A jogharmonizációs kötelezettségnek eleget téve az Infotv. módosítása lehetővé teszi a GDPR végrehajtását, illetve kijelöli azt a keretet, amely a NAIH működését biztosítani hivatott. A könnyebb eligazodás és átláthatóság érdekében kijelöltük azon részeket (Infotv. módosításának 1. §-a alapján), amelyek a GDPR alkalmazásához kapcsolódó rendelkezések. Az általános adatvédelmi rendelet (GDPR) már a nevében is tartalmazza az általánosság kifejezést, amelynek való megfelelést az Infotv. módosítása tesz lehetővé a specifikusabb, pontosító és gyakorlatias rendelkezéseinek segítségével.
Főbb módosítások
A GDPR meghatározásainak megfelelően módosultak a fogalom meghatározások, illetve megfogalmazásra kerültek a GDPR elveinek megfelelő pontos adatkezelési szabályok. Részletesen tartalmazza az érintettek jogait, illetve azok érvényesülését biztosító intézkedéseket, továbbá a GDPR preambulumának (27) bekezdésének megfelelően a személyes adatokkal összefüggő jogok (az elhunytat még életében megillető jogok) érvényesítésének lehetőségét és annak szabályait az érintett halálát követő 5 éven belül. Részletesen szabályozza továbbá az adatkezelők és adatfeldolgozók feladatait, kötelezettségeit és előírja többek között az adatkezelő részére a kötelező adatkezelés megkezdésétől számított 3 évenkénti felülvizsgálati kötelezettséget, illetve dokumentálásának szabályait, valamint azok tíz évig történő megőrzését.
Eljárások változásai
A módosítás kimondja, hogy amennyiben a NAIH közzététele alapján valamely adatkezelés-típust magas kockázatú adatkezelésnek vagy nem magas kockázatú adatkezelésnek minősít, úgy az ugyanilyen vagy ehhez hasonló típusú adatkezeléseknél a már megállapított kockázati besorolást kell vélelmezni. Adatkezelési engedélyezési eljárás keretében a GDPR-nak való megfelelés érdekében olyan tanúsítási mechanizmusok létrehozása a cél, amelyek lehetővé teszik az érintettek számára, hogy gyorsan értékelni tudják az adott termékek és szolgáltatások adatvédelmi szintjét, ennek megfelelően az Infotv. módosítás részletes rendelkezéseket tartalmaz.
A NAIH számos eljárási szabálya mellett a módosítás tartalmazza, hogy eljárás kérelemre is indítható, az eljárási ügyintézési idő pedig 120 napra emelkedett.
Bírságot érintő változások
Költségvetési szervek esetén a bírságot százezer forinttól húszmillió forintig terjedően szabja meg a módosítás.
Az eddigi példátlan mértékű és sokakat foglalkoztató kivételesen magas bírság kiszabásának lehetőségén a jogalkotó azonban nem változtatott. A bírság összegének meghatározásakor ugyanakkor számos tényező kerül mérlegelésre és a jogszabály valamely rendelkezésének megsértése nem jár automatikusan bírság kiszabásával. A bírság megfizetésének halasztására vagy részletekben történő teljesítésére kérelem esetén van lehetőség, azonban a kiszabott bírság mérséklése kizárt. A 61. § (3) bekezdése alapján egyértelmű, hogy a jogszabályban meghatározott eseteken kívül figyelmeztetésnek is helye van, ami leginkább Magyarországon az igen nagyszámú kis- és középvállalkozásoknak nyújt megnyugvást amellett, hogy a GDPR rendeleteinek való megfelelés jelentős terheket ró rájuk.
A jogalkotó e módosítással megfelelő jogi környezetet teremtett a GDPR szabályainak érvényesülése tekintetében, illetve további egységes joggyakorlásra törekszik azzal a rendelkezésével, hogy az adatvédelmi tisztviselők részére évente legalább egy alkalommal megtartandó, szakmai kapcsolattartási célt szolgáló konferenciájának összehívását írja elő.
Dr. Kotterisch Bernadett
A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.
Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.