Magyar szabályozás: továbbra sincsenek fejlemények a nemzeti jogszabályok GDPR-kompatibilissá tételéről. Annak ellenére, hogy a kétéves felkészülési idő nem csak az adatkezelőkre, hanem a tagállamokra is vonatkozott, egyelőre nem került sor sem a NAIH GDPR hatóságként történő kijelölésére, sem az Infotv. módosítására, sem pedig az ágazati jogszabályok módosítására/deregulációjára. Ugyan ez nem példa nélküli, mert több más EU-s tagállam is bizonyos mértékű lemaradásban van, ugyanakkor a jelenlegi helyzet korántsem ideális, hiszen a GDPR és a korábbi nemzeti jogszabályok közötti ellentmondás számos értelmezési bizonytalansághoz vezet. A GDPR hatóságként történő kijelölésére és az Infotv. módosítására fog valószínűleg először sor kerülni, remélhetőleg még az Országgyűlés nyári szünete előtt. Egyelőre azonban nem érhető el ez Országgyűlés következő ülésének napirendje, illetve hivatalos előterjesztést, tervezetet sem tett közzé az Igazságügyi Minisztérium. (Az EU egyes tagállamaiban a nemzeti jogszabályok módosításának állapotáról szóló, a Bird & Bird által készített GDPR tracker ezen a linken található.)

NAIH: a hatóság május 25-én közleményt tett közzé a GDPR-ral összefüggésben. Ebben többek között elismerik, hogy nem került sor a magyar szabályozás GDPR-hoz való hozzáillesztésére, de arról, hogy hogy ez mikorra várható nincs további tájékoztatás. A NAIH közleménye a GDPR hatálya alá tartozó adatkezelésekre vonatkozó szabályokkal kapcsolatban három szcenáriót tartalmaz:

1. GDPR: a hatóság a GDPR-ban kimerítően (eltérést, kiegészítést nem engedő módon) szabályozott tárgykörökben a rendeletben foglalt előírásokat tekinti alkalmazandónak, azok teljes terjedelmében.
2. GDPR és magyar (ágazati) jogszabályok párhuzamosan: „A Hatóság azon, a magyar jog szerint hatályos előírásokat, amelyek megalkotására (hatályban tartására) az általános adatvédelmi rendelet (pl. 6. cikk (3) bekezdés, IX. fejezet) kifejezetten lehetőséget ad (pl. ágazati adatkezelési előírások), a rendeletben biztosított kereteken belül továbbra is alkalmazandónak tekinti.” – tartalmazza a közlemény. Azt, hogy az utóbbi fordulat mit jelent olyan esetekben, amikor a GDPR és a magyar ágazati jogszabályok megközelítése szinte vagy teljesen ellentétes, nem derül a ki a közleményből.
3. Magyar (ágazati) jogszabályok: a hatóság a GDPR-ban meghatározott azon előírások vonatkozásában, amelyek végrehajtásához magyar jogszabályi rendelkezések alkalmazása is szükséges (tipikusan a Hatóság eljárásaira vonatkozó szabályrendszer), a hatályos magyar jogi rendelkezéseket megfelelően (az általános adatvédelmi rendelettel összhangban értelmezve) tekinti alkalmazandónak.

A hatóság szintén elérhetővé tette az adatvédelmi incidensek bejelentésére szolgáló rendszerét és formanyomtatványait. Ezek ezen a linken érhetőek el. Az online rendszerbe regisztrációval vagy enélkül lehet belépni, a formanyomtatványok pedig PDF, DOC és XLS formában érhetőek el.

A hatóság szintén közzétett információt a GDPR alatti Adatvédelmi Tisztviselő (Data Protection Officer, DPO) NAIH számára történő bejelentésére, azonban a bejelentésre szolgáló online rendszer egyelőre nem működik, ott csak egy „Fejlesztés alatt” üzenet látszik.

Érdemes figyelemmel kísérni a NAIH GDPR-ral kapcsolatos állásfoglalásait, valamint az általuk közzétett WP29/EDPB dokumentumokat. Ami utóbbiakat illeti, a legfrissebbeket itt, míg a régebbieket itt lehet megtalálni.

Belső adatvédelmi nyilvántartás: a WP29 közzétett egy állásfoglalást a KKV-kra vonatkozó, a belső adatvédelmi nyilvántartás vezetésére vonatkozó kötelezettség alóli kivételekről. A GDPR 30. Cikk (5) bekezdése alapján ugyanis a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre nem vonatkoznak ezek a kötelezettségek, kivéve, ha [1] az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, [2] ha az adatkezelés nem alkalmi jellegű, vagy [3] ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak vagy büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére. Az állásfoglalás megerősíti, hogy amennyiben bármelyik kivétel nem áll meg, akkor az adott adatkezelés vonatkozásában vezetni kell a belső adatvédelmi nyilvántartást. A WP29 szerint ez minden esetben vonatkozik a munkavállalók adataira. Az állásfoglalás azt is tartalmazza, hogy a nemzeti hatóságok közzétehetnek mintákat a belső adatvédelmi nyilvántartás vezetésére.

Megalakult az Európai Adatvédelmi Testület (European Data Protection Board, EDPB): az erről szóló sajtóközlemény (egyelőre csak angolul) itt olvasható. Az EDPB váltja fel a WP29-et, azaz az Adatvédelmi Irányelv 29-es cikke szerint Munkacsoportot. Ezzel az EDPB az a testület, amely az adatvédelem bizonyos kérdéseiről EU szintű iránymutatásokat, véleményeket és egyéb dokumentumokat ad ki, valamint dönt további kérdésekben.

Halász Bálint

ügyvéd