Mutatjuk, mi változik az Infotörvényben 2022. január 1-től
Az európai általános adatvédelmi rendelet, a GDPR mellett számos hazai előírás szabályozza a személyes adatok kezelését, ami különböző adatvédelmi tárgyú jogszabályt, ágazati törvényt, rendeletet foglal magában. Ezek közül az egyik, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotörvény), melyben jelentős módosítások lépnek hatályba jövő év első napjától. A 2018. július 26-án, a GDPR miatt hatályba lépett átfogó újítások óta a jelenlegi módosítás már a hatodik, melynek legfontosabb pontjait jelen cikkünkben ismertetjük.
A mostani változások érintik a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH, a továbbiakban: hatóság) által lefolytatott hatósági eljárás határidejét, a hatósági eljárás felfüggesztésének eseteit, a jogellenesen kezelt személyes adatok kapcsán hozható hatósági szankciókat, az óvadék kérdését. A törvény új szabályokkal is kiegészül, mégpedig az elektronikus adatok ideiglenes eltávolításával, hozzáférhetetlenné tételével kapcsolatban.
A törvény kiegészült a hatósági eljárás felfüggesztése tárgyában, aminek akkor van jelentősége, amikor az adatvédelmi hatósági eljárás már folyamatban van az adatkezelő vállalkozással szemben. A törvénymódosítást követően a hatóság az általa folytatott eljárást (az általános közigazgatási rendtartásról szóló törvényben felsorolt eseteken kívül) felfüggesztheti például abban az esetben, ha más szerv hatáskörébe tartozó kérdés eldöntése merült fel, vagy a hatóságnak egy másik ügyben hozott döntése nélkül az adott ügy megalapozottan nem dönthető el.
Ügyintézési határidő
Az adatvédelmi hatósági eljárás határidejére vonatkozó módosítás akkor lehet fontos rendelkezés az adatkezelő számára, ha vele szemben hatósági eljárás indul. A hatóság 150 napos ügyintézési határidejébe januártól nem számít majd bele az az idő, míg a hatóság a tényállást tisztázza, az ehhez szükséges adatok közlésére felhív és azt teljesítik. Itt fontos tudnivaló, hogy amennyiben a hivatal a 150 napos ügyintézési határidő kétszeresét túllépi, bírság szankció nem alkalmazható az adatkezelővel szemben. Ezért fontos újdonság az ügyintézési határidő számítására vonatkozó kiegészítő rendelkezés, mely szerint az ügyintézési határidő nem ketyeg a NAIH oldaláról, míg válaszokra vár az adatkezelőtől, így az ügyintézési határidőt is kisebb eséllyel lépi túl.
A határidőre vonatkozó szabályokat egyébként a hatóság által lefolytatott ún. titokfelügyeleti eljárásokra is alkalmazni kell. A titokfelügyeleti eljárás a nemzeti minősített adat minősítéséhez kapcsolódó eljárás, így kis- és középvállalkozó adatkezelőket ez kevésbé érintő témakör.
A jogellenesen kezelt személyes adatokkal összefüggésben a hatóság által alkalmazható jogkövetkezmények köre is kiegészítésre, pontosításra került. Eddig a hatóság, határozatában a GDPR szerinti jogkövetkezményeket alkalmazhatta. Ez továbbra is így van, azonban a törvénymódosítás kiemeli, hogy a hatóság különösen kérelemre vagy hivatalból elrendelheti a jogellenesen kezelt személyes adatok általa meghatározott módon végrehajtandó törlését, illetve átmenetileg vagy véglegesen egyéb módon korlátozhatja az adatkezelést.
Személyes adatok törlése - Már hivatalból is elrendelhető
A GDPR szerint alkalmazható jogkövetkezmények között eddig is szerepelt a jogellenesen kezelt személyes adatok törlésének lehetősége, azonban érintetti kérelem nélkül a hatóság nem rendelkezhetett adatok törléséről. A törvénymódosítás következtében ez is megváltozott, így a hatóság akár hivatalból, érintetti kérelem nélkül is elrendelheti egyes jogellenesen kezelt személyes adatok törlését, illetve egyéb módon korlátozhatja az adatkezelést.
A közigazgatási eljárásokban, így az adatvédelmi hatósági eljárásokban kizárt az óvadék alkalmazása a bírság kiszabása mellett. Az óvadék a jövőben sem alkalmazható, illetve maga az óvadék jogintézménye is kikerül a törvényből. Ez azonban nem adatvédelmi jellegű változtatás, hanem a közigazgatási szabályszegések szankcióiról szóló törvény óvadék eltörlésével kapcsolatos változásával függ össze. Adatkezelőként ez a módosítás csupán plusz információt jelenthet, azonban a hétköznapi adatkezelést nem befolyásolja.
Tárhelyszolgáltatók
A törvénymódosítás jelentősen érintheti viszont a tárhelyszolgáltatást végző vállalkozásokat. Az elektronikus kereskedelmi szolgáltatások, valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló törvény szerinti tárhelyszolgáltatót, illetve tárhelyszolgáltatást is végző közvetítő szolgáltatót a hatóság kötelezheti bizonyos személyes adatok ideiglenes eltávolítására:
A hatóság az általa folytatott hatósági eljárás vagy hatósági ellenőrzés során a jogellenesen kezelt elektronikus adat ideiglenes eltávolítására kötelezheti a tárhelyszolgáltatót abban az esetben, ha az érintett gyermek, vagy különleges, illetve bűnügyi személyes adatról van szó. Feltétel továbbá a személyes adatok védelméhez fűződő jog elháríthatatlan és súlyos sérelmének veszélye. A törvény további, részletes eljárási szabályokat állapít meg ezzel kapcsolatban, melyek közül kiemeljük, hogy az adat ideiglenes eltávolítására 1 munkanapja van az eltávolításra kötelezett tárhelyszolgáltatónak a hatósági végzés vele történő közlését követően. A hatóság százezertől húszmillió forintig terjedő eljárási bírsággal sújthatja a fentiek szerinti kötelezettségét nem teljesítő tárhelyszolgáltatót.
Ehhez kapcsolódóan, az ideiglenes eltávolítás mellett az elektronikus adat visszaállításáról is rendelkezett a jogalkotó, továbbá a jogellenesen kezelt adat ideiglenes hozzáférhetetlenné tétele is szabályozásra került. Ez utóbbi valamennyi elektronikus hírközlési szolgáltatót érinti, a Nemzeti Média- és Hírközlési Hatóság (NMHH) pedig jelentős szerepet kap a végrehajtás szervezésében és ellenőrzésében.
Mindezek alapján láthatjuk, hogy a módosítások nem hoznak minden kis- és középvállalkozás, nagyvállalat adatkezelő mindennapi életébe változásokat. Mondhatni, a hétköznapi, tipikus adatkezelési folyamatainkat a törvénymódosítás nem érinti, nem kell például szabályzatot, tájékoztatókat módosítani. Nagyon fontosak viszont akkor ezek a szabályok, amikor adatvédelmi hatósági eljárás indul, illetve akkor, ha tárhelyszolgáltatóként végezzük tevékenységünket.