A GDPR belső jogba ültetése, avagy az EU-s adatvédelem hazánkban

2018-04-12

Az Európai Unió általános adatvédelmi rendeletét (a továbbiakban: GDPR) május 25-től az Európai Unió valamennyi tagállamában kötelezően kell alkalmazni. A GDPR végrehajtása azonban a nemzeti jogban is módosításokat tett szükségessé (például a GDPR-ral egyező szabályokat hatályon kívül kell helyezni, vagy a Hatóság eljárási szabályait ki kell alakítani stb.), továbbá a GDPR rendelkezéseitől bizonyos esetekben – maga a GDPR kifejezetten engedő szabálya folytán – a nemzeti jogalkotónak lehetősége van eltérni, vagy az uniós szabályokat kiegészíteni. Az egyik ilyen eltérésre felhatalmazó szabály a GDPR 88. cikke, amely alapján a tagállamok pontosító rendelkezéseket alkothatnak a személyes adatok foglalkoztatással összefüggő kezelése tekintetében. A fentiek alapján a hazai jogszabályok is módosulni fognak. E folyamat keretében elkészült az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) módosításáról szóló törvénytervezet, amely várhatóan hamarosan benyújtásra kerül az Országgyűlés elé (az Infotv. tartalma tehát változik, és meghatározott esetkben a GDPR szabályaival együtt kell majd alkalmazni). E mellett számítani lehet rá, hogy a GDPR-ral való összhang megteremtése érdekében egyéb, adatkezelési rendelkezést tartalmazó (szektorális) törvények is módosításra kerülnek, az ezzel kapcsolatos jogszabály-előkészítő munka folyamatban van az adott szakterület ágazati felügyeletéért felelős szakminisztériumban. Mindezekre figyelemmel elképzelhető, hogy a munka törvénykönyvéről szóló 2012. évi I. törvény is módosításra kerül. A jogszabály-tervezet egyébként – csak úgy, mint más tervezetek – a jogalkotási eljárás során lefolytatott társadalmi egyeztetés keretében a Igazságügyi Minisztérium honlapjáról a „Társadalmi egyeztetés" menüpont alatt nyilvánosan elérhető és véleményezhető lesz. A 2018. május 25-étől Magyarországon is alkalmazandó új adatvédelmi rendelet a Hatóság előzetes elemzése alapján jelentős változásokat nem fog eredményezni az ügyek tartalmi megítélésében. A GDPR kifejezetten adatvédelmi szabályzatalkotási kötelezettséget nem ír elő az adatkezelők számára. A 24. cikk (2) bekezdése alapján az adatkezelőnek akkor kell belső adatvédelmi szabályokat is alkalmaznia – a személyes adatok védelmének biztosítása céljából megvalósított technikai és szervezési intézkedések részeként – ha ez az adatkezelési tevékenység vonatkozásában arányos. Ez alapján azt kell tehát az adatkezelőnek mérlegelnie, hogy a kezelt adatok mennyisége és köre alapján „arányosnak” mutatkozik-e adatvédelmi szabályzat vagy más szabályrendszer (pl. utasítás, folyamatleírás, biztonsági szabályzat) elkészítése. A rendeletnek megfelelő adatkezelési tevékenység kialakítása az adatkezelő felelősségi körébe tartozik.