Az adatvédelmi törvény jelentős módosítása várható

Az Igazságügyi Minisztérium honlapján elérhető tervezet több ponton jelentősen módosítani kívánja a hatályos adatvédelmi törvényt, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényt (Infotv.). Az alábbiakban összefoglaltuk a leglényegesebb módosításokat:

  1. Binding Corporate Rules (BCRs) elismerése: a magyar jogalkotó sok éves tartozásnak tesz eleget azzal, hogy beemeli a jogszabályba a BCR-ekre vonatkozó szabályokat, így a BCR-ek Magyarországon is alkalmazhatóak lesznek majd a külföldre (az EGT területén kívülre történő) adattovábbítások és -átadások esetén. A BCR-ek jóváhagyása iránti eljárásért díjat kell majd fizetni, amelyet külön miniszteri rendelet fog meghatározni. A NAIH eljárási határideje 60 nap lesz. A BCR-eket alkalmazó adatkezelők megnevezését a NAIH honlapján közzé fogja tenni. [Részletesen lásd új 64/A. § és új definíció a 3. § 25. pontban.]
  2. Adatvédelmi incidensek nyilvántartására vonatkozó kötelezettség: az elektronikus hírközlési szolgáltatók számára már eddig is kötelező volt nyilvántartani az adatvédelmi incidenseket, más szóval a személyes adatok megsértésének eseteit, továbbá számukra kötelező volt ezeket az eseteket bejelenteni az Nemzeti Média- és Hírközlési Hatóságnak és adott esetben az érintetteket is értesíteniük kellett (vö. Eht. 156. § (2)-(7) bekezdések, 4/2012. NMHH rendelet 5. §), valamint a Bizottság 611/2013/EU Rendelete). A tervezet e három kötelezettség közül csak az elsőt terjeszti ki minden adatkezelőre, azaz az adatkezelőknek csak nyilvántartást kell vezetniük, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) vagy más hatóság részére nem kell bejelentéssel élniük, ha adatvédelmi incidenst észlelnek. A tervezet nem fogalmaz meg arra vonatkozó egyértelmű kötelezettséget, hogy adatvédelmi incidens esetén az érintetteket az adatkezelőnek közvetlenül is értesítenie kellene, azonban ennek ellenkezőjét sem tartalmazza. Az érintettek értesítése tehát továbbra is az adatkezelők mérlegelésére van bízva. A nyilvántartási kötelezettségnek való megfelelés érdekében szükségessé válhat a korábban más adatkezelőkkel, illetve adatfeldolgozókkal megkötött szerződések felülvizsgálata. Elektronikus hírközlési szolgáltatók számára ez a módosítás előreláthatólag nem fog jelentős változásokat hozni, hiszen a nyilvántartási kötelezettségnek már az ágazati jogszabályok alapján eleget kell tenniük. [Részletesen lásd módosuló 15. § és új definíció a 3. § 26. pontban.]
  3. Módosulnak a közérdekű adatok megismerésére vonatkozó szabályok: a tervezet szerint “kiszervezett” szolgáltatások nyújtói is a közfeladatot ellátó szervekre vonatkozó szabályok alapján kötelesek teljesíteni a közérdekből nyilvános adat megismerésére irányuló igényt [részletesen lásd 26. §-hoz fűzött új (4) bekezdést]. Emellett a tervezet módosítja a közérdekű adat megismerésére irányuló igények teljesítésének rendjét is [részletesen lásd új 29. § (1)-(4) bekezdések]. A közérdekű adat megismerése iránti igény teljesítésének megtagadására nyitva álló határidő 8 napról az az igény beérkezésétől számított 15 napra változik [lásd módosuló 30. § (3) bekezdés.]
  4. A NAIH hivatalból is folytathat vizsgálatot: a tervezet tisztázza, hogy a NAIH nem csak bejelentés alapján indít és folytat vizsgálatot, de mérlegelés alapján ezt hivatalból is megteheti. [Részletesen lásd módosuló 38. § (3) bekezdés a) pont és új 52. § (1a) bekezdés.]
  5. A NAIH a vizsgálat során iratmásolatot is kérhet: eddig az Infotv. csak azt tartalmazta, hogy a NAIH felvilágosítást kérhet a vizsgált üggyel összefüggésbe hozható bármely szervezettől vagy személytől, de nem rendelkezett arról, hogy iratmásolatot is kérhet. A tervezet ezt rendezi [részletesen lásd módosuló 54. § (1) bekezdés d) pont].
  6. A NAIH vizsgálat határideje: a tervezet rendezi, hogy a NAIH vizsgálatára irányadó ügyintézési határidőbe mely időtartamok nem számítanak bele. [Részletesen lásd módosuló 55. § (1) bekezdés és új (1a) bekezdés.]
  7. Az adatvédelmi hatósági eljárás: a tervezet egyértelművé teszi, hogy a NAIH hivatalból bármely esetben jogosult adatvédelmi hatósági eljárást indítani, azon esetekben azonban, amikor valószínűsíthető a személyes adatok jogellenes kezelése, és a jogellenes adatkezelés személyek széles körét érinti, vagy nagy érdeksérelmet vagy kárveszélyt idézhet elő, az eljárás megindítása kötelező. Azonban önmagában az a tény, ha az adatkezelés különleges adatokat érint, nem lesz olyan ok, amely alapján a NAIH-nak kötelező eljárást indítania. [Részletesen lásd módosuló 60. §.]
  8. Az adatvédelmi hatósági eljárásban kiszabható új szankció: a tervezet lehetővé teszi, hogy a NAIH megállapíthassa a személyes adatok jogellenes kezelésének vagy feldolgozásának tényét. Erre azért van szükség, mert előfordulhat, hogy az eljárás során az adatkezelő megszüntette a jogsértő adatkezelést, és jogszabályi felhatalmazás hiányában a NAIH-nak nem volt módjában megállapítania a jogsértést. A tervezet emellett bővíti azon esetek körét, amelyekben a NAIH határozatát nyilvánosságra hozhatja. [Részletesen lásd módosuló 61. § (1)-(2) bekezdések.]
  9. Megkétszereződő pénzbírság: a tervezet a NAIH által kiszabható bírság maximumát a duplájára, 10 millió forintról 20 millió forintra növelné. [Részletesen lásd módosuló 61. § (3) bekezdés.]
  10. Módosuló titokfelügyeleti eljárás: a tervezet jelentősen módosítaná a titokfelügyeleti hatósági eljárás szabályait [részletesen lásd módosuló 62. § és 63. §].

A tervezet szerint a módosítások 2015. szeptember 1-jén az év végén vagy jövő év elején (lásd lenti Update #1) lépnek hatályba. A tervezet eredeti szövege itt, a kapcsolódó hatásvizsgálati lapok pedig itt és itt olvashatóak.

Összehasonlítottuk a tervezetet az Infotv. jelenleg hatályos szövegével, ez innen tölthető le vagy lent olvasható. Módosuló rendelkezéseket piros színnel és áthúzással, míg az új rendelkezéseket zöld színnel és vastag betűvel jelöltük. A tervezethez fűzött indokolást a szövegben keretbe foglalva idézzük.

Update #1 (június 24.):

A Kormánynak a 2015. június 12-én kelt, az Országgyűlés 2015. évi őszi ülésszakára vonatkozó törvényalkotási programja szerint az Infotv. módosítására vonatkozó javaslat Országgyűlésnek való benyújtása várható időpontja június, míg az elfogadás kért időpontja október. Ez azt is jelenti, hogy a tervezet eredeti szövegében szereplő 2015. szeptember 1-i hatálybalépés valószínűleg kitolódik, novemberre, vagy decemberre, vagy akár 2016. január 1-jére is.

Update #2 (június 30.):

A Kormány törvényalkotási programjával szemben az Országgyűlés valószínűleg még a nyári szünet előtt szavaz az adatvédelmi törvény módosításáról. Az igazságügyi miniszter a tervezetet 2015. június 26-án nyújtotta be az Országgyűléshez. A T/5404 sz. javaslattal kapcsolatban Semjén Zsolt miniszterelnök-helyettes június 29-én kelt levelében kérte az Országgyűlés elnökét, hogy annak tárgyalására kivételes eljárásban kerüljön sor. A kérés szerint az összevont vitára június 30-án kerül sor, míg a zárószavazásra – (újabb) rendkívüli ülés összehívása esetén – július 6-án kerüljön sor. Ebben a bejegyzésben összefoglaltuk azokat a jelentősebb különbségeket, amelyek a Kormány által közzétett tervezetben és az Országgyűléshez benyújtott változat között találhatóak.

Update #3 (szeptember 29.)

A NAIH honlapján közzétette a BCR jóváhagyására vonatkozó útmutatóját. Erről részletesen itt olvashat.

dr. Halász Bálint, ügyvéd
Knight Bird & Bird Iroda
balint.halasz@twobirds.com
+36 1 799 2000



Kategóriák:Adatvédelem

Címkék:, , , , , , , , , ,