Közigazgatás
Péterfalvi: Európai adatvédelmi rezsimváltás történt, a GDPR csak az egyik eleme
OPH
2019. május 8.

A magyar adatvédelmi szabályozás szintjét nem szigorította a GDPR, hiszen egyébként is nagyon szigorú volt, „az egyik legszigorúbb a világon”. Ugyanakkor lényegesen megváltoztatta, főleg ami az adatkezelés jogalapjait és a struktúráját illeti.

Mindezt Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke, címzetes egyetemi tanár mondta az új kormányzati igazgatási rendszerről szóló, OPH-csoport által szervezett konferencián. Előadásában azt elemezte, hogyan hatott az EU adatvédelmi reformja a magyar jogalkotásban.

A magyar adatvédelmi szabályozás szintjét nem szigorította a GDPR

2012. januárban nyújtották be az adatvédelmi csomagot, pedig a kidolgozása tulajdonképpen már a magyar EU-elnökség ideje alatt (2011 első fele) is készen volt. 2016. április 27-én került – a GDPR- és a bűnügyi irányelv – elfogadásra. Hosszú ideig arról is nagy viták voltak, hogy a GDPR-t szükséges-e rendeleti formában megalkotni. A magyar álláspont az volt, hogy ne legyen rendelet. Ez abból is következett, hogy

a magyar adatvédelmi szabályozás egyébként is nagyon szigorú volt, az egyik legszigorúbb a világon

– jelentette ki. A magyar adatvédelmi szabályozás szintjét tehát nem szigorította a GDPR. Ugyanakkor lényegesen megváltoztatta, főleg ami az adatkezelés jogalapjait meg az egész struktúrát jelenti: az érintettek tájékoztatását és az elszámoltathatóságot.

A magyar adatvédelmi szabályozás sokkal egyszerűbb volt a kezdetekben, hiszen az adatkezelés jogalapja vagy az érintett hozzájárulása volt – mint információs önrendelkezési jog –, vagy pedig a kötelező adatkezelés. A magyar alkotmányos követelménynek megfelelően kötelező

adatkezelést csak törvényben lehet elrendelni, a szükségesség, az arányosság és az alkalmasság alkotmányjogi szűrője mellett.

Mégpedig úgy, hogy a szabályozásnál tulajdonképpen az összes lényeges paramétert törvénybe kellett foglalni ‒ fogalmazott a szakértő.

A GDPR-ban három olyan jogalap van, amely a magyar kötelező adatkezelésnek felel meg: a jogi kötelezettség teljesítése, a közhatalmi és a közérdeken alapuló adatkezelés. Amikor például a magánszférában egy munkáltató a dolgozó tb- vagy adószámát kezeli, ez a jogi kötelezettség alapján történik. Kötelező adatkezelésről van szó a közhatalmi szervek esetében, a közhatalmi tevékenység „mindent visz”. Azért alkalmazza a közhatalmi szerv a dolgozóit, hogy el tudja látni az alapfeladatát.

A közérdeken alapuló tevékenység pedig olyan közszolgáltatás, közfeladat, mint például az oktatás vagy az egészségügy bizonyos része. Az ÁNTSZ (Állami Népegészségügyi és Tisztiorvosi Szolgálat) például már közhatalmat gyakorol, ahol a közérdek szintén úgy jelenik meg, hogy ott is „mindent visz”. Az a különbség, hogy a GDPR szerint a jogi kötelezettséggel szemben nem lehet tiltakozni – hiszen jogszabályban van a szabály –, a közhatalmi és a közérdeken alapuló adatkezeléssel szemben viszont lehet. Ez Magyarországon teljes egészében értelmetlen, mert a közhatalmi vagy a közérdekű adat kezelése ugyanúgy törvényben van, ahogy a jogi kötelezettség.

Ez a példa is mutatja, miért kellett az összes tagország jogalkotási mechanizmusát, alkotmányos szabályozási kötelezettségeit összehangolni. Franciaországban például törvénybe van iktatva a közfeladat, amelyet el kell látni, de hogy a közhatalom ellátásához konkrétan milyen személyes adatokat kell kezelni, az már nincs a törvényben. Így az érintett tiltakozhat az ellen, hogy ezt vagy azt az adatát kezeljék.

Kötelező jelenteni az adatvédelmi incidenseket!

Az adatvédelmi incidensek bejelentésére is felhívta a figyelmet a NAIH elnöke. Mint fogalmazott: adatvédelmi incidens akkor következik be, amikor biztonsági atrocitás éri azokat az adatokat, amelyekért az adott adatkezelő felel: sérül a titoktartási kötelezettség, a hozzáférhetőség vagy az integritás.

Ha az ilyen eseteket nem jelentik be 72 órán belül a felügyeleti hatóságnál, az automatikusan bírságot von maga után.

A NAIH honlapján rendelkezésre áll egy elektronikus felület az adatvédelmi incidensek bejelentésére.

Kapcsolódó cikkek
Péterfalvi: az adatkezelők még nem elég felkészültek

A digitalizáció és a globalizáció hozta új kihívások miatt különösen nagy szerepe van az adatvédelemnek ‒ mondta a NAIH elnöke.

Péterfalvi: a GDPR a digitalizációra és a globalizációra próbál választ adni

Az Európai Unió általános adatvédelmi rendelet kihívásairól, bevezetésének tapasztalatairól beszélt Péterfalvi Attila.

Péterfalvi: már szabtak ki bírságot a GDPR miatt

A GDPR kapcsán már voltak olyan hatósági eljárások, amelyek esetében sor került bírság kiszabására -mondta el a NAIH elnöke.

Következő adásunk
Kőbányai Híradó
Ezt követő adásaink