2018. július 26-ai hatállyal a magyar parlament módosította a korábbi adatvédelmi törvényt – az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényt (“Infotv.”) – annak érdekében, hogy biztosítsa a GDPR-nak való megfelelést.
A módosított Infotv. felépítése a következő:
- olyan rendelkezések, amelyek a GDPR mellett alkalmazandók, beleértve az eljárási
- szabályokat, illetve olyan eseteket, amelyeknél a GDPR lehetővé teszi a nemzeti jog alkalmazását vagy a nemzeti jog eltérő szabályozását;
- olyan rendelkezések, amelyek a GDPR hatályán kívül eső az adatkezelési műveletekre vonatkoznak; és
- az Európai Parlament és a Tanács (EU) 2016/680 Irányelvének (Bűnüldözési Irányelv) átültetése a bűnüldözési, a nemzetbiztonsági és honvédelmi célú adatkezelés szabályozása érdekében.
Ebben a cikkben összefoglaljuk az Infotv. azon rendelkezéseit, amelyek a GDPR mellett alkalmazandók és azt, hogy ezen rendelkezések hogyan érintik az egyes szervezeteket a gyakorlatban.
1. Hatály
Az Infotv. minden adatkezelési műveletre alkalmazandó, kivéve a természetes személynek kizárólag a saját személyes céljait szolgáló adatkezeléseit. Az Infotv. így kiegészíti a GDPR-t, és emellett lefedi a manuális adatkezelési műveletek teljes körét is(a GDPR ugyanis a személyes adatokon végzett csupán olyan műveletekre alkalmazandó, amelyek egészben, vagy részben automatizáltan történnek, illetve ezen felül olyan nem automatizált adatkezelésekre, amelyek egy nyilvántartási rendszer részeit képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni).
A fentiekre tekintettel az Infotv. akkor alkalmazandó, ha
• az adatkezelő (i) tevékenységi központja; vagy (ii) az EU-n belüli egyetlen tevékenységi helye Magyarországon van; vagy
• az adatkezelőnek vagy az adatfeldolgozójának adatkezelési tevékenysége (i) áruknak vagy szolgáltatásoknak a Magyarországon tartózkodó érintettek számára történő nyújtásához kapcsolódik, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; vagy (ii) az érintett Magyarország területén belül tanúsított viselkedésének megfigyeléséhez kapcsolódik.
2. A jogi kötelezettségek vagy közérdekű feladatok teljesítéséhez szükséges adatkezelés további követelményei
A GDPR 6. cikk (Az adatkezelés jogszerűsége) (1) bekezdésének c) és e) pontjai lehetővé teszik az adatkezelést ha (i) az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges; vagy ha (ii) közérdekű, vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.
Az Infotv. ezeket az adatkezelési típusokat “kötelező adatkezelés”-ként határozza meg, és akként rendelkezik, hogy az adatkezelők ilyen jogalapon csak törvény vagy annak felhatalmazása alapján helyi önkormányzat rendelete által előírt esetben kezelhetnek személyes adatot.
Ezen törvényekben és önkormányzati rendeletekben meg kell határozni:
• az adatkezelő személyét;
• az adatkezelés célját és feltételeit;
• az adatok fajtáit;
• az adatok megismerhetőségét; és
• az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát.
Amennyiben egy adatkezelő olyan jogszabály alapján kezel személyes adatokat, amely nem törvény vagy önkormányzati rendelet (pl. kormányrendeletek, minisztériumi rendeletek, vagy olyan hatóságok rendeletei, mint például a Magyar Nemzeti Bank vagy a Nemzeti Média és Hírközlési Hatóság), úgy a fentiek tükrében ajánlott egy másik jogalapot választania, pl. az adatkezelő jogos érdekét. Ez a korlátozó rendelkezés azonban ellentétes lehet a GDPR (41) preambulumbekezdésével, amely szerint: ”amikor ez a rendelet jogalapra vagy jogalkotási intézkedésre hivatkozik, ez nem szükségszerűen jelent – az érintett tagállam alkotmányos rendjéből fakadó követelmények sérelme nélkül – valamely parlament által elfogadott jogszabályt.”
“Kötelező adatkezelés” esetén az adatkezelő köteles rendszeresen felülvizsgálni, hogy egy bizonyos adatkezelés szükséges-e a cél elérése érdekében. Az Infotv. arról az esetről is rendelkezik, amikor a releváns törvény / önkormányzati rendelet / Európai Unió kötelező jogi aktusa nem határozza meg az adatkezelés időtartamát vagy a fenti felülvizsgálatot. Ebben az esetben az adatkezelő köteles az adatkezelés megkezdésétől számított legalább 3 évente felülvizsgálni, hogy az adatkezelés az adatkezelési cél megvalósulásához szükséges-e. Az adatkezelő köteles továbbá (i) a felülvizsgálat körülményeit és eredményét dokumentálni; és (ii) ezt a dokumentációt 10 évig megőrizni, illetve a Nemzeti Adatvédelmi és Információszabadság Hatóság (“NAIH”) kérésére bemutatni. A GDPR-t megelőző adatkezeléseket legkésőbb 2021. május 25-ig kell felülvizsgálniuk az adatkezelőknek.
3. A bűnügyi személyes adatok kezelése
Az Infotv. értelmében az adatkezelők a személyes adatok különleges kategóriáira vonatkozó szabályoknak megfelelően kezelhetik a bűnügyi személyes adatokat. Ez a gyakorlatban azt jelenti, hogy a vállalkozások ilyen adatokat alapvetően (i) az érintett kifejezett hozzájárulásával;
(ii) a foglalkoztatást, valamint a szociális biztonságot és szociális védelmet szabályozó jogi előírásokból fakadó kötelezettségeik teljesítése és konkrét jogaik gyakorlása érdekében; vagy (iii) jogi igények előterjesztése, érvényesítése, illetve védelme céljából –az ehhez szükséges körben – kezelhetnek. A szervezeteknek ennek megfelelően kell az adatkezelésük jogalapjait felülvizsgálniuk.
4. Az érintettek által indítható per és az adatkezelő, valamint az adatfeldolgozó felelőssége
A személyes adatok kezelésére vonatkozó előírások megsértése esetén az érintett hatékony bírósági jogorvoslatra jogosult a rendelkezésre álló közigazgatási vagy nem bírósági útra tartozó jogorvoslatok sérelme nélkül. Magyarországon az ilyen perre a felperes lakóhelye vagy tartózkodási helye szerinti törvényszék is illetékes. Az érintett (közvetett és közvetlen) kárának megfizetésén túl a bíróságnak lehetősége van sérelemdíjat is megállapítani az elszenvedett jogsérelemért. Ezen felül a bíróság nyilvánosságra hozhatja a döntését az adatkezelő és az adatfeldolgozó megjelölésével, ha az ítélet személyek széles körét érinti, az alperes adatkezelő, illetve adatfeldolgozó közfeladatot lát el, vagy ha a bekövetkezett jogsérelem súlya miatt indokolt a nyilvánosságra hozatal. Az Infotv. felhatalmazza a NAIH-ot, hogy beavatkozóként elősegítse az érintett pernyertességét.
5. Elhunyt személyek adatvédelmi jogai
A magyar jog ezidáig nem rendelkezett az elhunyt személyek személyes adatainak kezeléséről. Mostantól azonban az Infotv. biztosítja, hogy az adott személy halálát követő 5 éven belül, az érintett által – ügyintézési rendelkezésben, illetve közokiratban vagy teljes bizonyító erejű magánokiratban – megjelölt személy gyakorolhassa az elhunytat életében megillető adatvédelmi jogait. Ha ilyen nyilatkozat megtételére nem került sor, az elhunyt közeli hozzátartozói gyakorolhatják a helyesbítéshez való jogot, az adatkezeléssel szembeni tiltakozáshoz való jogot, a törléshez való jogot, illetve az adatkezelés korlátozásához való jogot. Az adatkezelőknek célszerű frissíteni a hozzáférési jogokkal kapcsolatos eljárásaikat, hogy biztosítani tudják az érintettek számára, hogy azok élhessenek az elhunytat életében megillető adatvédelmi jogokkal.
6. Egyéb jelentős rendelkezések az Infotv-ben
• Az Infotv. korlátlan titoktartási kötelezettségeket ír elő az adatvédelmi tisztviselőkre nézve. Az adatkezelőknek ajánlott felülvizsgálni az adatvédelmi tisztviselőkkel kötött szerződésekben szereplő titoktartási rendelkezéseket, hogy biztosítsák az Infotv.-nek való megfelelést;
• A NAIH minden évben megrendezni az “adatvédelmi tisztviselők konferenciáját” és meghatározza annak napirendjét. Ez a konferencia az adatvédelmi tisztviselők és a NAIH közötti egyeztetések egy rendszeres fórumául szolgál;
• A GDPR-nak megfelelően a szervezeteknek nem kell nyilvántartásba vetetniük az adatkezeléseiket a NAIH-nál. A NAIH azonban a 2018. május 25-e előtt megtett bejelentéseket megvizsgálhatja; ezért célszerű ügyelni arra, hogy a vállalkozások a gyakorlatukat és adatvédelmi tájékoztatóikat összhangba hozzák a NAIH-hoz benyújtott bejelentéseik tartalmával;
• Az Infotv. a GDPR rendelkezéseitől való más lényeges eltérést nem tartalmaz. Például közvetlenül gyermekek részére nyújtott információs társadalommal összefüggő szolgáltatásokkal kapcsolatban a gyermekek személyes adatainak kezelése jogszerűnek tekinthető, ha a gyermek legalább 16 éves.
További információ a cikk szerzőjétől:
dr. Domokos Márton
Ügyvéd
