NAIH tájékoztató - A személyes adatok védelmére vonatkozóan alkalmazandó előírások
Tájékoztató közlemény a személyes adatok védelmére vonatkozóan alkalmazandó előírásokról, továbbá az adatkezelőket, illetve adatfeldolgozókat terhelő bejelentési kötelezettségek teljesítéséről
A személyes adatok védelmére vonatkozóan alkalmazandó előírások
Az Európai Unió tagállamaiban a személyes adatok védelmére vonatkozó előírásokat az alábbi jogi aktusok határozzák meg:
1. a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet), valamint
2. a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/680 európai parlamenti és tanácsi irányelv (a továbbiakban: bűnügyi adatvédelmi irányelv).
Az általános adatvédelmi rendelet előírásai a magyar jogalanyokra (pl. az érintettekre, az adatkezelőkre és adatfeldolgozókra, a hatóságokra és a bíróságokra) 2018. május 25-től közvetlenül alkalmazandók, kivéve azokat, amelyek teljes körű alkalmazásához, végrehajtásához az egyes tagállamok nemzeti jogszabályaiban előírt további rendelkezések szükségesek. Emellett a rendelet bizonyos – korlátozott – körben lehetőséget ad a tagállamoknak kiegészítő vagy ahhoz képest meghatározott irányban eltérő szabályok megalkotására.
Ezzel szemben a bűnügyi adatvédelmi irányelv rendelkezései – főszabály szerint – nem közvetlenül, hanem az azokat a magyar jogba átültető rendelkezéseken keresztül érvényesülnek a magyar jogban, így az irányelv maradéktalan alkalmazhatósága érdekében magyar jogalkotási lépések is szükségessé válnak.
A hatályos magyar jogi előírások, így különösen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) az általános adatvédelmi rendelet teljes körű végrehajtásához, illetve a bűnügyi adatvédelmi irányelv teljes körű átültetéséhez szükséges módosítására és további, e célból szükséges jogalkotási intézkedésekre még nem került sor.
A Nemzeti Adatvédelmi és Információszabadság Hatóság – mint az Alaptörvény VI. cikk (3) bekezdése és az Infotv. 38. §-a szerint az általános adatvédelmi rendelet szerinti felügyeleti hatóság – a fentiekre tekintettel mindaddig, amíg a hatályos magyar jog és az általános adatvédelmi rendelet, illetve a bűnügyi adatvédelmi irányelv közötti teljes körű összhangot megteremtő magyar jogalkotási intézkedésekre sor kerül, a személyes adatok védelméhez való jog érvényesüléséhez és annak elősegítéséhez kapcsolódó feladat- és hatáskörének gyakorlása során az alábbiak szerint kíván eljárni.
Az általános adatvédelmi rendelet hatálya alá1 tartozó jogviszonyok tekintetében:
1. A Hatóság – az alábbiakban meghatározottak szerint – az általános adatvédelmi rendeletben kimerítően (eltérést, kiegészítést nem engedő módon) szabályozott tárgykörökben a rendeletben foglalt előírásokat tekinti alkalmazandónak, azok teljes terjedelmében.
2. A Hatóság azon, a magyar jog szerint hatályos előírásokat, amelyek megalkotására (hatályban tartására) az általános adatvédelmi rendelet (pl. 6. cikk (3) bekezdés, IX. fejezet) kifejezetten lehetőséget ad (pl. ágazati adatkezelési előírások), a rendeletben biztosított kereteken belül továbbra is alkalmazandónak tekinti.
3. A Hatóság az általános adatvédelmi rendeletben meghatározott azon előírások vonatkozásában, amelyek végrehajtásához magyar jogszabályi rendelkezések alkalmazása is szükséges (tipikusan a Hatóság eljárásaira vonatkozó szabályrendszer), a hatályos magyar
1 Az Általános Adatvédelmi Rendelet 2. és 3. cikkében meghatározott adatkezelések.
jogi rendelkezéseket megfelelően (az általános adatvédelmi rendelettel összhangban értelmezve) alkalmazandónak tekinti.
II. A bűnügyi adatvédelmi irányelv hatálya alá2 tartozó jogviszonyok tekintetében:>
1. A Hatóság az Infotv.-ben és a hatályos különös adatkezelési normákat tartalmazó törvényekben foglalt előírásokat tekinti alkalmazandónak, azok teljes terjedelmében.
2. A Hatóság a bűnügyi adatvédelmi irányelv hatálya alá tartozó adatkezelések vonatkozásában a hatályos magyar jogszabályi rendelkezéseket, így különösen az Infotv. Hatályos rendelkezéseit az irányelvben előírt céloknak megfelelően, az irányelvvel összhangban értelmezve tekinti alkalmazandónak.
III. Az uniós jog hatálya alá3 (az I. és II. pontba) nem tartozó jogviszonyok tekintetében:
A Hatóság az Infotv.-ben és a hatályos különös adatkezelési normákat tartalmazó törvényekben foglalt előírásokat tekinti alkalmazandónak, azok teljes terjedelmében.
2 A Hatóság ebbe a körbe tartozónak tekinti a jogszabályban meghatározott feladat- és hatáskörében a közrendet vagy a közbiztonságot fenyegető veszélyek megelőzésére vagy elhárítására, a bűnmegelőzésre, a bűnfelderítésre, a büntetőeljárás lefolytatására vagy ezen eljárásban való közreműködésre, a szabálysértések megelőzésére és felderítésére, valamint a szabálysértési eljárás lefolytatására vagy ezen eljárásban való közreműködésre, továbbá a büntetőeljárásban vagy szabálysértési eljárásban megállapított jogkövetkezmények végrehajtására irányuló tevékenységet folytató szerv vagy személy ezen tevékenység keretei között és céljából – ideértve az ezen tevékenységhez kapcsolódó személyes adatok levéltári, tudományos, statisztikai vagy történelmi célból történő kezelését is – végzett adatkezelését.
3 A Hatóság ebbe a körbe tartozónak tekinti a nemzetbiztonsági szolgálatok jogszabályban meghatározott feladat- és hatáskörében végzett adatkezelését, valamint a rendőrség terrorizmust elhárít szervének jogszabályban meghatározott feladat- és hatáskörében végzett, a nemzetbiztonsági szolgálatokról szóló törvény hatálya alá tartozó adatkezelését, továbbá a honvédségi adatkezelésről szóló törvény és a Magyarország területén szolgálati céllal tartózkodó külföldi fegyveres erők, valamint a Magyarország területén felállított nemzetközi katonai parancsnokságok és állományuk nyilvántartásáról szóló törvény hatálya alá tartozó adatkezelést, emellett a hatályos Infotv. 2. § (2) bekezdésével összhangban az Általános Adatvédelmi Rendelet által nem szabályozott nem automatizált adatkezelést.
Az adatkezelőket, illetve adatfeldolgozókat az általános adatvédelmi rendelet, illetve az Infotv. szerint terhelő bejelentési kötelezettségek, adatvédelmi audit
1. Az adatkezelők, illetve adatfeldolgozók számára az általános adatvédelmi rendelet 33. cikkében, illetve 37. cikk (7) bekezdésében előírt bejelentési kötelezettségek teljesítését a Hatóság 2018. május 25-étől teszi lehetővé. A Hatóság a bejelentések fogadására (papír alapon, vagy – az azzal rendelkező jogalanyok esetén – hivatali kapun való bejelentés lehetőségének biztosítása mellett) a honlapján külön e célra létrehozott szakrendszert üzemeltet, amelyen keresztül a bejelentések elektronikus úton megtehetők.
Ezen online bejelentési rendszerek a https://naih.hu honlapon az ONLINE bejelentő rendszerek menüben
a. Adatvédelmi Incidensbejelentő Rendszer
b. Adatvédelmi Tisztviselő Bejelentő Rendszer
menüpontból lesz elérhető.
2. Az adatvédelmi tisztviselők bejelentése kapcsán ahhoz, hogy a Hatóság a bejelentést teljesítettnek tekintse, szükségesnek tartja legalább az adatvédelmi tisztviselő nevének, postai és elektronikus levelezési címének, továbbá az őt kijelölő adatkezelő, illetve adatfeldolgozó azonosításához szükséges adatoknak, természetes személyek esetén legalább a természetes személy nevének, postai és elektronikus levelezési címének a bejelentését a Hatóság számára.
3. A Hatóság honlapján a belső adatvédelmi felelősök bejelentésére szolgáló felület a továbbiakban nem áll rendelkezésre. A korábbi bejelentésekben foglalt személyes adatok kezelését a Hatóság megszünteti, így ezeket az adatokat törli. A belső adatvédelmi felelősök bejelentésére szolgáló felületen tett bejelentéseket a Hatóságnak nem áll módjában adatvédelmi tisztviselőként való bejelentésként figyelembe venni.
4. A Hatóság által vezetett adatkezelési nyilvántartásába való bejelentési kötelezettséget az általános adatvédelmi rendelet nem ír elő kötelezően az adatkezelők, illetve az adatfeldolgozók számára, az Infotv.-nek az e nyilvántartás vezetését előíró szabálya azonban továbbra is hatályban van. Tekintettel ugyanakkor arra, hogy az általános adatvédelmi rendelet ilyen kötelezettséget nem támaszt az adatkezelők, adatfeldolgozók vonatkozásában, a Hatóság – figyelemmel különösen a rendelet 1. cikk (3) bekezdésére és ehhez kapcsolódóan (10)–(13) preambulumbekezdésére – úgy ítéli meg, hogy a nyilvántartásba vétel elmaradása miatt az általános adatvédelmi rendelet hatálya alá tartozó adatkezelések vonatkozásában hátrányos jogkövetkezmény alkalmazására – kivéve, ha ilyen jogkövetkezményt az általános adatvédelmi rendelet által kifejezetten lehetővé tett módon törvényi rendelkezés állapít meg – nincs lehetőség.
A Hatóság a jövőben az Infotv. hatályos 69. §-ában meghatározott adatvédelmi auditot nem folytat le.
Budapest, 2018. május 25.
Dr. Péterfalvi Attila s.k.
elnök, c. egyetemi tanár