Közel két hónapos csúszással, hatályba lépett az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi Info. törvény átfogó módosítása, amelyben többek között az Európai Unió Adatvédelmi Rendelete (GDPR) által nyitva hagyott egyes területek kerültek szabályozásra - olvasható az Advocatus, a DLA Piper blogjának legfrissebb bejegyzésében.
Az új szabályozás alapja az Info. törvény általános rendelkezései között elhelyezett új szakasz, amely teljes körűen felsorolja az Info. törvény azon rendelkezéseit, amelyeket a GDPR hatálya alá tartozó adatkezelések esetén alkalmazni kell. Az itt felsorolt rendelkezések tehát kiegészítik a GDPR szabályait, ezért az Info. törvény hatálya alá eső adatkezelések esetén a GDPR mellett ezeket a szabályokat is vizsgálni szükséges.
Módosultak az Info. törvény hatályát szabályozó rendelkezések is. Az új szabályok rendezik azt a kérdést, hogy milyen esetekben terjed ki az Info. törvény hatálya azon adatkezelésekre, amelyek alapvetően a GDPR hatálya alá tartoznak, azaz hogy az ilyen adatkezelések esetében mikor kell alkalmazni az Info. törvénynek az előző bekezdésben bemutatottak szerint alkalmazandó szabályait.
Új kötelezettség: hároméves kötelező felülvizsgálat
Jelentős újítás, hogy az Info. törvény a jogszabályi kötelezettségen alapuló (GDPR 6. cikk (1) bek. c) pont) vagy közérdekből szükséges (GDPR 6. cikk (1) bek. e) pont) adatkezelések esetében előírja, hogy amennyiben az adatkezelés alapjául szolgáló törvény vagy önkormányzati rendelet nem írja elő az adatkezelés szükségességének időszakos felülvizsgálatát, úgy az adatkezelő köteles az ilyen vizsgálatot legalább háromévente elvégezni.
Tekintettel arra, hogy az ilyen adatkezelések alapját képező magyar ágazati jogszabályok jellemzően nem írnak elő ilyen
Tisztviselői titoktartás
A GDPR új intézményként vezette be az egyes kiemelt adatkezelők által kötelezően alkalmazandó adatvédelmi tisztviselői feladatkört. Ennek következtében szükségessé vált a magyar adatvédelmi jog által korábban ismert hasonló szerepkörre, a belső adatvédelmi felelősökre vonatkozó rendelkezések hatályon kívül helyezése, amit az Info. törvény második módosítása megfelelően el is végzett.
Az Info. törvény ennek megfelelően, a GDPR részletszabályainak mintegy kiegészítéseként mondja ki, hogy az adatvédelmi tisztviselő ezen jogviszonyának fennállása alatt és azt követően is köteles titokként megőrizni a vonatkozó tevékenységével kapcsolatban tudomására jutott azon személyes adatot, minősített adatot, törvény által titoknak minősített adatot, illetve minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó törvény előírása alapján nem köteles nyilvánosságra hozni.
Bírósági jogérvényesítés
Az Info. törvény a GDPR vonatkozó rendelkezésével összhangban biztosítja a jogot az érintettek számára, hogy a felügyeleti hatósághoz történő panasztétellel párhuzamosan bírósági jogorvoslatot is igényeljenek, amennyiben megítélésük szerint valamely adatkezelő vagy adatfeldolgozó a személyes adataiknak kezelése során megsértette adatvédelemre vonatkozó jogaikat.
Az Info. törvény által korábban is tartalmazott közvetlen bírósági jogérvényesítésre vonatkozó részletszabályok ugyan nem változtak gyökeresen a GDPR nyomán, azonban egyrészről a most elfogadott törvénymódosítás néhány helyen pontosítja és kiegészíti a korábbi rendelkezéseket, másrészről pedig a vonatkozó jogosultságokra és kötelezettségekre mindenképpen érdemes ismételten felhívni a figyelmet.
Amennyiben a bíróság az érintett keresetének helyt ad, alapvetően a jogsértés tényének megállapítására, a jogellenes adatkezelési művelet megszüntetésének elrendelésére, kártérítés vagy sérelemdíj megállapítására jogosult, illetve kötelezheti az adatkezelőt valamely meghatározott magatartás tanúsítására is.
Hatályban marad azonban az a további szankciós lehetőség is, amely szerint a bíróság bizonyos esetekben elrendelheti marasztaló ítéletének az adatkezelő azonosító adatainak közzétételével történő nyilvánosságra hozatalát. A bíróságok ugyan eddig is élhettek ezzel a lehetőséggel, azonban a közvélemény GDPR-nak köszönhetően megnövekedett adatvédelmi tudatossága, valamint a közelmúltban bekövetkezett és nagy sajtónyilvánosságot kapott adatvédelmi incidensek következtében nem kizárt, hogy egy-egy marasztaló ítélet ilyen módon történő nyilvánosságra hozatala az érintett adatkezelők számára az eddiginél jelentősebb reputációs kockázatot jelent majd.
Adatvédelem a túlvilágon
Az Info. törvény újítása, hogy az érintettek bizonyos esetekben akár még a túlvilágról is “kísérthetik” a személyes adatokkal nem megfelelően bánó adatkezelőket. Az Info. törvény ugyanis lehetővé teszi az érintettek számára, hogy okiratban kijelöljenek egy olyan személyt, aki az érintett halála esetén öt éven belül még gyakorolhatja az érintett érdekében a GDPR-ban meghatározott érintetti jogokat (az adathordozhatóság kivételével).
Azonban okirat hiányában sem kell a jövőben tétlenül néznünk a túlvilágról az adatainkkal való visszaélést, ugyanis az Info. törvény bizonyos jogokat biztosít az érintett közeli hozzátartozóinak is, amely jogok szintén az érintett halálát követő öt éven belül lesznek gyakorolhatók.
Jut is, marad is
Láthatjuk, hogy megkésve bár, de az Info. törvény második módosítása révén mégis megtörtént a GDPR implementálásával kapcsolatos legfontosabb kérdések rendezése. Ez azonban így is csak a jogalkotói munka első lépésének tekinthető, ugyanis van még legalább egy fontos terület, aminek (újra)szabályozásával továbbra is adós maradt a jogalkotó. Ez pedig a szektorális jogszabályok GDPR-nak megfelelő módosítása.
Az Info. törvény most elfogadott módosításának egy korábbi tervezete még tartalmazta a legfontosabb ágazati jogszabályok módosítását is, azonban a végül a Parlament elé kerülő javaslatból ezek kimaradtak.
Így tehát számos szektorális jogszabály (pl. a biztosítási törvény, a munka törvénykönyve vagy a vagyonvédelmi törvény) tartalmaz továbbra is olyan adatvédelmi vonatkozású rendelkezéseket, amelyeket jóval a GDPR hatályba lépése előtt fogadtak el, és amelyek így egyáltalán nem állnak összhangban a GDPR alapelveivel, struktúrájával vagy éppen követelményeivel.
Ez a gyakorlatban jelentős jogértelmezési bizonytalanságokat okozhat az egyes érintett szektorokban tevékenykedő adatkezelők számára, aminek következtében azok még jogkövető magatartás iránti elkötelezettségük esetén sem lehetnek biztosak adatkezelési tevékenységeik jogszerűségében. Minderre tekintettel tehát különösen fontos volna az általános adatvédelmi szabályokon túl, az ágazati szabályok mihamarabbi megfelelő módosítása is.
Szerzők: a Horváth és Társai Ügyvédi Iroda jelöltjei, Gondos Orsolya és Tálos Dániel
