2018. májusában hatályba lép az Európai Unió Általános Adatvédelmi Rendelete, mely számos kötelezettséget ró az adatkezelőkre és az adatfeldolgozókra, példátlan mértékű kereteket engedve bírság kiszabására. A tervezet jelenlegi formájában átláthatatlan, ellentmondásos, és még uniós jogba is ütközik.
Az Európai Unió Általános Adatvédelmi Rendelete (GDPR) 2018. május 25. napjával fog hatályba lépni, átmeneti idő nélkül. A minden tagállamban egységes módon hatályba lépő rendeleti szabályozás célja egyértelműen az, hogy egységesítse és szigorú követelmények elé állítsa az Európai Unió területén történő, illetve az ahhoz kapcsolódó adatkezeléseket. A megfelelő jogkövetés ösztönzése érdekében számos kötelezettséget vezet be az adatkezelők, adatfeldolgozók számára, illetve példátlan mértékű kereteket enged bírság kiszabására. A rendeletre tekintettel módosításra szorulnak a hazai adatvédelemmel foglalkozó jogszabályok, közöttük az Info tv., valamint az ágazati jogszabályok is. Elkészült az Info tv. módosítása, mely 2017. szeptember 8. napjáig véleményezhető. Sajnálatos módon a tervezet a jelenlegi formájában átláthatatlan, ellentmondásos, feltehetőleg uniós jogba ütközik, sérti az egységes piacon fennálló versenyt, versenyhátrányt okoz a hazai vállalkozásoknak, illetve kifejezetten KKV ellenes. Az alábbiakban néhány fontosabb módosítást emelek ki:
Nem a rendeletet ültettük át, hanem az Info tv-hez szabtuk a rendeletet
A hazai jogi szakma számára eleve újdonságot jelent a GDPR szövegezése, sokan most fognak először találkozni az alapvetően esetjogi eredetű szabályozási móddal. Ennek lényege az, hogy a rendeleti szabályok többségében általános jogelveket fektetnek le, illetve olyan fogalmakat vezetnek be, melyek konkrét tartalommal esettől függően rendelkeznek. Meg kell tudni nemsokára különböztetni a jogos érdeket a létfontosságú érdektől, vagy például tudni kell osztályozni az adatvédelmi incidenseket annak függvényében, hogy azok milyen hatással vannak az érintettek jogaira és szabadságára. A rendeleti szabályok átvétele azonban olyan módon történne, hogy egyes szabályokat a jogalkotó szövegszerűen átvesz, másokat ugyanakkor nem. Ez egyebekben – véleményem szerint – nem csupán alkotmányos jogokat sért (pl: jogbiztonság), de nem megengedett módja az aquis (uniós jog) átvételének sem.
További problémát jelent, illetve hasonlóképpen szembe megy a rendelettel, illetve annak céljával, hogy a jogszabálytervezet eltér a rendelettől, ahol erre az nem ad lehetőséget, de nem tér el, ahol pedig ez lehetséges és ajánlatos is lenne (pl: KKV). Az alábbiakban ezekre példákat is hozok.
Végezetül a jogszabálytervezet jelentősen kiterjeszti a GDPR hatályát, ami azzal az eredménnyel jár, hogy kettős adatvédelmi szabályrendszernek kell majd megfelelni minden vállalkozásnak. Bizonyos adatkezelések a GDPR alapján történnek majd, másokra azonban az Info tv. teljesen eltérő követelményei lesznek érvényesek. A vállalkozások pedig mindegyik vonatkozásában megfelelésre kötelezettek.
Már az adatkezelési jogalapok is hiányosak
A rendelet 6. cikke alapján személyes adat kizárólag akkor kezelhető, amennyiben az érintett ahhoz megfelelő módon hozzájárul, amennyiben az adatkezelés szerződés vagy jogi kötelezettség teljesítéséhez szükséges, amennyiben azt érintett vagy másik természetes személy létfontosságú érdeke vagy az adatkezelő, illetve harmadik személy jogos érdeke indokolja, valamint, ha közhatalmi jogosítvány gyakorlásához szükséges. Ezek egyes elemei a törvényben visszaköszönnek, mások azonban nem. A jogos érdeken alapuló adatkezelés, mely a munkaviszonyban történő adatkezelés jogalapja, kimaradt a felsorolásból. Ez pedig azért sem szerencsés, mivel éppen ez a jogalap a hatályos törvényben is rosszul került megfogalmazásra, és emiatt számos jogvita forrása. A gyakorlatban tehát előállhat az a helyzet, hogy az, aki az Info tv.-t veszi alapul, 20 millió euró összegű bírságot kap a nyakába, mivel elfelejtette összehasonlítani a törvényt a rendelettel, mely másképpen rendelkezik.
Ráadásul a KKV-k vonatkozásában – szemben például a munkabalesetekkel – bírságtilalom nem érvényesül.
Az ügyféli jogok a hatósággal szemben korlátozottan jelennek meg
A rendelet előírja, hogy a hatóság kötelezést tartalmazó döntésével szemben hatékony bírósági jogorvoslatot kell biztosítani. Ezen túlmenően azt is tartalmazza, hogy a jogorvoslat abban az esetben is igénybe vehető, amennyiben a hatóság a panasszal nem foglalkozik. Ez utóbbi eset vonatkozásában ugyanakkor a tervezet határidőt nem szab a hatóságnak, így az idők végezetéig vizsgálhatja a bejelentést.
Többszörös nyilvántartás és elektronikus napló is jön
Az adatkezelő a kezelésében lévő személyes adatokkal kapcsolatos adatkezelési műveletekről részletes adatkezelői nyilvántartást köteles vezetni. Az adatfeldolgozó pedig az általa az egyes adatkezelők megbízásából vagy rendelkezése szerint végzett adatkezelési műveletekről köteles adatfeldolgozói nyilvántartást vezetni. Ezeket a nyilvántartásokat írásban vagy elektronikus módon kell majd vezetni és a hatóság kérésére rendelkezésre kell bocsátani. A személyes adatokkal elektronikus úton végzett adatkezelési műveletek jogszerűségének ellenőrzése céljából az adatkezelő és az adatfeldolgozó elektronikus naplót is vezet majd. A törvényjavaslat ugyanakkor nem tér ki a 250 főnél kevesebb személyt foglalkoztató vállalkozásokra, mely bizonyos feltételek esetén a rendelet alapján mentességet élvezhetnek. Ezek mellett maradni fog az Info tv. 65.§-ában nevesített adatvédelmi nyilvántartás is más tartalommal.
Belső adatvédelmi felelős helyett adatvédelmi tisztviselő, más feltételekkel
Az adatkezelő és az adatfeldolgozó a személyes adatok kezelésére vonatkozó jogi előírások teljesítésének, illetve az érintettek jogai érvényesülésének elősegítése végett adatvédelmi tisztviselőt alkalmaz. Jövő tavasztól ez akkor lesz csupán kötelező, ha törvény vagy az Európai Unió aktusa előírja, illetve, amennyiben az adatkezelő állami, önkormányzati vagy közfeladatot lát el. Nem nevesíti ugyanakkor a törvényjavaslat az eddigi kötelező eseteket, illetve a rendelet szerinti azon adatkezeléseket, amikor az érintettek rendszeres, szisztematikus és nagymértékű megfigyelése történik. Kérdéses, hogy olyan esetekben, amikor adatvédelmi tisztviselőt nem ír elő a törvény, érdemes-e ezt mégis megtenni, hiszen kötelezettségek halmazát vonjuk magunkra.
Amikor a munkabaleset kisebb súlyú jogsértés, mint az adatvédelmi incidens
A KKV-k vonatkozásában mind a munkaügyi, mind pedig a munkavédelmi ellenőrzések vonatkozásában bírságtilalom van életben, mely az utóbbi években számos szakmai kritikát kapott. A NAV kezdetektől való mentessége a bírságtilalom alól teljes mértékben érthető. Az azonban elég furcsa szabályalkotási értékrendet tükröz, amikor az adatvédelmi hatóságnak nagyobb jogkört biztosítanak, mint a munkaügyi vagy a munkavédelmi hatóságoknak. A jogalkotó pedig nem csupán kusza szabályokkal nehezíti a KKV-k jogkövetését, hanem még azzal a mentességgel sem él, amivel a rendelet szerint élhetne: mentesíthetné a KKV-kat a milliárdos plafonú bírságok alól. A jogszabálytervezet a bírságokkal összefüggésben is követi azt a gyakorlatát, hogy a rendelet egyes részeit átveszi, másokat pedig csupán behivatkozza vagy kiegészíti. Megtartja például a 10 ezer forinttól 20 millió forintig terjedő bírságolás lehetőségét, ám behivatkozza a rendeletet, mely a bírság maximumát 20 millió euró mértékben határozza meg.
A követhetetlen ágazati szabályozás versenyhátrányt is okoz
Az ágazati szabályozás alapvető hibái is az általános rész hibáival egyeznek meg. Kérdéses, hogy a jogalkotó nem terjeszkedett e túl a rendeletben biztosított jogkörén. Ezen túlmenően az ágazati szabályok bizonyos területeken ellentétesek a GDPR rendelkezéseivel, így fejfájást okozhat majd, hogy a vállalkozás melyiket kövesse. Végezetül az, hogy a jogalkotó a szigorított szabályok alkalmazását a GDPR hatályán túli területekre is kiterjesztette, a magyar vállalkozások versenyhelyzetét is érinti, hiszen lényegesen költségesebb lesz a jogszabályoknak való megfelelés.