- május 25. napján a nemzeti Adatvédelmi és Információszabadság Hatóság honlapján tájékoztató közlemény jelent meg a személyes adatok védelmére vonatkozóan alkalmazandó előírásokról, továbbá az adatkezelőket, illetve adatfeldolgozókat terhelő bejelentési kötelezettségek teljesítéséről. Ennek legfontosabb rendelkezéseit az alábbiakat idézve foglaljuk össze.
A GDPR vagy az Info. tv. alkalmazandó-e május 25. napjától Magyarországon?
- A Hatóság az általános adatvédelmi rendeletben kimerítően (eltérést, kiegészítést nem engedő módon) szabályozott tárgykörökben a rendeletben foglalt előírásokat tekinti alkalmazandónak, azok teljes terjedelmében.
- A Hatóság azon, a magyar jog szerint hatályos előírásokat, amelyek megalkotására (hatályban tartására) az általános adatvédelmi rendelet (pl. 6. cikk (3) bekezdés, IX. fejezet) kifejezetten lehetőséget ad (pl. ágazati adatkezelési előírások), a rendeletben biztosított kereteken belül továbbra is alkalmazandónak tekinti.
- A Hatóság az általános adatvédelmi rendeletben meghatározott azon előírások vonatkozásában, amelyek végrehajtásához magyar jogszabályi rendelkezések alkalmazása is szükséges (tipikusan a Hatóság eljárásaira vonatkozó szabályrendszer), a hatályos magyar jogi rendelkezéseket megfelelően (az általános adatvédelmi rendelettel összhangban értelmezve) alkalmazandónak tekinti.
Az adatkezelők és adatfeldolgozók GDPR szerinti bejelentési kötelezettsége
1. Az adatkezelők, illetve adatfeldolgozók számára az általános adatvédelmi rendelet 33. cikkében, illetve 37. cikk (7) bekezdésében előírt bejelentési kötelezettségek teljesítését a Hatóság 2018. május 25-étől teszi lehetővé. A Hatóság a bejelentések fogadására (papír alapon, vagy – az azzal rendelkező jogalanyok esetén – hivatali kapun való bejelentés lehetőségének biztosítása mellett) a honlapján külön e célra létrehozott szakrendszert üzemeltet, amelyen keresztül a bejelentések elektronikus úton megtehetők. Ezen online bejelentési rendszerek a https://naih.hu honlapon az ONLINE bejelentő rendszerek menüben
Adatvédelmi Incidensbejelentő Rendszer http://naih.hu/adatvedelmi-incidensbejelent–rendszer.html
Adatvédelmi Tisztviselő Bejelentő Rendszer http://naih.hu/adatvedelmi-tisztvisel–bejelent–rendszer.html
menüpontból lesz elérhető.
2. Az adatvédelmi tisztviselők bejelentése kapcsán ahhoz, hogy a Hatóság a bejelentést teljesítettnek tekintse, szükségesnek tartja legalább az adatvédelmi tisztviselő nevének, postai és elektronikus levelezési címének, továbbá az őt kijelölő adatkezelő, illetve adatfeldolgozó azonosításához szükséges adatoknak, természetes személyek esetén legalább a természetes személy nevének, postai és elektronikus levelezési címének a bejelentését a Hatóság számára.
3. A Hatóság honlapján a belső adatvédelmi felelősök bejelentésére szolgáló felület a továbbiakban nem áll rendelkezésre. A korábbi bejelentésekben foglalt személyes adatok kezelését a Hatóság megszünteti, így ezeket az adatokat törli. A belső adatvédelmi felelősök bejelentésére szolgáló felületen tett bejelentéseket a Hatóságnak nem áll módjában adatvédelmi tisztviselőként való bejelentésként figyelembe venni.
4. A Hatóság által vezetett adatkezelési nyilvántartásába való bejelentési kötelezettséget az általános adatvédelmi rendelet nem ír elő kötelezően az adatkezelők, illetve az adatfeldolgozók számára, az Infotv.-nek az e nyilvántartás vezetését előíró szabálya azonban továbbra is hatályban van. Tekintettel ugyanakkor arra, hogy az általános adatvédelmi rendelet ilyen kötelezettséget nem támaszt az adatkezelők, adatfeldolgozók vonatkozásában, a Hatóság – figyelemmel különösen a rendelet 1. cikk (3) bekezdésére és ehhez kapcsolódóan (10)–(13) preambulumbekezdésére – úgy ítéli meg, hogy a nyilvántartásba vétel elmaradása miatt az általános adatvédelmi rendelet hatálya alá tartozó adatkezelések vonatkozásában hátrányos jogkövetkezmény alkalmazására – kivéve, ha ilyen jogkövetkezményt az általános adatvédelmi rendelet által kifejezetten lehetővé tett módon törvényi rendelkezés állapít meg – nincs lehetőség.
A Hatóság a jövőben az Infotv. hatályos 69. §-ában meghatározott adatvédelmi auditot nem folytat le.
A közlemény teljes szövege: http://naih.hu/files/2018-05-25-GDPR-koezlemeny.pdf