Visszatérünk rendszeres beszámolóinkkal az EU-s adatvédelmi rendelet (GDPR) és más adatvédelemmel kapcsolatos nemzetközi és magyar fejleményekről, újdonságokról és érdekességekről. Az első részben szó lesz a GDPR szövegének helyesbítéséről, a magyar adatvédelmi szabályozás módosításának helyzetéről, a NAIH által közzétett dokumentumokról és nyilvántartásokról, a WP29 állásfoglalásáról a KKV-kra vonatkozó belső adatvédelmi nyilvántartás vezetése alóli kivételről, az EDBP-ről és az általa közzétett dokumentumokról.
A GDPR szövegének helyesbítése
Az EU Hivatalos Lapjában megjelent a Bizottság, illetve a fordítószolgálat által korábban javasolt helyesbítések szövege. A 02-es számú helyesbítés az itt található. Készítettünk egy összehasonlítást a korábbi és az új szöveg között, ez magyarul innen, angolul innen tölthető le.
A GDPR címében lévő fordítási hiba (az adatvédelmi irányelv mint adatvédelmi rendelet jelent meg), már korábban kijavításra került.
Magyar szabályozás
Továbbra sincsenek fejlemények a nemzeti jogszabályok GDPR-kompatibilissá tételéről. Annak ellenére, hogy a két éves felkészülési idő nem csak az adatkezelőkre, hanem a tagállamokra is vonatkozott, egyelőre nem került sor sem a NAIH GDPR hatóságként történő kijelölésére, sem az Infotv. módosítására, sem pedig az ágazati jogszabályok módosítására/deregulációjára. Ugyan ez nem példa nélküli, mert több más EU-s tagállam is bizonyos mértékű lemaradásban van, ugyanakkor a jelenlegi helyzet korántsem ideális, hiszen a GDPR és a korábbi nemzeti jogszabályok közötti ellentmondás számos értelmezési bizonytalansághoz vezet. A NAIH GDPR hatóságként történő kijelölésére és az Infotv. módosítására fog valószínűleg először sor kerülni, remélhetőleg még az Országgyűlés nyári szünete előtt. Egyelőre azonban nem érhető el ez Országgyűlés következő ülésének napirendje, illetve hivatalos előterjesztést, tervezetet sem tett közzé az Igazságügyi Minisztérium. (Az EU egyes tagállamaiban a nemzeti jogszabályok módosításának állapotáról szóló, a Bird & Bird által készített GDPR tracker ezen a linken található.)
Frissítés #01 (2018. május 30.)
Május 29-én este Semjén Zsolt benyújtott egy módosító javaslatot az Infotv.-hez az Országgyűléshez. Erről szóló gyorselemzésünk itt olvasható.
NAIH dokumentumok és nyilvántartások
A magyar hatóság május 25-én közleményt tett közzé a GDPR-ral összefüggésben. Ez többek között tartalmazza, hogy a magyar szabályozás GDPR-hoz való hozzáillesztésére egyelőre nem került sor. A NAIH közleménye a GDPR hatálya alá tartozó adatkezelésekre vonatkozó szabályokkal kapcsolatban három szcenáriót tartalmaz:
- GDPR: a hatóság a GDPR-ban kimerítően (eltérést, kiegészítést nem engedő módon) szabályozott tárgykörökben a rendeletben foglalt előírásokat tekinti alkalmazandónak, azok teljes terjedelmében.
- GDPR és magyar (ágazati) jogszabályok párhuzamosan: „A Hatóság azon, a magyar jog szerint hatályos előírásokat, amelyek megalkotására (hatályban tartására) az általános adatvédelmi rendelet (pl. 6. cikk (3) bekezdés, IX. fejezet) kifejezetten lehetőséget ad (pl. ágazati adatkezelési előírások), a rendeletben biztosított kereteken belül továbbra is alkalmazandónak tekinti.” – tartalmazza a közlemény. Azt, hogy az utóbbi fordulat mit jelent olyan esetekben, amikor a GDPR és a magyar ágazati jogszabályok megközelítése szinte vagy teljesen ellentétes, nem derül a ki a közleményből.
- Magyar (ágazati) jogszabályok: a hatóság a GDPR-ban meghatározott azon előírások vonatkozásában, amelyek végrehajtásához magyar jogszabályi rendelkezések alkalmazása is szükséges (tipikusan a Hatóság eljárásaira vonatkozó szabályrendszer), a hatályos magyar jogi rendelkezéseket megfelelően (az általános adatvédelmi rendelettel összhangban értelmezve) tekinti alkalmazandónak.
A hatóság szintén elérhetővé tette az adatvédelmi incidensek bejelentésére szolgáló rendszerét és formanyomtatványait. Ezek ezen a linken érhetőek el. Az online rendszerbe regisztrációval vagy enélkül lehet belépni, a formanyomtatványok pedig PDF, DOC és XLS formában érhetőek el.
A hatóság szintén közzétett információt a GDPR alatti Adatvédelmi Tisztviselő (Data Protection Officer, DPO) NAIH számára történő bejelentésére, azonban a bejelentésre szolgáló online rendszer egyelőre nem működik, ott még egy „Fejlesztés alatt” üzenet látszik.
Érdemes figyelemmel kísérni a NAIH GDPR-ral kapcsolatos állásfoglalásait, valamint az általuk közzétett WP29/EDPB dokumentumokat. Ami utóbbiakat illeti, a legfrissebbeket itt, míg a régebbieket itt lehet megtalálni.
Belső adatvédelmi nyilvántartás
A WP29 közzétett egy állásfoglalást a KKV-kra vonatkozó, a belső adatvédelmi nyilvántartás vezetésére vonatkozó kötelezettség alóli kivételekről. A GDPR 30. cikk (5) bekezdése alapján ugyanis a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre nem vonatkoznak ezek a kötelezettségek (kiemelések tőlünk):
(5) Az (1) és (2) bekezdésben foglalt kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve,
– ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár,
– ha az adatkezelés nem alkalmi jellegű, vagy
– ha az adatkezelés kiterjed a személyes adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak vagy a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak a kezelésére.
Az állásfoglalás megerősíti, hogy amennyiben bármelyik kivétel nem áll meg, akkor az adott adatkezelés vonatkozásában vezetni kell a belső adatvédelmi nyilvántartást. A WP29 szerint ez minden esetben vonatkozik a munkavállalók adataira. Az állásfoglalás azt is tartalmazza, hogy a nemzeti hatóságok közzétehetnek mintákat a belső adatvédelmi nyilvántartás vezetésére.
Frissítés #02 (2018. június 5.)
A NAIH közzétette a honlapján a WP29 KKV-kra vonatkozó, a belső adatvédelmi nyilvántartás vezetésére vonatkozó kötelezettség alóli kivételekről szóló állásfoglalás magyar fordítását.
EDPB
Az Európai Adatvédelmi Testület (European Data Protection Board, EDPB) váltja fel a WP29-et, azaz az Adatvédelmi Irányelv 29-es cikke szerint Munkacsoportot. Ezzel az EDPB az a testület, amely az adatvédelem bizonyos kérdéseiről EU szintű iránymutatásokat, véleményeket és egyéb dokumentumokat ad ki, valamint dönt további kérdésekben.
Az EDPB honlapja itt érhető el, hírei pedig itt. A hírek közül az alábbi kettőt emeljük ki:
- ajánlás arról, hogy a WP29 korábbi iránymutatásai közül melyek alkalmazandóak a jövőben is;
- állásfoglalás az e-Privacy rendelet-tervezetről.
Halász Bálint, ügyvéd, partner
Bird & Bird
balint.halasz@twobirds.com
+36 1 799 2000