GDPR: módosult az infotörvény. Mi változott, mi hiányzik?

Megosztás Tetszik

Közel két hónapos csúszással végül 2018. július 25-én hirdették ki, majd július 26-án hatályba is lépett az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (infotörvény) átfogó módosítása, amelyben többek között az Európai Unió Adatvédelmi Rendelete (GDPR) által nyitva hagyott egyes területeket szabályozzák. A Horváth és Társai Ügyvédi Iroda DLA Piper ügyvédjelöltjei, Gondos Orsolya és Tálos Dániel az iroda szakmai blogján, az Advocatuson foglalták össze a legfontosabb változásokat.

GDPR és/vagy infotörvény?

Az új szabályozás alapja az infotörvény általános rendelkezései között elhelyezett új szakasz, amely teljes körűen felsorolja a törvény azon rendelkezéseit, amelyeket a GDPR hatálya alá tartozó adatkezelések esetén alkalmazni kell. Az itt felsorolt rendelkezések tehát kiegészítik a GDPR szabályait, ezért az infotörvény hatálya alá eső adatkezelések esetén a GDPR mellett ezeket a szabályokat is vizsgálni szükséges.

Módosultak az infotörvény hatályát szabályozó rendelkezések is. Az új  szabályok rendezik azt a kérdést, hogy milyen esetekben terjed ki az infotörvény hatálya azon adatkezelésekre, amelyek alapvetően a GDPR hatálya alá tartoznak, azaz hogy az ilyen adatkezelések esetében mikor kell alkalmazni az infotörvénynek az előző bekezdésben bemutatottak szerint alkalmazandó szabályait.

Az új rendelkezések alapján az ilyen adatkezelésekre alapvetően akkor terjed ki az infotörvény hatálya, ha az adatkezelő tevékenységi központja, vagy az EU-n belüli egyetlen tevékenységi helye Magyarországon van, illetve ennek hiányában ha az adatkezelő vagy az általa megbízott adatfeldolgozó által végzett adatkezelési művelet Magyarországon tartózkodó személyek felé irányuló áruértékesítéshez vagy szolgáltatásnyújtáshoz, illetve személyek magyarországi viselkedésének megfigyeléséhez kapcsolódik. A tevékenységi központ fogalma megegyezik a GDPR-ban meghatározott fogalommal, azonban a “tevékenységi hely” fogalmát sem a GDPR, sem az infotörvény nem határozza meg, így feltehetően ez a fogalom még értelmezési kérdéseket fog felvetni.

Új kötelezettség: hároméves kötelező felülvizsgálat

Jelentős újítás, hogy az infotörvény a jogszabályi kötelezettségen alapuló (GDPR 6. cikk (1) bek. c) pont) vagy közérdekből szükséges (GDPR 6. cikk (1) bek. e) pont) adatkezelések esetében előírja, hogy amennyiben az adatkezelés alapjául szolgáló törvény vagy önkormányzati rendelet nem írja elő az adatkezelés szükségességének időszakos felülvizsgálatát, úgy az adatkezelő köteles az ilyen vizsgálatot legalább háromévente elvégezni.

Tekintettel arra, hogy az ilyen adatkezelések alapját képező magyar ágazati jogszabályok jellemzően nem írnak elő ilyen felülvizsgálati kötelezettséget, így a gyakorlatban ez az új szabály azt eredményezi, hogy például a jogalapként gyakran alkalmazott jogszabályi kötelezettségen alapuló adatkezelések (például bérszámfejtés, adózás) esetén az adatkezelőnek háromévente el kell végeznie az adatkezelés szükségességének felülvizsgálatát. A 2018. május 25-ét megelőzően megkezdett adatkezelések esetében a vizsgálatot 2021. május 25-éig kell elvégezni. A vizsgálat eredményét az adatkezelőnek 10 évig meg kell őriznie, és kérés esetén azt be kell nyújtania a felügyeleti hatóság részére, így mindenképpen szükséges, hogy a vizsgálatról megfelelő dokumentáció is készüljön.

Tisztviselői titoktartás

A GDPR új intézményként vezette be az egyes kiemelt adatkezelők által kötelezően alkalmazandó adatvédelmi tisztviselői feladatkört. Ennek következtében szükségessé vált a magyar adatvédelmi jog által korábban ismert hasonló szerepkörre, a belső adatvédelmi felelősökre vonatkozó rendelkezések hatályon kívül helyezése, amit az infotörvény második módosítása megfelelően el is végzett.

A GDPR meglehetősen részletesen meghatározza az adatvédelmi tisztviselők jogait és kötelezettségeit, így az egyes tagállamok csak az adatvédelmi tisztviselőre vonatkozó titoktartási kötelezettség tekintetében kapnak felhatalmazást saját szabályok megalkotására.

Az infotörvény ennek megfelelően, a GDPR részletszabályainak mintegy kiegészítéseként mondja ki, hogy az adatvédelmi tisztviselő ezen jogviszonyának fennállása alatt és azt követően is köteles titokként megőrizni a vonatkozó tevékenységével kapcsolatban tudomására jutott azon személyes adatot, minősített adatot, törvény által titoknak minősített adatot, illetve minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó törvény előírása alapján nem köteles nyilvánosságra hozni.

Bírósági jogérvényesítés

Az infotörvény a GDPR vonatkozó rendelkezésével összhangban biztosítja a jogot az érintettek számára, hogy a felügyeleti hatósághoz történő panasztétellel párhuzamosan bírósági jogorvoslatot is igényeljenek, amennyiben megítélésük szerint valamely adatkezelő vagy adatfeldolgozó a személyes adataiknak kezelése során megsértette adatvédelemre vonatkozó jogaikat.

Az infotörvény által korábban is tartalmazott közvetlen bírósági jogérvényesítésre vonatkozó részletszabályok ugyan nem változtak gyökeresen a GDPR nyomán, azonban egyrészről a most elfogadott törvénymódosítás néhány helyen pontosítja és kiegészíti a korábbi rendelkezéseket, másrészről pedig a vonatkozó jogosultságokra és kötelezettségekre mindenképpen érdemes ismételten felhívni a figyelmet.

Fontos szabály, hogy az érintett által kezdeményezett bírósági eljárás során nem az érintettnek kell bizonyítania adatvédelemmel kapcsolatos jogai megsértését, hanem az adatkezelő vagy adatfeldolgozó köteles bizonyítani azt, hogy az érintett ezen jogai nem sérültek. Fordított tehát a bizonyítási teher, így az adatkezelők számára a gyakorlatban is rendkívül fontos lehet annak biztosítása, hogy valóban csak olyan adatkezelési tevékenységeket végezzenek, amelyek jogszerűségét akár bíróság előtt is képesek bizonyítani.

Amennyiben a bíróság az érintett keresetének helyt ad, alapvetően a jogsértés tényének megállapítására, a jogellenes adatkezelési művelet megszüntetésének elrendelésére, kártérítés vagy sérelemdíj megállapítására jogosult, illetve kötelezheti az adatkezelőt valamely meghatározott magatartás tanúsítására is.

Hatályban marad azonban az a további szankciós lehetőség is, amely szerint a bíróság bizonyos esetekben elrendelheti marasztaló ítéletének az adatkezelő azonosító adatainak közzétételével történő nyilvánosságra hozatalát. A bíróságok ugyan eddig is élhettek ezzel a lehetőséggel, azonban a közvélemény GDPR-nak köszönhetően megnövekedett adatvédelmi tudatossága, valamint a közelmúltban bekövetkezett és nagy sajtónyilvánosságot kapott adatvédelmi incidensek következtében nem kizárt, hogy egy-egy marasztaló ítélet ilyen módon történő nyilvánosságra hozatala az érintett adatkezelők számára az eddiginél jelentősebb reputációs kockázatot jelent majd.

Adatvédelem a túlvilágon

Az infotörvény újítása, hogy az érintettek bizonyos esetekben akár még a túlvilágról is “kísérthetik” a személyes adatokkal nem megfelelően bánó adatkezelőket. Az infotörvény ugyanis lehetővé teszi az érintettek számára, hogy okiratban kijelöljenek egy olyan személyt, aki az érintett halála esetén öt éven belül még gyakorolhatja az érintett érdekében a GDPR-ban meghatározott érintetti jogokat (az adathordozhatóság kivételével).

Azonban okirat hiányában sem kell a jövőben tétlenül néznünk a túlvilágról az adatainkkal való visszaélést, ugyanis az infotörvény bizonyos jogokat biztosít az érintett közeli hozzátartozóinak is, amely jogok szintén az érintett halálát követő öt éven belül lesznek gyakorolhatók.

Jut is, marad is

Láthatjuk, hogy megkésve bár, de az infotörvény második módosítása révén mégis megtörtént a GDPR implementálásával kapcsolatos legfontosabb kérdések rendezése. Ez azonban így is csak a jogalkotói munka első lépésének tekinthető, ugyanis van még legalább egy fontos terület, aminek (újra)szabályozásával továbbra is adós maradt a jogalkotó. Ez pedig a szektorális jogszabályok GDPR-nak megfelelő módosítása.

Az infotörvény most elfogadott módosításának egy korábbi tervezete még tartalmazta a legfontosabb ágazati jogszabályok módosítását is, azonban a végül a Parlament elé kerülő javaslatból ezek kimaradtak.

Így tehát számos szektorális jogszabály (például a biztosítási törvény, a munka törvénykönyve vagy a vagyonvédelmi törvény) tartalmaz továbbra is olyan adatvédelmi vonatkozású rendelkezéseket, amelyeket jóval a GDPR hatályba lépése előtt fogadtak el, és amelyek így egyáltalán nem állnak összhangban a GDPR alapelveivel, struktúrájával vagy éppen követelményeivel.

Ez a gyakorlatban jelentős jogértelmezési bizonytalanságokat okozhat az egyes érintett szektorokban tevékenykedő adatkezelők számára, aminek következtében azok még jogkövető magatartás iránti elkötelezettségük esetén sem lehetnek biztosak adatkezelési tevékenységeik jogszerűségében. Minderre tekintettel tehát különösen fontos volna az általános adatvédelmi szabályokon túl, az ágazati szabályok mihamarabbi megfelelő módosítása is.