Pótolta az Országgyűlés egy május óta gyakran emlegetett elmaradását: a 2011-es Infotörvényt (hivatalos nevén: Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény) hozzáigazította az Európai Unió május 25-én életbe lépett általános adatvédelmi rendeletéhez. A módosításokat július 25-én hirdették ki, és másnap hatályba is léptek.

A módosításokról a A DLA Piper a blogján tett közzé egy magyarázó összefoglalót a változásokról.

Az Infotörvényre és a GDPR-ra is kell figyelni

A módosítás során az Infotörvény általános rendelkezései közé került egy új szakasz, amely teljes körűen felsorolja a törvény azon rendelkezéseit, amelyeket a GDPR hatálya alá tartozó adatkezelések esetén alkalmazni kell. A DLA Piper szerint ezek a rendelkezések kiegészítik a GDPR szabályait, ezért az Infotörvény hatálya alá eső adatkezelések esetén a jövőben a GDPR mellett ezeket a szabályokat is vizsgálni kell.

Módosultak az Infotörvény hatályát szabályozó pontok is. Az új szöveg egyérteműsíti, hogy az Infotörvény szabályait mikor kell figyelembe venni az egyébként a GDPR hatálya alá tartozó adatkezeléseknél. Ilyen eset például, ha az adatkezelő tevékenységi központja vagy az EU-n belüli egyetlen tevékenységi helye Magyarországon van. Ugyanígy kell eljárni, ha az adatkezelő vagy -feldolgozó által végzett adatkezelési művelet Magyarországon tartózkodó személyekre irányul (értékesítés, szolgáltatásnyújtás, magyarországi viselkedés megfigyelése stb.).

Ezzel kapcsolatban a blog szerzői megjegyzik: a tevékenységi központ fogalma megegyezik a GDPR-ban meghatározott fogalommal, de a "tevékenységi hely" fogalmát sem a GDPR, sem az Infotörvény nem definiálja, így ez értelmezési kérdéseket fog felvetni.

Ezek változtak az Infotörvényben

1. Háromévente kötelező felülvizsgálni az adatkezelés szükségességét. Ha az adatkezelés alapjául szolgáló törvény vagy önkormányzati rendelet nem írja elő az adatkezelés szükségességének időszakos felülvizsgálatát, úgy az adatkezelő köteles az ilyen vizsgálatot legalább háromévente elvégezni.

Az adatkezelések alapját képező magyar ágazati jogszabályok jellemzően nem írnak elő ilyen felülvizsgálati kötelezettséget. Az új szabály következménye, hogy például a jogszabályi kötelezettségen alapuló adatkezelések – például bérszámfejtés vagy adózás – esetén az adatkezelőnek háromévente el kell végeznie az adatkezelés szükségességének felülvizsgálatát. Ha az adatkezelés 2018. május 25-ét megelőzően kezdődött, a vizsgálatot 2021. május 25-ig kell elvégezni. A vizsgálat eredményét az adatkezelőnek 10 évig meg kell őriznie, és kérés esetén át kell adnia a felügyeleti hatóságnak.

2. Az adatvédelmi tisztviselőt titoktartási kötelezettség terheli. Az adatvédelmi tisztviselő – ilyen feladatkört egyes kiemelt adatkezelőknek kötelezően létre kell hozniuk – működése alatt és után is köteles titokként megőrizni a tevékenységével összefüggésben tudomására jutott személyes adatokat, minősített adatokat, törvény által titoknak minősített adatokat, illetve minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó törvényi előírás alapján nem köteles nyilvánosságra hozni.

Az adatvédelmi tisztviselő feladatkört a GDPR hozza be; részletesen meghatározza jogait és kötelezettségeit is. A tagállamokhoz kizárólag a titoktartási kötelezettség szabályozása került. Egyébként az Infotörvényben is szerepel hasonló szerepkör, a belső adatvédelmi felelős, de a módosítás az rá vonatkozó rendelkezéseket hatályon kívül helyezi.

3. Bírósági jogérvényesítés a panasztétellel párhuzamosan. A módosítás pontosítotja a bírósági jogérvényesítés szabályait (a lehetőséget a korábbi változat is megadta). A GDPR-rel összhangban aki panasszal fordul a felügyeleti hatósághoz, mert úgy véli, hogy az adatkezelő vagy -feldolgozó megsértette adatvédelemre vonatkozó jogait, párhuzamosan bírósági jogorvoslatot is kérhet.

4. Az adatkezelőt terheli a bizonyítás. Ha az adattulajdonos bírósági eljárást kezdeményez, nem őt terheli bizonyítási kötelezettség. Az adatkezelőnek vagy -feldolgozónak kell bizonyítania, hogy nem sérültek az adattulajdonos adatvédelemmel kapcsolatos jogai. A bíróság a kártérítés vagy sérelemdíj megállapításán túl kötelezheti az adatkezelőt valamely meghatározott magatartás tanúsítására is.

5. Halálunk után rendelkezhetünk adataink felett. Az Infotörvény egyik módisítása lehetőséget ad arra, hogy az adat tulajdonosa okiratban kijelöljön egy olyan személyt, aki az adattulajdonos halála után öt évig gyakorolhatja az elhalálozott adatvédelmi jogait. Ez alól értelemszerűen kivételt képez adathordozhatóság joga. A jogok egy része a közeli hozzátartozókat okirat nélkül is megilleti.

Lesz még dolga az Országgyűlésnek a GDPR-rel

Bár az Infotörvény módosításának egy korábbi tervezete még tartalmazta, a végső változatból már kimaradt a legfontosabb ágazati jogszabályok módosítása. Mint a blogbejegyzés szerzői írják, számos szektorális jogszabály, amely jóval a GDPR előtt született, tartalmaz adatvédelemre vonatkozó rendelkezéseket. Ilyen többek között a biztosítási törvény, a munka törvénykönyve vagy a vagyonvédelmi törvény. Ezek adatvédelmi előírásai azonban sok esetben köszönő viszonyban sincsenek a GDPR alapelveivel, struktúrájával, követelményeivel.

Ez a gyakorlatban jelentős jogértelmezési bizonytalanságokat okozhat az érintett szektorok adatkezelőinél. Az érintett adatkezelők ugyanis még jogkövető magatartás esetén sem lehetnek biztosak abban, hogy adatkezelési gyakorlatuk jogszerű.