Jelentősen módosulnak az adatvédelmi szabályok

Az Országgyűlés 2015. július 6-án megszavazta az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény („Infótv.”) módosítását („Módosítás”). A Módosítás több ponton bővíti a magyar adatvédelmi hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság –NAIH) jogkörét és a korábbi évek tapasztalatai alapján egészíti ki az Infótv.-t. Az alábbiakban ismertetett, valamennyi gazdálkodó szervezetet, ideértve a pénzügyi szektor szereplőit is érintő legfontosabb módosítások 2015. október 1-jén lépnek hatályba. 

Különösen multinacionális vállalatok esetében bír nagy jelentőséggel, hogy a Módosítás bevezeti a kötelező szervezeti szabályozást (Binding corporate rules – „BCR”), mint az Európai Gazdasági Térségen kívülre történő adattovábbítás új jogalapját az Infótv.-be, ezzel megkönnyíti a cégcsoporton belüli, külföldre (EGT-n kívülre) történő adattovábbítást. Az Infótv. alapján jelenleg az EGT-n kívülre való adattovábbítás két esetben lehetséges: egyrészt az érintett hozzájárulása alapján; másrészt, ha a harmadik országban biztosított az adatok megfelelő szintű védelme. Az adattovábbításnak - az EU szabályozásban már eddig is ismert- - új jogalapja az Infótv.-ben, ha a továbbítás BCR alapján történik. A BCR a multinacionális vállalatoknál csoportszinten bevezetett belső szabályzat, amely meghatározza a személyes adatok továbbításának szabályait a cégcsoport azon tagjai számára, amelyek székhely szerinti országában nem biztosított az adatok megfelelő szintű védelme. A BCR alapján történő adattovábbításhoz egyrészt a BCR szabályzatként való elfogadása, másrészt a BCR adatvédelmi hatóság általi jóváhagyása szükséges.

A fentieknek megfelelően a Módosítás bevezeti a BCR jóváhagyására irányuló eljárást, amelyet az adatkezelő kérelmez a NAIH-nál. A NAIH a BCR jóváhagyására irányuló kérelmet hatvan napon belül bírálja el, ami alapján a BCR-t jóváhagyja, módosítását javasolja vagy a kérelmet elutasítja. A NAIH az érintettek tájékoztatásának elősegítése érdekében a honlapján közzéteszi a BCR-t alkalmazó adatkezelő megnevezését.

Lényeges újdonság, hogy a Módosítás alapján valamennyi adatkezelő köteles nyilvántartást vezetni az adatvédelmi incidensekről, eddig ez a kötelezettség csak a hírközlési szolgáltatókat terhelte.

A nyilvántartás az alábbiakat tartalmazza: személyes adatok megsértésének esetei, az érintett személyes adatok köre, az érintettek köre és száma, az adatvédelmi incidens időpontja, valamint az adatvédelmi incidenssel kapcsolatos intézkedések. A Módosítás abból a célból írja elő az adatkezelő részére, hogy az adatvédelmi incidensekkel kapcsolatban nyilvántartást vezessen, hogy ezekről kérelemre az érintetteknek tájékoztatást adhasson, illetve hogy az adatkezelőnek az adatvédelmi incidensekkel kapcsolatos tevékenységét a NAIH ellenőrizhesse, és szükség esetén a további adatvédelmi incidensek megelőzése érdekében javaslatokkal élhessen.

Az adatvédelmi szankciórendszer leglényegesebb változása, hogy a NAIH által kiszabható pénzbírság felső határa kétszeresére nő: a kiszabható bírság mértéke húszmillió Ft-ig terjedhet.

Vissza a hírekhez