Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

Itt az új infotörvény, íme a legfontosabb változások

2018. augusztus 11. - ITsec

Forrás: portfolio.hu

https://www.portfolio.hu/vallalatok/it/itt-az-uj-infotorveny-ime-a-legfontosabb-valtozasok.293472.html?utm_source=index.hu&utm_medium=doboz&utm_campaign=link

Közel két hónapos csúszással végül 2018. július 25-én került kihirdetésre, majd július 26-án hatályba is lépett az információs önrendelkezési jogról és az információszabadságról szóló törvény (infotörvény) átfogó módosítása, amelyben többek között a GDPR által nyitva hagyott egyes területek kerültek szabályozásra - számolt be a DLA Piper blogbejegyzésében, melyben összeszedték a legfontosabb változásokat.
 
Az új szabályozás alapja az infotörvény általános rendelkezései között elhelyezett új szakasz, amely teljes körűen felsorolja az infotörvény azon rendelkezéseit, amelyeket a GDPR hatálya alá tartozó adatkezelések esetén alkalmazni kell. Az itt felsorolt rendelkezések tehát kiegészítik a GDPR szabályait, ezért az infotörvény hatálya alá eső adatkezelések esetén a GDPR mellett ezeket a szabályokat is vizsgálni kell.

Főbb változások: 
  • Az infotörvény biztosítja a jogot, hogy a felügyeleti hatósághoz történő panasztétellel párhuzamosan bírósági jogorvoslatot is igényelhetnek azok, akiknek egy adatkezelő vagy adatfeldolgozó nem joszabályszerűen kezelte adatait.
  • Fontos szabály, hogy az érintett által kezdeményezett bírósági eljárás során nem az érintettnek kell bizonyítania adatvédelemmel kapcsolatos jogai megsértését, hanem az adatkezelő vagy adatfeldolgozó köteles bizonyítani azt, hogy az érintett jogai nem sérültek. Fordított tehát a bizonyítási teher, ls amennyiben a bíróság a keresetnek helyt ad, többek között kártérítés vagy sérelemdíj megállapítására jogosult.
  • Hatályban marad az a további szankciós lehetőség is, amely szerint a bíróság bizonyos esetekben elrendelheti marasztaló ítéletének az adatkezelő azonosító adatainak közzétételével történő nyilvánosságra hozatalát.
  • Az infotörvény újítása, hogy bizonyos esetekben akár még a túlvilágról is “kísérthetik" a személyes adatokkal nem megfelelően bánó adatkezelőket. Az infotörvény ugyanis lehetővé teszi, hogy okiratban kijelöljenek egy olyan személyt, aki az érintett halála esetén öt éven belül még gyakorolhatja az érintett érdekében a GDPR-ban meghatározott érintetti jogokat (az adathordozhatóság kivételével). Okirat hiányában az infotörvény bizonyos jogokat biztosít az érintett közeli hozzátartozóinak is, amely jogok szintén az érintett halálát követő öt éven belül lesznek gyakorolhatók.
  • Az infotörvény a jogszabályi kötelezettségen vagy közérdekből adatkezelések esetében előírja, hogy amennyiben az adatkezelés alapjául szolgáló törvény vagy önkormányzati rendelet nem írja elő az adatkezelés szükségességének időszakos felülvizsgálatát, úgy az adatkezelő köteles az ilyen vizsgálatot legalább háromévente elvégezni. Ez azt jelenti, hogy pl. bérszámfejtés, adózás esetén is az adatkezelőnek háromévente el kell végeznie az adatkezelés szükségességének felülvizsgálatát. A 2018. május 25-ét megelőzően megkezdett adatkezelések esetében a vizsgálatot 2021. május 25-ig kell elvégezni. A vizsgálat eredményét az adatkezelőnek 10 évig meg kell őriznie, és kérés esetén azt be kell nyújtania a felügyeleti hatóság részére, így mindenképpen szükséges, hogy a vizsgálatról megfelelő dokumentáció is készüljön.
  • A GDPR új intézményként vezette be az egyes kiemelt adatkezelők által kötelezően alkalmazandó adatvédelmi tisztviselői feladatkört. Ennek következtében szükségessé vált a magyar adatvédelmi jog által korábban ismert hasonló szerepkörre, a belső adatvédelmi felelősökre vonatkozó rendelkezések hatályon kívül helyezése, amit az infotörvény második módosítása megfelelően el is végzett. Az infotörvény kimondja, az adatvédelmi tisztviselő ezen jogviszonyának fennállása alatt és azt követően is köteles titokként megőrizni a vonatkozó tevékenységével kapcsolatban tudomására jutott adatokat, amelyeket az őt alkalmazó adatkezelő vagy adatfeldolgozó törvény előírása alapján nem köteles nyilvánosságra hozni.


A DLA Piper szerzői szerint megkésve bár, de az infotörvény második módosítása révén mégis megtörtént a GDPR implementálásával kapcsolatos legfontosabb kérdések rendezése. Ez azonban így is csak a jogalkotói munka első lépésének tekinthető, ugyanis van még legalább egy fontos terület, aminek (újra)szabályozásával továbbra is adós maradt a jogalkotó. Ez pedig a szektorális jogszabályok GDPR-nak megfelelő módosítása.

Az infotörvény most elfogadott módosításának egy korábbi tervezete még tartalmazta a legfontosabb ágazati jogszabályok módosítását is, azonban a végül a Parlament elé kerülő javaslatból ezek kimaradtak.


Így tehát számos szektorális jogszabály (pl. a biztosítási törvény, a munka törvénykönyve vagy a vagyonvédelmi törvény) tartalmaz továbbra is olyan adatvédelmi vonatkozású rendelkezéseket, amelyeket jóval a GDPR hatályba lépése előtt fogadtak el, és amelyek így egyáltalán nem állnak összhangban a GDPR alapelveivel, struktúrájával vagy éppen követelményeivel.

Ez a gyakorlatban jelentős jogértelmezési bizonytalanságokat okozhat az egyes érintett szektorokban tevékenykedő adatkezelők számára, aminek következtében azok még jogkövető magatartás iránti elkötelezettségük esetén sem lehetnek biztosak adatkezelési tevékenységeik jogszerűségében. Minderre tekintettel tehát különösen fontos volna az általános adatvédelmi szabályokon túl, az ágazati szabályok mihamarabbi megfelelő módosítása is - vélik a cikk szerzői.