Nem lesz elég az Info törvényt használni
A információs önrendelkezési jogról és az információszabadságról szóló törvény („Info törvény” ,2011. évi CXII.) a 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet („GDPR rendelet”) előírásainak eleget téve kijelölte azt a szervezetet, amely a felügyeleti hatóság részére megállapított feladat- és hatásköröket a Magyarország joghatósága alá tartozó jogalanyok tekintetében gyakorolja. A választás nem okoz különösebb meglepetést, ugyanis a kijelölt hatóság továbbra is a Nemzeti Adatvédelmi Hatóság lesz.
A felügyeleti hatóság kijelölésére vonatkozó szabályozás arról is rendelkezik, hogy a Hatóság a GDPR-ban megjelölt hatásköröket gyakorolja. Emellett azonban az Info törvény Hatóságra vonatkozó eljárási szabályai – kisebb pontosításokat leszámítva – gyakorlatilag érintetlenek maradtak. Mindez azt is jelenti, hogy a NAIH hatáskörének mérlegelése során nem lehet kizárólag az Info törvény rendelkezéseire támaszkodni, a GDPR szövegét is figyelembe kell venni.
Tekintettel a GDPR rendeleti jellegére, amely közvetlenül alkalmazandó uniós norma, a hazai jogba történő részletes átültetésére alapvetően nincs szükség, ugyanakkor megmarad egy bizonyos fokú kettősség, ami esetenként eredményezhet bizonytalanságot!
Bírságolhat is a hatóság meg nem is….
A módosító jogszabály vélhetően legjelentősebb rendelkezése az, hogy a személyes adatok kezelésére vonatkozó – jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott – előírások első alkalommal történő megsértése esetén a Hatóság elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedhet.
A rendelkezés követi a korábbi kormányzati kommunikációt, ugyanakkor nem teljes egészében ugyanazt a szabályt tartalmazza, mint a KKV törvény. Utóbbi alapján kis- és középvállalkozások esetén első esetben előforduló jogsértés esetén – adó, vám, illetve felnőttképzési tevékenység ellenőrzése kivételével – bírság helyett figyelmeztetést alkalmaznak a hatóságok. Az Info törvény módosítása alapvetően a GDPR keretei között maradva nem zárja ki a bírság alkalmazhatóságát első alkalommal történő jogsértés esetén sem. Azt írja elő csupán, hogy ilyen esetben elsősorban figyelmeztetést kell alkalmazni. Az általános megfogalmazás alapján ugyanakkor ez a rendelkezés nem csak a KKV-re, hanem minden vállalkozásra alkalmazandó. Mindemellett a GDPR által előírt, a jogsértés teljes körű vizsgálata alapján történő szankcionálás lehetősége, illetve kötelezettsége irányadó marad.
Büntetőjogi módosítások
A jogharmonizációs célú módosítás hatályba lépését megelőző napon büntetőjogi vonatkozása miatt egyéb rendelkezések is változtak az Info törvényben.
Ennek keretében a törvény a továbbiakban a hatóság jelentése és egyes adatok megismerhetősége kapcsán nem titkosszolgálati eszközökre, hanem a titkos információgyűjtés folytatására és leplezett eszközökre hivatkozik. A megfelelő eljárás kezdeményezéséhez pedig már nem szükséges az alapos gyanú, hanem elegendő a gyanú fennállása is.