Változik az adatvédelmi törvény – adatvédelmi incidens, 20M Ft bírság, BCR
Az adatvédelmi törvény (Infotv.) 2015-ös módosítása
2015. október 1. hatálybalépéssel módosulnak az Infotv. személyes adatok védelmével kapcsolatos egyes rendelkezései.
Kötelező szervezeti szabályozás (BCR)
Az Infotv. új, 25. értelmező rendelkezése szerint a
kötelező szervezeti szabályozás: több országban, de köztük legalább egy EGT-államban is tevékenységet folytató adatkezelő vagy adatkezelők csoportja által elfogadott és a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) által jóváhagyott, az adatkezelőre vagy adatkezelők csoportjára nézve kötelező belső adatvédelmi szabályzat, amely a harmadik országba történő adattovábbítás esetén a személyes adatok védelmét az adatkezelő vagy adatkezelők csoportjának egyoldalú kötelezettségvállalása útján biztosítja
A külföldi adatkezelő részére történő adattovábbítás és a külföldi (EGT-államon kívüli) adatfeldolgozó részére történő adatátadás a korábban már ismert lehetőségeken túl akkor is lehetséges, ha az adatkezelés illetve adatfeldolgozás kötelező szervezeti szabályozásnak megfelelően történik.
Amennyiben tehát egy vállalat (vagy cégcsoport) elfogad és a NAIH-hal jóváhagyat egy belső adatvédelmi szabályzatot, mely a harmadik országba történő adattovábbítás esetére garanciákat vállal, és ezeket a vállalat (a cégcsoport) be is tartja, nem kell külön, kifejezett hozzájárulást kérni az adatok továbbításához, hanem az Infotv. Magyarországon belüli adattovábbítására és adatfeldolgozásra vonatkozó szabályait is alkalmazhatja.
A törvény új, külön fejezetben tárgyalja az adatvédelmi hatóság BCR-rel kapcsolatos eljárását. A kötelező szervezeti szabályozás jóváhagyása iránti kérelemnek tartalmaznia kell:
– az érintett adatkezelésnek az adatvédelmi nyilvántartással megegyező tartalmú főbb paramétereit,
– a kötelező szervezeti szabályozás tervezetét,
– a szabályozás kötelező jellegét igazoló adatokat,
– ha ilyen van, más EGT-tagállami jóváhagyás igazolását.
Az eljárás díját miniszteri rendelet fogja meghatározni. A kérelmet a hatóság 60 nap alatt bírálja el, melynek eredményeképp azt jóváhagyja, elutasítja vagy módosítását javasolja. Jóváhagyás esetén a www.naih.hu honlapon elérhetővé válik a BCR-t alkalmazó adatkezelő neve.
A fenti eljárást nem kérelmezhetik az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvény hatálya alá tartozó adatkezelők.
———————– hirdetés – adatvédelmi képzések ———————–
augusztus 27. Változik az adatvédelmi törvény (Infotv.)
szeptember 3-4. Két napos, kis csoportos belső adatvédelmi felelős képzés
szeptember 29. Változik az adatvédelmi törvény (Infotv.)
október 20. Adatvédelem az interneten – változások 2015-ben
október 27. Kamerás megfigyelőrendszerek adatvédelme
———————– hirdetés – adatvédelmi képzések ———————–
Adatvédelmi incidens
A módosított Infotv. így definiálja az adatvédelmi incidenst:
adatvédelmi incidens: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés
A definíció alapján nem csak az adatbiztonsági intézkedések elmulasztásával bekövetkezett események minősülnek adatvédelmi incidensnek, hanem az adatvédelmi jogi szabályok megsértése is ide tartozik. Kiemelném emellett, hogy nem szükséges konkrét személy kapcsán tényleges sérelemnek bekövetkeznie ahhoz, hogy adatvédelmi incidensről beszélhessünk, önmagában a személyes adat jogellenes kezelése (pl. az adatkezelésekről szóló részletes tájékoztatás elmaradása, az adatok megfelelő jogalap nélküli gyűjtése) is adatvédelmi incidens, akár szándékosan, akár gondatlanul, esetleg vétlenül következik be.
Az adatvédelmi incidensek kapcsán a következő kötelezettségek terhelik az adatkezelőt:
– Nyilvántartást vezet az adatkezelőnél vagy megbízott adatfeldolgozójánál felmerülő esetleges adatvédelmi incidensekről, mely tartalmazza az incidens időpontját, az adatvédelmi incidenssel érintettek körét és számát, az érintett személyes adatok körét, az incidens körülményeit és annak hatásait, az elhárítására tett intézkedések leírását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.
A nyilvántartásban nem az incidenssel összefüggő konkrét személyes adatokat kell feltüntetni, hanem csak az érintettek behatárolására, az érintettek körére vonatkozó információkat.
Ha az adatkezelő belső adatvédelmi felelőssel rendelkezik, a nyilvántartást ő vezeti. A nyilvántartásban szereplő adatokat – az adattovábbítási nyilvántartáshoz hasonló módon – öt, különleges adat esetén húsz évig kell megőrizni.
Ha az adatkezelő elektronikus hírközlési szolgáltató, az Eht. 156. § (4) bekezdése szerinti nyilvántartás vezetésével is eleget tehet kötelezettségének.
– Kérelemre tájékoztatja az érintett személyt az adatait érintő adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedéseiről.
Az adatfeldolgozót nem terheli e körben törvényi kötelezettség, de javasolt az adatfeldolgozói szerződésben az adatfeldolgozót kötelezni arra, hogy az adatkezelőt tájékoztassa a felmerült adatvédelmi incidensről.
Elektronikus kommunikáció lehetősége
A törvény a gyakorlathoz igazodva lehetővé teszi, hogy amennyiben az érintett ehhez hozzájárul, az adatkezelő az írásos forma helyett e-mailben is közölheti az érintettel az egyes adatvédelmi jogok gyakorlása közben felmerülő elutasítási döntését és okát.
Különleges adat – már nem is annyira különleges?
A módosítás hatálybalépését követően nem köteles a NAIH a keményebb jogosítványokat tartalmazó adatvédelmi hatóság eljárás megindítására, amennyiben különleges adatokat érint a jogsértés, ugyanis az elmúlt évek hatósági gyakorlata azt mutatta, sok esetben nem szükséges a hatósági eljárás lefolytatása egy kisebb súlyú, mégis különleges adattal kapcsolatos visszásság esetén. A jogsértéssel érintett személyek széles köre, valamint a nagy érdeksérelem illetve kárveszély a későbbiekben is elkerülhetetlenné teszi a hatósági eljárás megindítását.
Változás a szankciókban
A törvény biztosítja, hogy a NAIH egyéb szankció alkalmazását mellőzve pusztán megállapítsa a személyes adatok jogellenes kezelését vagy feldolgozását. Például akkor lehet szükséges ennek önálló alkalmazása, ha az adatkezelő az eljárás során önkéntesen megszüntette jogsértő gyakorlatát.
Az ismételten is kiszabható adatvédelmi bírság maximális mértéke tízről húszmillió forintra emelkedik.
A hatóság a határozatát ezentúl akkor is nyilvánosságra hozhatja, ha azt közfeladatot ellátó szerv tevékenységével összefüggésben hozta, illetve ha a bekövetkezett jogsérelem súlya a nyilvánosságra hozatalt indokolttá teszi.
Személyesen a változásokról: http://www.infoszfera.hu/valtozik-az-adatvedelmi-torveny-infotorveny/
A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.
Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.
Valamennyi hozzászólást az RSS 2.0 hírcsatornán lehet követni. Szóljon hozzá, vagy adjon a saját honlapjáról egy visszakövetést.
