Partnerek

Termékmonitor

Adat és információvédelem
Elektronikus jelzéstechnika (135)
Gépjárművédelem
Kommunikációtechnika
Mechanikus biztonságvédelem
Szolgáltatások
Tűzvédelem technika (5)

Adatvédelem

Emelték a tétet: 20 milliós büntetések jöhetnek!

Október 1-jétől számos ponton változik az „adattörvény”

 

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi törvény módosítása és az azt körüllengő felhajtás bebizonyította: nem minden esetben szerencsés két különálló jogterületet egyetlen jogszabályban rendezni. Már csak azért sem, mert ha egy témát felkap a média, könnyen elsikkadnak nagyon fontos kérdések a másik oldalról. Az Infotv. egyáltalán nem marginális módosításának margójára.

Jogászkodóan öncélúnak tetszhet, hogy már a cikk bevezetésében (újságírói szakkifejezéssel élve a „kopf”-ban, de ez már végképp öncélú) kiírtuk egy törvény teljes nevét. Pedig korántsem az: a köznyelvben Infotv.-ként, esetleg adatvédelmi törvényként élő jogszabályunk előbbi elnevezése nem mond sokat (bár indokolható), utóbbi meg egyszerűen nem igaz.

Mert a törvény két jogterületet szabályoz: egyik részről a személyes adatok védelméről, másrészt pedig a közérdekű és közérdekből nyilvános adatok megismerésének szabadságáról szól. Ez is adat, az is adat, de korántsem „sziámi-ikrekről” van szó. Ha simán adatvédelmi tör­vénynek hívjuk tehát a jogszabályt, hazudunk, mert akkor kimarad az információszabadság rész, az Infotv. pedig nem mutatja meg igazán, hogy „mit is akart mondani a költő”. Mindez jelenleg egyetlen szempontból izgalmas: július 13-án hirdették ki a Magyar Köz­lönyben a törvény módosítását, de több igencsak lényeges változtatásról még csak hallani sem lehetett.


■ Adatvédelem vs. információszabadság

Tegyük tisztába: az adatvédelem célja, hogy az emberek (jogi szakkifejezéssel élve a „természetes személyek”) személyét azonosító adatait csak szigorú keretek között, meghatározott célból, meghatározott ideig kezelhesse más: akár az állam, akár az önkormányzatok, akár magáncégek. Mert bizony igen bosszantó tud lenni, ha „valahonnan” megszerzi egy DM-cég a telefonszámunkat és levakarhatatlanul hívogat, hogy „csodálatos, nagyszerű, egyszeri, bevezető termékét” csak most lehet megvásárolni a faluházban.

Ezzel szemben az információszabadság lényege, hogy az állam átláthatóan működjön – egy­szerűen fogalmazva ez biztosítja a jogot arra, hogy az adófizetők minden befizetett adóforintjuk útját nyomon tudják követni, az állam ne „sumákolhasson” el semmit.
Ezt a két területet szabályozza az Infotv. – amelyet a T/5404-es törvényjavaslattal és a 2015. évi CXXIX. törvénnyel módosított a T. Ház. Noha mindkét területen számos változás érkezett, a különböző hírcsatornákon szinte csak és kizárólag az információszabadságról szóltak a hírek.

– Ez persze nem véletlen, lévén az átlagember ingerküszöbét nem éri el, hogy mostantól a külföldi adattovábbítás megfelelő jogalapja lehet egy kötelező vállalati szabályozás, de az már igen, hogy ezentúl akár fizetnünk is kell azért, ha meg akarjuk tudni, hogy mennyi pénzért kötött szerződést az önkormányzat a polgármester feleségének cégével – magyarázta Molnár Gábor, az L Tender-Consulting Kft. ügyvezetője. – Ez természetesen nem baj, de a Detektor Plusz Magazint olvasó cégvezetők és cégeik életét azonban valószínűleg sokkal jobban befolyásolja majd az előbbi, mint az utóbbi.


■ Nem az adatnak, a teljesítésnek van ára

Vegyük tehát gyorsan végig először az információszabadságot érintő legfontosabb módosításokat! A legnagyobb vitát a költségtérítések váltották ki: míg korábban csak általánosan mondta ki a törvény, hogy az adatot kezelő közfeladatot ellátó szervnek joga volt a másolat készí­téséért az azzal kapcsolatban felmerült költség mértékéig terjedően költségtérítést megállapítani, addig október 1-jétől a jogalkotók meghatározták a költségtérítés felső plafonját is. Ez önmagában nem probléma, lévén olyan vadhajtásokat küszöböl ki a rendszer, mint például a miskolci önkormányzat 2015 tavaszi 150 forint/oldalas díja, amelyre a Nemzeti Adatvédelmi és Információszabadság Hatóság is azt reagálta, hogy még jelentős terjedelmű adatigénylés esetén is túl nagy költségtérítés. Másolási költségként a jövőben így színes oldalanként maximum 25, fekete-fehér másolások esetén maximum 5 forint/oldal díjat kérhet egy adatgazda – de ezeket is csak akkor, ha az adatigénylésre adott válasz esetén a másolt oldalak száma a tízet meghaladja. Optikai adathordozón (CD-n, DVD-n) nyújtott másolat esetében azonban fix lesz az összeg: 580 forint. Tehát 117 fekete-fehér vagy 24 színes oldal után már érdemes egyben elkérni az egészet CD-n. (A cikk írásakor a törvény végrehajtási rendelete véleményezési időszakban volt, így a tervezet és a végül elfogadott normaszöveg között esetlegesen eltérés mutatkozhat – a szerz.)

Ami azonban sokkal nagyobb felhördülést okozott az az, hogy mostantól nem csak a másolást, hanem a ráfordított munkaerőt is kifizettetheti az adatgazda az adatigénylővel: ha a munkaerő-ráfordítás meghaladja a 8 munkaórát, onnantól kezdve legfeljebb 1100 forint/óra díj kérhető minden egyes erre a célra fordított tevékenységért. Sokak problémája azonban, hogy itt már nincsen felső határ: akár teljes heteket bíbelődhet a közfeladatot ellátó szerv az adatok összegyűjtésére – márpedig annak ellenőrzésére, hogy az X órányi adatgyűjtés valóban X munkaórát vett-e igénybe, az adatigénylőnek vajmi kevés esélye van.


■ „A »tízmillió« szövegrész helyébe a »húszmillió« szöveg lép”

Nézzük meg azonban közelebbről az Infotv. adat­védelmi részét érintő változásokat! Kezdjük egyből a leghúsbavágóbbal: a bírsággal. Szinte észrevétlenül bújt meg a sok módosítás között egy rövid sor, mely szinte az elgépelések javítását szolgáló bekezdések közé bújt: a NAIH pénz­ügyi szankciós mozgástere jócskán kibővült. Míg október 1-jéig maximum 10 millió forintos bírságot szabhatott ki a hatóság, addig ez az ősz utolsó hónapjától maximum 20 millió forintra emelkedik. Ha pedig végigböngésszük a NAIH 2012. január 1-jei megalakulása óta eltelt három és fél év statisztikáit, akkor sejthetjük, élni is fog ezzel a hatóság.

– A nyilvánosságra hozott bírságok az első évben még nem érték el a 20 millió forintot, a második évben nem sokkal, de átlépték ezt a határt – erre már dr. Pataki Gábor, adatvédelmi szakjogász mutatott rá. – A tavalyi évben azonban már „vastagabban fogott a toll”, két tízmilliós büntetésnek is „köszönhetően” már a 70 milliós határ fölé emelkedett a szám. Bár a bírság megállapításának pontos feltételrendszere nem volt rögzítve egyetlen jogszabályban sem, érezhető volt, hogy fokozatosan komolyodik a hatóság hozzáállása is a jogsértésekhez. Persze a bírság maximumának emelkedése vélhetően nem jelenti azonnal a kiszabott bírságok duplázódását, sokkal inkább arra számíthatunk, hogy a NAIH még jobban tud majd differenciálni, így pedig olyan ellentmondások feloldása is megtörténhet, mint ami az Optimusz Direkt Marketing Kft. tízmilliós bírságánál előfordult.

A nevezett céggel szembeni, 2014. december 22-i határozatában a NAIH kiemelte ugyan, hogy a hatóság „a szabályzat átalakítását a bírság kiszabását csökkentő tényezők között azonban figyelembe vette”, majd mégis a lehető legmagasabb, 10 millió forintos bírságot szabta ki…

A pénzbeli szankció változása egyébként is a levegőben lógott, a hatóság már 2014 októberében javasolta az egyedi körülményekhez rugalmasabban igazodó jogalkalmazás érdekében az alsó összeghatár elhagyását, ugyanakkor indokoltnak tartotta a lehetséges maximum felemelését, mert a nagy, multinacionális cégek esetében a tízmilliós bírságösszeg esetenként nem áll arányban a jogsértéssel és nem bír elégséges visszatartó erővel.

– Örülünk a 20 milliónak, az egységes európai adatvédelmi rendeletre való felkészülés folyamatában ez egy fontos állomás – ezt már dr. Péterfalvi Attila, a NAIH elnöke nyilatkozta lapunknak utalva arra, hogy nemsokára újabb változás jöhet az adatvédelem területén, ugyanis az Európai Unió nemsokára elfogadhatja az összes tagállamra kötelező érvényű adatvédelmi szabályozását. – Noha egyes hangok szerint a rendelet akár már az idén, jövő év elején elfogadásra kerülhet, kérdés, hogy mekkora felkészülési idő lesz a hatályba lépéséig. Sokan azt gondolják, hogy minél előbb hatályba kell lépnie. Éppen ezért ez egy olyan pont, amire a hatóság az oktatásban, az ismeretterjesztés során külön figyelmet fordít.

És hogy hogyan kapcsolódik össze a magyar bírság tételének emelkedése és a várható egységes európai adatvédelem? Jelenleg a 95/46/EK adatvédelmi irányelv határozza meg az Unióban az adatvédelem jogi rendszerét, ám ez nem közvetlenül alkalmazandó, először be kell emelni a helyi jogrendszerbe – a magyar jogrendszerbe történő beemelésekor pedig becsúszott néhány ellentmondás… Ezzel szemben nemsokára érkezik a rendelet, ami azonban már közvetlenül is hatályos lesz, tehát a tagállamokban felváltja a jelenleg használt adatvédelmi jogszabályokat. A rendelettervezet szövegezés szerint az adatvédelmi jogsértés esetén kiszabható bírság 1 millió euró vagy akár a megbírságolt vállalkozás éves, világszintű árbevételének 2-5%-a is lehet. Márpedig az 1 millió euró a honi 10 millió forintos plafonhoz képest jelentős változás.

– Jól érzékelte a hatóság még a korábbi javaslata megfogalmazásakor, ez már olyan tétel, ami olyan szervezeteket is az adatvédelmi tudatosság felé fog fordítani, amelyeknek a tízmillió forint szinte kerekítési hibahatáron belül mozog – elemzett Molnár Gábor. – Az egymillió eurós bírság persze valószínűleg csak nagyon indokolt és súlyos esetben lesz kiszabható, de ha azt vesszük, hogy a forint-euró árfolyamingadozás esetén csak a váltási különbség is akár 10 millió forint is lehet, akkor valóban nagyon nagyot lép előre az adatvédelem a szankciók tekintetében. Ettől persze még a 20 millió forint is messze van, de egy lépés a közelítéshez.


■ BCR, a határokon átívelő adatvédelem

Az Infotv. adatvédelmi részének módosítása a magyar jogalkotó egy régi adósságát is rendezi. Ma már nem ördögtől való, hogy egy nemzetközi cég minden dolgozójának adatait a cég egyesült államokbeli központjában tárolják, a bérszámfejtés a portugál leányvállalatnál történik, az informatikai support pedig Londonból érkezik. Ennek a helyzetnek a könnyebb kezelésére hozta létre a jogalkotó a binding corporate rules-t (BCR), azaz a kötelező erejű vállalati szabályozást. Egy megfelelő szabályozás a vállalatcsoporton belüli adatáramlást segíti elő – 2015. október 1-jétől végre Magyarország is elismeri és deklarálja ezt.
– Nehéz volt eddig elmagyarázni egy-egy nemzetközi partnerünknek, hogy ami működik Né­met­országban vagy az Egyesült Királyságban, az miért nem jó Magyarországon – mutatott rá a korábbi szabályozás visszásságára Pataki Gábor. – Mivel a legtöbb országban ugyanazt a szabályzatot alkalmazza egy szervezet, így joggal várták volna el, hogy ne kelljen azt ezen a 93 ezer négyzetkilométeren félredobva újat alkotni. Mostantól ez tehát megoldódik, de árnyalnám a képet, hogy a BCR nem jolly joker lesz, csupán egy plusz lehetőség a multinacionális cégek számára. Önmagában a kötelező vállalati szabályozás még nem írja felül az öszszes adatkezelési elvet, tehát továbbra is meg kell felelni többek között a célhoz kötöttség vagy az adatminimalizálás elvének.

A jogintézmény bevezetése azt az áldatlan állapotot szünteti meg, amiről a szakértő is beszélt: a nemzetközi vállalkozások Magyarországon nem használhatták eddig a világszerte alkalmazott szabályzatukat, itt újat kellett alkotni. Ki kell azonban emelni, hogy a BCR csak az egy cégcsoporton belüli adatáramlást rendezheti, a külső félnek történő adattovábbításra továbbra is az általános szabályok lesznek az irányadók. Ami pedig még egy csavar a történetben (de ez egyáltalán nem magyar sajátosság, ez az Unióban is így működik): bár a törvény felhatalmazást ad a BCR használatára, önmagában még egy belső szabályozás sem lesz megfelelő csak azért, mert a multinacionális cég bevezeti azt Magyarországon is. Mint már a törvényi definícióból is kiviláglik, a kötelező szervezeti szabályozást a Nemzeti Adatvédelmi és Információszabadság Hatóságnak jóvá is kell hagynia.

– A BCR-ok elfogadtatása október 1-jével megkezdődhet, a megfelelő embereket már ráállítottuk erre a feladatra – válaszolta a NAIH elnöke arra a kérdésünkre, hogy hogyan készültek fel a törvénymódosítás adta új feladatra. – Arra vonatkozóan nincsenek előzetes számításaink, hogy hány szabályozás érkezik hozzánk majd jóváhagyásra, de az biztos, hogy mindegyiket a jogszabályi határidőn belül el fogjuk tudni bírálni.

Persze a hatóságot nem lepte meg a változás, lévén minden szakmai fórumon hangoztatta Péterfalvi Attila és minden munkatársa, hogy mielőbb be kell emelni a magyar jogrendszerbe is ezt a jogintézményt.

– Egy dolog azonban biztos, a BCR nem lehet ellentétes a honi szabályozással – erre már Molnár Gábor, az L Tender-Consulting Kft. ügyvezetője és adatvédelmi szakértője mutatott rá. – Óva intem tehát minden multinacionális ügyfelemet, hogy fejvesztve rohanjanak a hatósághoz a jóváhagyásért. Bár a NAIH még nem hozta nyilvánosságra azt a szempontrendszert, ami alapján jóvá fog hagyni BCR-okat, de az egészen biztos, hogy a magyar joggal való előzetes egyeztetés nélkül könnyen meglepetések érhetik a multikat. Érdemes tehát előbb megvizsgáltatni a BCR-t, majd csak ezt köve­tően besétálni vele a Szilágyi Erzsébet fasorra.


■ Incidens: váratlan, többnyire kellemetlen esemény

A törvénymódosítás egyúttal bevezeti az „adatvédelmi incidens” fogalmát is: személyes adat jogellenes kezelése vagy feldolgozása, így különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés mind ebbe a kategóriába tartozik majd. Hogy miért lényeges mindez? A jogszabályi rész hatályba lépését követően valamennyi adatkezelő köteles az incidensekről adatvédelmi nyilvántartást vezetni – hogy ez vajon csak adminisztratív pluszterhet vagy az adatvédelmet szolgáló előrelépés lesz-e, azt majd a gyakorlat alakítja ki.

 

Hogyan érinti az Ön cégét az Infotv. módosítása?Milyen teendői vannak? Segítséget, információt szeretne kérni?

Keresse szakértőinket:

Molnár Gábormolnar.gabor@ltender.hu, +36707735903

dr. Pataki Gáborpataki.gabor@ltender.hu, +36706207160

 

 

 

© Detektor Plusz    2010    Minden jog fenntartva.
powered by SiteSet