Akár 20 millió euró is lehet a bírság – új adatkezelési szabályok 2018-tól

Az uniós jogalkotó szerint a technológiai fejlődéssel és a globalizációval együttjáróan megnövekedett személyes adatkezelés, valamint az emberek saját adataik széleskörű, sok esetben globális szintű megosztására vonatkozó újfajta szokásai új kihívások elé állítják a személyes adatok védelmét. Erre tekintettel az uniós jogalkotó szükségesnek látta egy egységes uniós követelmény- és szankciórendszer felállítását és az egyes tagállami hatóságok tevékenységének szorosabb összehangolását.

Az új uniós adatvédelmi rendelet (General Data Protection Regulation – GDPR)^[1] szabályai szerint lesz köteles a személyes adatok kezelését végezni többek között minden, az unióban tevékenységi hellyel rendelkező olyan személy (adatkezelő vagy adatfeldolgozó), aki vagy amely, természetes személyek (pl. munkavállalók, vásárlók) adatait részben vagy egészben automatizált módon vagy nyilvántartásba rendezett papíralapú adatkezelés útján végzi.

Az új szabályok számos új kötelezettséget és szigorúbb szankciókat fogalmaznak meg, ugyanakkor sok tekintetben a jelenlegi magyar szabályozáshoz képest könnyítést hoz az új uniós adatvédelmi rendelet (GDPR) az adatkezelők számára.

A GDPR alapján bővül a jogszerű adatkezelés esetköre

A hatályos szabályok szerint az adatkezelés alapvetően akkor jogszerű, ha ahhoz az érintett hozzájárult vagy azt törvény (és bizonyos körben önkormányzati rendelet) elrendeli. Ezen túlmenően az adatkezelés csak az Infotv-ben^[2] meghatározott konkrét esetekben lehet jogszerű (pl. az érintett hozzájárulása nélküli, de az adatkezelőt terhelő jogi kötelezettség teljesítése céljából történő adatkezelés, ha a hozzájárulás beszerzése lehetetlen vagy aránytalan költségekkel járna). A GDPR alapján azonban az érintett előzetes hozzájárulása és jogszabályi felhatalmazás nélkül, valamint a korábbi egyéb feltételek teljesülése hiányában is lehet jogszerű az adatkezelés többek között akkor (i) ha az olyan szerződés teljesítéséhez kapcsolódik, melyben az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges, továbbá (ii) ha az érintett vagy más személy létfontosságú érdekeinek védelme miatt szükséges, vagy (iii) az adatkezelés az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha az érintett érdekei, illetve jogai ezt felülírják.

A GDPR a technológiai fejlődéssel megjelenő újabb adatfajtákra tekintettel bővítette a különleges adatok körét, és így a korábbiak (pl. szakszervezeti tagság, politikai, vallási meggyőződés, egészségügyi adatok) mellett nevesítésre kerültek a genetikai és biometrikus adatok is. A különleges adatok kezeléséhez a jelenleg hatályos magyar szabályozás írásbeli hozzájárulást kíván meg, míg a GDPR „csupán” a kifejezett hozzájárulást követeli meg, ami elvileg szóban is megadható. Tekintettel azonban arra a követelményre, hogy az adatkezelőnek képesnek kell lennie annak bizonyítására, hogy az érintett kifejezett hozzájárulásával rendelkezett, praktikusabb továbbra is írásban rögzíteni az érintett által adott hozzájárulást a különleges adatai kezeléséhez.

Változások az érintettek tájékoztatására vonatkozó szabályokban

Az érintettek tájékoztatására vonatkozó szabályok is változnak, miszerint a GDPR hatályba lépését követően az érintetteket a személyes adatok megszerzésének időpontjában kell tájékoztatni az adatkezelés GDPR-ban meghatározott körülményeiről, amennyiben az adatokat közvetlenül az érintettektől szerzik meg. Amennyiben az adatot nem az érintettől közvetlenül szerzik meg, úgy az adatok kezelésének konkrét körülményeit figyelembe véve egy, az adatok megszerzését követő későbbi időpontban kell a tájékoztatási követelménynek eleget tenni. A hatályos magyar szabályozáshoz képest bővül azon információk köre, amelyekről az érintetteket tájékoztatni kell. Így többek között az adatkezelő vagy harmadik fél jogos érdekéről, amennyiben ez az adatkezelés jogalapja, illetve arról, hogy az adatszolgáltatás szerződéses kötelezettségen alapul-e, illetve szerződés kötésének előfeltétele-e, valamint arról, hogy az érintett köteles-e a személyes adatokat megadni, továbbá az adatszolgáltatás elmaradásának lehetséges következményeiről. Tájékoztatni kell továbbá az érintettet az esetleges automatizált döntéshozatalról, profilalkotásról, illetve az ilyen adatkezelés érintettre gyakorolt jelentőségéről és várható következményeiről.

Újfajta jogosultság az „elfeledtetéshez” és az „adathordozhatósághoz való jog”

Az érintettek adatkezeléssel kapcsolatos jogai, úgymint az adatokhoz való hozzáférés joga, helyesbítéshez való jog, törléshez, adatkezelés elleni tiltakozáshoz való jog már a jelenleg hatályos magyar szabályozás alapján is fennállnak és ezeket az adatkezelők jelenleg is kötelesek biztosítani az érintettek számára. Újfajta jogosultságként jelenik meg azonban az ún. „elfeledtetéshez való jog” („right to be forgotten”), ami lényegében azt jelenti, hogy az érintett nemcsak azt kérheti, hogy egy adott adatkezelő törölje az adatait, de azt is, hogy ezen adatok másolatai sehol máshol ne jelenhessenek meg, pl. az interneten további oldalakon vagy keresőmotorok találati listájában. Ez az adatkezelő oldalán olyan kötelezettségként jelenik meg, hogy amennyiben a személyes adatot nyilvánosságra hozta, megtegye az elérhető technológiára és a megvalósítás költségeire tekintettel észszerűen elvárható lépéseket aziránt, hogy tájékoztassa a további adatkezelőket, hogy az érintett kérelmezte a személyes adataira mutató linkek vagy az adatmásolatok törlését.

Ugyancsak újdonság az „adathordozhatósághoz való jog” megfogalmazása is. Az adatkezelő az érintett hozzájárulásán, illetve az érintettel kötött szerződésen alapuló adatkezelés esetén köteles biztosítani, hogy az érintett – amennyiben azt kéri – megfelelő formátumban megkapja az adatkezelő által kezelt adatokat és nem akadályozhatja, hogy az érintett ezeket az adatokat egy másik adatkezelőnek továbbítsa.

Az érintettet megillető törlési jog gyakorlása tekintetében a GDPR a jelenlegi magyar szabályozásnál az adatkezelőkre nézve kedvezőbb szabályokat fogalmaz meg, miszerint a jelenleginél több esetben lesz lehetősége az adatkezelőknek megtagadni az érintett által kért adatok törlését. Ilyen eset például, ha az adatkezelés szükséges a véleménynyilvánítás szabadságának gyakorlásához, vagy jogi igények érvényesítéséhez.

Megszűnik az adatkezelés tényének bejelentésére vonatkozó kötelezettség

Lényeges változás a jelenlegi szabályozáshoz képest, hogy megszűnik az adatkezelés tényének az adatvédelmi hatósághoz történő bejelentésére vonatkozó kötelezettség, amely nélkül eddig – a törvényben meghatározott eseteket kivéve – az adatkezelés nem volt megkezdhető. A GDPR alapján az adatvédelmi hatósághoz a jövőben nem magát az adatkezelés tényét, hanem csupán az adatvédelmi incidenseket, azaz az olyan biztonsági sérüléseket kell bejelenteni, amelyek az adatok megsemmisülését, módosítását vagy jogosulatlan hozzáférést eredményezik, mégpedig az incidensről való tudomásszerzést követő 72 órán belül (kivéve, ha az incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira nézve). Az adatkezelőknek azonban továbbra is kötelezettségük az adatkezelést úgy dokumentálni, amellyel megfelelően bizonyítani tudják, hogy az adatkezelés megfelel a jogszabályi követelményeknek.

Részletes iránymutatás a GDPR-ban

A jelenlegi hatályos magyar szabályozásra jellemző, hogy alapelvi szintű, általánosságban megfogalmazott kötelezettségeket tartalmaz, amelyek konkrét, gyakorlati alkalmazása, az annak megfelelő belső szabályzatok, folyamatok és technikai megoldások kialakítása számos esetben gondot okozott az adatkezelők számára. A GDPR valamivel részletesebb és érthetőbb iránymutatásokat fogalmaz meg az adatkezelési tevékenységek adatkezelők általi nyilvántartására, az adatbiztonság lehetséges módszereire vonatkozóan, amelyek a korábbihoz képest több támpontot nyújthatnak az adatkezelők számára. Figyelemmel kell azonban lenni arra a tényre is, hogy a GDPR az egész unióra kiterjedő szabályokat fogalmaz meg, illetve mindenfajta adatkezelési tevékenységet a szabályozás hatókörébe von, így természetesen az egyes konkrét adatkezelésekre vonatkozóan továbbra is szerepe lesz az adatvédelmi hatóság adott ügytípusokra vonatkozó ajánlásainak, iránymutatásainak és egyedi ügyekben hozott határozatainak.

A fent említettek szerint az adatkezelők kötelezettsége lesz az adatkezeléseikről nyilvántartást vezetni, mégpedig a GDPR-ban meghatározott tartalommal. Ez a kötelezettség azonban nem vonatkozik a 250 főnél kevesebb személyt foglalkoztató vállalkozásokra, amennyiben az adatkezelés nem jár kockázattal az érintettek jogaira, ha az adatkezelés alkalmi jellegű, vagy nem kezelnek különleges adatnak minősülő adatot.

Összhangot kell teremteni a hatályos magyar szabályozás és a GDPR között

Bár a GDPR rendelkezései 2018. május 25. napjától minden további tagállami jogalkotási aktus nélkül minden tagállamban közvetlenül alkalmazandók lesznek, meg kell teremteni az összhangot a jelenleg hatályos magyar szabályozás, azaz az Infotv. rendelkezései és a GDPR között. Ennek érdekében már elkészült egy törvényjavaslat, mely a GDPR rendelkezései mellé további kiegészítéseket tartalmaz. Az egyik ilyen kiegészítő rendelkezés alapján Magyarországon az adatkezelők háromévente kötelesek lesznek felülvizsgálni, hogy az adatkezelés szükséges-e az adatkezelés céljának megvalósulásához és ezt dokumentálniuk kell. A törvényjavaslat szerint a 2018. május 25. előtt megkezdett adatkezelésekre vonatkozóan a felülvizsgálatot 2021. május 25-ig kell majd elvégezni. A törvényjavaslat egyik kritikával illetett rendelkezése az, hogy a törvényjavaslat megszüntetné a kis- és középvállalkozásokra jelenleg vonatkozó azon lehetőséget, hogy első alkalommal történő jogsértés esetén az adatvédelmi hatóság bírság kiszabása helyett csak figyelmeztetést alkalmaz. Ez a rendelkezés a GDPR által jelentősen megnövelt (ld. alább) bírságösszegekre figyelemmel a kis- és középvállalkozásokat rendkívül érzékenyen érintheti még abban az esetben is, ha várhatóan továbbra sem kell attól tartani, hogy az adatvédelmi hatóság ilyen esetekben azonnal jelentős mértékű bírság szankcióját alkalmazná. A törvényjavaslatról a Parlament várhatóan 2017 decemberében fog dönteni; ekkor válik majd véglegessé, hogy a GDPR rendelkezésein túlmenően milyen további kötelezettségei lesznek az adatkezelőknek.

Újdonság az adatvédelmi hatásvizsgálat

Új adatkezelői kötelezettségként jelenik meg az uniós adatvédelmi rendeletben az adatvédelmi hatásvizsgálat, melyet az adatkezelők akkor kötelesek elvégezni, ha az adatkezelés valamely – különösen új technológián alapuló – típusa valószínűsíthetően magas kockázatot jelent a természetes személyek jogaira és szabadságaira nézve. Ez különösen fennáll a személyes jellemzők automatizált értékelésén alapuló döntéshozatal esetén, úgymint pl. bizonyos típusú személyiségtesztek figyelembe vétele a munkavállalók alkalmasságának megállapításához, kamerás megfigyelési rendszerek kiépítése, illetve különleges adatok nagy számban történő kezelése. A tagállami adatvédelmi hatóságok kötelezettsége lesz összeállítani azon adatkezelési műveletek jegyzékét, amelyekre vonatkozóan az adatvédelmi hatásvizsgálatot el kell végeznie az adatkezelőknek; ez jelenleg még nem ismert.

Legnagyobb változásokra a bírságok terén kell számítani

A magyar szabályozáshoz képest a GDPR által bevezetett legjelentősebb változás a jogszabályi rendelkezések megsértése esetére kilátásba helyezett bírság mértékét érinti. A jelenleg hatályos magyar szabályok szerint a kiszabható bírság minimális összege százezer forint, maximális összege húszmillió forintban került meghatározásra. A GDPR ugyan nem ír elő bírságminimumot, ugyanakkor a bírság maximális összege elérheti a húszmillió EUR összeget, vagy a vállalkozás előző évi teljes világpiaci forgalmának 4%-át kitevő összeget, a kettő közül a magasabb összeget kell figyelembe venni.

Ez a súlyos szankció a GDPR alapelvi szintű rendelkezéseinek (célhoz kötöttség, szükséges mértékű adatkezelés, megfelelő jogalap megléte, különleges adatok kezelésére vonatkozó szabályok stb.) megsértése, az érintettek jogaira vonatkozó szabályok be nem tartása, a harmadik országokba történő adattovábbításra vonatkozó szabályok megsértése, illetve az adatvédelmi hatóság utasításának vagy felszólításának be nem tartása esetén alkalmazható. Ezen szabályok azonban nem módosultak jelentősen a jelenlegi magyar szabályozáshoz képest, így azoknak az adatkezelőknek, akik eddig is az Infotv-nek megfelelően kezelték az adatokat, várhatóan nem kell tartaniuk a magasabb mértékű bírság kiszabásától. Az adatkezelőre, adatfeldolgozóra vonatkozó adminisztratív, illetve személyi, technikai jellegű követelmények be nem tartása esetére a bírság maximális mértéke tízmillió EUR, vagy a vállalkozás előző évi teljes világpiaci forgalma 2%-ának megfelelő összeg (amelyik a kettő közül magasabb). A bírság természetesen – ahogy eddig sem – az egyetlen szankció, az adatvédelmi hatóság enyhébb esetekben továbbra is alkalmazhat figyelmeztetést vagy utasíthatja az adatkezelőt a jogszabályok szerinti magatartásra, megtilthatja az adatkezelést és sok esetben bírság kiszabására már csak akkor kerül sor, ha az adatkezelő továbbra sem tesz eleget a jogszabályokban, illetve az adatvédelmi hatóság határozatában foglaltaknak.

*

A GDPR által bevezetett újítások tehát alapvetően az adatkezelők adminisztrációs, illetve személyi, technikai jellegű feladatait érintik, a kezelhető adatok köre és az érintettek jogai azonban már a jelenleg hatályos magyar szabályozásban is a GDPR-t megelőző uniós követelményeknek megfelelően lettek kialakítva, így ezeken a területeken a jelenlegi magyar szabályoknak megfelelő adatkezelőknek nem kell jelentős változtatásokat végrehajtaniuk.

^[1] Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)

^[2] 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról

Dr. Gőz Orsolya ügyvéd
Budapest

Dr. Csákay Zoltán mestertanár
Szent István Egyetem, Gödöllő