hotline

Megjelent az Infotörvény módosítási javaslata

Ha esetleg valaki még nem látta volna, nem tudná: A Kormány közzétette az Igazságügyi Minisztérium előterjesztését az Infotv. GDPR-ral összefüggő módosításával kapcsolatosan (Infotv_jogharm_modositas_eloterjesztes_170825.pdf).
Azaz ez a javaslat hivatalosan „az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról”.
Itt is szeretnénk megjegyezni, hogy nem vagyunk jogászok, a TMSI Kft. informatikai cég, nem adhatunk jogi tanácsot, ilyenre nem vagyunk jogosultak.

Ugyanakkor a módosítási javaslattal kapcsolatban van egy-két észrevételünk:

• A Javaslat változatlanul nem egyértelműsíti a papír alapú személyes adatok kezelését. A NAIH elnöke több alkalommal és több helyen megerősítette, hogy a GDPR-rel kapcsolatos hatósági ellenőrzések ki fognak terjedni minden személyes adat kezelésére nem csak a digitális formában létezőkre.

• A Javaslat a Rendeletben explicit módon megfogalmazott technikai-informatikai eszközöket és megoldásokat (álnevesítés, titkosítás, BCP/DRP) jóval visszafogottabban kezeli, adott esetben egyáltalán nem nevesíti, ez a Rendelet alkalmazása során bizonytalanságot szülhet.

• A Javaslat a bejelentési kötelezettséget előírja, de a 72 órás határidőt nem pontosítja („az adatvédelmi incidensről való tudomásszerzését követően”).

• Erőltetett az eddig létezett “kötelező adatkezelés” mint jogalap beleerőltetése a törvénymódosításba (Javaslat (3) pont), ugyanis a GDPR-ban található jogalapok között ilyen nem található, a hivatkozott 6. cikk (1) bekezdés c) és e) pontjai nem ilyenek.

• Nagyon pozitív, hogy rendezi a fordítási hibát a Rendelet 37. cikk (7) vonatkozásában.

• A kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény 12/A. § (1) bekezdésének alkalmazását mellőzi, azaz kifejezetten bevonja az e vállalkozások számára igen magas bírságok körébe. A jelzett paragrafus úgy fogalmaz, hogy „A hatósági ellenőrzést végző szervek kis- és középvállalkozásokkal szemben az első esetben előforduló jogsértés esetén – az adó- és vámhatósági eljárást és a felnőttképzési tevékenységet folytató intézmények ellenőrzésére irányuló eljárást kivéve – bírság kiszabása helyett figyelmeztetést alkalmaznak, ….”. Ezt a GDPR esetében a Hatóság nem teheti meg, mivel EU rendeletről van szó, ami „…teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.” Azaz: nincs „elsőre csak figyelmeztetés”, hanem azonnal kötelező a bírság.

• A hazai törvényjavaslat ráadásul olyan többletkötelezettségeket ír elő a GDPR rendelethez képest, amely az eredetiben nem szerepel, azaz a külföldi adatkezelőket nem fogja terhelni. Ilyen többletkötelezettség például az az általános, háromévenkénti felülvizsgálat, hogy az adatok kezelése szükséges-e az adatkezelés céljának megvalósulásához.

A tervek szerint a javaslat valamikor októberben kerül a parlament elé, ahol a javaslat elnyeri végső formáját.