A jogharmonizációs kötelezettségeknek eleget téve a Magyar Országgyűlés megalkotta és elfogadta az Infotv. módosítását, illetve egy korábbi - 2018. június 30-án hatályba lépett - 2018. évi XIII. törvényben a jogalkotó kijelölte a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH) mint a GDPR végrehajtásáért felelős hatóságot. Így a NAIH kinevezését és a feladatra felkészülését (például szükséges számú alkalmazott felvételét) követően számítani lehet ellenőrzésekre.
Ez utóbbi jogszabály tartalmaz egy olyan rendelkezést is, amely szerint a Hatóság első alkalommal megállapított jogsértés esetén annak orvoslására elsősorban az adatkezelő / adatfeldolgozó figyelmeztetése révén intézkedik és nem pénzügyi szankció kiszabását rendeli el.
Az új, módosított Infotv. a GDPR-ra való tekintettel részletesebb módosítást és kiegészítést tartalmaz, ezenfelül a javaslat egyben a nyomozó hatóságok általi adatkezelésről szóló 2016/680 európai parlamenti és tanácsi irányelv ("Irányelv") magyar jogba való átültetését is elvégezte.
A jogszabályban található főbb alapvetések:
1. A GDPR meghatározásainak megfelelően módosultak a fogalommeghatározások (Infotv. 3. § - pl.: különleges adat, nyilvánosságra hozatal, adatállomány), illetve tisztázásra kerültek a GDPR elveinek megfelelő pontos adatkezelési szabályok, ezenkívül a törvény tartalmazza azon kiegészítő szabályokat, amelyeket a GDPR hatálya alá eső adatkezelések tekintetében a GDPR szabályaival együttesen kell alkalmazni;
2. Természetesen tartalmazza az Irány-elvet átültető szabályokat;
3. A GDPR rendelkezéseit rendeli alkalmazni az Irányelv és a GDPR hatálya alá nem tartozó adatkezelésekre (azaz a GDPR szerinti "nyilvántartási rendszer" részét nem képező személyes adatok kezelésére);
4. Részletesen tartalmazza az érintettek jogait, illetve azok érvényesülését biztosító intézkedéseket, továbbá a GDPR Preambuluma (27) bekezdésének megfelelően a személyes adatokkal összefüggő jogok (az elhunytat még életében megillető jogok) érvényesítésének lehetőségét és annak szabályait az érintett halálát követő öt éven belül. Ez a módosítás szabályozza az eddig igen sok vitát kiváltott esetkört, amikor egy halálesetet követően rendezetlenül maradtak az egyébként az érintettet még életében megillető jogosultságok.
A GDPR hatálya alá tartozó adatkezelések esetén tehát az érintett halálát követő öt éven belül az elhaltat életében megillető hozzáférési jogot, helyesbítéshez való jogot, törléshez való jogot, adatkezelés korlátozásához való jogot, illetve tiltakozási jogot az érintett által közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal meghatalmazott személy jogosult érvényesíteni. A GDPR hatálya alá nem tartozó adatkezelések esetében a gyakorolható jogok a hozzáférési jog, helyesbítéshez való jog, törléshez való jog és az adatkezelés korlátozásához való jog.
Ha az érintett nem tett a fentiek szerinti jognyilatkozatot, a Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult bizonyos jogok gyakorlására. Az érintett jogainak érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja [Ptk. 8:1. § (1) bek. 1. közeli hozzátartozó: a házastárs, az egyeneságbeli rokon, az örökbefogadott, a mostoha- és a nevelt gyermek, az örökbefogadó-, a mostoha- és a nevelőszülő és a testvér].
5. Szabályozza továbbá az ún. kötelező adatkezelések tekintetében az adatkezelők és adatfeldolgozók feladatait, kötelezettségeit és előírja az adatkezelő részére a kötelező adatkezelés megkezdésétől számított három évenkénti felülvizsgálati kötelezettséget (a vizsgálat során az adatkezelő által megbízott adatfeldolgozó által kezelt adatok kezelése az adatkezelés céljának eléréséhez szükséges-e), illetve dokumentálásának szabályait, valamint azok tíz évig történő megőrzését. Amennyiben szükséges, a Hatóság rendelkezésére kell bocsátani ezen dokumentumokat.
Kötelező adatkezelésnek az az adatkezelés minősül (Infotv. 5. §),
• amelyet személyes adatok tekintetében törvény vagy törvény felhatalmazása alapján helyi önkormányzati rendelet közérdekből elrendel, vagy
• amely különleges adatok (pl. egészségügyi, genetikai, biometrikus adatok) tekintetében nemzetközi szerződés végrehajtásához szükséges, vagy amelyet az Alaptörvényben biztosított jog érvényesítése érdekében vagy nemzetbiztonsági vagy honvédelmi érdekből törvény elrendel, vagy
• amely a GDPR szerinti, az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges [6. cikk (1) bekezdés c) pont], vagy
• amely a GDPR szerinti közérdekből szükséges [6. cikk (1) bekezdés e) pont].
A 2018. május 25-ét megelőzően megkezdett adatkezelések vonatkozásában a felülvizsgálatot 2021. május 25-ig kell elvégezni.
Kötelező adatkezelés esetére az Infotv. előírja, hogy a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozhatja meg. Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e.
6. Magas kockázatú adatkezelések, nem magas kockázatú adatkezelések
A módosítás kimondja, hogy amennyiben a NAIH közzététele alapján
- 35/36 -
valamely adatkezelés-típust magas kockázatú adatkezelésnek vagy nem magas kockázatú adatkezelésnek minősít, úgy az ugyanilyen vagy ehhez hasonló típusú adatkezeléseknél a már megállapított kockázati besorolást kell vélelmezni.
Amennyiben a NAIH valamely adatkezelés-típus tekintetében azt állapítja meg, hogy nem minősül magas kockázatú adatkezelésnek és e megállapítását közzéteszi, és a tervezett adatkezelés kizárólag e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet alkalmazásával jár, a tervezett adatkezelés tekintetében azt kell vélelmezni, hogy az nem minősül magas kockázatú adatkezelésnek.
Adatkezelési engedélyezési eljárás keretében a GDPR-nak való megfelelés érdekében olyan tanúsítási mechanizmusok létrehozása a cél, amelyek lehetővé teszik az érintettek számára, hogy gyorsan értékelni tudják az adott termékek és szolgáltatások adatvédelmi szintjét, ennek megfelelően az Infotv.-módosítás részletes rendelkezéseket tartalmaz.
A NAIH számos eljárási szabálya mellett a módosítás tartalmazza, hogy eljárás kérelemre is indítható, az eljárási ügyintézési idő pedig 120 napra emelkedett.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
