NAIH tájékoztató a GDPR alkalmazásáról

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Az általános adatvédelmi rendelet előírásai a magyar jogalanyokra (pl. az érintettekre, az adatkezelőkre és adatfeldolgozókra, a hatóságokra és a bíróságokra) 2018. május 25-től közvetlenül alkalmazandók, kivéve azokat, amelyek teljes körű alkalmazásához, végrehajtásához az egyes tagállamok nemzeti jogszabályaiban előírt további rendelkezések szükségesek.

A rendelet korlátozott körben lehetőséget ad a tagállamoknak kiegészítő vagy meghatározott irányban eltérő szabályok megalkotására. Ezzel szemben a bűnügyi adatvédelmi irányelv rendelkezései – főszabály szerint – nem közvetlenül, hanem az azokat a magyar jogba átültető rendelkezéseken keresztül érvényesülnek a magyar jogban, így az irányelv maradéktalan alkalmazhatósága érdekében magyar jogalkotási lépések is szükségessé válnak.

A hatályos magyar jogi előírások, így különösen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) az általános adatvédelmi rendelet teljes körű végrehajtásához, illetve a bűnügyi adatvédelmi irányelv teljes körű átültetéséhez szükséges módosítására és további, e célból szükséges jogalkotási intézkedésekre még nem került sor. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) – mint az Alaptörvény és az Infotv., valamint az általános adatvédelmi rendelet szerinti felügyeleti hatóság – a fentiekre tekintettel mindaddig, amíg a hatályos magyar jog és az általános adatvédelmi rendelet, illetve a bűnügyi adatvédelmi irányelv közötti teljes körű összhangot megteremtő magyar jogalkotási intézkedésekre sor kerül, a személyes adatok védelméhez való jog érvényesüléséhez és annak elősegítéséhez kapcsolódó feladat- és hatáskörének gyakorlása során az alábbiak szerint fog eljárni.

I. Az általános adatvédelmi rendelet hatálya alá tartozó jogviszonyok

A Hatóság a GDPR-ban szabályozott tárgykörökben a rendeletben foglalt előírásokat tekinti alkalmazandónak.

A NAIH azon hatályos magyar jogi előírásokat, amelyek megalkotására vagy hatályban tartására a GDPR kifejezetten lehetőséget ad, a rendeletben biztosított kereteken belül továbbra is alkalmazandónak tekinti.

A GDPR-ben meghatározott azon előírások vonatkozásában, amelyek végrehajtásához magyar jogszabályi rendelkezések alkalmazása is szükséges, a hatályos magyar jogi rendelkezéseket megfelelően a GDPR-ral összhangban alkalmazza a NAIH.

II. A bűnügyi adatvédelmi irányelv hatálya alá tartozó jogviszonyok

A NAIH az Infotv.-ben és a hatályos különös adatkezelési normákat tartalmazó törvényekben foglalt előírásokat fogja alkalmazni.

A Hatóság a bűnügyi adatvédelmi irányelv hatálya alá tartozó adatkezelések vonatkozásában a hatályos magyar jogszabályi rendelkezéseket, így különösen az Infotv. hatályos rendelkezéseit az irányelvben előírt céloknak megfelelően, az irányelvvel összhangban értelmezve tekinti alkalmazandónak.

III. Az uniós jog hatálya alá nem tartozó jogviszonyok

A NAIH az Infotv.-ben és a hatályos különös adatkezelési normákat tartalmazó törvényekben foglalt előírásokat veszi majd alapul.

Az adatkezelők, illetve adatfeldolgozók számára a GDPR-ban előírt bejelentési kötelezettségek teljesítését a NAIH a rendelet hatálybalépésével egyidejűleg lehetővé teszi. A Hatóság a bejelentések fogadására (papír alapon, vagy hivatali kapun, illetve a honlapján külön e célra létrehozott szakrendszeren keresztül elektronikus úton teszi lehetővé.

Ezen online bejelentési rendszerek az Adatvédelmi Incidensbejelentő Rendszer, illetve az  Adatvédelmi Tisztviselő Bejelentő Rendszer, amelyek a NAIH weboldalán az ONLINE bejelentő rendszerek menüpontból elérhető.

Az adatvédelmi tisztviselők bejelentése esetén a NAIH szükségesnek tartja legalább

• az adatvédelmi tisztviselő nevének,
• postai és elektronikus levelezési címének,
• továbbá az őt kijelölő adatkezelő,
• illetve adatfeldolgozó azonosításához szükséges adatoknak,
• természetes személyek esetén legalább a természetes személy nevének,
• postai és elektronikus levelezési címének 

a bejelentését.

A NAIH a megfelelő adatok hiányában a bejelentést nem tekinti teljesítettnek.

A Hatóság honlapján a belső adatvédelmi felelősök bejelentésére szolgáló felület a továbbiakban nem áll rendelkezésre. A korábbi bejelentésekben foglalt személyes adatok kezelését a NAIH megszünteti, így ezeket az adatokat törli. A belső adatvédelmi felelősök bejelentésére szolgáló felületen tett bejelentéseket a NAIH adatvédelmi tisztviselőként bejelentéseként nem tudja figyelembe venni.

A NAIH által vezetett adatkezelési nyilvántartásába való bejelentési kötelezettséget az általános adatvédelmi rendelet nem írja elő kötelezően az adatkezelők, illetve az adatfeldolgozók számára, az Infotv.-nek az e nyilvántartás vezetését előíró szabálya azonban továbbra is hatályban van. A NAIH álláspontja szerint, mivel a GDPR ilyen kötelezettséget nem támaszt az adatkezelők, adatfeldolgozók vonatkozásában, a Hatóság a nyilvántartásba vétel elmaradása miatt a GDPR hatálya alá tartozó adatkezelések vonatkozásában hátrányos jogkövetkezmény nem alkalmaz, kivéve, ha ilyen jogkövetkezményt a GDPR alapján törvényi rendelkezés állapít meg.

A Hatóság a jövőben az Infotv.-ben meghatározott adatvédelmi auditot sem folytat majd le.

(naih.hu)

[htmlbox eu_jog_alkalmazasa]

---