Az Európai Parlament és Tanács (EU) 2016/679 rendeletének (GDPR) 2018. május 25. napján történt hatályba lépésével az egységes európai adatvédelmi szabályozás időszaka következett be. Ügyfeleink visszajelzései és hirtelen megnövekedett számú adatvédelmi tárgyú megbízásai alapján a GDPR bevezetése a magyar vállalkozásokat is komoly adatvédelmi kihívások elé állította, hiszen hirtelen egy teljesen új szabályozásnak kellett megfelelniük, ugyanakkor fel is lélegezhettek abban a tudatban, hogy az átállással már az egész Unió területén bebiztosították magukat az esetleges adatvédelmi vizsgálatok, rosszabb esetben bírságok ellen. Tapasztalataink szerint az adatvédelmi szabályok lekövetése különösen fontos azon vállalkozások számára, amelyek pl. weboldalaikon keresztül más tagállamok állampolgárainak személyes adatait is kezelik.
Az adatvédelemmel érintett vállalkozás vezetősége számára az EU rendeleti szabályozásának legfontosabb következménye ugyanis az, hogy a GDPR Rendelet szabályai a tagállamokban közvetlenül érvényesülnek, a tagállamoknak nincs szüksége – vagy lehetősége – a Rendelettel ellentétes nemzeti jogszabályok megalkotására és alkalmazására. A GDPR Rendelet így a hatálya alá tartozó jogterületeken horizontálisan, azaz minden személyes adatok kezelésére irányuló vagy azt is magában foglaló jogviszony tekintetében általánosan alkalmazandó előírások közvetlenül alkalmazhatók és válnak alkalmazandóvá a magyar jogban – egyszerűsödik tehát a jogi előírásoknak való megfelelés, hiszen a számtalan különféle nemzeti szabályozás helyett elegendő lesz pusztán egyetlen közös rendelet előírásainak megfelelni.
Vagy talán mégsem? Fontos ugyanis fentiekhez gyorsan hozzátenni, hogy GDRP rendelettel nem érintett és abban nem szabályozott adatkezelési jogviszonyok tekintetében (pl. bűnüldözési célú adatkezelések, amelyeket az EU közvetlenül nem alkalmazható irányelvi szinten szabályoz) továbbra is a magyar – vagy az adott más tagállamhoz kötődő – adatvédelmi szabályok lesznek irányadók, így az adatkezelés során ezeknek továbbra is meg kell felelni.
Ha a GDPR, mint mindenkire biztosan ható jogszabály rendelkezéseinél maradunk, a cégvezető ügyfeleink körében felmerülő leggyakoribb kérdés, hogy miben változtatnak tehát az új európai adatvédelmi rendelet újdonságai az eddigi gyakorlaton? Az újdonságok közül kiemelhető a lényegesen megemelt összegű adatvédelmi bírságok bevezetése – és gyakorlata: a google-t a közelmúltban rekordméretű 50 millió eurós bírsággal sújtotta a francia adatvédelmi hatóság – továbbá az – az uniós jog elektronikus hírközlésre vonatkozó területein már alkalmazott – megoldás, hogy az adatkezelőknek a lehető leghamarabb be kell jelenteniük a nemzeti felügyelő hatóságnak a súlyos adatbiztonsági incidensek eseteit, azokat dokumentálni, és azokról a kockázat mértékétől függően az adatalanyt is – szükségtelen késedelem nélkül – értesíteni kell.
Az adatkezelő cégek – gyakorlatilag nincsen olyan, amely ne kezelné legalább munkavállalói, ügyfelei adatait – számára azonban számos gyakorlati könnyítés is született: a GDPR rendelet ugyanis több, az érintett hozzájárulásától független adatkezelési jogalapot is bevezetett, pl. az felek közötti szerződések teljesítéséhez, vagy jogszabályi kötelezettség teljesítéséhez szükséges mértékű adatkezelést is. A gyakorlati üzleti életben tehát az új Rendelet lényegesen rugalmasabban alkalmazható, mint a korábbi magyar adatvédelmi szabályok, amely a gyakorlatban a nehézkesen alkalmazható, a tájékozott, kifejezett hozzájárulás főszabályán alapultak.
Mivel a GDPR Rendelet az adatkezelési műveletek kötelező bejelentésére, valamint azok Hatóság általi nyilvántartására vonatkozó előírások helyett az ún. kockázatalapú megközelítés alapján és az adatkezelő elszámoltathatóságának elvét hangsúlyozva az adatkezelők által elvégzendő, az adatkezelési műveletekkel összefüggésben felmerülő kockázatokat felmérő és azok megfelelő eszközökkel való csökkentésére irányuló intézkedések (pl. adatvédelmi hatásvizsgálat) végrehajtására kötelezi az adatkezelőket, az Infotv. adatvédelmi nyilvántartásra vonatkozó előírásait nem tartja fenn. Az érintettek tájékozódásának biztosítása érdekében a Hatóság részére előírja egyrészt azon döntései közzétételét, amelyek nyilvánosságra hozatala a Rendelet, illetve az Infotv. alapján kötelező, másrészt azon, az adatvédelmi tisztviselőre vonatkozó adatokat, amelyek a Rendelet és az Irányelv alapján a Hatóság részére bejelentendőek.
A rendelet hatályba lépése maga után vonta a magyar adatvédelmi szabályok, elsősorban az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek („Infotv.”) az Európai Unió adatvédelmi reformjával, a GDRP rendelettel összhangban álló módosítását is. 2018 május 25-e után a magyar Infotv. többször is módosításra került, részben csak átültette az EU adatvédelmi Irányelv rendelkezéseit is a magyar jogba és rögzítette a végrehajtásának feltételeit, az eljárási szabályokat. Ezzel biztosítottá vált a magyar joghatóság alá tartozó adatkezelési jogviszonyok teljes körének hézagmentes szabályozottságát, és az érintettek halálát követően a személyes adatokkal összefüggő egyes jogosultságok érvényesítésének rendje is meghatározásra került: rögzítették pl. a NAIH és a magyar bíróságok hatáskörét a GDPR rendeletből fakadó jogviták tekintetében.
A módosítások érintették továbbá a magyar adatvédelmi szabályokban alkalmazott fogalmakat, amelyek immár a GDPR által alkalmazott szabályok és fogalmakon alapulnak, azonban sok esetben nem egyszerűen átveszik a GDPR fogalmat és szabályait, hanem inkább általános jelleggel állapítják meg, amely alapján nem zárható ki az sem, hogy a magyar adatvédelmi hatóság jövőbeni gyakorlatában fennmarad az adatvédelmi szabályok szigorú, vagy akár kiterjesztő értelmezése, amely inkább az adatkezeléssel érintettek számára, és nem az adatkezelést végzők számára lesz kedvező. Az Infotv. új VI/A. Fejezetének megállapításával a bíróságok igazságszolgáltatási feladataihoz kapcsolódó adatkezelési műveletek ellenőrzésének eszközeként létrehozza az adatvédelmi kifogás jogintézményét, továbbá meghatározza e kifogás elintézésének rendjét. A 2018. augusztus 25. napján hatályba lépett módosítások lehetővé teszik továbbá a magyar adatvédelmi hatóságnak, hogy kérelemre ún. adatkezelési engedélyezési eljárást folytasson le, és – szolgáltatási díj ellenében – e körben jóváhagyhatja a GDPR Rendeletben meghat magatartási kódexeket, tanúsítási szempontokat, kötelező erejű vállalati szabályokat, továbbá ellenőrzési tevékenységet is engedélyezhet.
Budapest, 2019. január 30.
BALÁZS & KOVÁTSITS ÜGYVÉDI TÁRSULÁS