Az Országgyűlés módosította az információs önrendelkezési jogról és az információszabadságról szóló törvényt, amelynek következtében fontos változások lesznek az adatvédelem területén. A változások jelentős részben a közérdekű adatokkal kapcsolatosak. Milyen változásokat hoz az adatvédelmi törvény módosítása?
Az adatvédelmi incidens
A törvénymódosítás újdonságként bevezeti az adatvédelmi incidens fogalmát. Ebbe beletartozik minden olyan eset, amikor személyes adatok jogellenes kezelésére vagy feldolgozására kerül sor.
Így például ha személyes adatokhoz jogosulatlan hozzáférés történik, vagy azokat illetéktelenül megváltoztatják, továbbítják, nyilvánosságra hozzák vagy törlik.
Aki személyes adatokat kezel a törvény értelmében köteles lesz nyilvántartást vezetni az előforduló adatvédelmi incidensekről. E nyilvántartásnak tartalmaznia kell az incidenssel érintett személyes adatok körét, az adatvédelmi incidenssel érintettek körét és számát, az adatvédelmi incidens időpontját, körülményeit, hatásait és az elhárítására megtett intézkedéseket. Az érintett kérésére pedig a nyilvántartás alapján tájékoztatást kell adnia.
Mi a kötelező szervezeti szabályozás (BCR)?
A törvény módosításával bekerült a jogszabályba az ún. kötelező szervezeti szabályozás fogalma is. Ezt az uniós jogban BCR-nek szokták rövidíteni az angol megfelelője alapján (Binding Corporate Rules).
A BCR egy olyan belső szabályozás, ami a személyes adatok továbbításának szabályait tartalmazza egy adott cégcsoporton belül.
A BCR alkalmazása elsősorban a nemzetközi hátterű cégek és cégcsoportok közötti adattovábbítást könnyíti meg. Jelenleg ugyanis, ha például egy Magyarországon működő cégnek az azonos cégcsoportban működő külföldi céghez (pl. anyacéghez, leánycéghez) kell személyes adatot továbbítania, ehhez legtöbbször az érintett külön hozzájárulása szükséges. Még nehezebb a helyzet, ha például az EU-n kívüli céghez kell az adatot továbbítani. Ez esetben külön tájékoztatás, és az adatot fogadó céggel való szerződéskötés is szükséges lehet.
Az ilyen cégcsoporton belüli, de nemzetközi adattovábbításokat egyszerűsíti a belső szervezeti szabályozás elfogadása. Ha a cégcsoport rendelkezik BCR-rel, akkor a személyes adatok belső továbbítása esetén mellőzhető a külön hozzájárulás beszerzése, ill. a szerződéskötés. A cég kötelező szervezeti szabályozása akkor lesz használható, ha az adatvédelmi hatóság azt megvizsgálta és jóváhagyta.
Magasabb adatvédelmi bírságok
Nem elhanyagolható változás, hogy növekedett a hatóság által az adatvédelmi jogsértések esetén kiszabható bírság is.
Az eddigi 10 millió forintos felső határ megduplázódott, így a bírság maximuma 2015. október 1-től 20 millió forint lesz.
Dr. Szabó Gergely