Várja az új feladatot az adatvédelmi hatóság, de még fel kell hatalmazni

Megosztás Tetszik

Minimum egy egymondatos, sarkalatos (kétharmados) törvényt el kell fogadni ahhoz, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság felügyelje a GDPR-t. Az infotörvény, illetve a háttérszabályozás módosítása gőzerővel zajlik, legkésőbb a választások után, május 8-án lehet ezeket a törvényeket benyújtani az Országgyűlésnek – ecsetelte Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság elnöke a mai Portfolio GDPR Summit 2018 konferencián.

Péterfalvi Attila előadása elején határozottan cáfolta azt a híresztelést, amely szerint új hivatalt hozhatnak létre a választások után a GDPR-rel összefüggő feladatok ellátására. Új hatóság nem hozható létre kétharmados törvénykezés nélkül, az alaptörvényben az szerepel, hogy csak egyetlen független törvénnyel létrehozott adatvédelmi hatóság létezik – magyarázta. Nincs is szándék arra, hogy új hatóságot hozzanak létre.

Már elkészült az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (infotörvény) módosításának tervezete, amely teljes mértékben tükrözi a NAIH véleményét; a jogszabálytervezetet az Igazságügyi Minisztériummal együtt alkották meg. Legkésőbb május 8-án, az első parlamenti ülésen kellene elfogadni a törvény GDPR miatti módosításait, illetve minél gyorsabban ki kell jelölni a NAIH-ot a GDPR-rel összefüggő feladatok elvégzésére. Utóbbi elmulasztása ugyanis kötelezettségszegési eljárást eredményezhet Magyarországgal szemben. Az infotörvény ugyan feles törvény, de a szervezet kijelöléséhez kétharmad kell – hangsúlyozta Péterfalvi.

Mint mondta, gőzerővel folyik a legfontosabb szektorális törvénymódosítások egyeztetése. Az Igazságügyi Minisztérium és különböző érdekképviseleti szervek kerekasztalt hoztak létre a felmerülő kérdések megvitatására, szinte miden nap zajlik egyeztetés.

Kérdés, hogy május 25-éig mely jogszabályi változtatásokat fogadja majd el az új Országgyűlés. Szakmai törvényről van szó, a kétharmados részben nem kell sok mindent módosítani – jegyezte meg a NAIH elnöke.

A részletekről szólva Péterfalvi elmondta, a GDPR felhatalmazást ad a nemzeti jogalkotóknak, elsődlegesen a közhatalmi adatkezelésekkel kapcsolatban. A bírság mértéke is szabályozható. Példaként említette, hogy kórház vagy kormányhivatal bírságolásakor az állam egyik zsebéből pakolná a pénzt a másikba, ezért ezeknél az intézményeknél – a tervek szerint – megmaradna a maximum 20 millió forintos bírság.

Meg kell alkotni az eljárási szabályokat, hogy milyen eljárások lesznek milyen határidőkkel, hány hiánypótlási lehetőség van. A tervezet szerint 180 napos, vagyis hosszú határidők lesznek, kettő hiánypótlással és egy egyeztetéssel.

A bíróságok peres és nem peres eljárásaival kapcsolatos adatkezelései kivételt jelentenek, május 25. után sem tartoznak majd az adatvédelmi hatóság vagy más párhuzamos hatóság felügyelete. Minden más vonatkozásban marad a hatóság kompetenciája, így egyebek mellett változatlanul kiterjed az egyházak adatkezelésére is.

Az adatvédelmi incidensekről az adatkezelőknek saját maguknak kell nyilvántartást vezetniük (ahol eddig incidens történt, sehol nem létezett ilyen rendszer). KÖFOP pályázat keretében központi incidenskezelő rendszert/szoftvert fejlesztenek. Az Európai Bizottság nem engedte, hogy csak elektronikus formában lehessen az incidensbejelentéseket megtenni, a NAIH viszont ezt a csatornát preferálja – hangoztatta Péterfalvi.

Az adatkezelőknek át kell vizsgálniuk gyakorlatukat, de nemcsak annak jogi oldalát, hanem az IT-felkészültséget is. A NAIH általában panaszbeadványok alapján jár el, nem fog váratlanul megjelenni az adatkezelőknél, de az biztos, hogy azokat a dokumentumokat el fogják kérni az ellenőrök, amelyekkel igazolni tudják, hogy megvizsgálták az adatkezelést, és az megfelel a GDPR-ban előírtaknak – húzta alá a NAIH elnöke.

Komoly kihívás a GDPR-re való felkészülés

Kocsis Zsolt, az IBM Security technológiai vezetője előadásában a GDPR-re való felkészülés informatikai-technikai részleteiről beszélt. Mint elmondta, régiós banki projekt keretében a jogi osztály előírta az IT-feladatokat, hogy minek, hogyan kell kinéznie, milyen képességekkel kell rendelkeznie egy rendszernek, de ők sem tudták, milyen hatalmas kihívás elé állították a kollégáikat. Nem triviális ugyanis, hogy az adatok törlésére, elfeledtetésére képes egy rendszer, és az adattérkép elkészítése is óriási feladat, különösen, ha egy nagy, komplex, széttagolt architektúráról van szó.