Dr. Péterfalvi Attila

Mit kell tenni a megfelelőség érdekében a

hatóság szemszögéből?

Mit és hogyan fog ellenőrizni a hatóság?

Bevezetés

Alapvetés az információs önrendelkezési jogról

➢ Kezdet: USA, 1890 (Brandeis és Warren), a „Háborítatlansághoz való jog” megjelenése is

technikához kötődik (a fényképezőgép elterjedése)

➢ Első generációs jogszabályok: Nyugat-Európa, 1970-es évek, számítástechnikai fejlődés

adatfeldolgozás és adattárolás korlátlan lehetőségei (elsősorban állami körben), ennek milyen negatív

következményei lehetnek a polgárok magánéletére? számítógépes vagy automatizált

nyilvántartásokra vonatkozó jogi dokumentumok (például: Az Európa Tanács 1981-es Egyezménye az

Egyének Védelméről Személyes Adatok Gépi Feldolgozása Során)

➢ Második generációs jogszabályok: 1980-90-es évek, a jogalkotás már nem a technikára, hanem az

adat mögött álló személyre összpontosít információs önrendelkezési jog és integrált

információrendszerekben nyilvántartások korlátlan összekapcsolásának tilalma (német

alkotmánybíróság 1983. december 15-i ún. népszámlálási-ítélete - Volkszahlungsurteil) (például:

1995-ös Adatvédelmi Irányelv)

➢ Harmadik generációs jogszabályok: uniós bővítések és globális technológiai trendek jogi

standardizálási törekvés, információáramlás mérete és minősége miatt információs önrendelkezési

jogról hangsúly áttevődik az adatkezelési jogalapok kidolgozására és a tisztességes adatkezelés

elvére (például: készülő e-Privacy Rendelet)

1.

Az adatvédelem hazai alapjai

Magyarország Alaptörvénye (2011. április 25.)VI. cikk

(1) Mindenkinek joga van ahhoz, hogy magán- és családi életét, otthonát,

kapcsolattartását és jó hírnevét tiszteletben tartsák.

(2) Mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű

adatok megismeréséhez és terjesztéséhez.

(3) A személyes adatok védelméhez és a közérdekű adatok megismeréséhez való

jog érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi.

Az információs önrendelkezési jogról és az információszabadságról

szóló 2011. évi CXII. törvény (Infotv.)

A törvény az információs önrendelkezési jog és az információszabadság biztosítása

érdekében, a személyes adatok védelmét, valamint a közérdekű és a közérdekből

nyilvános adatok megismeréséhez és terjesztéséhez való jog érvényesülését

szolgáló szabályokról rendelkezik. Célja az adatok kezelésére vonatkozó alapvető

szabályok meghatározása annak érdekében, hogy a természetes személyek

magánszféráját az adatkezelők tiszteletben tartsák.

2.

Az uniós jog forrásai

Az Európai Unió elsődleges joga

Az unió első alapító szerződései Nizzai Szerződés

Egységes Európai Okmány Lisszaboni Szerződés

A Maastrichti Szerződés Alapjogi Charta

Az Európai Unió másodlagos joga

• Rendeletek

• Általános hatállyal bírnak, teljes egészében kötelezőek és közvetlenül

alkalmazandók. A címzetteknek (magánszemélyeknek, tagállamoknak, uniós

intézményeknek) maradéktalanul be kell tartaniuk őket. Hatálybalépésüktől kezdve

az összes tagállamban közvetlenül alkalmazandók, anélkül, hogy át kellene ültetni

őket a nemzeti jogba.

• Irányelvek

• Az irányelvek az elérendő célokat tekintve kötelezőek a címzett tagállam (vagy

tagállamok, illetve az összes tagállam) számára, a célkitűzések megvalósításának

formáját és eszközeit azonban a tagállamok választhatják meg. A nemzeti

jogalkotónak átültető jogszabályt (más kifejezéssel „nemzeti végrehajtási

intézkedést”) kell elfogadnia, amellyel a nemzeti jogszabályokat az irányelvekben

megállapított célkitűzésekhez igazítja.

• Határozatok, ajánlások és vélemények3.

Az Európai Parlament és a Tanács 2016. április 27-én fogadta el az új uniós

adatvédelmi csomagot, amelynek két eleme az adatvédelem általános keretét

meghatározó rendelet (2016/679/EU rendelet – GDPR) és a bűnüldözési célból

kezelt személyes adatok védelmére vonatkozó irányelv (2016/680/EU irányelv –

bűnügyi irányelv).

Míg a GDPR 2018. május 25-től EU-szerte közvetlenül alkalmazandó, addig az

irányelvet a tagállamoknak 2018. május 6-ig kell átültetniük nemzeti jogszabályaikba.

A reform célja a 95/46/EK adatvédelmi irányelvben, valamint a büntetőügyekben

folytatott rendőrségi és igazságügyi együttműködés keretében feldolgozott személyes

adatok védelméről szóló 2008/977/IB tanácsi kerethatározatban lefektetett

szabályok korszerűsítése.

A bűnüldözés során a tagállamok hatóságainak – a nemzetközi bűnözés és

terrorizmus elleni küzdelem részeként – egyre gyakrabban kell személyes adatokat

feldolgozniuk és továbbítaniuk. Ebben az összefüggésben az érintett hatóságok

közötti együttműködés javításához elengedhetetlenül fontos, hogy az adatvédelemre

uniós szinten világos és koherens szabályozás vonatkozzon.4.

GDPR(Az Európai Parlament és Tanács (EU)2016/679 Rendelete)

Általános adatvédelmi rendelet

2018. május 25-től alkalmazni kell (már hatályos)!

„A gyors technológiai fejlődés és a globalizáció új kihívások elé

állította a személyes adatok védelmét. A személyes adatok gyűjtése

és megosztása jelentős mértékben megnőtt. A technológia a

vállalkozások és a közhatalmi szervek számára tevékenységük

folytatásához a személyes adatok felhasználását minden eddiginél

nagyobb mértékben lehetővé teszi. Az emberek egyre nagyobb

mértékben hoznak nyilvánosságra és tesznek globális szinten

elérhetővé személyes adatokat. A technológia egyaránt átalakította a

gazdasági és társadalmi életet, és egyre inkább elősegíti a

személyes adatok Unión belüli szabad áramlását és a személyes

adatok harmadik országok és nemzetközi szervezetek részére

történő továbbítását…” (Preambulum (6))

Szilárd, következetesebb jogi keret, erős kikényszeríthetőség,

információs önrendelkezési jog, jogbiztonság, gyakorlati biztonság.

5.

GDPR – szabályozási pontok

1. Tisztességes adatkezelés elve, gyermekek kiemelt védelme

2. Kiterjesztett és mellérendelt jogalapok

3. Érintetti jogok („elfeledtetéshez”, adatkezelés korlátozásához,

adatok hordozhatóságához, automatizált döntéshozatal egyedi

ügyekben, beleértve a profilalkotást)

4. Álnevesített személyes adatokra kiterjedő hatály, genetikai adatok,

biometrikus adatok

5. Beépített és alapértelmezett adatvédelem

6. Közös adatkezelők

7. Adatfeldolgozók (részletes szabályozás!)

8. Adatvédelmi incidens, az érintett tájékoztatása

9. Adatvédelmi hatásvizsgálat (különösen új technológiák vagy

profilalkotás esetében)

10.Előzetes konzultáció

11.Adatvédelmi tisztviselő

12.Magatartási kódexek

13.Tanúsítás

14.Adattovábbítás harmadik országba (részletes szabályozás!)

15.Adatvédelmi hatóságok együttműködése (one-stop-shop)6.

Adatkezelő

feladatai

24. cikk

Elvek

5. cikk

Beépített és

alapértelmezett

adatvédelem

25. cikk

Magatartási kódex

40. cikk

Adatvédelmi

tisztviselő

37. cikk

Hatásvizsgálat

35. cikk Adatkezelés

nyilvántartása

30. Cikk

BCR

47. cikk

Incidens bejelentés

33. cikk

Tanúsítvány

42. cikk

PET

audit

stb.

Elszámoltathatóság

7.

Elszámoltathatóság

4. cikk

(1) A személyes adatok:

a) kezelését jogszerűen és tisztességesen, valamint az érintett számára

átlátható módon kell végezni („jogszerűség, tisztességes eljárás és

átláthatóság”);

b)

c)

d)

e)

f)

(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá

képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

8.

Személyes adatok automatizált kezelésének bármely olyan formája,

amelynek során a személyes adatokat valamely természetes

személyhez fűződő bizonyos személyes jellemzők értékelésére,

különösen a munkahelyi teljesítményhez, gazdasági helyzethez,

egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez,

megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy

mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére

használják.

Profilalkotás

9.

Magatartási kódex lényege

➢ A Rendeletnek való megfelelés elősegítése iparági szempontok

figyelembevételével

10.

11.

12.

13.

Magatartási kódexnek való megfelelés

ellenőrzése és kikényszerítése

a HATÓSÁG által AKKREDITÁLT

ELLENŐRZŐ

SZERVEZET

nincs összeférhetetlenség

független

a kódex tárgyában

szakértelemmel bír

ellenőrizni tudja, hogy az adatkezelő

alkalmasak-e a kódex alkalmazására

ellenőrizni tudja, hogy az adatkezelő

betartja a kódexet

rendszeres időközönként

felül tudja vizsgálni a kódex

működését

a nyilvánosság számára átlátható módon

kezelni tudja a kódex megsértésével,

illetve alkalmazásával kapcsolatos

panaszokat

• Természetes személyek védelme

• Személyes adatok szabad áramlása

• Együttműködés a hatóságok között

Rendelet egységes alkalmazása

14.

Hatásvizsgálat lényege

Az adatkezelések előzetes kontrollja

kockázatok feltárása

kockázatok mérséklésére intézkedés

15.

16.

17.

18.

fizikai, vagyoni vagy

nem vagyoni károkhoz

vezet

hátrányos

megkülönböztetés

személyazonossággal

való visszaélés

pénzügyi

veszteség

a jó hírnév

sérelme

bizalmasság

megsértése

az érintettek nem

gyakorolhatják

jogaikat és

szabadságaikat

az érintettek nem

rendelkezhetnek saját

személyes adataik felett

különleges adatok

kezelése

profilalkotás

viselkedés vagy

mozgás követése

ha kiszolgáltatott személyek

személyes adatai (pl.

gyermek)

nagy mennyiségű

személyes adatnagyszámú érintett

valószínűsíthetően

magas kockázattal jár a

természetes személyek

jogaira és szabadságaira

nézve

preambulum (75)

19.

Nem kell hatásvizsgálatot lefolytatni

uniós vagy az

adatkezelőre

alkalmazandó tagállami

jog írja elő, és e jog a

szóban forgó konkrét

adatkezelési műveleteket

is szabályozza, valamint e

jogalap elfogadása során

egy általános

hatásvizsgálat részeként

már végeztek adatvédelmi

hatásvizsgálatot

Ha az adatkezelés az

adatkezelőre vonatkozó jogi

kötelezettség teljesítéséhez

szükséges;

Ha az adatkezelés közérdekű

vagy az adatkezelőre ruházott

közhatalmi jogosítvány

gyakorlásának keretében

végzett feladat

végrehajtásához szükséges;

Hatósági lista

1.

2.

kivéve, ha a

tagállamok az

adatkezelési

tevékenységet

megelőzően ilyen

hatásvizsgálat

elvégzését

szükségesnek tartják

20.

Előzetes konzultáció

• Ha az előírt adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés

az adatkezelő által a kockázat mérséklése céljából tett intézkedések

hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok

kezelését megelőzően az adatkezelő konzultál a felügyeleti hatósággal.

• Ha a felügyeleti hatóság véleménye szerint a tervezett adatkezelés

megsértené e rendeletet – különösen, ha az adatkezelő a kockázatot nem

elégséges módon azonosította vagy csökkentette -, a felügyeleti hatóság

az adatkezelőnek és adott esetben az adatfeldolgozónak írásban tanácsot

ad, továbbá gyakorolhatja az 58. cikkben említett hatásköreit.

Adatvédelmi incidens bejelentése,

33-34. cikk

21.

Az adatvédelmi incidens jelentés három szintje

Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül,

és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi

incidens a tudomására jutott, bejelenti a felügyeleti hatóságnak, kivéve,

ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal

a természetes személyek jogaira és szabadságaira nézve.[GDPR 33. cikk (1) bekezdés]

Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve

az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és

az orvoslására tett intézkedéseket.[GDPR 33. cikk (5) bekezdés]

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal

jár a természetes személyek jogaira és szabadságaira nézve, az

adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az

adatvédelmi incidensről.[GDPR 34. cikk (1) bekezdés]

1

2

3

Adatvédelmi incidens bejelentése,

33-34. cikk

22.

Incidens feltárása és kezelése

Incidens jelentése a

Hatóságnak

Az érintett értesítése

Incidens kezelés megindítása

Tudomásszerzés

Adatvédelmi incidens bejelentése,

33-34. cikk

23.

Adatvédelmi incidens bejelentése,

33-34. cikk

24.

Formanyomtatvány

Bejelentő adatai pl.: az adatvédelmi tisztviselő elérhetősége

Időpontokpl.: az incidens időpontja, az incidensről való tudomásszerzés időpontja, az esetleges késedelmes jelentés indokai

Az adatvédelmi incidens jellege pl.: eszköz elvesztése vagy ellopása, informatikai rendszer feltörése,rosszindulatú számítógépes programok (zsarolóvírus)

Az adatvédelmi incidenssel érintett személyes adatok bemutatása és mennyisége

Érintettek kategóriái pl.: alkalmazottak, ügyfelek, kiskorúak stb.

Az incidens előtt alkalmazott intézkedések

Következmények megjelölése pl.: bizalmas jelleg sérülése, integritás sérülése, rendelkezésre állás sérülése

Az incidens valószínűsíthető hatásai az érintettekre, valamint ezek súlyossága

pl.: az érintetteket ért fizikai, anyagi vagy nem vagyoni károk bemutatása

Megtett intézkedések, ideértve az érintettek tájékoztatását

pl.: a tájékoztatás időpontja, formája, tartalma, módja; az adatvédelmi incidens orvoslására tett intézkedések (password reset, patch, update)

Egyéb bejelentések pl.: a vezető hatóságnak bejelentett határokon átnyúló adatvédelmi incidens; az EU felügyeleti hatóságok megnevezése, amelyeket az adatvédelmi incidens érinthet; NIS irányelv szerinti jelentés történt-e

• Tanúsítvány kibocsátása

• Kérelemre induló eljárás

• Tanúsító szervezetek akkreditációja a Testület által

meghatározott szempontok szerint

Tanúsítás,

42-43. cikk

25.

Adatvédelmi hatóságok

hatásköre és eljárásai

26.

Hatáskörök

• Vizsgálati

• Korrekciós

• Engedélyezési és tanácsadási

• Bírósági jogorvoslat

• Bírósági eljárásban való részvétel

• További hatáskörök tagállami szabályozástól

függően

27.

Egyablakos ügyintézés

60. cikk

• Panasz

• Határon átnyúló adatkezelés?

• Hatóságok közötti egyeztetés – fő és érintett

felügyeleti hatóság

• Konszenzusos döntéshozatal

• Vitarendezés a Testület előtt

28.

Egyablakos ügyintézés

60. cikk

• A határozat az EU egész területén

érvényesítendő

• Jogorvoslat: a döntéshozatal helye szerinti

bíróság előtt

29.

• Egységességet szolgáló vélemények

• Vitarendezési eljárás

• Közös informatikai platform

Az Európai Adatvédelmi Testület

30.

• Egységes alkalmazást szolgálja

• Tartalma kötelező a tagállamra nézve

• Véleménytől eltérő tagállami döntés esetén

vitarendezési eljárás indul

Az Európai Adatvédelmi Testület

véleménye, 64. cikk

31.

GDPR – Irányelv - hazai jogalkotás

Személyesadatok

védelmének joga

Infotv.

GDPR

Meg kell teremteni azösszhangot a GDPR ésa hazai jogszabályok

között

új hazai jogszabályok, ésmeglévő jogszabályokmódosítása, hatályon

kívül helyezése

32.

Az Irányelv nemzeti jogba ültetése

Bűnügyi irányelv

1.) GDPR : teljes jogegységesítés

- deregulációs kötelezettség a GDPR hatálya alá tartozó jogterületeken

- pozitív jogalkotási kötelezettség elsősorban az intézményi és eljárásjogi keretek biztosítására

vonatkozik (NAIH kijelölése, eljárásrendjének kialakítása)

2.) „büntetős” irányelv: nemzeti jogok harmonizációja

Egyes közrendvédelmi-közbiztonsági, bűnmegelőzési, bűnfelderítési, bűnüldözési, büntetőeljárási

és büntetés-végrehajtási tevékenységet (ideértve a szabálysértésekkel összefüggő tevékenységet)

végző szervezetek adatkezelési jogviszonyai tekintetében át kell ültetni a magyar jogba az irányelv

szabályait.

GDPR miatt deregulált szabályok helyére kerülnek az Infotv.-ben az új szabályok

Az irányelv hatálya a kerethatározathoz képest szélesebb, ugyanis a bűnüldözési célú (beleértve a

terrorizmus, a szervezett bűnözés és a számítástechnikai bűnözés elleni küzdelmet is) adatkezelés

+ a közbiztonságot fenyegető cselekmények elleni védelemre és azok megelőzésére,

valamint

+ a nem állami, de bűnüldözési célból adatokat kezelő gazdasági társaságokra,

szervezetekre (pl. magánüzemeltetésű börtönök) is kiterjed.

3.) Információszabadságra vonatkozó joganyagot nem érinti a módosítás.

Infotv. módosítás irányai

33.

Az Infotv. hagyományosan egy normában tartalmaz minden általánosan,

horizontálisan alkalmazandó adatvédelmi szabályt.

Az Infotv. 2018. május 25. után továbbra is irányadó marad minden olyan

adatkezelési jogviszonyra, amely nem tartozik a GDPR hatálya alá, így a

tartalma az alábbiak szerint alakul:

1.) „büntetős” irányelv hatálya alá tartozó jogviszonyok szabályozása

2.) GDPR végrehajtásához szükséges, azt kiegészítő szabályok

3.) uniós jog hatálya alá nem tartozó jogviszonyok szabályai

(ide tartoznak egyrészről a nemzetbiztonsági és a honvédelmi célú, másrészről

pedig a papír alapú, nem nyilvántartási célú adatkezelések)

4.) információszabadság

5.) szervezeti szabályok és eljárásjog

Infotv. (2018. május 25.)

34.

A NAIH jogállása változatlan (az eddigi szabályozás már megfelelt az uniós

elvárásoknak)

- hatáskör módosul: az eddigi adatvédelmi nyilvántartást új nyilvántartások váltják

fel, és új hatáskörök jelennek meg (pl. hatásvizsgálattal kapcsolatos pozitív és

negatív lista kiadása, előzetes konzultáció, új engedélyezési hatáskörök,

tanúsítás)

- Infotv. a GDPR és a „büntetős” irányelv szabályainak megfelelően kifejezetten

rendelkezik arról, hogy a NAIH hatásköre nem terjed ki a bírósági döntés

meghozatalára irányuló peres és nem peres eljárásokban, az azokra vonatkozó

előírások alapján a bíróság által végzett adatkezelési műveletekre erre a

bírósági szervezetrendszerbe ágyazott megoldást nyújt majd a szabályozás

(NAIH konzultáció)

Infotv. (2018. május 25.)

35.

Infotv. (2018. május 25.)

NAIH eljárásait érintő módosítások I.

1.) vizsgálat

- bejelentésre és hivatalból is indítható

- információszabadság területén is megmarad

- speciális formája: bűnüldözési célú adatkezelések esetén az érintett a NAIH

vizsgálatát kezdeményezheti az adatkezelő intézkedése jogszerűségének vizsgálata

céljából, ha az adatkezelő az érintetti jogainak (pl. hozzáféréshez, helyesbítéshez

vagy törléshez való jog) érvényesítését korlátozza vagy ezen jogainak

érvényesítésére irányuló kérelmét elutasítja

2.) adatvédelmi hatósági eljárás

- indulhat:

• az érintett kérelmére, ha megítélése szerint a rá vonatkozó személyes adatok

kezelése megsérti a rendeletet (GDPR 77. cikk)

• hivatalból

- az Ákr. szabályait kell alkalmazni az Infotv.-ben írt eltérésekkel (nemzetközi

együttműködési mechanizmus érvényesülése) 36.

Infotv. (2018. május 25.)

NAIH eljárásait érintő módosítások II.

3.) új adatkezelési engedélyezési eljárások

- Ákr. szabályait kell alkalmazni az Infotv.-ben meghatározott eltérésekkel

(többszöri egyeztetési lehetőség)

- magatartási kódex jóváhagyása

- magatartási kódexnek való megfelelés ellenőrzésére irányuló tevékenység

engedélyezése

- tanúsítvány alapjául szolgáló tanúsítási szempontok jóváhagyása

- 3. ország és nemzetközi szervezet részére személyes adatok továbbítására

vonatkozó szerződéses rendelkezések engedélyezése

- kötelező erejű vállalati szabályok jóváhagyása

37.

Infotv. (2018. május 25.)

NAIH eljárásait érintő módosítások III.

4.) új adatvédelmi hatósági nyilvántartás: megújult tartalom

a) azon NAIH határozatok nyilvántartása, amelyek nyilvánosságra hozatalát a

NAIH elrendelte [Infotv. 61. § (2) bekezdése]

b) engedélyezési jogkörben hozott határozatok nyilvántartása

c) adatvédelmi tisztviselő elérhetőségeinek nyilvántartása

5.) szakhatósági közreműködés a tanúsító szervezetek akkreditációja során a

Nemzeti Akkreditáló Hatóság (NAH) eljárásában

38.

Költségvetési kiadások összesen:

KÖFOP pályázat Összeg (eFt)

Személyi juttatás + járulékok 50 000

Szoftver 300 000

Kiemelt előirányzatok megnevezése Összeg (eFt) - 2017 Összeg (eFt) - 2018

Személyi juttatások + járulékok 514 800 752 700

Beruházások + dologi kiadások 127 500 331 400

Összesen: 642 300 1 084 100

Létszám 73 fő 114 fő (2019)

39.

Köszönöm a figyelmet!

Dr. Péterfalvi Attila, elnök

c. egyetemi tanár

H-1125 Budapest, Szilágyi Erzsébet fasor 22/c.

H-1530 Budapest, Pf. 5.

Tel.: +36 391-1400

Fax: +36 391-1410

elnok@naih.hu

ugyfelszolgalat@naih.hu

www.naih.hu