Az elmúlt hónapok legaktuálisabb témájának számító általános adatvédelemmel kapcsolatos jogi szabályozásban újabb fontos mérföldkőhöz érkeztünk. Az Országgyűlés 2018. július 17-i rendkívüli ülésén elfogadta a 2011. évi CXII. törvény (az információs önrendelkezési jogról és az információszabadságról; a továbbiakban: „Infotv.”) módosításáról szóló törvényjavaslatot, mellyel az Európai Parlament és a Tanács a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló 2016/679 (2016. április 27.) számú rendeletében (a továbbiakban: „GDPR”) foglalt követelményeknek is megfeleltette az infotv-t.
A GDPR és a módosított Infotv. leglényegesebb következménye, hogy az Uniós polgárok adatainak általános védelmét, új anyagi- és eljárásjogi szabályok meghozatalával garantálja, mellyel Magyarország az Európai Uniós tagsággal járó kötelezettségének tesz eleget.
Magyarországon a GDPR hatályba lépését megelőzően az információs jogok, valamint a személyes adatok védelmének területén nem született olyan jogszabály, amely a hazai szabályozást hatékonyan felkészítette volna a GDPR-nek történő megfelelésre. Az Országgyűlés az új módosítással a rendelet hatálybalépése miatt fellépő szabályozási feszültség és bizonytalanság problémáit igyekezett orvosolni.
Az új rendelkezések ellenére az adatvédelemmel kapcsolatos szabályozás továbbra sem teljes, és nehezen átlátható. Emiatt a jövőben a jogterület átfogó reformjára, vagy felülvizsgálatára kerülhet sor, mely során az Európai Unió jogának való még szorosabb megfelelés kell, hogy cél legyen. Az átfogó szabályozás hiányában az adatkezelőknek érdemes lesz szakértő segítséget igénybe venniük adatvédelmi szabályzataikkal, valamint adatkezelési módszereikkel kapcsolatban.
A GPDR-el és annak alkalmazásával kapcsolatos legfontosabb jogszabályi rendelkezéseket az alábbiakban foglaltuk össze:
- A GDPR-ben foglalt kötelezettségekkel kapcsolatban eljáró hatóság a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). Ez alól kivételt képeznek a bíróságok, amelyek adatkezelésének ellenőrzésére a NAIH-nak nincs hatásköre.
§ A NAIH a nem szabályos adatkezelés esetén akár 20 millió forintos bírságot is kiszabhat, így az adatkezelők jelentős összegeket kockáztatnak amennyiben nem megfelelő az adatvédelmi szabályzatuk.
- Az adatai kezelésében érintett személy jogosult a nem szabályszerű adatkezelésből keletkező kárának megtérítésére, valamint sérelemdíjra is igényt tarthat. Jogvita esetén az adatkezelő köteles bizonyítani, hogy az adatkezelés a jogszabályoknak megfelelő módon történt.
- A GDPR által érintett adatvédelmi rendelkezések hatályát jelentősen kiterjesztették: A területi hatály a Magyarországi székhellyel vagy telephellyel rendelkező adatkezelőkön illetve adatfeldolgozókon kívül kiterjed az Európai Unió más tagállamában székhellyel vagy telephellyel rendelkező adatkezelőkre és adatfeldolgozókra is, amennyiben Magyarországi személyek adatait kezelik, vagy dolgozzák fel. A tárgyi hatály kiterjed a manuális (nem számítógépes rendszerben történő) adatkezelés minden formájára is.
- A kötelező adatkezeléssel kapcsolatos új szabályok szerint kötelező adatkezelést törvényben lehet elrendelni. Az adatkezelő a kötelező adatkezelés kapcsán birtokába került adatokat, ha jogszabály másként nem rendelkezik, köteles legalább három évente felülvizsgálni. Az adatokat az adatkezelő legalább tíz éven keresztül köteles megőrizni.
- A kiegészítés rendelkezik az elhunyt személyek, valamint a gyermekek adatainak védelméről is. Az elhunyt személy hozzátartozói a haláltól számított öt éven belül kérhetik az elhunyttal kapcsolatos adatok törlését vagy az adatkezelés korlátozását. A 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges.
- Az egyes kategóriákba tartozó különleges adatokra vonatkozóan több speciális rendelkezéssel egészült ki a szabályozás. Az adatkezeléssel érintett személy bűnügyi adatainak feldolgozását csak kifejezett engedélyével, vagy akkor lehet végezni, amennyiben valamely jog- vagy követelés érvényesítéséhez szükséges. Az egészségügyi adatok kezeléséhez vagy feldolgozásához az érintett által aláírt írásbeli engedély, vagy minősített elektronikus aláírással ellátott elektronikus okirat szükséges.