Már az adatkezelési jogalapok is hiányosak
A rendelet 6. cikke alapján személyes adat kizárólag akkor kezelhető, amennyiben az érintett ahhoz megfelelő módon hozzájárul, amennyiben az adatkezelés szerződés vagy jogi kötelezettség teljesítéséhez szükséges, amennyiben azt érintett vagy másik természetes személy létfontosságú érdeke vagy az adatkezelő, illetve harmadik személy jogos érdeke indokolja, valamint, ha közhatalmi jogosítvány gyakorlásához szükséges.
Ezek egyes elemei a törvényben visszaköszönnek, mások azonban nem. A jogos érdeken alapuló adatkezelés, mely a munkaviszonyban történő adatkezelés jogalapja, kimaradt a felsorolásból. Ez pedig azért sem szerencsés, mivel éppen ez a jogalap a hatályos törvényben is rosszul került megfogalmazásra, és emiatt számos jogvita forrása. A gyakorlatban tehát előállhat az a helyzet, hogy az, aki az Info tv.-t veszi alapul, 20.000.000,-Eur összegű bírságot kap a nyakába, mivel elfelejtette összehasonlítani a törvényt a rendelettel, mely másképpen rendelkezik. Ráadásul a KKV-k vonatkozásában - szemben például a munkabalesetekkel - bírságtilalom nem érvényesül.
Az ügyféli jogok a hatósággal szemben korlátozottan jelennek meg
A rendelet előírja, hogy a hatóság kötelezést tartalmazó döntésével szemben hatékony bírósági jogorvoslatot kell biztosítani. Ezen túlmenően azt is tartalmazza, hogy a jogorvoslat abban az esetben is igénybe vehető, amennyiben a hatóság a panasszal nem foglalkozik. Ez utóbbi eset vonatkozásában ugyanakkor a tervezet határidőt nem szab a hatóságnak, így az idők végezetéig vizsgálhatja a bejelentést.
Többszörös nyilvántartás és elektronikus napló is jön
Az adatkezelő a kezelésében lévő személyes adatokkal kapcsolatos adatkezelési műveletekről részletes adatkezelői nyilvántartást köteles vezetni. Az adatfeldolgozó pedig az általa az egyes adatkezelők megbízásából vagy rendelkezése szerint végzett adatkezelési műveletekről köteles adatfeldolgozói nyilvántartást vezetni. Ezeket a nyilvántartásokat írásban vagy elektronikus módon kell majd vezetni és a hatóság kérésére rendelkezésre kell bocsátani. A személyes adatokkal elektronikus úton végzett adatkezelési műveletek jogszerűségének ellenőrzése céljából az adatkezelő és az adatfeldolgozó elektronikus naplót is vezet majd.
A törvényjavaslat ugyanakkor nem tér ki a 250 főnél kevesebb személyt foglalkoztató vállalkozásokra, melyek bizonyos feltételek esetén a rendelet alapján mentességet élvezhetnek. Ezek mellett maradni fog az Info tv. 65.§-ában nevesített adatvédelmi nyilvántartás is más tartalommal.
Belső adatvédelmi felelős helyett adatvédelmi tisztviselő, más feltételekkel
Az adatkezelő és az adatfeldolgozó a személyes adatok kezelésére vonatkozó jogi előírások teljesítésének, illetve az érintettek jogai érvényesülésének elősegítése végett adatvédelmi tisztviselőt alkalmaz. Jövő tavasztól ez akkor lesz csupán kötelező, ha törvény vagy az Európai Unió aktusa előírja, illetve, amennyiben az adatkezelő állami, önkormányzati vagy közfeladatot lát el. Nem nevesíti ugyanakkor a törvényjavaslat az eddigi kötelező eseteket, illetve a rendelet szerinti azon adatkezeléseket, amikor az érintettek rendszeres, szisztematikus és nagymértékű megfigyelése történik. Kérdéses, hogy olyan esetekben, amikor adatvédelmi tisztviselőt nem ír elő a törvény, érdemes-e ezt mégis megtenni, hiszen kötelezettségek halmazát vonjuk magunkra.
Amikor a munkabaleset kisebb súlyú jogsértés, mint az adatvédelmi incidens
A KKV-k vonatkozásában mind a munkaügyi, mind pedig a munkavédelmi ellenőrzések vonatkozásában bírságtilalom van életben, mely az utóbbi években számos szakmai kritikát kapott. A NAV kezdetektől való mentessége a bírságtilalom alól teljes mértékben érthető. Az azonban elég furcsa szabályalkotási értékrendet tükröz, amikor az adatvédelmi hatóságnak nagyobb jogkört biztosítanak, mint a munkaügyi vagy a munkavédelmi hatóságoknak. A jogalkotó pedig nem csupán kusza szabályokkal nehezíti a KKV-k jogkövetését, hanem még azzal a mentességgel sem él, amivel a rendelet szerint élhetne: mentesíthetné a KKV-kat a milliárdos plafonú bírságok alól. A jogszabálytervezet a bírságokkal összefüggésben is követi azt a gyakorlatát, hogy a rendelet egyes részeit átveszi, másokat pedig csupán behivatkozza vagy kiegészíti. Megtartja például a 10.000,-Ft-tól 20.000.000,-Ft-ig terjedő bírságolás lehetőségét, ám behivatkozza a rendeletet, mely a bírság maximumát 20.000.000,-Eur mértékben határozza meg.
A követhetetlen ágazati szabályozás versenyhátrányt is okoz
Az ágazati szabályozás alapvető hibái is az általános rész hibáival egyeznek meg. Kérdéses, hogy a jogalkotó nem terjeszkedett e túl a rendeletben biztosított jogkörén. Ezen túlmenően az ágazati szabályok bizonyos területeken ellentétesek a GDPR rendelkezéseivel, így fejfájást okozhat majd, hogy a vállalkozás melyiket kövesse. Végezetül az, hogy a jogalkotó a szigorított szabályok alkalmazását a GDPR hatályán túli területekre is kiterjesztette, a magyar vállalkozások versenyhelyzetét is érinti, hiszen lényegesen költségesebb lesz a jogszabályoknak való megfelelés.
Fotó: www.oktel.hu
Dr. Kéri Ádám
ügyvéd
KRS Ügyvédi Iroda
Cikkünk több oldalas! Lapozzon!
1. oldal - Valamennyi vállalkozást hátrányosan érintené az Info törvény módosítása
2. oldal - Már az adatkezelési jogalapok is hiányosak