Kérdések és válaszok: Adatvédelmi jogi keretrendszer Magyarországon

Jogi és Szabályozó Hatóság

Jogalkotási struktúra

Foglalja össze a személyes adatok védelmére vonatkozó jogszabályi keretet. Az Ön joghatósága rendelkezik konkrét adatvédelmi jogszabályokkal? Az Ön joghatósága alá tartozó adatvédelmi törvény a magánélet védelmével vagy az adatvédelemmel kapcsolatos nemzetközi okmányokon vagy más joghatóságok törvényén alapul?

A PI védelmének közös magyar szabályozási eszközei az EU Általános Adatvédelmi Rendelete (GDPR) és az Információs Önrendelkezési és Információszabadságról szóló 2011. évi adatvédelmi törvény (Adatvédelmi törvény). A CXII

Az adatvédelmi törvény 2018 júliusában módosult a GDPR magyarországi bevezetése érdekében. Az adatvédelmi törvény három rendelkezési kategóriából áll:

• A GDPR szerinti adatkezelésre vonatkozó szabályok. Ezek további eljárási és anyagi rendelkezések, amelyek lehetővé teszik a GDPR-tól való eltérést vagy a nemzeti jogszabályok alkalmazását;
• A GDPR hatályán kívül eső adatkezelési tevékenységekre vonatkozó szabályok; És
• (EU) 2016/680 végrehajtási irányelv (bűnüldözési irányelv) A bűnüldözési, nemzetbiztonsági és honvédelmi célú adatkezelésre alkalmazandó szabályok.

Adatvédelmi Hatóság

Melyik hatóság felelős az adatvédelmi jogszabályok felügyeletéért? Mekkora a nyomozási jogköre?

Az adatvédelmi jogszabályok felügyeletéért felelős hatóság a Nemzeti Adatvédelmi és Információszabadság Bizottság (a Hatóság). A Bizottság a következő vizsgálati jogkörrel rendelkezik:

• Felvilágosítást kérhet és nyilatkozattételre kérheti az ügyfelet;
• Tanúktól tanúvallomást kérhet (beleértve a kihallgatások lefolytatását is);
• hozzáférjen minden PI-hez és a feladatai ellátásához szükséges információhoz;
• Kérheti továbbá a PI és egyéb információk másolatát;
• Helyszíni bejárást végezhet, és hozzáférést kérhet az adatkezelés során használt berendezésekhez; És
• Kérhet szakértői véleményeket.

Együttműködés más adatvédelmi hatóságokkal

Vannak-e jogi kötelezettségei az adatvédelmi hatóságnak a más adatvédelmi hatóságokkal való együttműködésre, vagy létezik-e mechanizmus a különböző megközelítések megoldására?

A Bizottság tagja az Európai Adatvédelmi Testületnek (EDPB), amely iránymutatásokat tesz közzé, hogy biztosítsa a GDPR értelmezése tekintetében a tagállamok közötti következetességet. Az EDPB iránymutatásainak 29. cikke vagy az adatvédelmi munkacsoport (az európai adatvédelmi testület elődje) által meghatározott kérdések tekintetében a Bizottság ezeket az iránymutatásokat követi.

Határokon átnyúló adatkezelés esetén a Bizottság felfüggeszti az intézkedést mindaddig, amíg a vezető felügyeleti hatóság jelentést nem készít az ügynek a GDPR egyablakos ügyintézése alapján történő felvételéről. Ilyen esetekben a vezető felügyeleti hatóságnak és a Bizottságnak együtt kell működnie a kölcsönösen elfogadható megoldás megtalálása érdekében. Ha nem tudják, az arányossági mechanizmust kell alkalmazni, amelyben az európai adatvédelmi hatóság mondhatja ki a végső szót.

Az adatvédelmi törvény megsértése

Az adatvédelmi jogszabályok megsértése közigazgatási szankciókat, végzéseket vagy büntetőjogi szankciókat von maga után? Hogyan kezelik az ilyen jogsértéseket?

A jogsértések a jogsértés típusától függően szankciókat vonhatnak maguk után. A legfélelmetesebb szankció a GDPR megsértéséért kiszabott közigazgatási bírság, amely elérheti a 20 millió eurót vagy a vállalat éves bevételének 4 százalékát (amelyik magasabb).

A Bizottság a GDPR-ban meghatározott korrekciós intézkedéseket is előírhat:

• megrovásban részesíti azt az adatkezelőt vagy adatfeldolgozót, akinek adatkezelési tevékenysége sérti a GDPR rendelkezéseit;
• az adatkezelőnek vagy adatfeldolgozónak az érintett jogai gyakorlására irányuló kérésének teljesítésére való kötelezése;
• kötelezze az adatkezelőt vagy adatfeldolgozót, hogy adatkezelési tevékenysége során tartsa be a GDPR rendelkezéseit;
• utasítja az adatkezelőt, hogy értesítse az érintettet a személyes adatok megsértéséről;
• ideiglenes vagy végleges korlátozás elrendelése (feldolgozási tilalom);
• a PI javítása, törlése vagy feldolgozásának korlátozása;
• harmadik országban vagy nemzetközi szervezetben lévő címzett részére történő adatáramlás felfüggesztésének elrendelése; És
• Tanúsítvány visszavonása vagy tanúsító szervezet megbízása tanúsítvány visszavonására.

Az adatvédelmi törvények pénzügyi haszonszerzés vagy az egyéneknek okozott jelentős kár érdekében történő megsértése büntetőjogi szankciókat vonhat maga után. A Hatóságnak kétféle eljárása van a jogsértések kezelésére:

• Vizsgálat: A hatóság panasz alapján (bárki megteheti) vagy hivatalból vizsgálatot kezdeményezhet. A vizsgálat végén a Bizottság elrendelheti a helyzet orvoslását. Az adatkezelő köteles a helyzetet a megrendelés kézhezvételétől számított 30 napon belül orvosolni. A vizsgálati eljárás során a Bizottság nem szab ki bírságot vagy egyéb korrekciós intézkedést.
• Adminisztratív eljárás: Adminisztratív eljárás indítható panasz alapján (panaszra csak az érintett érintett) vagy hivatalosan. A Hatóság csak abban az esetben indítja meg hivatalosan az igazgatási eljárást, ha a Bizottság a vizsgálati szakaszban végzést hozott, de az adatkezelő határidőn belül nem orvosolta a helyzetet, vagy a vizsgálati szakaszban jogellenes adatkezelés történt és a Bizottság döntése alapján. A GDPR rendelkezései bírságot szabhatnak ki.

Lehetőség

Mentesített ágazatok és intézmények

Az adatvédelmi törvény minden ágazatra és szervezettípusra kiterjed, vagy bizonyos tevékenységek kívül esnek a hatályán?

A magyar adatvédelmi törvények minden típusú cégre kiterjednek. Kivétel vonatkozik arra az esetre, ha magánszemélyek háztartási célból dolgoznak fel PI-t, ellenkező esetben a PI-t feldolgozó bármely szervezetre a magyar adatvédelmi törvények vonatkoznak.

Ha az EU általános adatvédelmi rendelete (GDPR) nem alkalmazandó (pl. nemzetbiztonsági szervek vagy bíróságok által végzett PI-feldolgozás), az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (adatvédelmi törvény) rendelkezései továbbra is érvényesek. . Ebben az esetben a Nemzeti Adatvédelmi és Információszabadság Bizottság (a Hatóság) lesz a 20 millió forintig terjedő bírság kiszabására korlátozott korrekciós jogkörrel rendelkező felügyeleti hatóság. A PI bírósági feldolgozása esetén a feldolgozást a bíróságok felügyelik (nem joghatóság).

Mivel ezek a kivételek ritkák, ez a fejezet csak a GDPR által lefedett folyamatokra összpontosít.

Kommunikációs és megfigyelési törvények lehallgatása

Az adatvédelmi törvény kiterjed a kommunikáció lehallgatására, az elektronikus marketingre vagy az egyének megfigyelésére és megfigyelésére?

A GDPR és az adatvédelmi törvény ezekre a területekre terjed ki konkrét magyar nemzeti jogszabályokkal:

• Kommunikáció lehallgatása: a büntetőeljárásról és az elektronikus hírközlésről szóló 2017. évi XC. C 2003. évi XC.
• Elektronikus marketing: a kereskedelmi reklámokról szóló 2008. évi XLVIII. törvény és az elektronikus kereskedelemről szóló 2001. évi CVIII. törvény; És
• Személyfigyelés és megfigyelés: A magánbiztonsági és magánnyomozói tevékenységről, valamint a személyek helyszíni megfigyeléséről (pl. utca, aréna vagy jármű) 2005. évi CXXXIII.

Egyéb törvények

Vannak olyan törvények vagy rendeletek, amelyek konkrét adatvédelmi szabályokat írnak elő az érintett területekre?

Az általános adatvédelmi keretrendszeren kívül külön jogszabály szabályozza az ágazatspecifikus adatvédelmi rendelkezéseket, beleértve az olyan ágazatokat, mint a marketing, a pénzügy, az e-kereskedelem, a foglalkoztatás, az egészségügy és a CCTV. A Magyar Országgyűlés 2019 áprilisában fogadta el az új GDPR végrehajtási csomagot, amely 86 ágazati törvényt módosít.

PI minták

Milyen típusú és típusú PI-k tartoznak a törvény hatálya alá?

A magyar jogalkotó kiterjesztette a GDPR tárgyi hatályát. A magyar adatvédelmi törvény a PI minden formájára kiterjed, nem csak az elektronikus nyilvántartásra, hanem a kézi adatfeldolgozásra is, és – más országokkal ellentétben – akkor is, ha a PI nem része egy iktatórendszernek.

Világűr

A törvény hatálya a PI-tulajdonosokra és -feldolgozókra korlátozódik, vagy az Ön joghatóságában működik, vagy a törvénynek van területen kívüli hatálya?

A magyar adatvédelmi törvények a Magyarországon kívül telepített vagy működő PI adatkezelőkre és -feldolgozókra is vonatkoznak:

• az adatkezelő fő telephelye Magyarországon, vagy az adatkezelő EU-n belüli egyetlen üzleti tevékenysége Magyarországon található; Vagy
• Az adatkezelő fő telephelye nem Magyarországon van, vagy az adatkezelő EU-n belüli kizárólagos telephelye nem Magyarországon van, de az adatkezelő vagy adatfeldolgozója adatkezelési tevékenységéhez kapcsolódik:
  • Magyarországon található érintettek részére árut vagy szolgáltatást nyújt, függetlenül attól, hogy az érintett fizetésköteles-e; Vagy
  • Az érintettek magatartásának Magyarországon előforduló nyomon követése.

A PI fedett alkalmazásai

A PI megvalósítása vagy alkalmazása vonatkozik egyáltalán? Van-e különbség azok között, akik irányítják vagy birtokolják a PI-t, és azok között, akik PI-feldolgozási szolgáltatásokat nyújtanak a tulajdonosoknak? Eltérnek-e a tulajdonosok, adatkezelők és adatfeldolgozók kötelezettségei?

Minden adatkezelésre (kivéve a magánszemélyek által végzett háztartási célú feldolgozást) és a PI-n végzett minden műveletre (pl. gyűjtés, tárolás és közzététel) a magyar adatvédelmi törvények vonatkoznak.

Különbséget tesznek az adatkezelés körét és eszközeit meghatározó adatkezelő és az adatkezelő döntéseit végrehajtó és az adatkezelő nevében a PI-t feldolgozó adatfeldolgozó között. Az adatfeldolgozó nem jogosult az adatkezelés érdemében döntést hozni.

Az adatkezelés jogszerűségéért elsősorban az adatkezelő felel. Egyes kötelezettségek azonban közvetlenül az adatfeldolgozókra vonatkoznak (pl. megfelelő adatvédelmi intézkedések végrehajtása), és ők közvetlenül felelősek az ilyen kötelezettségek megszegéséért.

Törvény által előírt dátum

Úgy van

A fenti adatok megadják a pontos dátumot.

2022. június 3.