Bővültek az adatvédelmi szabályok


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Idén október 1-jétől jelentősen változott az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Info tv.), mely új rendelkezések valamennyi vállalkozást mint adatkezelőt érintenek.
 


Kötelező szervezeti szabályozás

Az Info tv.-be bekerült egy új fogalom, ami nem más, mint a Binding Corporate Rules (BCRs), vagyis a kötelező szervezeti szabályozás elismerése. Ez a külföldre (EGT területén kívülre) történő adatátadás és adattovábbítás során lényeges szabály, amely már jó ideje váratott magára.

„Kötelező szervezeti szabályozás: több országban, de köztük legalább egy EGT-államban is tevékenységet folytató adatkezelő vagy adatkezelők csoportja által elfogadott és a Nemzeti Adatvédelmi és Információszabadság Hatóság által jóváhagyott, az adatkezelőre vagy adatkezelők csoportjára nézve kötelező belső adatvédelmi szabályzat, amely a harmadik országba történő adattovábbítás esetén a személyes adatok védelmét az adatkezelő vagy adatkezelők csoportjának egyoldalú kötelezettségvállalása útján biztosítja.”

Az októberi változás előtt a külföldi adatkezelő részére történő adattovábbítás és a külföldi adatfeldolgozó részére történő adatátadás csak abban az esetben volt lehetséges, ha a személyes adatok megfelelő szintű védelme megvalósult, amelyet az alábbiakkal lehetett elérni:

a) az Európai Unió kötelező jogi aktusa azt megállapítja, vagy

b) a harmadik ország és Magyarország között garanciális szabályokat tartalmazó nemzetközi szerződés van hatályban.

Október 1-jétől azonban akkor is megfelelő szintűnek nyilvánul a személyes adatok védelme a külföldre történő továbbítás esetén, ha az adatkezelés, illetve az adatfeldolgozás kötelező szervezeti szabályozásának megfelelően történik.

A BCR tehát lehetővé teszi, hogy egy multinacionális vállalat EGT-térségben található tagja személyes adatokat továbbítson az EGT-térségen kívüli országokban található tagjai részére, oly módon, hogy az megfeleljen a 95/46/EK irányelv 25. cikkének.

II. Wolters Kluwer Jogi Konferencia

2016. május 11-12. között kerül megrendezés a II. Wolters Kluwer Jogi Konferencia, melynek fő témái között az új Ptk. gyakorlata, valamint az új polgári perrendtartás szerepel.

Előjelentkezési akciónk keretében 2015. december 31-ig 149 990 Ft (+ áfa) helyett 128 990 Ft-ért (+ áfa) jelenkezhet.

Részletes program és jelentkezés >>

Vagyis, mostantól, ha egy vállalkozás rendelkezik olyan belső adatvédelmi szabályzattal, amelyet az Adatvédelmi Hatóság (a továbbiakban: Hatóság, NAIH) jóváhagy, és amely a harmadik országba történő adattovábbításra vonatkozó védelmet garantálja, akkor nem kell külön, kifejezett hozzájárulást kérnie az adatok továbbításához, hanem az Info tv. hazai adattovábbításra és adatfeldolgozásra vonatkozó szabályait is alkalmazhatja.

A BCR pénzbe kerül

A kötelező szervezeti szabályozás jóváhagyására irányuló eljárás az Info tv.-ben külön fejezetet kapott. Eszerint ahhoz, hogy egy vállalkozás ilyen BCR-rel rendelkezhessen, kérelmet kell benyújtania az Adatvédelmi Hatósághoz, amely a szabályozás jóváhagyására irányul.

A kérelemnek a következőket kell tartalmaznia:

– az adatkezelés nyilvántartási számát, vagy a következőket: az adatkezelés célját, jogalapját, az érintettek körét, a rájuk vonatkozó adatokat, azok forrását, kezelésének időtartamát, a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, az adatkezelő/adatfeldolgozó nevét és címét, adatkezelés/adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét, az adatfeldolgozási technológia jellegét, belső adatvédelmi felelős nevét és elérhetőségét,

– a kötelező szervezeti szabályozás tervezetét,

– a szabályozás kötelező jellegét igazoló adatokat,

– ha a kötelező szervezeti szabályozást más EGT-állam adatvédelmi hatósága jóváhagyta, az ennek igazolására szolgáló adatokat.

A BCR jóváhagyása iránti kérelmet benyújtó vállalatnak bizonyítania kell, hogy az általa megalkotott BCR biztosítja a személyes adatok megfelelő védelmét az egész vállalatcsoporton belül, illetve azt, hogy a BCR kötelező erejű és kikényszeríthető minden tagjával és munkavállalójával szemben.

A kérelemnek a Hatósághoz történő benyújtása esetén a vállalkozásnak a kötelező szervezeti szabályozás jóváhagyásáért fizetendő igazgatási szolgáltatási díjról szóló 20/2015. (VIII. 31.) IM rendeletben meghatározott mértékű díjat kell fizetnie. Eszerint a BCR jóváhagyására irányuló eljárás díja 266 000 forint, amelyet a Hatóság Kincstárnál vezetett 10032000-00319425-00000000 számú számlájára kell megfizetni a kérelem benyújtását megelőzően.

A Hatóság a kérelmet hatvan napon belül bírálja el, vagyis jóváhagyja, módosítását javasolja vagy a kérelmet elutasítja. Amennyiben a jóváhagyás megtörténik, a Hatóság a honlapján (www.naih.hu) közzéteszi a kötelező szervezeti szabályozást alkalmazó adatkezelő megnevezését.

Segítség a BCR összeállításához

A 95/46/EK irányelv 29. cikke alapján létrehozott Adatvédelmi Munkacsoport számos dokumentumot fogadott el a szabályozásra vonatkozóan, amelyek segítenek a BCR összeállításában. Ezek a következők:

– a WP74 a 95/46/EK irányelv 26. cikk (2) bekezdésének alkalmazásáról a BCR vonatkozásában személyes adatok külföldre történő továbbítása esetén;

– a WP107 a tagállamok közötti együttműködési eljárást állapít meg a BCR-ek elfogadásával kapcsolatban;

– a WP108 egy ellenőrzőlistát tartalmaz, amelynek alkalmazásával a kérelmező meggyőződhet róla, hogy a megalkotott BCR tartalmazza a szükséges elemeket;

– a WP133 tartalmazza a BCR jóváhagyása iránti formanyomtatványt;

– a WP153 táblázatos formában foglalja össze, hogy mely elemeket és elveket kell tartalmaznia a BCR-nek;

– a WP154 meghatározza, hogy mit kell tartalmaznia egy BCR-nek, illetve támpontot ad arra vonatkozóan, hogy milyen legyen a dokumentum szerkezete;

– a WP155 pedig választ ad a BCR-rel kapcsolatos gyakran ismételt kérdésekre.

Adatvédelmi incidens

Az Info tv.-be bekerült másik új fogalom az adatvédelmi incidens. Ezt a törvény a következőképen definiálja:

„Adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés.”

Az adatvédelmi incidensre vonatkozóan lényeges, hogy nem szükséges hozzá egy tényleges sérelem, ugyanis megalapozza azt a személyes adat jogellenes kezelése is, mint például az adatkezelésekről szóló részletes tájékoztatás elmaradása, vagy az adatok megfelelő jogalap nélküli gyűjtése. Ezek az esetek pedig nem csak szándékosan történhetnek, hiszen a gondatlanság kategóriája is ugyanúgy beletartozik az incidens körébe.

Az adatkezelőnek nyilvántartást kell vezetnie az adatvédelmi incidensekről, melyet (különleges adat esetén) akár húsz évig is meg kell őriznie. Ezen felül kérelemre tájékoztatást nyújt az érintett személy részére az adatait érintő adatvédelmi incidensről és az annak elhárítására tett intézkedéseiről.

Elektronikus kapcsolattartás lehetősége

Az érintett kérelmezheti az adatkezelőnél a tájékoztatást személyes adatai kezeléséről, vagy személyes adatainak helyesbítését, valamint azok törlését vagy zárolását. Utóbbi alól csak a kötelező adatkezelés jelent kivételt.

Ha az adatkezelő az érintett helyesbítés, zárolás vagy törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 30 napon belül erről tájékoztatnia kell a kérelmezőt, mely válaszban ki kell térni a bírósági jogorvoslatra, továbbá a Hatósághoz fordulás lehetőségeire is.

Az októberi módosítást megelőzően e tájékoztatás kizárólag írásban (levél, fax útján) történhetett, azonban a törvény most már megengedi az e-mail útján történő válaszadást is, de kizárólag akkor, ha az érintett ehhez hozzájárul.

Közérdekű adatok megismerése

A törvény módosításából fakadóan megváltoztak a közérdekű adatokra vonatkozó szabályok is. Egyrészt fontos tudni, hogy a változással a kiszervezett szolgáltatások nyújtói is a közfeladatot ellátó szervekre vonatkozó szabályok alapján kötelesek teljesíteni a közérdekből nyilvános adat megismerésére irányuló igényt. Másrészt módosult a közérdekű adat megismerésére irányuló igények teljesítésének rendje is.

Ez idáig az adatot kezelő közfeladatot ellátó szervnek 15 napon belül eleget kellett tennie a közérdekű adat megismerésére irányuló igénynek. A törvény azonban kibővült bizonyos kivételekkel, amikor erre nem köteles:

– Az adatigénylésnek az adatot kezelő közfeladatot ellátó szerv nem köteles eleget tenni abban a részben, amelyben az azonos igénylő által egy éven belül benyújtott, azonos adatkörre irányuló adatigényléssel megegyezik, feltéve, hogy az azonos adatkörbe tartozó adatokban változás nem állt be.

– Az adatigénylésnek az adatot kezelő közfeladatot ellátó szerv nem köteles eleget tenni, ha az igénylő nem adja meg nevét, nem természetes személy igénylő esetén megnevezését, valamint azt az elérhetőséget, amelyen számára az adatigényléssel kapcsolatos bármely tájékoztatás és értesítés megadható.

Eddig is fontos szabálynak számított, hogy amennyiben az adatigénylés jelentős terjedelmű, vagy a szükséges munkaerőforrás aránytalan mértékű igénybevételével jár, akkor a határidő egy alkalommal 15 nappal meghosszabbítható, az igénylőt pedig erről tájékoztatni kell. Az utóbbi határidejére vonatkozóan azonban lényeges változás állt be, ugyanis az igény beérkezését követően 8 nap helyett már 15 nap áll rendelkezésre a tájékoztatás megadására.

Szintén kitolódott a határidő a közérdekű adat megismerése iránti igény teljesítésének megtagadására vonatkozóan is. Ebben az esetben is 8 nap helyett 15 nap áll az adatkezelő rendelkezésére.

Különleges adatok kikerülnek az eljárásból

A módosítás hatálybalépése előtt, ha a bejelentésen alapuló vizsgálat alapján vagy egyébként valószínűsíthető volt a személyes adatok jogellenes kezelése és az különleges adatokat is érintett, akkor a Hatóság minden esetben adatvédelmi hatósági eljárást indított. Október 1-jétől azonban már nem köteles erre a NAIH, tehát a különleges adatok kikerültek a keményebb jogosítványokat tartalmazó eljárás alól. Ez valószínűsíthetően azért történt meg, mert az elmúlt évek hatósági gyakorlata azt mutatta: sok esetben nem szükséges a hatósági eljárás lefolytatása egy kisebb súlyú, mégis különleges adattal kapcsolatos visszásság esetén.

Szankciók és dupla büntetés

Az Info tv. módosítása megadja a lehetőséget arra, hogy a Hatóság a személyes adatok kezelésének vagy feldolgozásának jogellenességét megállapítsa, azonban szankciót ne szabjon ki olyan esetekben, mint például amikor az adatkezelő önkéntesen megszünteti a jogsértő magatartását.

A vállalkozások számára talán legfontosabb változás az, hogy a kiszabható adatvédelmi bírság maximális mértéke megduplázódott, azaz tízről húszmillió forintra emelkedett. A bírság felső korlátja eddig sem volt csekély, azonban a mostani mérték már nem csak egy mikrovállalkozást rengethet meg.

Szintén fontos változás a szankciók fejezetben, hogy a Hatóság a határozatát ezentúl akkor is nyilvánosságra hozhatja, ha azt közfeladatot ellátó szerv tevékenységével összefüggésben hozta, illetve, ha a bekövetkezett jogsérelem súlya a nyilvánosságra hozatalt indokolttá teszi.

Címlapkép forrása: http://www.northeastern.edu/datascience/


Kapcsolódó cikkek

2024. november 4.

Jogszabályfigyelő 2024 – 44. hét

Alábbi cikkünkben a 2024/107–108. számú Magyar Közlönyben megjelent szakmai újdonságok és az Országgyűlés honlapján közzétett közlemények közül válogattunk.

2024. október 30.

A kriptoeszközök szabályozásának jelenlegi helyzete Magyarországon

A 2024. évi VII. törvény és a MiCA A magyar jogi szabályozás alapja a 2024. évi VII. törvény a kriptoeszközök piacáról, amely részletesen szabályozza az egyes kriptoeszközök kibocsátását és a hozzájuk kapcsolódó egyes szolgáltatásokat. Ezen túlmenően, az Európai Unióban a kriptoeszközökre vonatkozó szabályozást a MiCA Rendelet (Markets in Crypto Assets; az EURÓPAI PARLAMENT ÉS A […]