Tízmilliós bírságot is kiszabhat az új adatvédelmi hatóság

2011.10.02. 18:02

Az Országgyűlés által elfogadott új adatvédelmi törvény január elsejétől számos változást hoz: az újonnan felálló Nemzeti Adatvédelmi és Információszabadság Hatóság jogellenes adatkezelés megállapítása esetén akár bírságolhat is - mutatott rá a Kovács Réti Szegheő Ügyvédi Iroda szakértője.

A januártól hatályba lépő új törvény következtében változnak az adatvédelmi nyilvántartás szabályai, illetve a törvény lehetővé teszi bizonyos esetekben a személyes adatok kezelését az érintett hozzájárulása nélkül is - fejtette ki dr. Tamás Zita.

Az Országgyűlés által elfogadott információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény 2012. január 1-től lép hatályba, és felváltja a jelenleg hatályban levő adatvédelmi törvényt.

A törvény új szabályokat fogalmaz meg mind a személyes adatok védelme, mind a közérdekű adatok megismerése kapcsán: az adatvédelem területén január elsejétől bekövetkezendő változások között nagyon jelentősek azok, amelyek magánszemélyek adatait kezelő cégekre irányadóak.

A törvény által védett személyes adat fogalma továbbra is rendkívül tág marad, és lényegében minden, az érintettel kapcsolatba hozható adat, valamint az adatból levonható, az érintettre vonatkozó következtetés annak minősül, így például név, fénykép, hangfelvétel, azonosító adatok, elérhetőségek, érdeklődési körre vonatkozó információ.

Ezért az adatvédelmi szabályok változása szinte valamennyi céget érinti, és az adatkezelőnek az adatvédelmi szabályokat be kell tartania valamennyi olyan esetben, amikor magánszemélyek (így például ügyfelei, potenciális ügyfelei, munkavállalói) adatait kezeli.

Az új adatvédelmi hatóság és jogköre

Az új törvény az év végével megszünteti az adatvédelmi biztos intézményét, és január elsejétől felállítja a Nemzeti Adatvédelmi és Információszabadság Hatóságot.

Az új hatóságnak megmaradnak az adatvédelmi biztost jelenleg megillető, ombudsmani típusú eszközei a jogsérelem elleni fellépéshez, így például a felszólítás a jogsérelem orvoslására, illetve közvetlen veszélyének megszüntetésére, ajánlás tétele jogszabályalkotásra.

Emellett azonban megnyílik a lehetősége arra is, hogy amennyiben szükségesnek tartja, hatósági eljárást indítson, melynek keretében hatósági intézkedéseket hozhat, így például elrendelheti az adatok helyesbítését, zárolását, törlését, megsemmisítését, megtilthatja az adatok jogellenes kezelését, külföldre továbbítását.

A Kovács Réti Szegheő Ügyvédi Iroda szakértője hangsúlyozta: ezen kívül a hatóság bírságot is kiszabhat, melynek mértéke százezer forinttól tízmillió forintig terjedhet.

A bírság összegének megállapításánál a hatóság az eset összes körülményét mérlegeli, így figyelembe veszi különösen a jogsértéssel érintettek körének nagyságát, a jogsértés súlyát és a jogsértés ismétlődő jellegét.

Bizonyos esetekben kötelező az eljárás

Bizonyos esetekben az adatvédelmi hatósági eljárás megindítása kötelező a hatóság számára, így ha valószínűsíthető a jogellenes adatkezelés, és az a személyek széles körét érinti, különleges adatokat érint, vagy nagy érdeksérelmet, illetve kárveszélyt idézhet elő.

Dr. Tamás Zita szerint fontos megjegyezni, hogy az adatvédelmi hatósági eljárás kizárólag hivatalból indulhat, az akkor sem minősül kérelemre indult eljárásnak, ha az adatvédelmi hatósági eljárást a Hatóság bejelentésen alapuló vizsgálata előzte meg.

Míg az adatvédelmi ombudsmant jelenleg semmilyen ügyintézési határidő nem köti a panaszok elbírálásánál, addig az új hatóságnak két hónap alatt kell lefolytatnia az eljárást, és dönteni a jogsértéstől mind a bejelentés alapján történő vizsgálat, mind az adatvédelmi hatósági eljárás esetén.

A Hatóság határozata ellen keresetet lehet benyújtani a bírósághoz. Az adatkezelőknek kedvező változás, hogy a keresetindítási határidő lejártáig, illetve felülvizsgálat kezdeményezése esetén a bíróság jogerős döntéséig a vitatott adatkezeléssel érintett adatok nem törölhetők, illetve nem semmisíthetők meg.

Adatkezelés az érintett hozzájárulása nélkül

Mindezidáig személyes adatok kezelésére kizárólag törvényi felhatalmazás, vagy az érintett hozzájárulása alapján volt lehetőség. Az új törvény hatálybalépésétől azonban bizonyos esetekben nem szükséges az érintett hozzájárulásának beszerzése az adatkezeléshez - ismertette a Kovács Réti Szegheő Ügyvédi Iroda szakértője.

Például, ha az lehetetlen, vagy aránytalan költséggel járna, és a személyes adat kezelése az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából, vagy az adatkezelő, vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll.

A fenti feltételek fennállása esetén az adatkezelő az érintett hozzájárulásának visszavonását követően is jogosult a személyes adat kezelésére. A joggyakorlatra, így a bíróságokra és az új hivatalra vár annak kidolgozása, hogy mely esetekben valósul meg a hozzájárulás beszerzésének lehetetlensége.

Hasonlóképp rájuk vár annak kidolgozása, hogy mi tekinthető aránytalan költségnek, milyen olyan jogos érdekek érvényesítése fogadható el, amelyek arányban állnak az adatvédelmi jogok korlátozásával.

Dr. Tamás Zita szerint ezek annál is inkább fontos kérdések, mert általában az adatkezelőnek kell bizonyítania, hogy adatkezelése megfelelt az adatvédelmi előírásoknak.

Adatvédelmi nyilvántartás új szabályai

Továbbra is kötelező az adatkezelést végző cégek számára az adatkezeléseknek az adatvédelmi nyilvántartásba való bejelentése, mely bejelentési kötelezettség alól például kivételt képeznek az adatkezelővel munkaviszonyban, tagsági viszonyban vagy - pénzügyi szervezetek, közüzemi szolgáltatók, elektronikus hírközlési szolgáltatók ügyfelei kivételével - ügyfélkapcsolatban álló személyek adatainak kezelése.

Új szabály azonban, hogy január elsejétől az adatkezelés a nyilvántartásba vételt megelőzően nem kezdhető meg, míg jelenleg elegendő a bejelentés megtétele az adatkezelés megkezdéséhez.

Ám ha a Hatóság a nyilvántartásba vétel iránti kérelmet a számára előírt nyolc napos - illetve bizonyos kivételes esetekben negyven napos - határidőn belül nem bírálja el, az adatkezelést meg lehet kezdeni a nyilvántartásba vétel nélkül is.

Az adatvédelmi nyilvántartásba vételi eljárásban igazgatási szolgáltatási díjat kell majd fizetni, míg eddig ez az eljárás ingyenes volt - emlékeztetett a Kovács Réti Szegheő Ügyvédi Iroda szakértője.

Belső adatvédelmi felelősök konferenciája

A törvény megteremti a belső adatvédelmi felelősök konferenciájának intézményét, melyet a hatóság elnökének legalább évente egyszer össze kell hívnia, és amelynek célja többek között a belső adatvédelmi felelősök rendszeres szakmai kapcsolattartása, valamint a jogalkalmazás során az egységes joggyakorlat kialakítása.

Bár továbbra is csak bizonyos típusú szervezeteknél - így például pénzügyi szervezeteknél, elektronikus hírközlési, közüzemi szolgáltatóknál - lesz kötelező a belső adatvédelmi felelős kijelölése, lehetőség nyílik arra, hogy a konferencia céljából a hatóságnál vezetett nyilvántartásba bejelentkezzenek - és így tagjai legyenek a konferenciának - olyan szervezetek, cégek adatvédelmi felelősei is, ahol a kinevezés nem kötelező.



KAPCSOLÓDÓ CIKK