2018. július elsején hatályba lépett az információs önrendelkezési jogról és az információszabadságról szóló törvény módosítása. A jogharmonizációs célt kitűző jogszabály néhány, az európai adatvédelmi rendelet végrehajtásához szükséges rendelkezéseket tartalmaz.
Nem lesz elég az Info törvényt használni
Az információs önrendelkezési jogról és az információszabadságról szóló törvény („Info törvény”, 2011. évi CXII.) a 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet („GDPR rendelet”) előírásainak eleget téve kijelölte azt a szervezetet, amely a felügyeleti hatóság részére megállapított feladat- és hatásköröket a Magyarország joghatósága alá tartozó jogalanyok tekintetében gyakorolja. A választás nem okoz különösebb meglepetést, ugyanis a kijelölt hatóság továbbra is a Nemzeti Adatvédelmi Hatóság lesz.
A felügyeleti hatóság kijelölésére vonatkozó szabályozás arról is rendelkezik, hogy a Hatóság a GDPR-ban megjelölt hatásköröket gyakorolja. Emellett azonban az Info törvény hatóságra vonatkozó eljárási szabályai – kisebb pontosításokat leszámítva – gyakorlatilag érintetlenek maradtak. Mindez azt is jelenti, hogy a NAIH hatáskörének mérlegelése során nem lehet kizárólag az Info törvény rendelkezéseire támaszkodni, a GDPR szövegét is figyelembe kell venni.
Tekintettel a GDPR rendeleti jellegére, amely közvetlenül alkalmazandó uniós norma, a hazai jogba történő részletes átültetésére alapvetően nincs szükség, ugyanakkor megmarad egy bizonyos fokú kettősség, ami esetenként bizonytalanságot eredményezhet!
Bírságolhat is a hatóság meg nem is…
A módosító jogszabály vélhetően legjelentősebb rendelkezése az, hogy a személyes adatok kezelésére vonatkozó – jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott – előírások első alkalommal történő megsértése esetén a Hatóság elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedhet.
A rendelkezés követi a korábbi kormányzati kommunikációt, ugyanakkor nem teljes egészében ugyanazt a szabályt tartalmazza, mint a KKV törvény. Utóbbi alapján kis- és középvállalkozások esetén első esetben előforduló jogsértés esetén – adó, vám, illetve felnőttképzési tevékenység ellenőrzése kivételével – bírság helyett figyelmeztetést alkalmaznak a hatóságok. Az Info törvény módosítása alapvetően a GDPR keretei között maradva nem zárja ki a bírság alkalmazhatóságát első alkalommal történő jogsértés esetén sem. Azt írja elő csupán, hogy ilyen esetben elsősorban figyelmeztetést kell alkalmazni. Az általános megfogalmazás alapján ugyanakkor ez a rendelkezés nem csak a KKV-re, hanem minden vállalkozásra alkalmazandó. Mindemellett a GDPR által előírt, a jogsértés teljes körű vizsgálata alapján történő szankcionálás lehetősége, illetve kötelezettsége irányadó marad.
A teljes cikket a Kamara Online oldalán lehet elolvasni!