2018. június 30-án hatályba lépett 2018. évi XIII. törvényben a jogalkotó már kijelölte a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH), mint a GDPR végrehajtásáért felelős hatóságot – idézi fel Kovács Zoltán Balázs a GDPR: Kérdezz-felelek blogra írt összefoglalójában.

A törvény tartalmaz továbbá egy olyan rendelkezést is, amely szerint a hatóság első alkalommal megállapított jogsértés esetén annak orvoslása iránt elsősorban az adatkezelő / adatfeldolgozó figyelmeztetése révén intézkedik. Ezzel a rendelkezéssel a jogalkotó a NAIH gyakorlatát orientálni kívánja.

Az Országgyűlés július végén elfogadta az Infotv. második körös módosítását, amely a törvény GDPR-ra való tekintettel történő részletesebb módosítását tartalmazza ("Törvény"). A Törvény az alábbi négy "pillérre" épül:

(a)        tartalmazza azon kiegészítő szabályokat, amelyeket a GDPR hatálya alá eső adatkezelések tekintetében a GDPR szabályaival együttesen kell alkalmazni;

(b)       tartalmazza a "bűnügyi irányelvet" átültető szabályokat;

(c)        a GDPR rendelkezéseit rendeli alkalmazni (i) a GDPR hatálya alá nem tartozó adatkezelésekre (azaz a GDPR szerinti "nyilvántartási rendszer" részét nem képező személyes adatok kezelésére), valamint (ii) az bűnügyi irányelv hatálya alá nem tartozó adatkezelésekre;

(d)       a GDPR (27) preambulumbekezdésében foglaltak alapján tartalmazza a személyes adatokkal összefüggő jogok érintett halálát követő érvényesítésének szabályait.

A Törvény a GDPR tekintetében az alábbi főbb rendelkezéseket tartalmazza:

A Törvény az ún. kötelező adatkezelések tekintetében előírja, hogy az adatkezelő az adatkezelés megkezdésétől számított legalább háromévente felülvizsgálja azt, hogy az általa vagy a megbízásából eljáró adatfeldolgozó által kezelt személyes adatok kezelése az adatkezelés céljának eléréséhez szükséges-e. A vizsgálat eredményét dokumentálni kell és azt 10 évig meg kell őrizni, valamint azt a NAIH kérésére a hatóság rendelkezésére kell bocsátani.

Kötelező adatkezelésnek az az adatkezelés minősül,

(a) amelyet személyes adatok tekintetében törvény vagy törvény felhatalmazása alapján helyi önkormányzati rendelet közérdekből elrendel, vagy

(b) amely különleges adatok (pl. egészségügyi, genetikai, biometrikus adatok) tekintetében nemzetközi szerződés végrehajtásához szükséges vagy amelyet az Alaptörvényben biztosított jog érvényesítése érdekében vagy nemzetbiztonsági vagy honvédelmi érdekből törvény elrendel, vagy

(c) amely a GDPR szerinti, az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges (6. cikk (1) bekezdés c) pont), vagy

(d) amely a GDPR szerinti közérdekből szükséges (6. cikk (1) bekezdés e) pont).

A 2018. május 25-ét megelőzően megkezdett adatkezelések vonatkozásában a felülvizsgálatot 2021. május 25-ig kell elvégezni.

Kép: Pixabay

Személyes adatokkal összefüggő jogok érintett halálát követő érvényesítése 

A Törvény szerint a GDPR hatálya alá tartozó adatkezelések esetén az érintett halálát követő öt éven belül az elhaltat életében megillető hozzáférési jogot, helyesbítéshez való jogot, törléshez való jogot, adatkezelés korlátozásához való jogot, illetve tiltakozási jogot az érintett által közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal meghatalmazott személy jogosult érvényesíteni. A GDPR hatálya alá nem tartozó adatkezelések esetében a gyakorolható jogok a hozzáférési jogot, helyesbítéshez való jogot, törléshez való jogot és az adatkezelés korlátozásához való jogot jelenti.

Ha az érintett nem tett a fentiek szerinti jognyilatkozatot, a Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult bizonyos jogok gyakorlására a GDPR hatálya alá tartozó adatkezelések, illetve az az alá nem eső adatkezelések tekintetében, az érintett halálát követő öt éven belül. Az érintett jogainak érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja.

Magas kockázatú adatkezelések, nem magas kockázatú adatkezelések

A Törvény szerint amennyiben a NAIH valamely adatkezelés-típust magas kockázatú adatkezelésnek minősít és e megállapítását közzéteszi, és a tervezett adatkezelés e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet alkalmazásával jár, a tervezett adatkezelés tekintetében annak magas kockázatát vélelmezni kell.

Amennyiben a NAIH valamely adatkezelés-típus tekintetében azt állapítja meg, hogy nem minősül magas kockázatú adatkezelésnek és e megállapítását közzéteszi, és a tervezett adatkezelés kizárólag e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet alkalmazásával jár, a tervezett adatkezelés tekintetében azt kell vélelmezni, hogy az nem minősül magas kockázatú adatkezelésnek.

A Törvény alapján az adatvédelmi tisztviselő jogviszonyának fennállása alatt és annak megszűnését követően is titokként megőrzi a tevékenységével kapcsolatban tudomására jutott személyes adatot, minősített adatot, illetve törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó nem köteles törvény előírásai szerint a nyilvánosság számára hozzáférhetővé tenni.

Vizsgálati eljárás, hatósági eljárás 

A Törvény értelmében vizsgálati eljárás hivatalból is, hatósági eljárás pedig kérelemre is indítható. Adatvédelmi hatósági eljárásban az ügyintézési határidő 120 nap.

Szankciók 

A Törvény alapján a fent utalt négy "pillér" közül a fenti (iii) pontban jelzett adatkezelések tekintetében is a GDPR szerinti szankciók alkalmazhatók. Költségvetési szerv esetén a bírság maximális összege 20 millió forint (nem Euro), amely azt jelenti, hogy a jogalkotó élni kíván a GDPR 83. cikk (7) bekezdésében foglalt felhatalmazással.

A Törvény indokolása hangsúlyozza, hogy a NAIH bírságolását orientáló szabályt a Törvény érintetlenül hagyja.

Bírság megfizetésével kapcsolatos szabályok

A Törvény szerint a bírság mérséklésének a kötelezett kérelmére nincs helye, azonban halasztás vagy részletekben történő fizetés kérhető. A kérelemben a kötelezettnek igazolnia kell, hogy rajta kívül álló ok lehetetlenné teszi a határidőben való teljesítést vagy az számára aránytalan nehézséget jelentene.

Tanúsítás 

A Törvény tartalmazza a GDPR szerinti tanúsítás NAIH általi lefolytatására vonatkozó szabályokat. (A GDPR alapján a tagállamok, a felügyeleti hatóságok és az EU ösztönzik olyan tanúsítási mechanizmusok létrehozását, amelyek bizonyítják, hogy az adatkezelő vagy adatfeldolgozó által végrehajtott adatkezelési műveletek megfelelnek a rendelet előírásainak.)

A tanúsítás lefolytatására vonatkozó megállapodás megkötésének feltételeit, a tanúsításért nyújtandó ellenszolgáltatást, valamint a tanúsítás lefolytatásának menetét és a tanúsítási szempontokat a NAIH közzéteszi. A tanúsítás lefolytatására vonatkozó megállapodás megkötésének feltételeit, a tanúsításért nyújtandó ellenszolgáltatást a Hatóság állapítja meg.

Hatósági közzétételek 

A Törvény értelmében

(i) a NAIH közzéteheti az adatvédelmi hatósági eljárás során hozott határozatát, ha pl. a határozat személyek széles körét érinti vagy a bekövetkezett jogsérelem súlya indokolja a nyilvánosságra hozatalt;

(ii) a NAIH közzéteszi a bejelentett adatvédelmi tisztviselővel kapcsolatos adatokat.

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.