Módosuló magyar adatvédelmi szabályozás

A BALÁZS & KOVÁTSITS Ügyvédi Társulás régebbi, illetve a GDPR-nak megfelelő adatvédelmi szabályzatok elkészítésével kapcsolatban a Társulásunkat megkereső új ügyfelek részéről az elmúlt hónapokban gyakran merültek fel arra vonatkozó kérdések, hogy az új európai adatvédelmi szabályozás hogyan fog kihatni a híresen szigorú magyar adatvédelmi szabályokra, a törvényes működés és az adatvédelmi bírságok elkerülése érdekében mely szabálynak kell megfelelniük. A jelen bejegyzésünkben ezért a leggyakrabban előforduló kérdésekre adható válaszokat igyekszünk összefoglalni, az adatvédelmi szabályozás változásainak megértése, és az azoknak való megfelelés érdekében.

Az Európai Parlament és Tanács (EU) 2016/679 rendeletének (közismertebb nevén: GDPR) 2018. május 25. napján történt hatályba lépését követően az európai adatvédelemben új korszak, az egységes adatvédelmi szabályozás időszaka következett be. Bár Magyarország törekedett arra, hogy az – európai szinten szigorúnak számító – magyar adatvédelmi szabályok további érvényesülése érdekében az EU ún. irányelvben szabályozza az adatvédelmet (ez a tagállamoknak bizonyos mozgásteret biztosított volna saját szabályozásuk kialakítására), a tagállamok többsége azonban végül a mindenkire egyformán érvényesülő rendeleti szabályozási formát támogatta. A GDPR bevezetésével így a magyar vállalkozások is új adatvédelmi kihívások elé állnak, hiszen egy teljesen eltérő szemléletű szabályozásnak kell megfelelniük.

A rendeleti szabályozás legfontosabb következménye, hogy a GDPR Rendelet szabályai a tagállamokban közvetlenül érvényesülnek, azaz nincsen lehetőség a Rendelettel ellentétes nemzeti jogszabályok alkalmazására. A GDPR Rendelet – funkciója szerint – teljes jogegységesítésre törekszik, így szabályai a hatálya alá tartozó jogterületeken horizontálisan, minden személyes adat kezelésre irányuló, vagy azt magában foglaló jogviszony tekintetében általánosan érvényesülnek és közvetlenül alkalmazhatók a magyar jogrendszerben. Fontos megjegyezni, hogy a GDPR rendelettel nem érintett és abban nem szabályozott adatkezelési jogviszonyok tekintetében (pl. bűnüldözési célú adatkezelések, amelyeket az EU közvetlenül nem alkalmazható irányelvi szinten szabályoz) továbbra is a magyar adatvédelmi szabályok irányadók.

Ahogyan korábban már utaltunk rá, az új európai adatvédelmi rendelet újdonságai közül a lényegesen megemelt összegű adatvédelmi bírságok bevezetése, továbbá – az uniós jog elektronikus hírközlésre vonatkozó területein egyébként már alkalmazott – azon megoldás emelhető ki, hogy az adatkezelőknek maguknak kell bejelenteniük a nemzeti felügyelő hatóságnak a súlyos adatbiztonsági incidensek eseteit, ezeket dokumentálni és – a kockázat mértékétől függően – az adatalanyt is szükségtelen késedelem nélkül értesíteni kell. Az adatkezelők számára azonban gyakorlati könnyítések is születtek: a GDPR rendelet több, az érintett hozzájárulásától független adatkezelési jogalapot is bevezetett az ún. kockázatalapú megközelítés és az adatkezelő elszámoltathatóságának elve alapján, így a gyakorlati üzleti életben a Rendelet egyúttal új lehetőségeket is biztosít, könnyebben rugalmasabban alkalmazható, mint a korábbi magyar adatvédelmi szabályok.

A május 25. után többször módosított Infotv. átülteti az EU adatvédelmi Irányelv rendelkezéseit az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénybe („Infotv.”), a korábbi magyar adatvédelmi szabályok jelentős részét eltörli (dereguláció), rögzíti a GPDR Rendelet rendelkezései végrehajtásának feltételeit, így elsősorban a Rendeletben meghatározott jogintézmények alkalmazásához szükséges eljárási szabályokat, az uniós jog hatálya alá nem tartozó adatkezelési jogviszonyok tekintetében alkalmazandó anyagi és eljárásjogi szabályokat is meghatározza. A módosuló magyar Infotv. az adatvédelmi nyilvántartásra vonatkozó előírásait sem tartja fenn, helyette azonban az adatvédelmi tisztviselőre vonatkozó adatokat a Hatóság részére be kell jelenteni.

A 2018. július elején hatályba lépett módosítások hatásköri kérdéseket tisztáztak, rögzítették a magyar adatvédelmi hatóság hatáskörét a GDPR rendeletből fakadó jogviták tekintetében. Meghatározásra került az érintettek halálát követően a személyes adatokkal összefüggő egyes jogosultságok érvényesítésének rendje is.  A magyar adatvédelmi jogban használt fogalmakat a GDPR által alkalmazott fogalom-meghatározásokkal összhangba hozták. Nem zárható ki azonban az sem, hogy a magyar adatvédelmi hatóság jövőbeni gyakorlatában fennmarad az adatvédelmi szabályok és fogalmak szigorú, vagy akár kiterjesztő értelmezése, amely inkább az adatkezeléssel érintettek számára, és nem az adatkezelést végzők számára lesz kedvező. Az Infotv. új VI/A. Fejezetének megállapításával a bíróságok igazságszolgáltatási feladataihoz kapcsolódó adatkezelési műveletek ellenőrzésének eszközeként létrehozza az adatvédelmi kifogás jogintézményét is. A legutóbb elfogadott és 2018. augusztus 25. napján hatályba lépő módosítások lehetővé teszik a magyar adatvédelmi hatóságnak, hogy kérelemre ún. adatkezelési engedélyezés eljárásokat folytasson le, és – szolgáltatási díj ellenében – e körben jóváhagyhatja a GDPR Rendeletben meghatározott magatartási kódexeket, tanúsítási szempontokat, kötelező erejű vállalati szabályokat, továbbá ellenőrzési tevékenységet is engedélyezhet. Ezzel biztosítottá vált a magyar joghatóság alá tartozó adatkezelési jogviszonyok teljes körének hézagmentes szabályozottsága.

Bízunk benne, hogy a fenti összefoglalónkkal sikerült tisztázni és könnyebb eligazodást nyújtani a GDPR Rendelettel és a módosuló magyar adatvédelmi szabályozás legfontosabb kérdéseiben, és hogy esetleges adatvédelmi kérdéseikkel kapcsolatban továbbra is bizalommal fordulnak a BALÁZS & KOVÁTSITS Ügyvédi Társuláshoz.