Adatkezelő, adatfeldolgozó ügyfeleink részére irodánk – az információbiztonsági területen jártas IT-szakemberek, szervezetek közreműködésével – segítséget nyújt a teljes körű (jogi és IT) adatvédelmi felmérésben és GDPR-megfelelésre való felkészítésben.
Ezen kívül állunk rendelkezésére egyes adatkezelési kérdések tisztázása, DPO alkalmazása vagy éppen adatvédelmi incidensek bejelentése esetén is.
Rövid tájékoztató a GDPR-ral kapcsolatos témakörben:
Mi is a GDPR?
Az európai Általános adatvédelmi rendelet (GDPR) 2018. május 25-étől kezdődően kötelezően és közvetlenül alkalmazandó a tagállamokban, így Magyarországon is. A GDPR hatálya kiterjed az összes hazai adatkezelőre és adatfeldolgozóra, tehát gyakorlatilag valamennyi szervezetre, vállalkozásra, függetlenül azok formájától, jogi személy vagy természetes személy jellegétől
Mi a teendő?
A GDPR-nak való megfelelés során szükséges valamennyi adatkezelőnek, adatfeldolgozónak a saját adatvédelmi folyamatait IT és jogi oldalról is felmérni, a GDPR-ral esetlegesen nem harmonizáló adatkezelési folyamatokat, tevékenységeket, dokumentumokat (ún. gap-eket) feltárni. Az így feltárt esetleges hiányosságok megállapítása esetén célszerű a szükséges teendőket egy cselekvési tervben meghatározni, megtervezni. A megfeleléshez szükséges intézkedéseket pedig végre kell hajtani, és folyamatosan biztosítani kell a megfelelő jogi és IT környezetet.
Ezen eljárások lefolytatásához nyújt magas színvonalú segítséget az irodánk.
A jogi környezet
A fentiek szerinti feladatok elvégzése során elsődlegesen a GDPR-ból, valamint a magyar felügyeleti hatóság (NAIH) és az EU Munkacsoportjai által kidolgozott állásfoglalásokból, a magyar Infotv.-ből, valamint a Magyar Közlöny 2019. évi 63. számában 2019. április 11-én megjelent, az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról szóló 2019. évi XXXIV. törvényből (ún. „Ágazati saláta törvény”) lehet kiindulni. A törvénymódosítások célja a szükséges ágazati törvényeket érintő módosítások megalkotása, mivel a GDPR-ban foglalt általános szabályok mellett számos, a személyes adatok kezelését szabályozó ágazati norma alkalmazandó. A javaslat alapján 86 törvénymódosítás került elfogadásra. A módosítások mind a verseny-, mind pedig a közszférát érintik.
A felügyeleti hatóság
A GDPR szerinti felügyeleti hatóságként a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) jár el, amely alkalmazza a GDPR rendelkezéseit.
Bírság, egyéb jogkövetkezmények, tévhitek
Sok esetben riogatják az adatkezelőket, adatfeldolgozókat a GDPR-ban maximális bírságként meghatározott 20 millió eurós bírság rémével. Tény, hogy a rendelet szerint ez a felügyeleti hatóság által kiszabható bírság felső határa, de ez a tudatosan eljáró átlagos hazai adatkezelőket, adatfeldolgozókat aligha fenyegeti.
Mégis feltétlenül javasolt a fentebb írt teendőket mielőbb elvégezni, ugyanis a jogsértések fennállása esetén a figyelmeztetésen és a bírság kiszabásán túl is további hátrányos jogkövetkezmény alkalmazása merülhet fel. Idetartozik többek között a jogsértéssel érintett természetes személyek (pl. munkavállalók) kártérítési, sérelemdíj iránti követelése, amely adott esetben legalább olyan súlyos lehet, mint a bírság.
Az Infotv. GDPR miatti módosításaiban foglaltakat pedig – a híresztelésekkel ellentétben – nem lehet akként értelmezni, hogy minden KKV „fellélegezhet”, nincs is teendő, és a felügyeleti hatóság elsőként minden esetben csakis figyelmeztetést fog alkalmazni, nincs is jogi lehetősége bírságolni. Az e módosításokkal beiktatott Infotv. 75/A. §-a kifejezetten a GDPR 83. cikkére utal vissza, amely egyértelműen lehetővé teszi a figyelmeztetés mellett és helyett a közigazgatási bírság alkalmazását. A tervezet szövege pedig pontosan úgy szól, hogy a hatóság „elsősorban” figyelmeztetéssel intézkedik a jogsértések orvoslása iránt. Ezzel a javaslattevő a törvényjavaslat indoklása szerint mindössze „orientálni” kívánja a jogalkalmazó szerveket, de a konkrét esetben a jogkövetkezmény típusát, módját, mértékét a körülmények mérlegelésével kell majd megválasztania a felügyeleti hatóságnak.
GDPR magyar szövege |
GDPR angol szövege |
T/335. számú törvényjavaslat |
T/623. számú törvényjavaslat |