ellen bírósághoz fordulni, ha úgy ítéli meg, hogy az adatkezelés megsértette a jogszabályokat. A pert az érintett akár a lakóhelye/tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja. Az adatkezelés megfelelőségét az adatkezelő illetve az adatfeldolgozó köteles bizonyítani. Ha a bíróság megállapítja a jogsértést, jogellenes adatkezelési művelet megszüntetésére, az adatkezelés jogszerűségének helyreállítására, illetve az érintett jogai érvényesülésének biztosítására pontosan meghatározott magatartás tanúsítására kötelezi az adatkezelőt/adatfeldolgozót, és szükség esetén egyúttal határoz a kártérítés, sérelemdíj iránti igényről is. Ahogyan arra már az Info tv. is lehetőséget biztosított, bizonyos esetekben a határozat nyilvánosságra hozatalát is elrendelheti a bíróság.

4. „Posztumusz” adatkezelés

Az Info tv. módosítás rendezi az érintett adatalany halálát követően az elhalálozott személy személyes adataival való rendelkezési jogosultság érvényesítését, kijelöli az érintetti jogok gyakorlására felhatalmazott személyek körét, rögzíti a jogosultság igazolásához szükséges dokumentációs hátteret, többek között pl.: hogy az érintett halálának tényét és idejét halotti anyakönyvi kivonattal vagy bírósági határozattal kell igazolni.

5. Magas kockázatú adatkezelések vélelme

Ha az adatvédelmi hatóság (NAIH) valamely meghatározott adatkezelés-típust magas kockázatú adatkezelésnek minősít, és ezt közzéteszi, valamint a tervezett adatkezelés hasonló típusú művelet vagy műveletsorozat alkalmazásával jár, a tervezett adatkezelés tekintetében annak magas kockázatát vélelmezni kell. Ugyanakkor, ha azt állapítja meg, hogy az nem minősül magas kockázatú adatkezelésnek és e megállapítását közzéteszi, valamint a tervezett adatkezelés kizárólag e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet vagy műveletsorozat alkalmazásával jár, a tervezett adatkezelés tekintetében azt kell vélelmezni, hogy az nem minősül magas kockázatú adatkezelésnek.

6. Adatvédelmi tisztségviselő titoktartási kötelezettsége és konferenciája

Az adatvédelmi tisztségviselőkre vonatkozó GDPR-ban rögzített kötelezettségeket az Info tv. kiegészíti a titoktartási kötelezettséggel, amely az adatvédelmi tisztségviselői jogviszony fennállása alatt és azt követően is irányadó, valamint rendelkezik az Adatvédelmi Tisztségviselők éves konferenciájáról, amelyet a NAIH elnöke hív össze, és célja elsődlegesen a szakmai kapcsolattartás.

7. Bírsággal kapcsolatos tudnivalók

A GDPR-ban rögzített, sokat hangoztatott és már közismert „giga” bírságösszegeken az Info tv. nem módosít, kizárólag a költségvetési szervek esetén korlátozza ennek összegszerűségét százezer forinttól húszmillió forintig terjedően.

Egy korábbi módosítás alapján a NAIH az arányosság elvének figyelembevételével gyakorolja hatásköreit, különösen azzal, hogy a személyes adatok kezelésére vonatkozó – jogszabályban meghatározott – előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik a GDPR rendelkezéseivel összhangban.

A figyelmeztetés intézménye vélhetően a kis- és középvállalkozások adatkezeléseinek vizsgálata esetén megállapított jogsértések esetén lehet majd szankció a jövőben, ugyanakkor, ez nem érinti az érintett bírósághoz fordulásának jogát, így az adatkezelések jogszerűtlensége esetén a KKV szektor vállalkozásai is kártérítésre illetve sérelemdíj megfizetésére lehetnek kötelezettek.

8. Adatvédelmi nyilvántartás tartalma

Az adatvédelmi nyilvántartás tartalma zárolásra kerül, kizárólag az Info tv. módosítás hatályba lépését megelőző időszakra lefolytatott vizsgálatok esetében kerülhet felhasználásra. Az adatkezelések adatvédelmi nyilvántartásba történő hatósági regisztrálása, illetve a nyilvántartási szám kibocsátása megszűnik, az adatkezelő illetve adatfeldolgozó kötelezettsége, hogy maga vezesse és dokumentálja a saját belső adatvédelmi nyilvántartását a vonatkozó jogszabályokban rögzítettek szerinti formában, tartalommal és feltételekkel.

Amennyiben bármilyen kérdése merül fel a fenti hírlevélben rögzítettekkel, vagy egyéb adatkezelésekkel kapcsolatos kérdése merült fel, kérjük, hogy forduljon bizalommal a Germus és Társai Ügyvédi Irodához, mely kiterjedt szakismeretekkel, elméleti és gyakorlati tapasztalatokkal rendelkezik az adatvédelmi jog területén, és képes gyakorlat-, és ügyfélorientált megoldások kidolgozására.

A fentiekben rögzített információ kizárólag tájékoztató jellegű és nem tekinthető a Germus és Társai Ügyvédi Iroda vagy annak bármely ügyvédje, ügyvédjelöltje által nyújtott jogi tanácsadásnak.

Az alábbi e-mail címen bármikor felveheti velünk a kapcsolatot, készséggel állunk rendelkezésére: office@germus.hu