T/623. számú törvényjavaslat indokolással - az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek az Európai Unió adatvédelmi reformjával összefüggő módosításáról, valamint más kapcsolódó törvények módosításáról
2018. évi XXXVIII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek az Európai Unió adatvédelmi reformjával összefüggő módosításáról, valamint más kapcsolódó törvények módosításáról
1. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény módosítása
1. § Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 2. § (2)-(5) bekezdése helyébe a következő rendelkezések lépnek és a § a következő (6) és (7) bekezdéssel egészül ki:
"(2) Személyes adatoknak az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) hatálya alá tartozó kezelésére az általános adatvédelmi rendeletet a III-V. és a VI/A. Fejezetben, valamint a 3. § 3., 4., 6., 11., 12., 13., 16., 17., 21., 23-24. pontjában, a 4. § (5) bekezdésében, az 5. § (3)-(5), (7) és (8) bekezdésében, a 13. § (2) bekezdésében, a 23. §-ban, a 25. §-ban, a 25/G. § (3), (4) és (6) bekezdésében, a 25/H. § (2) bekezdésében, a 25/M. § (2) bekezdésében, a 25/N. §-ban, az 51/A. § (1) bekezdésében, az 52-54. §-ban, az 55. § (1) és (2) bekezdésében, az 56-60. §-ban, a 60/A. § (1)-(3) és (6) bekezdésében, a 61. § (1) bekezdés a) és c) pontjában, a 61. § (2) és (3) bekezdésében, (4) bekezdés b) pontjában és (6)-(10) bekezdésében, a 62-71. §-ban, a 72. §-ban, a 75. § (1)-(5) bekezdésében és az 1. mellékletben meghatározott kiegészítésekkel kell alkalmazni.
(3) Személyes adatok bűnüldözési, nemzetbiztonsági és honvédelmi célú kezelésére e törvényt kell alkalmazni.
(4) Személyes adatoknak a (2) és (3) bekezdés hatálya alá nem tartozó kezelésére
a) az általános adatvédelmi rendelet 4. cikkében, II-VI., és VIII-IX. fejezetében, valamint
b) az e törvény III-V. és VI/A. Fejezetében, továbbá a 3. § 3., 4., 6., 11., 12., 13., 16., 17., 21., 23-24. pontjában, a 4. § (5) bekezdésében, az 5. § (3)-(5), (7) és (8) bekezdésében, a 13. § (2) bekezdésében, a 23. §-ban, a 25. §-ban, a 25/G. § (3), (4) és (6) bekezdésében, a 25/H. § (2) bekezdésében, a 25/M. § (2) bekezdésében, a 25/N. §-ban, az 51/A. § (1) bekezdésében, az 52-54. §-ban, az 55. § (1) és (2) bekezdésében, az 56-60. §-ban, a 60/A. § (1)-(3) és (6) bekezdésében, a 61. § (1) bekezdés a) és c) pontjában, a 61. § (2) és (3) bekezdésében, (4) bekezdés b) pontjában és (6)-(10) bekezdésében, a 62-71. §-ban, a 72. §-ban, a 75. § (1)-(5) bekezdésében és az 1. mellékletben
meghatározott rendelkezéseket kell alkalmazni.
(5) Személyes adatoknak az általános adatvédelmi rendelet hatálya alá tartozó kezelésére e törvény a (2) bekezdésben meghatározott rendelkezéseit, valamint más, törvényben meghatározott, a személyes adatok védelmére és a személyes adatok kezelésének feltételeire vonatkozó előírásokat - ha törvény vagy az Európai Unió kötelező jogi aktusa másként nem rendelkezik - akkor kell alkalmazni, ha
a) az adatkezelőnek az általános adatvédelmi rendelet 4. cikk 16. pontjában meghatározott tevékenységi központja vagy az Európai Unión belüli kizárólagos tevékenységi helye Magyarországon van, vagy
b) ha az adatkezelőnek az általános adatvédelmi rendelet 4. cikk 16. pontjában meghatározott tevékenységi központja vagy az Európai Unión belüli kizárólagos tevékenységi helye nem Magyarországon van, de az adatkezelő vagy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési művelet
ba) áruknak vagy szolgáltatásoknak a Magyarországon tartózkodó érintettek számára történő nyújtásához kapcsolódik, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért, vagy
bb) az érintett Magyarország területén belül tanúsított viselkedésének megfigyeléséhez kapcsolódik.
(6) Nem kell alkalmazni e törvény rendelkezéseit a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire.
(7) A közszféra információinak további felhasználására vonatkozóan törvény az adatszolgáltatás módjára és feltételeire, az azért fizetendő ellenértékre, valamint a jogorvoslatra vonatkozóan e törvénytől eltérő szabályokat állapíthat meg."
2. § (1) Az Infotv. 3. § 1. pontja helyébe a következő rendelkezés lép és a § a következő 1a. ponttal egészül ki:
[E törvény alkalmazása során]
"1. érintett: bármely információ alapján azonosított vagy azonosítható természetes személy;
1a. azonosítható természetes személy: az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, azonosító szám, helymeghatározó adat, online azonosító vagy a természetes személy fizikai, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;"
(2) Az Infotv. 3. § 2. és 3. pontja helyébe a következő rendelkezések lépnek:
[E törvény alkalmazása során]
"2. személyes adat: az érintettre vonatkozó bármely információ;
3. különleges adat: a személyes adatok különleges kategóriáiba tartozó minden adat, azaz a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok,"
(3) Az Infotv. 3. §-a a következő 3a-3c. ponttal egészül ki:
[E törvény alkalmazása során]
"3a. genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az adott természetes személyből vett biológiai minta elemzéséből ered;
3b. biometrikus adat: egy természetes személy fizikai, fiziológiai vagy viselkedési jellemzőire vonatkozó olyan, sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, mint például az arckép vagy a daktiloszkópiai adat;
3c. egészségügyi adat: egy természetes személy testi vagy szellemi egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;"
(4) Az Infotv. 3. § 7. pontja helyébe a következő rendelkezés lép:
[E törvény alkalmazása során]
"7. hozzájárulás: az érintett akaratának önkéntes, határozott és megfelelő tájékoztatáson alapuló egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy az akaratát félreérthetetlenül kifejező más magatartás útján jelzi, hogy beleegyezését adja a rá vonatkozó személyes adatok kezeléséhez;"
(5) Az Infotv. 3. §-a a következő 9a. ponttal egészül ki:
[E törvény alkalmazása során]
"9a. közös adatkezelő: az az adatkezelő, aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - az adatkezelés céljait és eszközeit egy vagy több másik adatkezelővel közösen határozza meg, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket egy vagy több másik adatkezelővel közösen hozza meg és hajtja végre vagy hajtatja végre az adatfeldolgozóval;"
(6) Az Infotv. 3. §-a a következő 10a-10c. ponttal egészül ki:
[E törvény alkalmazása során]
"10a. bűnüldözési célú adatkezelés: a jogszabályban meghatározott feladat- és hatáskörében a közrendet vagy a közbiztonságot fenyegető veszélyek megelőzésére vagy elhárítására, a bűnmegelőzésre, a bűnfelderítésre, a büntetőeljárás lefolytatására vagy ezen eljárásban való közreműködésre, a szabálysértések megelőzésére és felderítésére, valamint a szabálysértési eljárás lefolytatására vagy ezen eljárásban való közreműködésre, továbbá a büntetőeljárásban vagy szabálysértési eljárásban megállapított jogkövetkezmények végrehajtására irányuló tevékenységet folytató szerv vagy személy (a továbbiakban együtt: bűnüldözési adatkezelést folytató szerv) ezen tevékenység keretei között és céljából - ideértve az ezen tevékenységhez kapcsolódó személyes adatok levéltári, tudományos, statisztikai vagy történelmi célból történő kezelését is - (a továbbiakban: bűnüldözési cél) végzett adatkezelése;
10b. nemzetbiztonsági célú adatkezelés: a nemzetbiztonsági szolgálatok jogszabályban meghatározott feladat- és hatáskörében végzett adatkezelése, valamint a rendőrség terrorizmust elhárító szervének jogszabályban meghatározott feladat- és hatáskörében végzett, a nemzetbiztonsági szolgálatokról szóló törvény hatálya alá tartozó adatkezelése;
10c. honvédelmi célú adatkezelés: a honvédségi adatkezelésről szóló törvény és a Magyarország területén szolgálati céllal tartózkodó külföldi fegyveres erők, valamint a Magyarország területén felállított nemzetközi katonai parancsnokságok és állományuk nyilvántartásáról szóló törvény hatálya alá tartozó adatkezelés;"
(7) Az Infotv. 3. §-a a következő 11a. és 11b. ponttal egészül ki:
[E törvény alkalmazása során]
"11a. közvetett adattovábbítás: személyes adatnak valamely harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére továbbítása útján valamely más harmadik országban vagy nemzetközi szervezet keretében adatkezelést folytató adatkezelő vagy adatfeldolgozó részére történő továbbítása;
11b. nemzetközi szervezet: a nemzetközi közjog hatálya alá tartozó szervezet és annak alárendelt szervei, továbbá olyan egyéb szerv, amelyet két vagy több állam közötti megállapodás hozott létre vagy amely ilyen megállapodás alapján jött létre;"
(8) Az Infotv. 3. § 15. pontja helyébe a következő rendelkezés lép:
[E törvény alkalmazása során]
"15. adatkezelés korlátozása: a tárolt adat zárolása az adat további kezelésének korlátozása céljából történő megjelölése útján;"
(9) Az Infotv. 3. § 17. pontja helyébe a következő rendelkezés lép:
[E törvény alkalmazása során]
"17. adatfeldolgozás: az adatkezelő megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek összessége;"
(10) Az Infotv. 3. § 26. pontja helyébe a következő rendelkezés lép és a § a következő 27-29. ponttal egészül ki:
[E törvény alkalmazása során]
"26. adatvédelmi incidens: az adatbiztonság olyan sérelme, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisülését, elvesztését, módosulását, jogosulatlan továbbítását vagy nyilvánosságra hozatalát, vagy az azokhoz való jogosulatlan hozzáférést eredményezi;
27. profilalkotás: személyes adat bármely olyan - automatizált módon történő - kezelése, amely az érintett személyes jellemzőinek, különösen a munkahelyi teljesítményéhez, gazdasági helyzetéhez, egészségi állapotához, személyes preferenciáihoz vagy érdeklődéséhez, megbízhatóságához, viselkedéséhez, tartózkodási helyéhez vagy mozgásához kapcsolódó jellemzőinek értékelésére, elemzésére vagy előrejelzésére irányul;
28. címzett: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely részére személyes adatot az adatkezelő, illetve az adatfeldolgozó hozzáférhetővé tesz;
29. álnevesítés: személyes adat olyan módon történő kezelése, amely - a személyes adattól elkülönítve tárolt - további információ felhasználása nélkül megállapíthatatlanná teszi, hogy a személyes adat mely érintettre vonatkozik, valamint műszaki és szervezési intézkedések megtételével biztosítja, hogy azt azonosított vagy azonosítható természetes személyhez ne lehessen kapcsolni;"
3. § Az Infotv. 4. alcímének címe helyébe a következő cím lép:
"4. A személyes adatok kezelésének alapelvei"
4. § Az Infotv. 4. §-a a következő (4a) bekezdéssel egészül ki:
"(4a) Az adatkezelés során arra alkalmas műszaki vagy szervezési - így különösen az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisülésével vagy károsodásával szembeni védelmet kialakító - intézkedések alkalmazásával biztosítani kell a személyes adatok megfelelő biztonságát."
5. § Az Infotv. 5. alcíme helyébe a következő alcím lép:
"5. Az adatkezelés jogalapja és általános feltételei
5. § (1) Személyes adat akkor kezelhető, ha
a) azt törvény vagy - törvény felhatalmazása alapján, az abban meghatározott körben, különleges adatnak vagy bűnügyi személyes adatnak nem minősülő adat esetén - helyi önkormányzat rendelete közérdeken alapuló célból elrendeli,
b) az a) pontban meghatározottak hiányában az az adatkezelő törvényben meghatározott feladatainak ellátásához feltétlenül szükséges és az érintett a személyes adatok kezeléséhez kifejezetten hozzájárult,
c) az a) pontban meghatározottak hiányában az az érintett vagy más személy létfontosságú érdekeinek védelméhez, valamint a személyek életét, testi épségét vagy javait fenyegető közvetlen veszély elhárításához vagy megelőzéséhez szükséges és azzal arányos, vagy
d) az a) pontban meghatározottak hiányában a személyes adatot az érintett kifejezetten nyilvánosságra hozta és az az adatkezelés céljának megvalósulásához szükséges és azzal arányos.
(2) Különleges adat
a) az (1) bekezdés c)-d) pontjában meghatározottak szerint, vagy
b) akkor kezelhető, ha az törvényben kihirdetett nemzetközi szerződés végrehajtásához feltétlenül szükséges és azzal arányos, vagy azt az Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése, felderítése vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli.
(3) Az (1) bekezdés a) pontjában, a (2) bekezdés b) pontjában, valamint az általános adatvédelmi rendelet 6. cikk (1) bekezdés c) és e) pontjában (a továbbiakban: kötelező adatkezelés) meghatározott adatkezelés esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozza meg.
(4) Kizárólag állami vagy önkormányzati szerv kezelheti az állam bűncselekmények megelőzésére, felderítésére és üldözésére irányuló, valamint közigazgatási és igazságszolgáltatási feladatainak ellátása céljából kezelt bűnügyi személyes adatokat, valamint a szabálysértési, a polgári peres és nemperes ügyekre, valamint a közigazgatási peres és nemperes ügyekre vonatkozó adatokat tartalmazó nyilvántartásokat.
(5) Ha a kötelező adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény, helyi önkormányzat rendelete vagy az Európai Unió kötelező jogi aktusa nem határozza meg, az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. Ezen felülvizsgálat körülményeit és eredményét az adatkezelő dokumentálja, e dokumentációt a felülvizsgálat elvégzését követő tíz évig megőrzi és azt a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) kérésére a Hatóság rendelkezésére bocsátja.
(6) Különleges adatok kezelése esetén az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó megfelelő műszaki és szervezési intézkedésekkel biztosítja, hogy az adatkezelési műveletek végzése során a különleges adatokhoz kizárólag az rendelkezzen hozzáféréssel, akinek az adatkezelési művelettel összefüggő feladatának ellátásához feltétlenül szükséges.
(7) Bűnügyi személyes adatok kezelése esetén - ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa ettől eltérően nem rendelkezik - a különleges adatok kezelésének feltételeire vonatkozó szabályokat kell alkalmazni.
(8) A tudományos kutatást végző szerv vagy személy személyes adatot nyilvánosságra hozhat, ha az a történelmi eseményekről folytatott kutatások eredményeinek bemutatásához szükséges.
6. § Kizárólag automatizált adatkezelésen - így különösen profilalkotáson - alapuló, az érintett személyére vagy jogos érdekeire hátrányos vagy az érintettet jelentős mértékben érintő jogkövetkezményekkel járó döntés meghozatalára kizárólag akkor kerülhet sor, ha azt törvény vagy az Európai Unió kötelező jogi aktusa kifejezetten lehetővé teszi és
a) az nem sérti az egyenlő bánásmód követelményét,
b) az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó az
ba) érintettet - kérelmére - tájékoztatja a döntéshozatali mechanizmus során alkalmazott módszerről és szempontokról,
bb) érintett kérelmére a döntés eredményét emberi közreműködés alkalmazásával felülvizsgálja, valamint
c) arra - törvény vagy az Európai Unió kötelező jogi aktusának eltérő rendelkezése hiányában - nem különleges adatok felhasználásával kerül sor.
7. § (1) Bűnüldözési célú adatkezelés esetén az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó - ha az aránytalan nehézséggel vagy költséggel nem jár - az általa kezelt személyes adatokat annak alapján rendszerezi, hogy azok azon érintettek személyes adatai
a) akik tekintetében alapos okkal feltételezhető, hogy bűncselekményt vagy szabálysértést követtek el vagy bűncselekményt készülnek elkövetni,
b) akik büntetőjogi vagy szabálysértési felelősségét jogerősen megállapították,
c) akik bűncselekmény vagy szabálysértés sértettjei voltak, vagy akikről megalapozottan feltételezhető, hogy bűncselekmény vagy szabálysértés sértettjei lehetnek, vagy
d) akik az a)-c) pontban meghatározottakon túl bűncselekménnyel vagy szabálysértéssel, vagy azok elkövetőivel kapcsolatba hozhatóak, így különösen, akik a büntetőeljárás során tanúként meghallgathatóak, a bűncselekményről vagy a szabálysértésről információval szolgálhatnak, vagy az a) és b) pontban meghatározott érintettekkel kapcsolatban állnak vagy velük összefüggésbe hozhatóak.
(2) Bűnüldözési célú adatkezelés esetén az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó - ha az aránytalan nehézséggel vagy költséggel nem jár - egyértelműen megkülönbözteti az érintettel kapcsolatba hozható tényeket és az érintettel kapcsolatba hozható szubjektív értékeléseket."
6. § Az Infotv. 6. alcíme helyébe a következő alcím lép:
"6. Az adattovábbítás feltételei
8. § (1) Az adattovábbítást megelőzően az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó megvizsgálja a továbbítandó személyes adatok pontosságát, teljességét és naprakészségét.
(2) Ha az (1) bekezdésben meghatározott vizsgálat eredményeként az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó azt állapítja meg, hogy a továbbítandó adatok pontatlanok, hiányosak vagy már nem naprakészek, azokat kizárólag abban az esetben továbbíthatja, ha
a) az az adattovábbítás céljának megvalósulásához elengedhetetlenül szükséges, és
b) az adattovábbítással egyidejűleg tájékoztatja a címzettet az adatok pontosságával, teljességével és naprakészségével összefüggésben rendelkezésére álló információkról.
(3) Ha az adattovábbítást követően jut az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó tudomására, hogy az adattovábbítás törvényben, nemzetközi szerződésben vagy az Európai Unió kötelező jogi aktusában meghatározott feltételei nem teljesültek, arról a címzettet haladéktalanul értesíti.
9. § (1) Ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusának rendelkezése alapján az adatkezelő vagy az adatfeldolgozó személyes adatot akként vesz át, hogy az adattovábbító adatkezelő vagy adatfeldolgozó az adattovábbítással egyidejűleg jelzi a személyes adat
a) kezelésének lehetséges célját,
b) kezelésének lehetséges időtartamát,
c) továbbításának lehetséges címzettjeit,
d) érintettje e törvényben biztosított jogainak korlátozását, vagy
e) kezelésének egyéb feltételeit
(az a)-e) pont a továbbiakban: együtt: adatkezelési feltételek), a személyes adatokat átvevő adatkezelő és adatfeldolgozó (a továbbiakban: adatátvevő) a személyes adatot az adatkezelési feltételeknek megfelelő terjedelemben és módon kezeli, az érintett jogait az adatkezelési feltételeknek megfelelően biztosítja.
(2) Az adatátvevő az adatkezelési feltételekre tekintet nélkül is kezelheti a személyes adatot és biztosíthatja az érintett jogait, ha ahhoz az adattovábbító adatkezelő előzetes jóváhagyását adta.
(3) Ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusának rendelkezése alapján az adatkezelő vagy az adatfeldolgozó adatkezelési feltételek alkalmazásának kötelezettségével kezel személyes adatot, annak továbbításával egyidejűleg tájékoztatja a címzettet az adatkezelési feltételekről és az azok alkalmazására vonatkozó jogi kötelezettségről.
(4) Ha a (2) bekezdésben, továbbá a 10. § (2) bekezdés c) pont ca) alpontjában meghatározott előzetes jóváhagyás megadására az e törvény hatálya alá tartozó adatkezelő jogosult, ezen előzetes jóváhagyást az adatkezelő akkor jogosult megadni, ha az az adattovábbítás körülményeit - ideértve az adattovábbítás szükségességét és célját - figyelembe véve nem ütközik a Magyarország joghatósága alatt álló jogalanyok tekintetében alkalmazandó jogi rendelkezésbe, így különösen, ha az adattovábbítás - ideértve a közvetett adattovábbítást is - címzettje tekintetében a személyes adatok megfelelő szintű védelme a 10. § (4) bekezdés a)-c) pontjában foglaltak alapján vélelmezhető.
(5) Az adattovábbító adatkezelőt - kérelmére - az adatátvevő tájékoztatja az átvett személyes adatok felhasználásáról.
10. § (1) Személyes adatot az e törvény hatálya alá tartozó adatkezelő vagy adatfeldolgozó harmadik országban, továbbá nemzetközi szervezet keretein belül adatkezelést folytató adatkezelő vagy adatfeldolgozó részére - a közvetett adattovábbítást is ideértve - akkor továbbíthat (a továbbiakban együtt: nemzetközi adattovábbítás), ha
a) a nemzetközi adattovábbításhoz az érintett kifejezetten hozzájárult, vagy
b) a nemzetközi adattovábbítás az adatkezelés céljának eléréséhez szükséges, valamint
ba) annak során az adatkezelésnek az 5. §-ban előírt feltételei teljesülnek, és
bb) a harmadik országban, illetve a nemzetközi szervezet keretein belül adatkezelést folytató adatkezelő vagy adatfeldolgozó tekintetében a továbbított személyes adatok megfelelő szintű védelme biztosított, vagy
c) a nemzetközi adattovábbítás a 11. §-ban meghatározott kivételes esetekben szükséges.
(2) Bűnüldözési célú adatkezelés esetén nemzetközi adattovábbításra az (1) bekezdésben meghatározott feltételek teljesülése esetén is csak akkor kerülhet sor, ha
a) az bűnüldözési célból szükséges,
b) annak címzettje
ba) bűnüldözési adatkezelést folytató szerv, vagy
bb) nem bűnüldözési adatkezelést folytató szerv és a 11. § (3) bekezdésében meghatározott feltételek teljesülnek, és
c) abban az esetben, ha a nemzetközi adattovábbítással érintett személyes adatokat az adatkezelő valamely EGT-állam adatkezelőjétől vette át,
ca) a nemzetközi adattovábbítást ezen személyes adatok tekintetében az EGT-állam adatkezelője vagy képviseletében eljáró más szerv vagy személy előzetesen jóváhagyta, vagy
cb) - a közvetett adattovábbítás kivételével - a nemzetközi adattovábbítás Magyarország vagy valamely más EGT-állam alapvető érdekeit vagy ezen államok vagy harmadik ország közbiztonságát fenyegető súlyos és közvetlen veszély megelőzése érdekében szükséges és a ca) alpont szerinti előzetes jóváhagyás beszerzése ezen érdekek sérelme nélkül a nemzetközi adattovábbítást megelőzően nem lehetséges.
(3) Az adatkezelő a (2) bekezdés c) pont cb) alpontjában meghatározott nemzetközi adattovábbítást követően arról haladéktalanul tájékoztatja a (2) bekezdés c) pont ca) alpontja szerinti előzetes jóváhagyásra jogosult szervet vagy személyt.
(4) A személyes adatok megfelelő szintű védelmét - az ellenkező bizonyításáig -biztosítottnak kell tekinteni, ha
a) az Európai Unió kötelező jogi aktusa azt megállapítja,
b) az a) pont szerinti jogi aktus hiányában vagy alkalmazásának felfüggesztése esetén az érintetteknek a 14. §-ban, a 22. §-ban és a 23. §-ban foglalt jogai érvényesítésére vonatkozó garanciális szabályokat tartalmazó nemzetközi szerződés alkalmazandó Magyarország és azon harmadik ország, illetve nemzetközi szervezet között, amelynek joghatósága kiterjed a nemzetközi adattovábbítás címzettjére, vagy
c) az a)-b) pontban meghatározott jogi aktus hiányában vagy alkalmazásának felfüggesztése esetén a nemzetközi adattovábbítást megelőzően az adatkezelő a személyes adatok továbbításának valamennyi körülményét megvizsgálta és megállapította, hogy a személyes adatok megfelelő szintű védelme tekintetében megfelelő garanciák állnak fenn.
11. § (1) Ha a személyes adatok megfelelő szintű védelme a 10. § (4) bekezdés a)-c) pontjában foglaltak alapján nem vélelmezhető, nemzetközi adattovábbítás az érintett kifejezett hozzájárulásának hiányában kizárólag abban az esetben lehetséges, ha az
a) az érintett vagy más személy létfontosságú érdekeinek védelme érdekében szükséges,
b) valamely EGT-állam vagy harmadik ország közbiztonságát közvetlenül és súlyosan fenyegető veszély elhárítása érdekében szükséges,
c) egyedi ügyben, eseti jelleggel az adatkezelő által végzett vizsgálatok vagy eljárások hatékony és eredményes lefolytatása érdekében szükséges, és az nem jár az érintett alapvető jogainak aránytalan korlátozásával, vagy
d) egyedi ügyben, eseti jelleggel az érintett vagy más jogi igényeinek előterjesztése, érvényesítése, illetve védelme érdekében szükséges, és az nem jár az érintett alapvető jogainak aránytalan korlátozásával.
(2) Bűnüldözési célú adatkezelés esetén, ha a nemzetközi adattovábbítás címzettje bűnüldözési adatkezelést folytató szerv és a személyes adatok megfelelő szintű védelme a 10. § (4) bekezdés a)-c) pontjában foglaltak alapján nem vélelmezhető, nemzetközi adattovábbítás az érintett kifejezett hozzájárulásának hiányában kizárólag abban az esetben lehetséges, ha az
a) az (1) bekezdés a) és b) pontjában meghatározott valamely célból szükséges,
b) az érintett jogos érdekének érvényesítéséhez szükséges,
c) valamely bűnüldözési célból egyedi ügyben, eseti jelleggel szükséges, és az nem jár az érintett alapvető jogainak aránytalan korlátozásával, vagy
d) valamely bűnüldözési célhoz kapcsolódó jogi igények előterjesztésére, érvényesítésére, illetve védelmére irányuló egyedi ügyben, eseti jelleggel szükséges, és az nem jár az érintett alapvető jogainak aránytalan korlátozásával.
(3) Bűnüldözési célú adatkezelés esetén, ha a nemzetközi adattovábbítás címzettje nem bűnüldözési adatkezelést folytató szerv, nemzetközi adattovábbítás az érintett kifejezett hozzájárulásának hiányában kizárólag egyedi ügyben, eseti jelleggel, abban az esetben lehetséges, ha
a) az a nemzetközi adattovábbítást végző adatkezelő feladat- és hatáskörébe tartozó bűnüldözési célból feltétlenül szükséges,
b) az nem jár az érintett alapvető jogainak aránytalan korlátozásával,
c) bűnüldözési adatkezelést folytató szerv részére történő nemzetközi adattovábbítás útján a nemzetközi adattovábbítás célja hatékonyan nem érhető el,
d) a nemzetközi adattovábbítást végző adatkezelő a nemzetközi adattovábbítás tekintetében joghatósággal rendelkező harmadik országbeli vagy nemzetközi szervezet keretében bűnüldözési adatkezelést folytató szervet a nemzetközi adattovábbításról haladéktalanul tájékoztatja, kivéve, ha ezen tájékoztatás esetén a nemzetközi adattovábbítás célja hatékonyan nem érhető el, és
e) a nemzetközi adattovábbítást végző adatkezelő tájékoztatja a címzettet a továbbított adatok kezelésének lehetséges céljáról.
12. § (1) Ha az adatkezelő vagy az adatfeldolgozó a nemzetközi adattovábbítást
a) a 10. § (4) bekezdés c) pontjában foglalt vélelemre alapítja, vagy
b) bűnüldözési célú adatkezelés esetén nem bűnüldözési adatkezelést folytató szerv címzett részére végzi,
az adatkezelő az azonos célból, azonos címzett részére, első alkalommal történő nemzetközi adattovábbítást követően haladéktalanul tájékoztatja a Hatóságot a nemzetközi adattovábbítás céljáról, a továbbított adatok címzettjéről és köréről, valamint - az a) pontban meghatározott esetben - a nemzetközi adattovábbítás rendszerességéről.
(2) Ha az adatkezelő vagy az adatfeldolgozó a nemzetközi adattovábbítást
a) a 10. § (4) bekezdés c) pontjában foglalt vélelemre alapítja, vagy
b) bűnüldözési célú adatkezelés esetén
ba) bűnüldözési adatkezelést folytató szerv részére a 11. § (2) bekezdésben meghatározottak szerint végzi, vagy
bb) nem bűnüldözési adatkezelést folytató szerv címzett részére végzi,
az adatkezelő a nemzetközi adattovábbítás körülményeit, így különösen az (1) bekezdésben meghatározott adatokat, továbbá a nemzetközi adattovábbítás időpontját, a továbbított személyes adatokat, valamint - az a) pontban meghatározott esetben - az adatkezelő által vizsgált és megfelelően azonosított garanciák megnevezését dokumentálja, e dokumentációt a 25/F. § (4) bekezdésében meghatározott időpontig megőrzi és azt a Hatóság kérésére rendelkezésére bocsátja.
13. § (1) Az EGT-államba, valamint az Európai Unió működéséről szóló szerződés V. címének 4. és 5. fejezete szerint létrehozott ügynökségek, hivatalok és szervek részére irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor.
(2) Nemzetközi adattovábbítás az általános adatvédelmi rendelet 96. cikkében, valamint a 2016/680 (EU) irányelv 61. cikkében meghatározott nemzetközi szerződések alapján az azokban meghatározott célokból, feltételekkel és adatkörben - azok módosításáig, megszüntetéséig, megszűnéséig vagy alkalmazásuk felfüggesztéséig - az e törvényben meghatározott feltételek hiányában is végezhető."
7. § Az Infotv. a 7. alcímet megelőzően a következő fejezetcímmel egészül ki:
"II/A. FEJEZET
AZ ÉRINTETT JOGAI"
8. § Az Infotv. 7. alcíme helyébe a következő alcím lép:
"7. Az érintettet megillető jogosultságok
14. § Az érintett jogosult arra, hogy az adatkezelő és az annak megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatai vonatkozásában az e törvényben meghatározott feltételek szerint
a) az adatkezeléssel összefüggő tényekről az adatkezelés megkezdését megelőzően tájékoztatást kapjon (a továbbiakban: előzetes tájékozódáshoz való jog),
b) kérelmére személyes adatait és az azok kezelésével összefüggő információkat az adatkezelő a rendelkezésére bocsássa (a továbbiakban: hozzáféréshez való jog),
c) kérelmére, valamint az e fejezetben meghatározott további esetekben személyes adatait az adatkezelő helyesbítse, illetve kiegészítse (a továbbiakban: helyesbítéshez való jog),
d) kérelmére, valamint az e fejezetben meghatározott további esetekben személyes adatai kezelését az adatkezelő korlátozza (a továbbiakban: az adatkezelés korlátozásához való jog),
e) kérelmére, valamint az e fejezetben meghatározott további esetekben személyes adatait az adatkezelő törölje (a továbbiakban: törléshez való jog)."
9. § Az Infotv. 8. alcíme helyébe a következő alcím lép:
"8. Az érintett jogai érvényesülésének biztosítása
15. § (1) Az adatkezelő az érintett jogai érvényesülésének elősegítése érdekében megfelelő műszaki és szervezési intézkedéseket tesz, így különösen
a) az érintett részére az e törvényben meghatározott esetekben nyújtandó bármely értesítést és tájékoztatást könnyen hozzáférhető és olvasható formában, lényegre törő, világos és közérthetően megfogalmazott tartalommal teljesíti, és
b) az érintett által benyújtott, az őt megillető jogosultságok érvényesítésére irányuló kérelmet annak benyújtásától számított legrövidebb idő alatt, de legfeljebb huszonöt napon belül elbírálja és döntéséről az érintettet írásban vagy ha az érintett a kérelmet elektronikus úton nyújtotta be, elektronikus úton értesíti.
(2) Az adatkezelő a 14. §-ban meghatározott jogok érvényesülésével kapcsolatban az e törvényben meghatározott feladatait - a (3) bekezdésben meghatározott kivétellel - ingyenesen látja el.
(3) Ha az érintett
a) a folyó évben, azonos adatkörre vonatkozóan a 14. § b)-e) pontjaiban meghatározott jogai érvényesítése iránt ismételten kérelmet nyújt be, és
b) e kérelme alapján az adatkezelő vagy az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatainak helyesbítését, törlését vagy az adatkezelés korlátozását az adatkezelő jogszerűen mellőzi,
az adatkezelő az érintett jogainak az a) és b) pontban foglaltak szerinti ismételt és megalapozatlan érvényesítésével összefüggésben közvetlenül felmerült költségeinek megtérítését követelheti az érintettől.
(4) Ha megalapozottan feltehető, hogy a 14. § b)-e) pontjában meghatározott jogok érvényesítése iránt kérelmet benyújtó személy az érintettel nem azonos személy, az adatkezelő a kérelmet az azt benyújtó személy személyazonosságának hitelt érdemlő igazolását követően teljesíti.
16. § (1) Az előzetes tájékozódáshoz való jog érvényesülése érdekében az adatkezelő az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletek megkezdését megelőzően vagy legkésőbb az első adatkezelési művelet megkezdését követően haladéktalanul az érintett rendelkezésére bocsátja
a) az adatkezelő és - ha valamely adatkezelési műveletet adatfeldolgozó végez, az adatfeldolgozó - megnevezését és elérhetőségeit,
b) az adatvédelmi tisztviselő nevét és elérhetőségeit,
c) a tervezett adatkezelés célját és
d) az érintettet e törvény alapján megillető jogok, valamint azok érvényesítése módjának ismertetését.
(2) Az (1) bekezdésben foglaltakkal egyidejűleg, azzal azonos módon vagy az érintettnek címzetten az adatkezelő az érintett számára tájékoztatást nyújt
a) az adatkezelés jogalapjáról,
b) a kezelt személyes adatok megőrzésének időtartamáról, ezen időtartam meghatározásának szempontjairól,
c) a kezelt személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek - ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket - köréről,
d) a kezelt személyes adatok gyűjtésének forrásáról és
e) az adatkezelés körülményeivel összefüggő minden további érdemi tényről.
(3) A (2) bekezdésben foglaltak szerinti tájékoztatás teljesítését az elérni kívánt céllal arányosan az adatkezelő késleltetheti, a tájékoztatás tartalmát korlátozhatja vagy a tájékoztatást mellőzheti, ha ezen intézkedése elengedhetetlenül szükséges
a) az általa vagy részvételével végzett vizsgálatok vagy eljárások - így különösen a büntetőeljárás - hatékony és eredményes lefolytatásának,
b) a bűncselekmények hatékony és eredményes megelőzésének és felderítésének,
c) a bűncselekmények elkövetőivel szemben alkalmazott büntetések és intézkedések végrehajtásának,
d) a közbiztonság hatékony és eredményes védelmének,
e) az állam külső és belső biztonsága hatékony és eredményes védelmének, így különösen a honvédelem és a nemzetbiztonság vagy
f) harmadik személyek alapvető jogai védelmének
biztosításához.
17. § (1) A hozzáféréshez való jog érvényesülése érdekében az érintettet kérelmére az adatkezelő tájékoztatja arról, hogy személyes adatait maga az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó kezeli-e.
(2) Ha az érintett személyes adatait az adatkezelő vagy a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó kezeli, az adatkezelő az (1) bekezdésben meghatározottakon túl az érintett rendelkezésére bocsátja az érintett általa és a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatait, és közli vele
a) a kezelt személyes adatok forrását,
b) az adatkezelés célját és jogalapját,
c) a kezelt személyes adatok körét,
d) a kezelt személyes adatok továbbítása esetén az adattovábbítás címzettjeinek - ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket - körét,
e) a kezelt személyes adatok megőrzésének időtartamát, ezen időtartam meghatározásának szempontjait,
f) az érintettet e törvény alapján megillető jogok, valamint azok érvényesítése módjának ismertetését,
g) profilalkotás alkalmazásának esetén annak tényét és
h) az érintett személyes adatainak kezelésével összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményeit, azok hatásait és az azok kezelésére tett intézkedéseket.
(3) Az érintett hozzáféréshez való jogának érvényesítését az adatkezelő az elérni kívánt céllal arányosan korlátozhatja vagy megtagadhatja, ha ezen intézkedés elengedhetetlenül szükséges a 16. § (3) bekezdés a)-f) pontjában meghatározott valamely érdek biztosításához.
(4) A (3) bekezdésben foglaltak szerinti intézkedés alkalmazása esetén az adatkezelő írásban, haladéktalanul tájékoztatja az érintettet
a) a hozzáférés korlátozásának vagy megtagadásának tényéről, továbbá jogi és ténybeli indokairól, ha ezeknek az érintett rendelkezésére bocsátása a 16. § (3) bekezdés a)-f) pontjában meghatározott valamely érdek érvényesülését nem veszélyezteti, valamint
b) az érintettet e törvény alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen arról, hogy az érintett a hozzáféréshez való jogát a Hatóság közreműködésével is gyakorolhatja.
18. § (1) A helyesbítéshez való jog érvényesülése érdekében az adatkezelő, ha az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok pontatlanok, helytelenek vagy hiányosak, azokat - különösen az érintett kérelmére -haladéktalanul pontosítja vagy helyesbíti, illetve ha az az adatkezelés céljával összeegyeztethető, az érintett által rendelkezésére bocsátott további személyes adatokkal vagy az érintett által a kezelt személyes adatokhoz fűzött nyilatkozattal kiegészíti (a továbbiakban együtt: helyesbítés).
(2) Mentesül az (1) bekezdésben meghatározott kötelezettség alól az adatkezelő, ha
a) a pontos, helytálló, illetve hiánytalan személyes adatok nem állnak rendelkezésére és azokat az érintett sem bocsátja a rendelkezésére, vagy
b) az érintett által rendelkezésére bocsátott személyes adatok valódisága kétséget kizáróan nem állapítható meg.
(3) Ha az adatkezelő az (1) bekezdésben meghatározottak szerint az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatokat helyesbíti, annak tényéről és a helyesbített személyes adatról tájékoztatja azt az adatkezelőt, amely részére a helyesbítéssel érintett személyes adatot továbbította.
19. § (1) Az adatkezelés korlátozásához való jog érvényesülése érdekében az adatkezelő a (2) bekezdésben meghatározott adatkezelési műveletekre korlátozza az adatkezelést,
a) ha az érintett vitatja az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok pontosságát, helytállóságát vagy hiánytalanságát, és a kezelt személyes adatok pontossága, helytállósága vagy hiánytalansága kétséget kizáróan nem állapítható meg, a fennálló kétség tisztázásának időtartamára,
b) ha a 20. § a) pontjában meghatározottak szerint az adatok törlésének lenne helye, de az érintett írásbeli nyilatkozata vagy az adatkezelő rendelkezésére álló információk alapján megalapozottan feltételezhető, hogy az adatok törlése sértené az érintett jogos érdekeit, a törlés mellőzését megalapozó jogos érdek fennállásának időtartamára,
c) ha a 20. § a) pontjában meghatározottak szerint az adatok törlésének lenne helye, de az adatkezelő vagy más közfeladatot ellátó szerv által vagy részvételével végzett, jogszabályban meghatározott vizsgálatok vagy eljárások - így különösen büntetőeljárás - során az adatok bizonyítékként való megőrzése szükséges, ezen vizsgálat vagy eljárás végleges, illetve jogerős lezárásáig,
d) ha a 20. § a) pontjában meghatározottak szerint az adatok törlésének lenne helye, de a 12. § (2) bekezdésében foglalt dokumentációs kötelezettség teljesítése céljából az adatok megőrzése szükséges, a 25/F. § (4) bekezdésben meghatározott időpontig.
(2) Az adatkezelés korlátozásának időtartama alatt a korlátozással érintett személyes adatokkal az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a tároláson túl egyéb adatkezelési műveletet kizárólag az érintett jogos érdekének érvényesítése céljából vagy törvényben, nemzetközi szerződésben, illetve az Európai Unió kötelező jogi aktusában meghatározottak szerint végezhet.
(3) Az (1) bekezdés a) pontjában meghatározott adatkezelési korlátozás megszüntetése esetén az adatkezelő az adatkezelés korlátozásának feloldásáról az érintettet előzetesen tájékoztatja.
20. § A törléshez való jog érvényesítése érdekében az adatkezelő haladéktalanul törli az érintett személyes adatait, ha
a) az adatkezelés jogellenes, így különösen, ha az adatkezelés
aa) a 4. §-ban rögzített alapelvekkel ellentétes,
ab) célja megszűnt, vagy az adatok további kezelése már nem szükséges az adatkezelés céljának megvalósulásához,
ac) törvényben, nemzetközi szerződésben vagy az Európai Unió kötelező jogi aktusában meghatározott időtartama eltelt, vagy
ad) jogalapja megszűnt és az adatok kezelésének nincs másik jogalapja,
b) az érintett az adatkezeléshez adott hozzájárulását visszavonja vagy személyes adatainak törlését kérelmezi, kivéve, ha az adatok kezelése az 5. § (1) bekezdés a) vagy c) pontján vagy (2) bekezdés b) pontján alapul,
c) az adatok törlését jogszabály, az Európai Unió jogi aktusa, a Hatóság vagy a bíróság elrendelte, vagy
d) a 19. § (1) bekezdés b)-d) pontjában meghatározott időtartam eltelt.
21. § (1) Ha az érintett kérelmét az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására az adatkezelő elutasítja, az érintettet írásban, haladéktalanul tájékoztatja
a) az elutasítás tényéről, annak jogi és ténybeli indokairól, valamint
b) az érintettet e törvény alapján megillető jogokról, valamint azok érvényesítésének módjáról, így különösen arról, hogy az adatkezelő, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adatok helyesbítésére, törlésére vagy ezen adatok kezelésének korlátozására vonatkozó jogát a Hatóság közreműködésével is gyakorolhatja.
(2) Az (1) bekezdés a) pontjában foglaltak szerinti tájékoztatás teljesítését az adatkezelő az elérni kívánt céllal arányosan késleltetheti, a tájékoztatás tartalmát korlátozhatja vagy a tájékoztatást mellőzheti, ha ezen intézkedése elengedhetetlenül szükséges a 16. § (3) bekezdés a)-f) pontjában meghatározott valamely érdek biztosításához.
(3) Ha az adatkezelő az általa, illetve a megbízásából vagy rendelkezése szerint eljáró adatfeldolgozó által kezelt személyes adatokat helyesbíti, törli vagy ezen adatok kezelését korlátozza, az adatkezelő ezen intézkedés tényéről és annak tartalmáról értesíti azon adatkezelőket és adatfeldolgozókat, amelyek részére az adatot ezen intézkedését megelőzően továbbította, annak érdekében, hogy azok a helyesbítést, törlést vagy az adatok kezelésének korlátozását a saját adatkezelésük tekintetében végrehajtsák.
22. § Jogainak érvényesítése érdekében az érintett a VI. Fejezetben meghatározottak szerint
a) a Hatóság vizsgálatát kezdeményezheti az adatkezelő intézkedése jogszerűségének vizsgálata céljából, ha az adatkezelő a 14. §-ban meghatározott jogainak érvényesítését korlátozza vagy ezen jogainak érvényesítésére irányuló kérelmét elutasítja, valamint
b) a Hatóság adatvédelmi hatósági eljárásának lefolytatását kérelmezheti, ha megítélése szerint személyes adatainak kezelése során az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó megsérti a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat.
23. § (1) Az érintett az adatkezelő, illetve - az adatfeldolgozó tevékenységi körébe tartozó adatkezelési műveletekkel összefüggésben - az adatfeldolgozó ellen bírósághoz fordulhat, ha megítélése szerint az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatait a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírások megsértésével kezeli.
(2) Azt, hogy az adatkezelés a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásoknak - így különösen a 2. § (3) bekezdésének hatálya alá tartozó adatkezelések esetén a 4. § (1)-(4a) bekezdésben meghatározott alapvető követelményeknek - megfelel, az adatkezelő, illetve az adatfeldolgozó köteles bizonyítani.
(3) A pert az érintett - választása szerint - a lakóhelye vagy tartózkodási helye szerint illetékes törvényszék előtt is megindíthatja.
(4) A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a Hatóság az érintett pernyertessége érdekében beavatkozhat.
(5) Ha a bíróság a keresetnek helyt ad, a jogsértés tényét megállapítja és az adatkezelőt, illetve az adatfeldolgozót
a) a jogellenes adatkezelési művelet megszüntetésére,
b) az adatkezelés jogszerűségének helyreállítására, illetve
c) az érintett jogai érvényesülésének biztosítására pontosan meghatározott magatartás tanúsítására
kötelezi, és szükség esetén egyúttal határoz a kártérítés, sérelemdíj iránti igényről is.
(6) A bíróság elrendelheti ítéletének - az adatkezelő, illetve adatfeldolgozó azonosító adatainak közzétételével történő - nyilvánosságra hozatalát, ha az ítélet személyek széles körét érinti, ha az alperes adatkezelő, illetve adatfeldolgozó közfeladatot ellátó szerv, vagy ha a bekövetkezett jogsérelem súlya a nyilvánosságra hozatalt indokolja.
24. § (1) Ha az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat megsérti és ezzel másnak kárt okoz, köteles azt megtéríteni.
(2) Ha az adatkezelő, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásokat megsérti és ezzel más személyiségi jogát megsérti, az, akinek személyiségi joga sérelmet szenvedett, az adatkezelőtől, illetve az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozótól sérelemdíjat követelhet.
(3) Az adatkezelő mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy a kárt vagy a személyiségi jog megsértésével okozott jogsérelmet az adatkezelés körén kívül eső elháríthatatlan ok idézte elő.
(4) Az adatfeldolgozó mentesül az okozott kárért való felelősség és a sérelemdíj megfizetésének kötelezettsége alól, ha bizonyítja, hogy az általa végzett adatkezelési műveletek során a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott, kifejezetten az adatfeldolgozókat terhelő kötelezettségek, valamint az adatkezelő jogszerű utasításainak betartásával járt el.
(5) Az adatkezelő és az általa megbízott vagy rendelkezése alapján eljáró adatfeldolgozó, továbbá a közös adatkezelők és az általuk megbízott vagy rendelkezésük alapján eljáró adatfeldolgozók a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírások megsértésével okozott
a) kárért az érintettel szemben egyetemlegesen felelnek, valamint
b) személyiségi jogsértés esetén járó sérelemdíjat egyetemlegesen kötelesek megfizetni az érintettnek.
(6) Nem kell megtéríteni a kárt és nem követelhető a sérelemdíj annyiban, amennyiben a kár a károsult vagy a személyiségi jog megsértésével okozott jogsérelem a személyiségi jogi jogsérelmet szenvedő személy szándékos vagy súlyosan gondatlan magatartásából származott."
10. § Az Infotv. 9. alcíme helyébe a következő alcím lép:
"9. A személyes adatokkal összefüggő jogok érvényesítése az érintett halálát követően
25. § (1) Az érintett halálát követő öt éven belül a 14. § b)-e) pontjában, illetve - az általános adatvédelmi rendelet hatálya alá tartozó adatkezelési műveletek esetén - az általános adatvédelmi rendelet 15-18. és 21. cikkében meghatározott, az elhaltat életében megillető jogokat az érintett által arra ügyintézési rendelkezéssel, illetve közokiratban vagy teljes bizonyító erejű magánokiratban foglalt, az adatkezelőnél tett nyilatkozattal - ha az érintett egy adatkezelőnél több nyilatkozatot tett, a későbbi időpontban tett nyilatkozattal - meghatalmazott személy jogosult érvényesíteni.
(2) Ha az érintett nem tett az (1) bekezdésnek megfelelő jognyilatkozatot, a Polgári Törvénykönyv szerinti közeli hozzátartozója annak hiányában is jogosult a 14. § c) pontjában, az általános adatvédelmi rendelet hatálya alá tartozó adatkezelési műveletek esetén az általános adatvédelmi rendelet 16. és 21. cikkében, valamint - ha az adatkezelés már az érintett életében is jogellenes volt vagy az adatkezelés célja az érintett halálával megszűnt - a 14. § d) és e) pontjában, az általános adatvédelmi rendelet hatálya alá tartozó adatkezelési műveletek esetén az általános adatvédelmi rendelet 17. és 18. cikkében meghatározott, az elhaltat életében megillető jogokat érvényesíteni az érintett halálát követő öt éven belül. Az érintett jogainak e bekezdés szerinti érvényesítésére az a közeli hozzátartozó jogosult, aki ezen jogosultságát elsőként gyakorolja.
(3) Az érintett jogait az (1) vagy (2) bekezdés alapján érvényesítő személyt e jogok érvényesítése - így különösen az adatkezelővel szembeni, valamint a Hatóság, illetve bíróság előtti eljárás - során az e törvény által az érintett részére megállapított jogok illetik meg és kötelezettségek terhelik.
(4) Az érintett jogait az (1) vagy (2) bekezdés alapján érvényesítő személy az érintett halálának tényét és idejét halotti anyakönyvi kivonattal vagy bírósági határozattal, valamint saját személyazonosságát - és a (2) bekezdés szerinti esetben közeli hozzátartozói minőségét - közokirattal igazolja.
(5) Az adatkezelő kérelemre tájékoztatja az érintett Polgári Törvénykönyv szerinti közeli hozzátartozóját az (1), illetve (2) bekezdés alapján megtett intézkedésekről, kivéve, ha azt az érintett az (1) bekezdésben meghatározott nyilatkozatában megtiltotta."
11. § Az Infotv. a 10. alcímet megelőzően a következő fejezetcímmel egészül ki:
"II/B. FEJEZET
AZ ADATKEZELŐ ES AZ ADATFELDOLGOZÓ KÖTELEZETTSÉGEI"
12. § Az Infotv. 10. alcíme helyébe a következő alcím lép:
"10. Az adatkezelő általános feladatai
25/A. § (1) Az adatkezelő az adatkezelés jogszerűségének biztosítása érdekében az adatkezelés összes körülményéhez, így különösen céljához, valamint az érintettek alapvető jogainak érvényesülését az adatkezelés által fenyegető kockázatokhoz igazodó műszaki és szervezési intézkedéseket tesz, ideértve indokolt esetben az álnevesítés alkalmazását. Ezeket az intézkedéseket az adatkezelő rendszeresen felülvizsgálja és szükség esetén megfelelően módosítja.
(2) Az (1) bekezdésben meghatározott intézkedéseket úgy kell kialakítani, hogy azok
a) a tudomány és technológia mindenkori állásának és az intézkedések megvalósítása költségeinek figyelembevételével észszerűen elérhető módon a személyes adatok kezelésére vonatkozó követelmények, így különösen az adatkezelés alapelvei és az érintettek jogai hatékony érvényesülését szolgálják, valamint
b) alkalmasak és megfelelőek legyenek annak biztosítására, hogy alapértelmezés szerint
ba) kizárólag olyan és annyi személyes adat kezelésére kerüljön sor, olyan mértékben és időtartamban, amely az adatkezelés célja szempontjából szükséges, és
bb) az adatkezelő által kezelt személyes adatok az érintett erre irányuló kifejezett akarata hiányában ne válhassanak nyilvánosan hozzáférhetővé.
(3) Ha az adatkezelő adatvédelmi tisztviselő kijelölésére köteles, az (1) bekezdésben meghatározott intézkedések részeként az adatkezelő belső adatvédelmi és adatbiztonsági szabályzatot alkot meg és alkalmaz.
(4) Aki az adatkezelő tevékenységi körében kezelt személyes adatokhoz adatfeldolgozóként vagy az adatkezelő irányítása alatt más módon jogszerűen hozzáférhet - ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa ettől eltérően nem rendelkezik - a hozzáféréssel érintett személyes adatokkal kizárólag az adatkezelő utasításában meghatározott műveletek végzésére jogosult.
(5) Az adatkezelő és az adatfeldolgozó az általa végzett adatkezelési műveletek jogszerűségével kapcsolatos eljárások lefolytatására jogosult szervek és személyek tevékenységét köteles elősegíteni, részükre az eljárásuk lefolytatásához szükséges tájékoztatást köteles megadni.
25/B. § (1) Ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa a közös adatkezelők által végzett adatkezeléssel összefüggő kötelezettségek teljesítésével, így különösen az érintett jogainak érvényesítésével, valamint ezen kötelezettségek teljesítésének elmulasztásával kapcsolatos felelősségük megoszlását nem, vagy nem teljes körűen határozza meg, azt - a rájuk irányadó jogi kötelezettségek által nem szabályozott mértékben - a közös adatkezelők a közöttük írásban létrejött és nyilvánosságra hozott megállapodásban határozzák meg.
(2) Ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa azt nem határozza meg, az (1) bekezdés szerinti megállapodásban ki kell jelölni azt a kapcsolattartásra köteles közös adatkezelőt, akihez az érintett az e törvényben meghatározott jogainak érvényesítése érdekében fordulni jogosult. Kapcsolattartó közös adatkezelő meghatározása vagy kijelölése hiányában az érintett az e törvény szerinti jogait bármely, közös adatkezelők által végzett adatkezelési művelet vonatkozásában bármelyik közös adatkezelővel szemben gyakorolhatja."
13. § Az Infotv. 11. alcíme helyébe a következő alcím lép:
"11. Az adatfeldolgozó
25/C. § (1) Adatfeldolgozóként kizárólag olyan személy vagy szervezet járhat el, aki vagy amely megfelelő garanciákat nyújt az adatkezelés jogszerűségének és az érintettek jogai védelmének biztosítására alkalmas műszaki és szervezési intézkedések végrehajtására. Ezen garanciákat az adatkezelés megkezdését megelőzően az adatfeldolgozó igazolja az adatkezelő számára.
(2) Az adatfeldolgozó további adatfeldolgozót kizárólag abban az esetben vehet igénybe, ha azt jogszabály nem zárja ki, továbbá ha az adatkezelő további adatfeldolgozó igénybe vételéhez előzetesen közokiratban vagy teljes bizonyító erejű magánokiratban eseti vagy általános felhatalmazást adott.
(3) Ha az adatfeldolgozó a további adatfeldolgozót az adatkezelő általános felhatalmazása alapján veszi igénybe, az adatfeldolgozó a további adatfeldolgozó igénybe vételét megelőzően tájékoztatja az adatkezelőt a további adatfeldolgozó személyéről, valamint a további adatfeldolgozó által végzendő tervezett feladatokról. Ha az adatkezelő ezen tájékoztatás alapján a további adatfeldolgozó igénybe vételével szemben kifogást emel, a további adatfeldolgozó igénybevételére az adatfeldolgozó kizárólag a kifogásban megjelölt feltételek teljesítése esetén jogosult.
25/D. § (1) Az adatkezelő és az adatfeldolgozó közötti jogviszony részletes tartalmát az e törvényben, valamint az Európai Unió kötelező jogi aktusában meghatározott keretek között jogszabály vagy az adatkezelő és az adatfeldolgozó között írásban létrehozott szerződés - ideértve az elektronikus úton létrehozott szerződést is - határozza meg. Az adatkezelő által az adatfeldolgozónak adott utasítások jogszerűségéért az adatkezelő felel.
(2) Az (1) bekezdésben meghatározott jogszabálynak vagy szerződésnek tartalmaznia kell az adatkezelés tárgyát, időtartamát, jellegét és célját, az érintett személyes adatok típusát, az érintettek körét, valamint az adatfeldolgozó és az adatkezelő e törvényben, valamint az Európai Unió kötelező jogi aktusában nem szabályozott jogait és kötelezettségeit.
(3) Az (1) bekezdésben meghatározott jogszabályban vagy szerződésben rendelkezni kell különösen az adatfeldolgozó azon kötelezettségéről, hogy
a) tevékenysége során kizárólag az adatkezelő írásbeli utasítása alapján jár el,
b) tevékenysége során biztosítja azt, hogy az érintett személyes adatokhoz való hozzáférésre feljogosított személyek - ha jogszabályon alapuló megfelelő titoktartási kötelezettség hatálya alatt egyébként nem állnak - az általuk megismert személyes adatok vonatkozásában titoktartási kötelezettséget vállaljanak,
c) tevékenysége során minden megfelelő eszközzel segíti az adatkezelőt az érintettek jogai érvényesítésének elősegítése, ezzel kapcsolatos kötelezettségei teljesítése érdekében,
d) az adatkezelő választása szerint az általa végzett adatkezelési műveletek befejezését követően - ha törvény másként nem rendelkezik - vagy haladéktalanul törli a tevékenysége során megismert személyes adatokat, vagy továbbítja azokat az adatkezelőnek és azt követően törli a meglévő másolatokat,
e) az adatkezelő rendelkezésére bocsát minden olyan információt, amely az adatfeldolgozó igénybevételére vonatkozó jogi rendelkezéseknek való megfelelés igazolásához szükséges, és
f) további adatfeldolgozót csak az e törvényben meghatározott feltételek teljesítése mellett vesz igénybe.
(4) Ha egy adatfeldolgozó e törvény rendelkezéseitől eltérve maga határozza meg az adatkezelés céljait és eszközeit, akkor azt az érintett adatkezelés tekintetében adatkezelőnek kell tekinteni."
14. § Az Infotv. 12. alcíme helyébe a következő alcím lép:
"12. Az adatkezelői és az adatfeldolgozói nyilvántartás és az elektronikus napló
25/E. § (1) Az adatkezelő a kezelésében lévő személyes adatokkal kapcsolatos adatkezeléseiről, az adatvédelmi incidensekről és az érintett hozzáférési jogával kapcsolatos intézkedésekről nyilvántartást vezet (a továbbiakban együtt: adatkezelői nyilvántartás). Az adatkezelői nyilvántartásban az adatkezelő rögzíti
a) az adatkezelő, ideértve minden egyes közös adatkezelőt is, valamint az adatvédelmi tisztviselő nevét és elérhetőségeit,
b) az adatkezelés célját vagy céljait,
c) személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek - ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket - körét,
d) az érintettek, valamint a kezelt adatok körét,
e) profilalkotás alkalmazása esetén annak tényét,
f) nemzetközi adattovábbítás esetén a továbbított adatok körét,
g) az adatkezelési műveletek - ideértve az adattovábbítást is - jogalapjait,
h) ha az ismert, a kezelt személyes adatok törlésének időpontját,
i) az e törvény szerint végrehajtott műszaki és szervezési biztonsági intézkedések általános leírását,
j) az általa kezelt adatokkal összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményeit, azok hatásait és a kezelésükre tett intézkedéseket,
k) az érintett hozzáférési jogának érvényesítését e törvény szerint korlátozó vagy megtagadó intézkedésének jogi és ténybeli indokait.
(2) Az adatfeldolgozó az általa az egyes adatkezelők megbízásából vagy rendelkezése szerint végzett adatkezeléseiről nyilvántartást vezet (a továbbiakban: adatfeldolgozói nyilvántartás). Az adatfeldolgozói nyilvántartásban az adatfeldolgozó rögzíti:
a) az adatkezelő, az adatfeldolgozó, a további adatfeldolgozók, valamint az adatfeldolgozó adatvédelmi tisztviselőjének nevét és elérhetőségeit;
b) az adatkezelő megbízásából vagy rendelkezése szerint végzett adatkezelések típusait;
c) az adatkezelő kifejezett utasítására történő nemzetközi adattovábbítás esetén a nemzetközi adattovábbítás tényét, valamint a címzett harmadik ország vagy nemzetközi szervezet megjelölését;
d) az e törvény szerint végrehajtott műszaki és szervezési biztonsági intézkedések általános leírását.
(3) Az adatkezelői és az adatfeldolgozói nyilvántartást írásban vagy elektronikus úton rögzített formában kell vezetni és azt - kérésére - a Hatóság rendelkezésére kell bocsátani.
(4) Az adatkezelői nyilvántartás vezetésére irányuló kötelezettséget a nemzetbiztonsági célú adatkezelést végző szervek a nemzetbiztonsági szolgálatokról szóló törvényben meghatározott nyilvántartási és dokumentációs kötelezettségek - a 23. § (2) bekezdésében és a 25/A. § (5) bekezdésében meghatározott előírások teljesítésére alkalmas módon történő - elvégzése útján is teljesíthetik.
25/F. § (1) A személyes adatokkal elektronikus úton végzett adatkezelési műveletek jogszerűségének ellenőrizhetősége céljából az adatkezelő és az adatfeldolgozó automatizált adatkezelési rendszerben (a továbbiakban: elektronikus napló) rögzíti
a) az adatkezelési művelettel érintett személyes adatok körének meghatározását,
b) az adatkezelési művelet célját és indokát,
c) az adatkezelési művelet elvégzésének pontos időpontját,
d) az adatkezelési műveletet végrehajtó személy megjelölését,
e) a személyes adatok továbbítása esetén az adattovábbítás címzettjét.
(2) Az elektronikus naplóban rögzített adatok kizárólag az adatkezelés jogszerűségének ellenőrzése, az adatbiztonsági követelmények érvényesítése, továbbá büntetőeljárás lefolytatása céljából ismerhetőek meg és használhatóak fel.
(3) Az elektronikus naplóhoz a Hatóság, továbbá a (2) bekezdésben meghatározott célból jogszabályban meghatározott tevékenységet folytató személy és szervezet részére - azok erre irányuló kérelmére - az adatkezelő és az adatfeldolgozó hozzáférést biztosít, abból részükre adatot továbbít.
(4) Az adatkezelői és az adatfeldolgozói nyilvántartásban, valamint az elektronikus naplóban rögzített adatokat a kezelt adat törlését követő tíz évig kell megőrizni.
(5) Az elektronikus napló vezetésére irányuló kötelezettséget a nemzetbiztonsági célú adatkezelést végző szervek a nemzetbiztonsági szolgálatokról szóló törvényben meghatározott nyilvántartási és dokumentációs kötelezettségek - a 23. § (2) bekezdésében és a 25/A. § (5) bekezdésében meghatározott előírások teljesítésére alkalmas módon történő - elvégzése útján is teljesíthetik."
15. § Az Infotv. 13. alcíme helyébe a következő alcím lép:
"13. Az adatvédelmi hatásvizsgálat és az előzetes konzultáció
25/G. § (1) Az adatkezelő a tervezett adatkezelés megkezdését megelőzően felméri, hogy a tervezett adatkezelés annak körülményeire, így különösen céljára, az érintettek körére, az adatkezelési műveletek során alkalmazott technológiára tekintettel várhatóan milyen hatásokat fog gyakorolni az érintetteket megillető alapvető jogok érvényesülésére.
(2) Ha az (1) bekezdés alapján elvégzett kockázatbecslés alapján a tervezett adatkezelés valószínűsíthetően az érintetteket megillető, valamely alapvető jog érvényesülését lényegesen befolyásolja (a továbbiakban: magas kockázatú adatkezelés), az adatkezelő - a (6) bekezdésben meghatározott eset kivételével - az adatkezelés megkezdését megelőzően írásban elemzést készít arról, hogy a tervezett adatkezelés az érintetteket megillető alapvető jogok érvényesülésére milyen várható hatásokat fog gyakorolni (a továbbiakban: adatvédelmi hatásvizsgálat).
(3) Ha a Hatóság valamely meghatározott adatkezelés-típust magas kockázatú adatkezelésnek minősít és e megállapítását közzéteszi, valamint a tervezett adatkezelés e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet vagy műveletsorozat alkalmazásával jár, a tervezett adatkezelés tekintetében annak magas kockázatát vélelmezni kell.
(4) Ha a Hatóság valamely meghatározott adatkezelés-típus tekintetében azt állapítja meg, hogy az nem minősül magas kockázatú adatkezelésnek és e megállapítását közzéteszi, valamint a tervezett adatkezelés kizárólag e megállapítással érintett adatkezelés-típus során alkalmazottal azonos vagy ahhoz hasonló típusú művelet vagy műveletsorozat alkalmazásával jár, a tervezett adatkezelés tekintetében azt kell vélelmezni, hogy az nem minősül magas kockázatú adatkezelésnek.
(5) Az adatvédelmi hatásvizsgálat tartalmazza legalább a tervezett adatkezelési műveletek általános leírását, az érintettek alapvető jogainak érvényesülését fenyegető, az adatkezelő által azonosított kockázatok leírását és jellegét, az e kockázatok kezelése céljából tervezett, valamint a személyes adatokhoz fűződő jog érvényesülésének biztosítására irányuló, az adatkezelő által alkalmazott intézkedéseket.
(6) Kötelező adatkezelés esetén - ideértve különösen a 2. § (3) bekezdésében meghatározott célokból folytatott kötelező adatkezeléseket - az (5) bekezdésben meghatározott tartalmú adatvédelmi hatásvizsgálatot az adatkezelést előíró jogszabály előkészítője folytatja le.
25/H. § (1) Ha a tervezett adatkezelés
a) vonatkozásában lefolytatott adatvédelmi hatásvizsgálat eredménye alapján megállapítható, hogy a tervezett adatkezelés - az adatkezelő által az adatkezeléssel járó kockázatok mérsékléséhez szükséges intézkedések megtételének hiányában - magas kockázatú lenne, vagy
b) magas kockázatát a 25/G. § (3) bekezdése szerint vélelmezni kell,
az adatkezelő vagy tevékenysége keretei között az adatfeldolgozó - a (2) bekezdésben meghatározott kivétellel - az adatkezelés megkezdését megelőzően konzultációt kezdeményez a Hatósággal (a továbbiakban: előzetes konzultáció).
(2) Kötelező adatkezelés esetén - ideértve különösen a 2. § (3) bekezdésében meghatározott célokból folytatott kötelező adatkezeléseket - az előzetes konzultációt az adatkezelést előíró jogszabály előkészítője a jogszabály-előkészítési eljárás keretei között kezdeményezi és folytatja le.
(3) Az adatkezelő vagy tevékenysége keretei között az adatfeldolgozó az előzetes konzultáció kezdeményezésével egyidejűleg a Hatóság rendelkezésére bocsátja az adatvédelmi hatásvizsgálat eredményét, továbbá felvilágosítást nyújt a Hatóság részére minden olyan körülményről, amelynek tisztázását a Hatóság az előzetes konzultáció eredményes lefolytatása érdekében szükségesnek tartja.
(4) Ha a Hatóság az előzetes konzultáció során arra a megállapításra jut, hogy a tervezett adatkezelés vonatkozásában az arra irányadó jogszabályban meghatározott előírások nem érvényesülnek maradéktalanul - különösen, ha álláspontja szerint az adatkezelő az adatkezeléssel járó kockázatokat nem megfelelően azonosította vagy nem megfelelően mérsékelte -, a feladat- és hatáskörébe tartozó bármely egyéb intézkedés megtétele mellett vagy helyett a feltárt hiányosságok megszüntetésére alkalmas lépéseket határoz meg és azok végrehajtására tesz javaslatot az adatkezelő, illetve - annak tevékenységi körére korlátozva -az adatfeldolgozó részére.
(5) A (4) bekezdésben meghatározott javaslatot a Hatóság az előzetes konzultáció kezdeményezésétől számított hat héten belül, írásban teszi meg. E határidőt a Hatóság legfeljebb egy hónappal meghosszabbíthatja, ebben az esetben a meghosszabbítás tényéről és indokairól az előzetes konzultáció kezdeményezésétől számított egy hónapon belül tájékoztatja az adatkezelőt, illetve az adatfeldolgozót."
16. § Az Infotv. 14. alcíme helyébe a következő alcím lép:
"14. Adatbiztonsági intézkedések
25/I. § (1) Az adatkezelő és az adatfeldolgozó a kezelt személyes adatok megfelelő szintű biztonságának biztosítása érdekében az érintettek alapvető jogainak érvényesülését az adatkezelés által fenyegető - így különösen az érintettek különleges adatainak kezelésével járó - kockázatok mértékéhez igazodó műszaki és szervezési intézkedéseket tesz.
(2) Az (1) bekezdésben meghatározott intézkedések kialakítása és végrehajtása során az adatkezelő és az adatfeldolgozó figyelembe veszi az adatkezelés összes körülményét, így különösen a tudomány és a technológia mindenkori állását, az intézkedések megvalósításának költségeit, az adatkezelés jellegét, hatókörét és céljait, továbbá az érintettek jogainak érvényesülésére az adatkezelés által jelentett változó valószínűségű és súlyosságú kockázatokat.
(3) Az adatkezelő és tevékenységi körében az adatfeldolgozó az (1) bekezdésben meghatározott intézkedésekkel biztosítja
a) az adatkezeléshez használt eszközök (a továbbiakban: adatkezelő rendszer) jogosulatlan személyek általi hozzáférésének megtagadását,
b) az adathordozók jogosulatlan olvasásának, másolásának, módosításának vagy eltávolításának megakadályozását,
c) az adatkezelő rendszerbe a személyes adatok jogosulatlan bevitelének, valamint az abban tárolt személyes adatok jogosulatlan megismerésének, módosításának vagy törlésének megakadályozását,
d) az adatkezelő rendszerek jogosulatlan személyek általi, adatátviteli berendezés útján történő használatának megakadályozását,
e) azt, hogy az adatkezelő rendszer használatára jogosult személyek kizárólag a hozzáférési engedélyben meghatározott személyes adatokhoz férjenek hozzá,
f) azt, hogy ellenőrizhető és megállapítható legyen, hogy a személyes adatokat adatátviteli berendezés útján mely címzettnek továbbították vagy továbbíthatják, illetve bocsátották vagy bocsáthatják rendelkezésére,
g) azt, hogy utólag ellenőrizhető és megállapítható legyen, hogy mely személyes adatokat, mely időpontban, ki vitt be az adatkezelő rendszerbe,
h) a személyes adatoknak azok továbbítása során vagy az adathordozó szállítása közben történő jogosulatlan megismerésének, másolásának, módosításának vagy törlésének megakadályozását,
i) azt, hogy üzemzavar esetén az adatkezelő rendszer helyreállítható legyen, valamint
j) azt, hogy az adatkezelő rendszer működőképes legyen, a működése során fellépő hibákról jelentés készüljön, továbbá a tárolt személyes adatokat a rendszer hibás működtetésével sem lehessen megváltoztatni.
(4) A különböző nyilvántartásokban elektronikusan kezelt adatállományok védelme érdekében az adatkezelő, illetve tevékenységi körében az adatfeldolgozó megfelelő műszaki megoldással biztosítja, hogy a nyilvántartásokban tárolt adatok - kivéve, ha azt törvény lehetővé teszi - közvetlenül ne legyenek összekapcsolhatók és az érintetthez rendelhetők."
17. § Az Infotv. 15. alcíme helyébe a következő alcím lép:
"15. Az adatvédelmi incidensek kezelése
25/J. § (1) Az adatkezelő az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt adatokkal összefüggésben felmerült adatvédelmi incidens kapcsán rögzíti az (5) bekezdés a), c) és d) pontja szerinti adatokat, valamint az adatvédelmi incidenst haladéktalanul, de legfeljebb az adatvédelmi incidensről való tudomásszerzését követő hetvenkét órán belül bejelenti a Hatóságnak.
(2) Az adatvédelmi incidenst nem kell bejelenteni, ha valószínűsíthető, hogy az nem jár kockázattal az érintettek jogainak érvényesülésére.
(3) Ha az adatkezelő az (1) bekezdésben meghatározott bejelentési kötelezettséget akadályoztatása miatt határidőben nem teljesíti, azt az akadály megszűnését követően haladéktalanul teljesíti, és a bejelentéshez mellékeli a késedelem okait feltáró nyilatkozatát is.
(4) Ha az adatvédelmi incidens az adatfeldolgozó tevékenységével összefüggésben merült fel vagy azt egyébként az adatfeldolgozó észleli, arról - az adatvédelmi incidensről való tudomásszerzését követően - haladéktalanul tájékoztatja az adatkezelőt.
(5) Az (1) bekezdésben meghatározott bejelentési kötelezettség keretei között az adatkezelő
a) ismerteti az adatvédelmi incidens jellegét, beleértve - ha lehetséges - az érintettek körét és hozzávetőleges számát, valamint az incidenssel érintett adatok körét és hozzávetőleges mennyiségét,
b) tájékoztatást nyújt az adatvédelmi tisztviselő vagy a további tájékoztatás nyújtására kijelölt más kapcsolattartó nevéről és elérhetőségi adatairól,
c) ismerteti az adatvédelmi incidensből eredő, valószínűsíthető következményeket, és
d) ismerteti az adatkezelő által az adatvédelmi incidens kezelésére tett vagy tervezett - az adatvédelmi incidensből eredő esetleges hátrányos következmények mérséklését célzó és egyéb - intézkedéseket.
(6) Ha az (5) bekezdés a)-d) pontjában foglalt valamely információ a bejelentés időpontjában nem áll az adatkezelő rendelkezésére, azzal az adatkezelő a bejelentést annak benyújtását követően utólag - az információ rendelkezésre állásáról való tudomásszerzését követően haladéktalanul - kiegészíti.
(7) Ha az adatvédelmi incidens során olyan adat érintett, amelyet valamely más EGT-állam adatkezelője továbbított az adatkezelő részére, vagy amelyet az adatkezelő más EGT-állam adatkezelője részére továbbított, az (5) bekezdésben meghatározott információkat az adatkezelő ezen EGT-állam adatkezelőjével haladéktalanul közli.
(8) Az (1) bekezdésben meghatározott bejelentési kötelezettséget az adatkezelő - a minősített adatot tartalmazó bejelentés kivételével - a Hatóság által e célra biztosított elektronikus felületen teljesíti.
(9) Nemzetbiztonsági célú adatkezelés esetén az (1)-(8) bekezdésben meghatározottakat azzal az eltéréssel kell alkalmazni, hogy ha az adatkezelőt az (1) bekezdés alapján terhelő bejelentési kötelezettség, valamint a (7) bekezdés alapján terhelő közlési kötelezettség teljesítése nemzetbiztonsági érdekbe ütközne, azt e nemzetbiztonsági érdek megszűnését követően kell teljesíteni.
25/K. § (1) Ha az adatvédelmi incidens valószínűsíthetően az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következményekkel járhat (a továbbiakban: magas kockázatú adatvédelmi incidens), a nemzetbiztonsági célú adatkezelés kivételével az adatkezelő az érintettet az adatvédelmi incidensről haladéktalanul tájékoztatja.
(2) Az adatkezelő mentesül az érintett (1) bekezdésben foglaltak szerinti tájékoztatásának kötelezettsége alól, ha
a) az adatkezelő az adatvédelmi incidenssel érintett adatok tekintetében az adatvédelmi incidenst megelőzően megfelelő - így különösen az adatokat a jogosulatlan személy általi hozzáférés esetére értelmezhetetlenné alakító, azok titkosítását eredményező - műszaki és szervezési védelmi intézkedéseket alkalmazott,
b) az adatkezelő az adatvédelmi incidensről való tudomásszerzését követően alkalmazott intézkedésekkel biztosította, hogy az adatvédelmi incidens folytán az érintettet megillető valamely alapvető jog érvényesülését lényegesen befolyásoló következmények valószínűsíthetően nem következnek be,
c) az érintett (1) bekezdés szerinti közvetlen tájékoztatása csak az adatkezelő aránytalan erőfeszítésével lenne teljesíthető, ezért az adatkezelő az érintettek részére az adatvédelmi incidenssel összefüggő megfelelő tájékoztatást bárki által hozzáférhető módon közzétett információk útján biztosítja, vagy
d) törvény - a (6) bekezdésben meghatározottak szerint - a tájékoztatást kizárja.
(3) Az (1) bekezdésben meghatározott tájékoztatási kötelezettség keretei között az adatkezelő világosan és közérthetően ismerteti az adatvédelmi incidens jellegét, valamint az érintett rendelkezésére bocsátja a 25/J. § (5) bekezdés b), c) és d) pontjában meghatározott információkat.
(4) Ha a Hatóság a 25/J. § (1) bekezdésében foglaltak szerint teljesített bejelentés alapján azt állapítja meg, hogy az adatvédelmi incidens magas kockázata miatt az érintett tájékoztatása szükséges, az adatkezelő az általa még nem teljesített, az (1) bekezdésben foglalt tájékoztatási kötelezettségét e megállapítást követően haladéktalanul teljesíti.
(5) Nem köteles az adatkezelő az (1) bekezdésben foglalt tájékoztatási kötelezettség teljesítésére, ha a Hatóság a 25/J. § (1) bekezdésében foglaltak szerint teljesített bejelentés alapján a (2) bekezdés a)-d) pontjában meghatározott körülmény fennállását állapítja meg.
(6) Az (1)-(5) bekezdésben meghatározottaktól eltérően törvény az érintett tájékoztatását a 16. § (3) bekezdésben foglalt feltételekkel és okokból kizárhatja, korlátozhatja vagy a tájékoztatás késleltetett teljesítését írhatja elő."
18. § Az Infotv. 16. alcíme helyébe a következő alcím lép:
"16. Az adatvédelmi tisztviselő
25/L. § (1) Az adatkezelő és az adatfeldolgozó a személyes adatok kezelésére vonatkozó jogi előírások teljesítésének és az érintettek jogai érvényesülésének elősegítése érdekében adatvédelmi tisztviselőt alkalmaz,
a) ha az adatkezelő, illetve az adatfeldolgozó állami feladatot vagy jogszabályban meghatározott egyéb közfeladatot lát el - kivéve a bíróságokat -, vagy
b) ha törvény vagy az Európai Unió jogi aktusa azt előírja.
(2) Adatvédelmi tisztviselőnek az jelölhető ki, aki a személyes adatok védelmére vonatkozó jogi előírások és jogalkalmazási gyakorlat megfelelő szintű ismeretével rendelkezik és alkalmas a 25/M. § (1) bekezdésében meghatározott feladatok ellátására.
(3) Az adatvédelmi tisztviselő egyidejűleg több adatkezelő, illetve adatfeldolgozó tekintetében is elláthatja a 25/M. § (1) bekezdésében meghatározott feladatokat, ha az feladatainak szakszerű és hatékony ellátását nem veszélyezteti. Az adatvédelmi tisztviselő tájékoztatja az adatkezelőt, illetve adatfeldolgozót arról, hogy mely más adatkezelőnél vagy adatfeldolgozónál lát el adatvédelmi tisztviselői feladatokat.
(4) Az adatkezelő, illetve az adatfeldolgozó tájékoztatja a Hatóságot az adatvédelmi tisztviselő nevéről, postai és elektronikus levélcíméről, ezen adatok változásáról, valamint ezen adatokat nyilvánosságra hozza.
(5) Az adatkezelő és az adatfeldolgozó kellő időben bevonja az adatvédelmi tisztviselőt valamennyi, a személyes adatok védelmét érintő döntés előkészítésébe, továbbá biztosítja az adatvédelmi tisztviselő számára mindazon feltételeket, jogosultságokat és erőforrásokat, továbbá hozzáférést biztosít mindazon adatokhoz és információkhoz, amelyek az adatvédelmi tisztviselő által ellátandó feladatok végrehajtásához, valamint az adatvédelmi tisztviselő szakmai ismereteinek naprakészen tartásához szükségesek.
25/M. § (1) Az adatvédelmi tisztviselő elősegíti az adatkezelő, illetve az adatfeldolgozó - a személyes adatok kezelésére vonatkozó jogi előírásokban meghatározott - kötelezettségeinek teljesítését, így különösen
a) a személyes adatok kezelésére vonatkozó jogi előírásokról naprakész tájékoztatást nyújt és azok érvényesítésének módjaival kapcsolatban tanácsot ad az adatkezelő, az adatfeldolgozó és az azok által foglalkoztatott, az adatkezelési műveleteket végző személyek részére;
b) folyamatosan figyelemmel kíséri és ellenőrzi a személyes adatok kezelésére vonatkozó jogi előírások, így különösen a jogszabályok és belső adatvédelmi és adatbiztonsági szabályzatok érvényesülését, ennek keretei között az egyes adatkezelési műveletekhez kapcsolódó egyértelmű feladatmeghatározás, az adatkezelési műveletekben közreműködő foglalkoztatottak adatvédelmi ismereteinek bővítése és tudatosságnövelése, valamint a rendszeres időközönként lefolytatandó vizsgálatok megvalósulását;
c) elősegíti az érintettet megillető jogok gyakorlását, így különösen kivizsgálja az érintettek panaszait és kezdeményezi az adatkezelőnél, illetve az adatfeldolgozónál a panasz orvoslásához szükséges intézkedések megtételét,
d) szakmai tanácsadással elősegíti és figyelemmel kíséri az adatvédelmi hatásvizsgálat lefolytatását,
e) együttműködik az adatkezelés jogszerűségével kapcsolatos eljárások lefolytatására jogosult szervekkel és személyekkel, így különösen kapcsolatot tart a Hatósággal az előzetes konzultáció és a Hatóság által lefolytatott eljárások elősegítése érdekében,
f) közreműködik a belső adatvédelmi és adatbiztonsági szabályzat megalkotásában.
(2) Az adatvédelmi tisztviselő jogviszonyának fennállása alatt és annak megszűnését követően is titokként megőrzi a tevékenységével, annak ellátásával kapcsolatban tudomására jutott személyes adatot, minősített adatot, illetve törvény által védett titoknak és hivatás gyakorlásához kötött titoknak minősülő adatot, valamint minden olyan adatot, tényt vagy körülményt, amelyet az őt alkalmazó adatkezelő vagy adatfeldolgozó nem köteles törvény előírásai szerint a nyilvánosság számára hozzáférhetővé tenni.
25/N. § (1) Az adatvédelmi tisztviselők konferenciája (a továbbiakban: konferencia) a Hatóság és az adatvédelmi tisztviselők rendszeres szakmai kapcsolattartását szolgálja, célja a személyes adatok védelmére és a közérdekű adatok megismerésére vonatkozó jogszabályok alkalmazása során az egységes joggyakorlat kialakítása.
(2) A konferenciát a Hatóság elnöke szükség szerint, de évente legalább egyszer hívja össze, és meghatározza napirendjét."
19. § (1) Az Infotv. 38. § (2a) bekezdése helyébe a következő rendelkezés lép és a § a következő (2b) bekezdéssel egészül ki:
"(2a) Az általános adatvédelmi rendeletben a felügyeleti hatóság részére megállapított feladat-és hatásköröket a Magyarország joghatósága alá tartozó jogalanyok tekintetében az általános adatvédelmi rendeletben és e törvényben meghatározottak szerint a Hatóság gyakorolja.
(2b) A Hatóságnak a (2) bekezdésben a személyes adatok tekintetében meghatározott feladatköre a bírósági döntés meghozatalára irányuló peres és nemperes eljárásokban, az azokra vonatkozó előírások alapján a bíróság által végzett adatkezelési műveletek vonatkozásában nem terjed ki a (3) bekezdésben meghatározott hatáskörök gyakorlására."
(2) Az Infotv. 38. § (3) bekezdés a)-c) pontja helyébe a következő rendelkezések lépnek:
[A Hatóság a (2) bekezdés szerinti feladatkörében az e törvényben meghatározottak szerint]
"a) bejelentés alapján és hivatalból vizsgálatot folytat;
b) az érintett kérelmére és hivatalból adatvédelmi hatósági eljárást folytat;"
c) hivatalból titokfelügyeleti hatósági eljárást folytat;"
(3) Az Infotv. 38. § (3) bekezdése a következő g) ponttal egészül ki:
[A Hatóság a (2) bekezdés szerinti feladatkörében az e törvényben meghatározottak szerint]
"g) kérelemre adatkezelési engedélyezési eljárást folytat;"
(4) Az Infotv. 38. § (3) bekezdése a következő h) ponttal egészül ki:
[A Hatóság a (2) bekezdés szerinti feladatkörében az e törvényben meghatározottak szerint]
h) ellátja az Európai Unió kötelező jogi aktusában, így különösen az általános adatvédelmi rendeletben és a 2016/680 (EU) irányelvben a tagállami felügyeleti hatóság részére megállapított, továbbá a törvényben meghatározott egyéb feladatokat."
(5) Az Infotv. 40. § (3) bekezdése helyébe a következő rendelkezés lép:
"(3) A köztársasági elnök a Hatóság elnökét kilenc évre nevezi ki. A Hatóság elnöke a megbízatásának megszűnését követően a Hatóság elnökének egy alkalommal újra kinevezhető."
(6) Az Infotv. 45. § (6b) bekezdése helyébe a következő rendelkezés lép:
"(6b) A Hatóság elnöke az indítvány megalapozatlanságának megállapítása iránt közigazgatási pert indíthat. A keresetindítási határidő elmulasztása esetén igazolásnak nincs helye. A bíróság a közszolgálati jogviszonnyal kapcsolatos per szabályai szerint jár el azzal, hogy a pert a miniszterelnök ellen kell megindítani, és a perre a munkavégzés helye szerinti bíróság kizárólagosan illetékes. A bíróság a keresetlevelet, valamint az ügy érdemében hozott jogerős határozatát a köztársasági elnökkel is közli."
(7) Az Infotv. 45. § (6d) bekezdése helyébe a következő rendelkezés lép:
"(6d) A köztársasági elnök a miniszterelnök által a (3) és (6) bekezdés alapján megtett indítványról
a) ha a Hatóság elnöke nem indít közigazgatási pert, a keresetindításra nyitva álló határidő lejártát követő tizenöt napon belül,
b) ha a Hatóság elnöke közigazgatási pert indít, az ügy érdemében hozott jogerős határozat kézhezvételét követő tizenöt napon belül
dönt."
20. § Az Infotv. 30. alcíme a következő 51/A. §-sal egészül ki:
"51/A. § (1) Ha hatósági eljárás megindítása e törvény szerint nem kötelező, a Hatóság hivatalból vizsgálatot indíthat.
(2) A Hatóságnál az érintett bejelentéssel vizsgálatot kezdeményezhet a 22. § a) pontjában meghatározott esetben. A bejelentésben az érintett feltünteti az annak alátámasztására szolgáló adatokat, hogy a 14. §-ban meghatározott jogainak az adatkezelőnél történő érvényesítését megkísérelte."
21. § (1) Az Infotv. 53. § (3) bekezdése a következő f) és g) ponttal egészül ki:
[A Hatóság a bejelentést érdemi vizsgálat nélkül elutasítja, ha]
"f) a bejelentés az 51/A. § (2) bekezdésében meghatározott feltételeknek nem felel meg, vagy
g) a bejelentés tárgyában hatósági ellenőrzést végez vagy hatósági eljárást folytat."
(2) Az Infotv. 53. §-a a következő (8) bekezdéssel egészül ki:
"(8) Ha a vizsgálatban részt vett, a Hatóság az áttételről a vizsgált adatkezelőt, illetve adatfeldolgozót is értesíti."
22. § (1) Az Infotv. 55. § (1) bekezdése helyébe a következő rendelkezés lép:
"(1) A Hatóság a vizsgálat hivatalból történő megindításától vagy a bejelentés érkezését követő naptól számított két hónapon belül
a) megállapítja, hogy az általános adatvédelmi rendeletben és az e törvényben meghatározott jogok gyakorlásával kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye áll fenn, és
aa) az 56. §-ban, illetve az 57. §-ban meghatározott intézkedést tesz,
ab) a vizsgálatot lezárja, és a 60. § szerinti adatvédelmi hatósági eljárást indít, vagy
ac) a vizsgálatot lezárja, és a 62. § szerinti titokfelügyeleti hatósági eljárást indít;
b) megállapítja, hogy jogsérelem nem következett be, illetve annak közvetlen veszélye nem áll fenn, és a vizsgálatot lezárja."
(2) Az Infotv. 55. §-a a következő (3) bekezdéssel egészül ki:
"(3) Ha a Hatóság az 51/A. § (2) bekezdése szerint tett bejelentés alapján lefolytatott vizsgálatát az (1) bekezdés b) pontja alapján lezárja, a (2) bekezdésben meghatározott értesítéssel egyidejűleg a bejelentőt tájékoztatja az őt megillető bírósági jogorvoslathoz való jog gyakorlásának lehetőségéről is."
23. § Az Infotv. 32. alcíme helyébe a következő alcím lép:
"32. Adatvédelmi hatósági eljárás
60. § (1) A személyes adatok védelméhez való jog érvényesülése érdekében a Hatóság az érintett erre irányuló kérelmére adatvédelmi hatósági eljárást indít és hivatalból adatvédelmi hatósági eljárást indíthat.
(2) Az adatvédelmi hatósági eljárás megindítása iránti kérelem a 22. § b) pontjában meghatározott esetben nyújtható be.
(3) A Hatóság hivatalból adatvédelmi hatósági eljárást indít, ha
a) vizsgálata alapján megállapítja, hogy a személyes adatok kezelésével kapcsolatban jogsérelem következett be vagy annak közvetlen veszélye áll fenn, és az 56. § szerinti felszólítás vagy ajánlás alapján a jogsérelem orvoslására, illetve a jogsérelem közvetlen veszélyének megszüntetésére a Hatóság által meghatározott határidőben nem került sor,
b) vizsgálata alapján megállapítja, hogy a személyes adatok kezelésével kapcsolatban jogsérelem következett be vagy annak közvetlen veszélye áll fenn és az általános adatvédelmi rendelet rendelkezései alapján bírság kiszabásának van helye.
(4) Ha az adatvédelmi hatósági eljárást a Hatóság bejelentésen alapuló vizsgálata előzte meg, a bejelentőt az adatvédelmi hatósági eljárás megindításáról, illetve befejezéséről a Hatóság értesíti.
(5) A (2) bekezdésben meghatározott esetben a kérelem az általános közigazgatási rendtartásról szóló törvényben meghatározottakon túl tartalmazza
a) a feltételezett jogsértés megjelölését,
b) a feltételezett jogsértést megvalósító konkrét magatartás vagy állapot leírását,
c) a feltételezett jogsértést megvalósító adatkezelő, illetve adatfeldolgozó azonosításához szükséges, a kérelmező rendelkezésére álló adatokat,
d) a feltételezett jogsértéssel kapcsolatos állításokat alátámasztó tényeket és azok bizonyítékait, továbbá
e) a megjelölt jogsértés orvoslása iránti döntésre vonatkozó határozott kérelmet.
(6) Az adatvédelmi hatósági eljárásban a kérelmezőt költségmentesség illeti meg, a Hatóság előlegezi az olyan eljárási költséget, amelynek előlegezése a kérelmezőt terhelné.
60/A. § (1) Az adatvédelmi hatósági eljárásban az ügyintézési határidő százhúsz nap.
(2) A Hatóság az adatvédelmi hatósági eljárást az általános adatvédelmi rendelet
a) 60. cikk (3)-(5) bekezdésben meghatározott együttműködési eljárás és
b) 63-66. cikkében meghatározott egységességi mechanizmus
alkalmazásának időtartamára felfüggeszti, azzal, hogy a Hatóság a felfüggesztés időtartama alatt is elvégzi az együttműködési eljárásban és az egységességi mechanizmusban szükséges eljárási cselekményeket.
(3) Ha a Hatóság a kérelemre indult eljárás bármely szakaszában megállapítja joghatóságának hiányát, a kérelmet visszautasítja vagy az eljárást megszünteti.
(4) Ha kétséget kizáróan megállapítható, hogy az ügyben mely más EGT-állam felügyeleti hatósága rendelkezik joghatósággal, a Hatóság a kérelmet megküldi a joghatósággal rendelkező felügyeleti hatóságnak. Ebben az esetben a kérelmet visszautasító vagy az eljárást megszüntető végzés tartalmazza e felügyeleti hatóság megnevezését is.
(5) A (4) bekezdésben meghatározottak szerint a kérelemnek a joghatósággal rendelkező felügyeleti hatóság részére történő megküldését követően - az érintett kérésére - a Hatóság tájékoztatást nyújt az érintett részére a joghatósággal rendelkező felügyeleti hatóság előtt történő jogérvényesítés módjáról.
(6) Ha a Hatóság az adatvédelmi hatósági eljárást a kérelem benyújtását követő kilencven napon belül nem szüntette meg vagy az ügy érdemében nem döntött, a kérelmezőt értesíti az az értesítés időpontjáig megtett eljárási cselekményekről.
61. § (1) Az adatvédelmi hatósági eljárásban hozott határozatában a Hatóság
a) a 2. § (2) és (4) bekezdésében meghatározott adatkezelési műveletekkel összefüggésben az általános adatvédelmi rendeletben meghatározott jogkövetkezményeket alkalmazhatja,
b) a 2. § (3) bekezdésében meghatározott adatkezelési műveletekkel összefüggésben
ba) megállapíthatja a személyes adatok jogellenes kezelésének tényét,
bb) elrendelheti a valóságnak nem megfelelő személyes adat helyesbítését,
bc) elrendelheti a jogellenesen kezelt személyes adatok zárolását, törlését vagy megsemmisítését,
bd) megtilthatja a személyes adatok jogellenes kezelését,
be) megtilthatja a személyes adatok külföldre történő továbbítását vagy átadását,
bf) elrendelheti az érintett tájékoztatását, ha azt az adatkezelő jogellenesen tagadta meg, valamint
bg) bírságot szabhat ki,
c) az általános adatvédelmi rendelet 41. cikk (1) bekezdésében meghatározott ellenőrzési tevékenységet végző szervezettel szemben az általános adatvédelmi rendelet 41. cikk (5) bekezdésében meghatározott jogkövetkezményeket alkalmazhatja.
(2) A Hatóság elrendelheti határozatának - az adatkezelő, illetve az adatfeldolgozó azonosító adatainak közzétételével történő - nyilvánosságra hozatalát, ha
a) a határozat személyek széles körét érinti,
b) azt közfeladatot ellátó szerv tevékenységével összefüggésben hozta, vagy
c) a bekövetkezett jogsérelem súlya a nyilvánosságra hozatalt indokolja.
(3) A Hatóság eljárásában figyelmeztetés és óvadék alkalmazása kizárt, ha a Hatóság a mérlegelésére vonatkozó előírások alapján bírság kiszabásának szükségességét állapítja meg.
(4) A bírság mértéke százezertől húszmillió forintig terjedhet
a) az (1) bekezdés b) pont bg) alpontja, valamint
b) ha az adatvédelmi hatósági eljárásban hozott határozatban kiszabott bírság megfizetésére kötelezett költségvetési szerv, az általános adatvédelmi rendelet 83. cikke
szerint kiszabott bírság esetén.
(5) A Hatóság annak eldöntésében, hogy indokolt-e az (1) bekezdés b) pont bg) alpontja szerinti bírság kiszabása, illetve a bírság mértékének megállapítása során az eset összes körülményeit figyelembe veszi, így különösen a jogsértéssel érintettek körének nagyságát, a jogsértés súlyát, a magatartás felróhatóságát, valamint azt, hogy a jogsértővel szemben korábban állapítottak-e meg a személyes adatok kezelésével kapcsolatos jogsértést.
(6) A határozat megtámadására nyitva álló keresetindítási határidő lejártáig, illetve közigazgatási per indítása esetén a bíróság jogerős határozatáig a vitatott adatkezeléssel érintett adatok nem törölhetők, illetve nem semmisíthetők meg.
(7) A Hatóság döntésének végrehajtását a döntésben foglalt, meghatározott cselekmény elvégzésére, meghatározott magatartásra, tűrésre vagy abbahagyásra irányuló kötelezés vonatkozásában a Hatóság foganatosítja.
(8) A Hatóság döntésében megállapított fizetési kötelezettség mérséklésének a kötelezett kérelmére nincs helye. A kötelezett kérheti a fizetési kötelezettség, valamint a (7) bekezdésben meghatározott kötelezettség teljesítésére halasztás vagy részletekben történő teljesítés (a továbbiakban együtt: teljesítési kedvezmény) engedélyezését. A kérelemben a kötelezett igazolja, hogy rajta kívül álló ok lehetetlenné teszi a határidőben való teljesítést vagy az számára aránytalan nehézséget jelentene.
(9) Ha a (8) bekezdés szerinti kérelmet a kötelezett a Hatóság döntése végrehajtásának elrendelését követően terjeszti elő, a Hatóság teljesítési kedvezményt csak akkor engedélyezhet, ha a kötelezettség határidőben való teljesítését a kötelezetten kívül álló ok tette lehetetlenné.
(10) A Hatóság döntésében megállapított fizetési kötelezettség tekintetében benyújtott teljesítési kedvezmény iránti kérelem elbírálása során az állami adó- és vámhatóság az adóhatóság által foganatosítandó végrehajtási eljárásokról szóló 2017. évi CLIII. törvény 110. § - ának alkalmazásával jár el . "
24. § Az Infotv. 34/A. alcíme helyébe a következő alcím lép:
"34/A. Az adatkezelési engedélyezési eljárás
64/A. § (1) A Hatóság az általános adatvédelmi rendelet
a) 40. cikkében meghatározott magatartási kódexek tervezetének, kiegészítésének vagy módosításának jóváhagyása,
b) 41. cikkében meghatározott ellenőrzési tevékenység engedélyezése,
c) 42. cikk (5) bekezdésében meghatározott tanúsítási szempontok jóváhagyása,
d) 46. cikk (3) bekezdés a) pontjában meghatározott szerződéses rendelkezések engedélyezése,
e) 46. cikk (3) bekezdés b) pontjában meghatározott rendelkezések engedélyezése,
f) 47. cikkében meghatározott kötelező erejű vállalati szabályok jóváhagyása
iránti kérelmek benyújtása esetén adatkezelési engedélyezési eljárást folytat le.
(2) Az általános közigazgatási rendtartásról szóló törvényben meghatározottakon túl az (1) bekezdés
a) a) pontjában meghatározott kérelem tartalmazza a magatartási kódex, illetve annak kiegészítése vagy módosítása tervezetét,
b) b) pontjában meghatározott kérelem tartalmazza az általános adatvédelmi rendelet 41. cikk (2) bekezdésében, valamint a Hatóság által közzétett engedélyezési követelményekben meghatározott feltételek fennállásának igazolására szolgáló adatokat,
c) c) pontjában meghatározott kérelem tartalmazza a tanúsítási mechanizmus általános leírását és a tanúsítási szempontok tervezetét,
d) d) pontjában meghatározott kérelem tartalmazza a szerződéses rendelkezések tervezetét,
e) e) pontjában meghatározott kérelem tartalmazza a rendelkezések tervezetét,
f) f) pontjában meghatározott kérelem tartalmazza a kötelező erejű vállalati szabályok kötelező jellegének igazolására szolgáló adatokat és a kötelező erejű vállalati szabályok tervezetét.
64/B. § Az adatkezelési engedélyezési eljárásért miniszteri rendeletben meghatározott mértékű igazgatási szolgáltatási díjat kell fizetni.
64/C. § (1) Az adatkezelési engedélyezési eljárásban az ügyintézési határidő
a) a 64/A. § (1) bekezdés a)-c) és f) pontjában meghatározott kérelmek esetén száznyolcvan nap,
b) a 64/A. § (1) bekezdés d) és e) pontjában meghatározott kérelmek esetén kilencven nap.
(2) A Hatóság az adatkezelési engedélyezési eljárást az általános adatvédelmi rendelet
a) 60. cikk (3)-(5) bekezdésben meghatározott együttműködési eljárás és
b) 63-66. cikkében meghatározott egységességi mechanizmus
alkalmazásának időtartamára felfüggeszti, azzal, hogy a Hatóság a felfüggesztés időtartama alatt is elvégzi az együttműködési eljárásban és az egységességi mechanizmusban szükséges eljárási cselekményeket.
(3) Az adatkezelési engedélyezési eljárásban a 64/A. § (1) bekezdés a)-c) és f) pontjában meghatározott kérelmek esetén a Hatóság a jóváhagyás, illetve az engedély megadhatósága érdekében szükség szerinti alkalommal a kérelem és az annak tárgyát képező tervezetek módosítása vagy kiegészítése vonatkozásában nyilatkozattételre hívhatja fel a kérelmezőt.
(4) Az adatkezelési engedélyezési eljárásban nincs helye sommás eljárásnak.
64/D. § Az adatkezelési engedélyezési eljárásban hozott határozatában a Hatóság
a) az általános adatvédelmi rendelet
aa) 40. cikkében meghatározott magatartási kódexek tervezetét, kiegészítését vagy módosítását jóváhagyja,
ab) 41. cikkében meghatározott ellenőrzési tevékenységet engedélyezi,
ac) 42. cikk (5) bekezdésében meghatározott tanúsítási szempontokat jóváhagyja,
ad) 46. cikk (3) bekezdés a) pontjában meghatározott szerződéses rendelkezések alkalmazását engedélyezi,
ae) 46. cikk (3) bekezdés b) pontjában meghatározott rendelkezések alkalmazását engedélyezi,
af) 47. cikkében meghatározott kötelező erejű vállalati szabályokat jóváhagyja, vagy
b) a kérelmet elutasítja."
25. § Az Infotv. 35. alcíme helyébe a következő alcím lép:
"35. Nemzetközi együttműködés
65. § (1) Harmadik országok hatóságaival és nemzetközi szervezetekkel a Hatóság -különösen az általános adatvédelmi rendelet 50. cikkében és a 2016/680 (EU) irányelv 40. cikkében meghatározottak szerint, az ott előírt módon - együttműködik.
(2) Az (1) bekezdésben foglalt együttműködés keretében a Hatóság jogsegély érdekében harmadik ország hatóságához vagy nemzetközi szervezethez fordulhat, és - a 67. §-ban foglalt kivétellel - teljesíti a harmadik ország hatóságától vagy nemzetközi szervezettől érkező jogsegélykérelmet, ha a harmadik ország vagy nemzetközi szervezet és Magyarország közötti közigazgatási jogsegélyegyezmény, más nemzetközi szerződés, jogszabály vagy az Európai Unió jogi aktusa ezt lehetővé teszi.
66. § A Hatóság megtagadja a harmadik ország hatóságától vagy nemzetközi szervezettől érkező jogsegélykérelem teljesítését és a megtagadás indokairól tájékoztatja a harmadik ország hatóságát, illetve a nemzetközi szervezetet, ha a jogsegélykérelem teljesítése
a) nem tartozik a feladat- és hatáskörébe,
b) sértené Magyarország nemzetbiztonsági érdekeit vagy a közbiztonságot,
c) sértené az ügyben érintett személy alapvető jogát, vagy
d) jogszabályba ütközne.
67. § (1) EGT-állam felügyeleti hatóságaival a Hatóság az Európai Unió kötelező jogi aktusában meghatározott módokon, így különösen az általános adatvédelmi rendelet 61. cikkében és a 2016/680 (EU) irányelv 50. cikkében meghatározott kölcsönös segítségnyújtás keretei között, az ott előírt módon együttműködik.
(2) Az általános adatvédelmi rendelet 62. cikkében meghatározott módon, az EGT-állam felügyeleti hatóságával közösen végzett műveletek során
a) a Hatóság személyi állományába tartozó, a Hatóság elnöke által a közös műveletben való közreműködésre kijelölt köztisztviselő a más EGT-állam területén, a más EGT-állam felügyeleti hatósága által átruházott feladat- és hatáskörök,
b) a más EGT-állam felügyeleti hatósága feladat- és hatáskörében eljáró és e felügyeleti hatóság által kijelölt személy Magyarország területén a Hatóság elnöke által írásban meghatározott terjedelemben a Hatóság feladat- és hatáskörének
gyakorlásában közreműködik.
(3) A (2) bekezdés b) pontjában meghatározott személy eljárására a magyar jog az irányadó.
68. § Ha a harmadik ország vagy más EGT-állam hatóságától, illetve nemzetközi szervezettől érkező - a Hatóság folyamatban lévő eljárásához közvetlenül nem kapcsolódó - megkeresés teljesítéséhez adatok, iratok beszerzése, vagy más eljárási cselekmény lefolytatása szükséges, a Hatóság e célból hatósági ellenőrzést végez. Ilyen esetben az ellenőrzés a Hatóságnak a beszerzett bizonyítékok átadásáról szóló végzésével zárul."
26. § Az Infotv. 36. alcíme helyébe a következő alcím lép:
"36. Tanúsítás
69. § (1) Az általános adatvédelmi rendelet 42. cikkében meghatározott tanúsítást a Hatóság az adatkezelő, illetve az adatfeldolgozó kezdeményezésére az adatkezelővel, illetve az adatfeldolgozóval kötött megállapodás alapján folytatja le.
(2) A tanúsítás lefolytatására vonatkozó megállapodás megkötésének feltételeit, a tanúsításért nyújtandó ellenszolgáltatást, valamint a tanúsítás lefolytatásának menetét és a tanúsítási szempontokat a Hatóság közzéteszi.
(3) A tanúsítás lefolytatására vonatkozó megállapodás megkötésének feltételeit, a tanúsításért nyújtandó ellenszolgáltatást - az elvégzendő tevékenység mértékével arányosan - a Hatóság állapítja meg. A tanúsítási eljárás lefolytatásáért nyújtandó ellenszolgáltatás a Hatóság bevétele.
(4) Ha a Hatóság a tanúsításról tanúsítványt vagy európai adatvédelmi bélyegzőt állít ki, közzéteszi
a) az annak használatára jogosult adatkezelő, adatfeldolgozó megnevezését, valamint
b) azon adatkezelési műveleteket, amelyekre a tanúsítvány vagy az európai adatvédelmi bélyegző kiterjed."
27. § Az Infotv. 38. alcíme a következő 70/A - 70/C. §-sal egészül ki:
"70/A. § (1) Az adatkezelő vagy az adatfeldolgozó kérelmére hatósági ellenőrzés lefolytatásának nincs helye.
(2) Azt, hogy az adatkezelés a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírásoknak - így különösen a 2. § (3) bekezdésének hatálya alá tartozó adatkezelések esetén a 4. § (1)-(4a) bekezdésben meghatározott alapvető követelményeknek - megfelel, az adatkezelő, illetve az adatfeldolgozó köteles bizonyítani.
70/B. § (1) Az érintettek és az adatkezelők tájékozódásának elősegítése érdekében a Hatóság közzéteszi
a) a 61. § (2) bekezdése alapján közzétett határozatokban foglaltak szerint
aa) az adatkezelő, illetve az adatfeldolgozó azonosító adatait,
ab) a jogsértés megjelölését,
ac) az alkalmazott jogkövetkezmény megjelölését,
b) a 64/D. § a) pontjában meghatározott határozatokban foglaltak szerint
ba) a kérelmező azonosító adatait,
bb) a Hatóság döntése tárgyának megjelölését,
bc) ha a Hatóság döntése meghatározott időtartamra hatályos, a határozat időbeli hatályának megjelölését,
c) a Hatóság részére bejelentett adatvédelmi tisztviselő
ca) nevét,
cb) postai és elektronikus levélcímét,
cc) által képviselt adatkezelő vagy adatfeldolgozó megnevezését.
(2) Az (1) bekezdés szerinti adatok közérdekből nyilvános adatok.
(3) A Hatóság
a) az (1) bekezdés a) pontjában meghatározott adatokat a határozat
aa) hatályvesztésének időpontjáig vagy
ab) kiadmányozását követő tíz év elteltéig,
b) az (1) bekezdés b) pontjában meghatározott adatokat a határozat hatályvesztésének időpontjáig,
c) az (1) bekezdés c) pontjában meghatározott adatokat az adatok változásának bejelentéséig teszi közzé.
70/C. § Az Európai Unió kötelező jogi aktusa, valamint e törvény alapján a Hatóság által közzéteendő vagy nyilvánosságra hozni rendelt adatokat a Hatóság saját honlapján, digitális formában, bárki számára, személyazonosítás nélkül, korlátozástól mentesen, kinyomtatható és részleteiben is adatvesztés és -torzulás nélkül kimásolható módon, a betekintés, a letöltés, a nyomtatás, a kimásolás és a hálózati adatátvitel szempontjából is díjmentesen teszi hozzáférhetővé."
28. § (1) Az Infotv. 71. §-a a következő (1a) bekezdéssel egészül ki:
"(1a) Ha az adatkezelő az érintettet az általános adatvédelmi rendelet 13-18. és 21. cikkében, illetve a 14. §-ban meghatározottak szerint megillető jogokat törvény vagy az Európai Unió kötelező jogi aktusa alapján jogszerűen korlátozta vagy azok korlátozására jogosult, a Hatóság az eljárásaival összefüggésben
a) az érintett jogait oly módon és olyan időpontban biztosítja, valamint
b) az e törvényben a Hatóság részére előírt, az érintett számára teljesítendő értesítési kötelezettségeket oly módon és és olyan időpontban teljesíti,
hogy azon érdekek, amelyek az érintettet megillető jogok jogszerű korlátozásának alapjául szolgálhatnak, ne szenvedjenek sérelmet."
(2) Az Infotv. 71. § (2) bekezdésének helyébe a következő rendelkezés lép:
"(2) A Hatóság az eljárásai során jogszerűen megszerzett iratot, adatot vagy egyéb bizonyítási eszközt más eljárásában felhasználhatja."
(3) Az Infotv. 71. §-a a következő (2b) bekezdéssel egészül ki:
"(2b) A vizsgálat lezárását, illetve a hatósági eljárást befejező döntés véglegessé válását követően a Hatóság által a vizsgálat, illetve az eljárás során kezelt személyes adatot és védett adatot zárolni kell. A zárolt adatok az eljárás tárgyát képező ügy iratainak selejtezéséig vagy levéltári őrizetbe adásáig tárolhatók, azok - a (2) bekezdés szerinti felhasználás kivételével -kizárólag a véglegessé vált döntés végrehajtása, a véglegessé vált döntésben foglaltak ellenőrzése, a véglegessé vált döntéssel összefüggő jogorvoslat vagy döntés-felülvizsgálat céljából kezelhetők, és kizárólag az ezen adatok kezelésére vagy megismerésére - törvényben meghatározott módon és körben - jogosult bíróság, más szerv vagy személy részére tehetők megismerhetővé."
29. § Az Infotv. a következő VI/A. Fejezettel egészül ki:
"VI/A. FEJEZET
A BÍRÓSÁGI ADATKEZELÉSI MŰVELETEK ELLENŐRZÉSE
71/A. § (1) A bírósági döntés meghozatalára irányuló peres és nemperes eljárásokban (a továbbiakban: alapügy), az azokra vonatkozó előírások alapján a bíróságok által végzett adatkezelési műveletekkel kapcsolatban a személyes adatok védelméhez való jog érvényesülésének ellenőrzésére adatvédelmi kifogás (a továbbiakban: kifogás) útján kerül sor.
(2) A kifogás elbírálására - az alapügyre vonatkozó eljárási szabályokkal összhangban -
a) ha az alapügyre a büntető- vagy a szabálysértési eljárás szabályait kell alkalmazni, a büntetőeljárásról szóló 2017. évi XC. törvény 143. § (3) bekezdését, valamint 144. § (3) bekezdését és (8) bekezdés a) pontját,
b) ha az alapügyre a közigazgatási perrendtartás szabályait kell alkalmazni, a polgári perrendtartásról szóló 2016. évi CXXX. törvény 157. § (3) bekezdése, valamint 158. § (3) és (6) bekezdése vonatkozásában a közigazgatási perrendtartásról szóló 2017. évi I. törvény 36. § (2) bekezdését,
c) az a) és b) pont hatálya alá nem tartozó esetekben a polgári perrendtartásról szóló 2016. évi CXXX. törvény 157. § (3) bekezdését és 158. § (3) és (6) bekezdését
az e fejezetben meghatározott eltérésekkel kell alkalmazni.
(3) A kifogást az alapügyben eljáró bíróságnál írásban lehet előterjeszteni, a kifogás elbírálására hatáskörrel rendelkező bírósághoz címezve.
(4) A kifogás előterjesztésére a fél, a vádlott és az eljárás egyéb résztvevője - különösen a sértett, a magánfél, a tanú és a szakértő - és az jogosult, aki jogi érdekét a kifogás előterjesztésével egyidejűleg valószínűsíti.
71/B. § (1) A kifogás alapján a bíróság azt vizsgálja, hogy az eljáró bíró, ülnök vagy igazságügyi alkalmazott az adatkezelési tevékenysége során a személyes adatok védelmére vonatkozó jogszabályi és uniós jogi előírásoknak megfelelően járt-e el.
(2) A kifogást az érintett arra hivatkozással terjesztheti elő, hogy
a) személyes adatai kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye áll fenn, illetve hogy
b) az általános adatvédelmi rendeletben, illetve a 14. §-ban meghatározott érintetti jogainak érvényesítése során az adatkezelő jogszerűtlenül járt el.
(3) A (2) bekezdés b) pontja szerinti kifogásban az érintettnek fel kell tüntetnie az annak alátámasztására szolgáló adatokat, hogy az érintetti jogainak az adatkezelőnél történő érvényesítését megkísérelte.
(4) Az alapügyben eljáró bíróság a kifogás alapján, ha azt alaposnak tartja, nyolc napon belül megteszi a jogsérelem következményeinek enyhítése, illetve a jogsérelem veszélyének megszüntetése érdekében szükséges intézkedéseket, valamint erről és a megtett intézkedéseiről a kifogás előterjesztőjét egyidejűleg értesíti, továbbá tájékoztatja arról, hogy ha a megtett intézkedések ellenére is fenntartja a kifogását, az erre vonatkozó nyilatkozatát az értesítés kézhezvételétől számított nyolc napon belül, írásban terjesztheti elő.
(5) Ha az alapügyben eljáró bíróság nem tett a (4) bekezdésben meghatározott intézkedést, vagy az érintett a (4) bekezdésben meghatározott nyilatkozatot terjesztett elő, az alapügyben eljáró bíróság a szükséges iratokat a kifogás elbírálása céljából nyolc napon belül, a kifogásra vonatkozó nyilatkozatával együtt felterjeszti a kifogás elbírálására jogosult bírósághoz.
(6) Az eljárás során előterjesztett kifogást érdemben kell elbírálni akkor is, ha a peres vagy nemperes eljárás időközben már befejeződött.
71/C. § (1) A kifogást elbíráló bíróság indokolt határozattal
a) a kifogást visszautasítja az 53. § (2) bekezdése, az 53. § (3) bekezdés a)-d) pontja, valamint (4) bekezdése szerinti esetekben,
b) a kifogást elutasítja, ha az a) pont alapján a kifogás visszautasításának lett volna helye, a visszautasítási ok azonban az érdemi vizsgálat megkezdését követően jutott a tudomására.
(2) A kifogást elbíráló bíróság - ha a kifogást nem utasította vissza vagy nem utasította el az (1) bekezdés szerint - a kifogás és az ügy szükséges iratanyagának hozzá történt felterjesztésétől számított két hónapon belül indokolt határozattal
a) megállapítja a személyes adatok jogellenes kezelésének tényét, illetve azt, hogy az általános adatvédelmi rendeletben vagy az e törvényben meghatározott érintetti jogok gyakorlásával kapcsolatban jogsérelem következett be,
b) megállapítja az a) pontban foglaltak fennállását, vagy annak közvetlen veszélyét és
ba) elrendeli a jogellenes adatkezelési művelet megszüntetését, vagy a jogellenes adatkezelés közvetlen veszélyének elhárítását, illetve az adatkezelés jogszerűségének helyreállítását,
bb) elrendeli az általános adatvédelmi rendeletben és az Infotv.-ben biztosított érintetti jogok érvényesülését szolgáló adatkezelői intézkedések megtételét, vagy
c) megállapítja, hogy jogsérelem nem következett be, vagy annak közvetlen veszélye nem áll fenn, és a kifogást elutasítja.
(3) Az alapügyben eljáró és a kifogást elbíráló bíróság a kifogással kapcsolatos eljárásában a személyes adatok védelmére vonatkozó rendelkezések alkalmazásának egységessége érdekében kikérheti a Hatóság véleményét.
(4) A bíróság számára a kifogás elintézésére nyitva álló határidőbe nem számít bele
a) a tényállás tisztázásához szükséges adatok közlésére, valamint a Hatóság (3) bekezdés szerint megkeresésére irányuló felhívástól az annak teljesítéséig terjedő idő,
b) az eljárással összefüggő irat fordításához szükséges idő, valamint
c) a bíróság működését legalább egy teljes napra akadályozó körülmény, ellehetetlenítő üzemzavar vagy más elháríthatatlan esemény időtartama.
(5) A kifogást elbíráló bíróság eljárására az e fejezetben nem szabályozott kérdésekben az 52. § (3) és (4) bekezdésében, az 53. § (1) és (7) bekezdésében, valamint az 54. § (1) bekezdés a)-d) pontjában, (2) és (3) bekezdésében foglaltakat alkalmazni kell."
30. § Az Infotv. 75. § (3) bekezdése helyébe a következő rendelkezés lép és a § a következő (4)-(6) bekezdéssel egészül ki:
"(3) A 2018. május 25-ét megelőzően megkezdett adatkezelések vonatkozásában az 5. § (5) bekezdésében meghatározott felülvizsgálatot 2021. május 25-ig kell elvégezni.
(4) Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek az Európai Unió adatvédelmi reformjához kapcsolódó módosításáról szóló 2018. évi ... törvény (a továbbiakban: Módtv.) hatálybalépését megelőzően a Hatóság által megindított vizsgálatot és adatvédelmi hatósági eljárást a Hatóság a VI. Fejezet a Módtv. hatálybalépését megelőző napon hatályos rendelkezéseinek alkalmazásával folytatja le.
(5) A Módtv. hatálybalépését megelőzően az adatvédelmi nyilvántartásban kezelt adatokat a Hatóság zárolja és azokat kizárólag a Módtv. hatálybalépését megelőzően végzett adatkezelési műveletekkel kapcsolatban indult eljárásban használhatja fel.
(6) Ha az adatkezelő valószínűsíti, hogy a 25/F. § (1) bekezdésében meghatározott előírások alkalmazása az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által végzett adatkezelési műveletekhez felhasznált, a 2016/680 (EU) irányelv 63. cikk (2) bekezdésében meghatározottaknak megfelelő automatizált adatkezelési rendszerek vonatkozásában aránytalan nehézséggel vagy költséggel járna, a 25/F. § (1) bekezdésében meghatározott előírások alkalmazása alól 2022. december 31 -ig mentesül."
31. § Az Infotv. 77. § d) pontja helyébe a következő rendelkezés lép:
[Ez a törvény]
"d) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/680 európai parlamenti és tanácsi irányelvnek,"
[való megfelelést szolgálja.]
32. § Az Infotv. 77/A. §-a helyébe a következő rendelkezés lép:
"77/A. § A III-V. és a VI/A. Fejezet, valamint a 3. § 3., 4., 6., 11., 12., 13., 16., 17., 21., 23-24. pontja, a 4. § (5) bekezdése, az 5. § (3)-(5), (7) és (8) bekezdése, a 13. § (2) bekezdése, a 23. §, a 25. §, a 25/G. § (3), (4) és (6) bekezdése, a 25/H. § (2) bekezdése, a 25/M. § (2) bekezdése, a 25/N. §, az 51/A. § (1) bekezdése, az 52-54. §, az 55. § (1) és (2) bekezdése, az 56-60. §, a 60/A. § (1)-(3) és (6) bekezdése, a 61. § (1) bekezdés a) és c) pontja, a 61. § (2) és (3) bekezdése, (4) bekezdés b) pontja és (6)-(10) bekezdése, a 62-71. §, a 72. §, a 75. § (1)-(5) bekezdése és az 1. melléklet a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) végrehajtásához szükséges rendelkezéseket állapít meg."
33. § (1) Az Infotv.
1. 1. § -ában az "az adatok kezelésére" szövegrész helyébe az "a hatálya alá tartozó tárgykörökben az adatok kezelésére" szöveg,
2. 2. § (1) bekezdésében az "a Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira" szövegrész helyébe a "személyes adatok tekintetében a (2)-(6) bekezdésben meghatározottak szerint - minden olyan adatkezelésre kiterjed, amely személyes adatra" szöveg,
3. 3. § 9. pontjában az "amely önállóan" szövegrész helyébe az "amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között - önállóan" szöveg,
4. 3. § 18. pontjában az "aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi" szövegrész helyébe az "aki vagy amely - törvényben vagy az Európai Unió kötelező jogi aktusában meghatározott keretek között és feltételekkel - az adatkezelő megbízásából vagy rendelkezése alapján személyes adatokat kezel" szöveg,
5. 3. § 22. pontjában az "az adatkezelővel vagy az adatfeldolgozóval" szövegrész helyébe az "az adatkezelővel, az adatfeldolgozóval vagy azokkal a személyekkel, akik az adatkezelő vagy adatfeldolgozó közvetlen irányítása alatt a személyes adatok kezelésére irányuló műveleteket végeznek" szöveg,
6. II. Fejezetének címében a "VÉDELME" szövegrész helyébe a "VÉDELMÉRE VONATKOZÓ KÖVETELMÉNYEK" szöveg,
7. 4. § (1) bekezdésében a "meghatározott célból" szövegrész helyébe az "egyértelműen meghatározott, jogszerű célból" szöveg, a "felvételének" szövegrész helyébe a "gyűjtésének" szöveg,
8. 54. § (1) bekezdés a) pontjában az "iratba betekinthet" szövegrész helyébe az "adatot megismerheti, arról másolatot készíthet, és az összes ilyen iratba - ideértve az elektronikus adathordozón tárolt iratokat is - betekinthet" szöveg,
9. 54. § (1) bekezdés b) pontjában a "beléphet" szövegrész helyébe a "beléphet, az adatkezelési műveletek végzéséhez használt eszközökhöz hozzáférhet" szöveg,
10. 54. § (1) bekezdés d) pontjában az "iratról másolatot" szövegrész helyébe az "adatról, iratról - ideértve az elektronikus adathordozón tárolt iratokat is - másolatot" szöveg,
11. 55. § (2) bekezdésében az "a bejelentőt" szövegrész helyébe az "a bejelentőt és - ha a vizsgálatban részt vett - a vizsgálat alá vont adatkezelőt, illetve adatfeldolgozót" szöveg,
12. 56. § (1) bekezdésében a "megalapozottnak tartja" szövegrész helyébe az "állapítja meg" szöveg,
13. 58. § (2) bekezdés a) és b) pontjában az "eljárást indíthat" szövegrész helyébe az "eljárást indít, illetve indíthat" szöveg,
14. 38. alcímének címében az "Adatkezelés" szövegrész helyébe az "A Hatóság eljárásaira vonatkozó egyéb szabályok, adatkezelés" szöveg,
15. 72. § (3) bekezdésében az "a kötelező szervezeti szabályozás jóváhagyásáért, az adatvédelmi nyilvántartásba vételért" szövegrész helyébe az "az adatkezelési engedélyezési eljárás lefolytatásáért" szöveg
lép.
(2) Az Infotv. 38. § (4) bekezdés f) pontjában az "a belső adatvédelmi felelősök konferenciáját" szövegrész helyébe az "az adatvédelmi tisztviselők konferenciáját" szöveg lép.
34. § (1) Hatályát veszti az Infotv.
1. 3. § 8., 14. és 25. pontja,
2. 17-19. alcíme,
3. 77. § a) pontja,
4. 1. melléklet II. Tevékenységre, működésre vonatkozó adatok részben foglalt táblázat 13. sorában a "s ahol kijelölésre kerül, az adatvédelmi felelős, vagy" szöveg.
(2) Hatályát veszti az Infotv. 38. §
1. (3) bekezdés f) pontja,
2. (4) bekezdés g)-h) pontja.
2. A nemzeti akkreditálásról szóló 2015. évi CXXIV. törvény módosítása
35. § (1) A nemzeti akkreditálásról szóló 2015. évi CXXIV. törvény (a továbbiakban: NAH tv.) 5. § (1) bekezdése a következő l) ponttal egészül ki:
[Akkreditálás iránti kérelmet]
l) az (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: általános adatvédelmi rendelet) 43. cikke szerinti tanúsító szervezet (a továbbiakban: adatvédelmi tanúsító szervezet)
[nyújthat be az akkreditáló szervhez.]
(2) A NAH tv. 5. §-a a következő (4) bekezdéssel egészül ki:
"(4) Az akkreditálást azon adatvédelmi tanúsító szervezet kérheti, amely megfelel az általános adatvédelmi rendeletben meghatározott szervezeti, személyi és működési követelményeknek."
36. § (1) A NAH tv. 6. §-a a következő (2a) bekezdéssel egészül ki:
"(2a) Adatvédelmi tanúsító szervezet akkreditálási eljárásában és az akkreditált státusz területének bővítési eljárásában az értékelési szakasz során az általános adatvédelmi rendelet 43. cikk (2) bekezdés a) és e) pontjában meghatározott követelményeknek való megfelelés és 43. cikk (3) bekezdése szerint meghatározott szempontok mint szakkérdések tekintetében a Nemzeti Adatvédelmi és Információszabadság Hatóságot szakhatóságként kell bevonni."
(2) A NAH tv. 6. §-a a következő (5a) bekezdéssel egészül ki:
"(5a) A Nemzeti Adatvédelmi és Információszabadság Hatóság szakhatósági eljárásának ügyintézési határideje ötven nap."
37. § A NAH tv. 7. §-a helyébe a következő rendelkezés lép:
"7. § (1) Az akkreditálási eljárásáért, az akkreditált státusz területének bővítési eljárásáért, a kérelemre indult felügyeleti vizsgálati eljárásért, továbbá a külföldi akkreditált státusz elismerési eljárásáért igazgatási szolgáltatási díjat kell fizetni.
(2) A Nemzeti Adatvédelmi és Információszabadság Hatóság mint szakhatóság eljárásáért az igazgatási szolgáltatási díjat az adatvédelmi tanúsító szervezet akkreditálási eljárásában, az akkreditált státusz területének bővítési eljárásában és a kérelemre indult felügyeleti vizsgálati eljárásban fizetett igazgatási szolgáltatási díj részeként, azzal együtt kell megfizetni."
38. § A NAH tv. 8. §-a a következő (3a) bekezdéssel egészül ki:
"(3a) A kérelemre indult felügyeleti vizsgálati eljárásban a Nemzeti Adatvédelmi és Információszabadság Hatóság szakhatóságként való bevonására a 6. § (2a) és (5a) bekezdését kell alkalmazni."
39. § A NAH tv. 14. § (3) bekezdése helyébe a következő rendelkezés lép:
"(3) Felhatalmazást kap az iparügyekért felelős miniszter, hogy az adópolitikáért felelős miniszterrel egyetértésben
a) az akkreditálási eljárásért, az akkreditált státusz területének bővítési eljárásáért, a kérelemre indult felügyeleti vizsgálati eljárásért, továbbá a külföldi akkreditált státusz elismerési eljárásáért fizetendő és
b) a Nemzeti Adatvédelmi és Információszabadság Hatóságnak az adatvédelmi tanúsító szervezet akkreditálási eljárásában, az akkreditált státusz területének bővítési eljárásában és a kérelemre indult felügyeleti vizsgálati eljárásban szakhatóságként való eljárásáért fizetendő
igazgatási szolgáltatási díj mértékét, a díjak beszedésével, megosztásával, kezelésével, nyilvántartásával és visszatérítésével kapcsolatos részletes szabályokat rendeletben állapítsa meg."
40. § A NAH tv. 17. §-a a következő (4) bekezdéssel egészül ki:
"(4) A 3. és 4. alcím a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 43. cikke végrehajtásához szükséges rendelkezéseket állapít meg."
3. Az illetékekről szóló 1990. évi XCIII. törvény módosítása
41. § Az illetékekről szóló 1990. évi XCIII. törvény (a továbbiakban: Itv.) 33. § (2) bekezdés 31. pontjában a "megsértésével kapcsolatban indított eljárás" szövegrész helyébe a "megsértésével, továbbá a személyes adatok védelméhez fűződő jog megsértésével kapcsolatban indított eljárás" szöveg lép.
42. § Az Itv. 56. §-a a következő (5) bekezdéssel egészül ki:
"(5) Illetékmentes a bírósági adatkezelési műveletek ellenőrzésére irányuló adatvédelmi kifogás."
43. § Az Itv. 103. §-a a következő (5a) bekezdéssel egészül ki:
"(5a) A 33. § (2) bekezdés 31. pontja a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) 57. cikk (3) bekezdése végrehajtásához szükséges rendelkezést állapít meg és a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/680 európai parlamenti és tanácsi irányelv 46. cikk (3) bekezdésének való megfelelést szolgálja."
4. Záró rendelkezések
44. § (1) Ez a törvény - a (2) bekezdésben foglalt kivétellel - a kihirdetését követő napon lép hatályba.
(2) A 19. § (3) bekezdése, a 24. §, a 33. § (1) bekezdés 15. pontja, valamint a 35-40. § az e törvény kihirdetését követő 31. napon lép hatályba.
45. § E törvény 19. §-a, 33. § (2) bekezdése és 34. § (2) bekezdése az Alaptörvény VI. cikk (3) bekezdése alapján sarkalatosnak minősül.
46. § (1) Az 1. és a 3. alcím a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/680 európai parlamenti és tanácsi irányelvnek való megfelelést szolgálja.
(2) Ez a törvény a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (általános adatvédelmi rendelet) végrehajtásához szükséges rendelkezéseket állapít meg.
INDOKOLÁS
ÁLTALÁNOS INDOKOLÁS
Az Európai Unióban 2012-ben megkezdett, a személyes adatok védelmét érintő jogalkotási folyamat eredményeképp a Tanács és az Európai Parlament mint társjogalkotók 2016-ban az alábbi két jogalkotási aktus elfogadásáról döntöttek:
a) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/679 európai parlamenti és tanácsi rendelet (a továbbiakban: Rendelet), valamint
b) a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, valamint a 2008/977/IB tanácsi kerethatározat hatályon kívül helyezéséről szóló, 2016. április 27-i (EU) 2016/680 európai parlamenti és tanácsi irányelv (a továbbiakban: Irányelv).
Magyarország a személyes adatok védelmére már a rendszerváltástól kiemelt hangsúlyt fordított. A személyes adatok védelmének európai összehasonlításban is magas szintjét biztosította az Alkotmány, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény, illetve az ezek nyomán kialakult alkotmánybírósági gyakorlat. A személyes adatok védelmének magas szintű védelmét az Alaptörvény és az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) nemcsak fenntartotta, hanem a személyes adatok védelméhez fűződő jog érvényesülésének ellenőrzésére és elősegítésére létrehozta autonóm államigazgatási szervként a Nemzeti Adatvédelmi és Információszabadság Hatóságot (a továbbiakban: Hatóság). A hatályos magyarországi jogszabályi környezet alapján megállapítható, hogy a személyes adatok védelmének hazánkban biztosított szintje az Európai Unió tagállamai között az egyik legmagasabbnak tekinthető.
Erre figyelemmel Magyarország Kormánya a Rendelet tárgyalása során következetesen képviselte azon álláspontját, hogy az uniós összehasonlításban is igen magas szintű védelmet nyújtó magyar adatvédelmi szabályozásra tekintettel az új személyes adatokra vonatkozó európai uniós adatvédelmi szabályozás ne rendeleti - azaz közvetlenül alkalmazandó uniós aktus formájában -, hanem irányelvi - azaz tagállami mozgásteret biztosító, átültetést igénylő - jogforrásban kerüljön megalkotásra. Azonban az uniós intézmények és a tagállamok többsége arra törekedett, hogy az Európai Unió területén egységes, közvetlenül alkalmazandó szabályösszesség kerüljön kidolgozásra, és csak a bűnüldözési célú adatkezelés területén marad meg az irányelvi jogforrási szint. A rendeleti szinttel kapcsolatban megjegyzendő, hogy az ezt megalapozó meggyőződés szerint az egységes szabályozással el lehet kerülni, hogy egyes multinacionális nagyvállatok a tagállamok eltérő adatvédelmi rezsimeit kijátszva a számukra legkedvezőbb szabályokat biztosító országokban folytassák adatkezelési tevékenységüket.
Magyarország Kormányának az új általános adatvédelmi szabályozás irányelvi jogforrásban történő elfogadására vonatkozó javaslata nem került elfogadásra. A Rendelet - funkciója szerint - teljes jogegységesítésre törekszik, így a hatálya alá tartozó jogterületeken horizontálisan (minden adatkezelési jogviszony tekintetében általánosan) alkalmazandó előírások közvetlenül hatályosulnak és válnak alkalmazandóvá a magyar jogban, ugyanakkor Rendelet alkalmazásának megkezdésével - a Rendelet biztosított szűk mozgástér keretein belül - hazánknak jogalkotási kötelezettsége keletkezett.
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvénynek az Európai Unió adatvédelmi reformjával összefüggő módosításáról, valamint más kapcsolódó törvények módosításáról szóló törvényjavaslat (a továbbiakban: Javaslat) célja Magyarország jogharmonizációs kötelezettségeinek teljesítése érdekében a Rendelet végrehajtásához és az Irányelv átültetéséhez szükséges, az Infotv. rendelkezéseit módosító törvényi rendelkezések megalkotása.
A Bizottság az adatvédelmi reform szükségességét a gyors technológiai fejlődéssel, valamint a globalizáció által előidézett új kihívásokkal indokolta. A személyes adatok (jellemezően elektronikus úton történő) tömeges kezelése és az erre épülő üzleti modellek fokozottan veszélyeztetik az egyének személyes adataik védelméhez fűződő jogainak érvényesülését, ezért indokolttá teszik azok megerősítését. Emellett a jelenlegi - 1995-ben elfogadott -irányelvre épülő tagállami normák helyébe lépő, uniós szinten egységesített jogi szabályozásnak köszönhetően - a Bizottság véleménye és számításai szerint - csökkenni fognak a tetemes adminisztratív költségek, és ez évente mintegy 2,3 milliárd eurós megtakarítást jelent majd a vállalkozásoknak. A Bizottság indokolása szerint további gazdasági hatása lehet a javaslatcsomagnak, hogy az az interneten keresztül nyújtott szolgáltatásokba vetett fogyasztói bizalom erősítéséhez is hozzájárul, ami ösztönző hatással lesz az európai növekedésre, munkahelyteremtésre és innovációra.
A Rendelet a fentiekben is ismertetettek szerint már nem - a tagállami jogba átültetést igénylő - irányelvi szinten tartalmazza a tagállamok és azok jogalanyai által alkalmazandó előírásokat, hanem a tagállami jogrendszerekben közvetlenül alkalmazandó rendeleti szinten.
A Rendelet - egyes különös szabályozást igénylő tárgykörök, így az Irányelv hatálya alá tartozó területek kivételével - mindazon, személyes adatok kezelésével járó tevékenységekre alkalmazandó lesz, amelyek az Unió szabályozási kompetenciájába tartoznak.
A Rendelet hatálya kapcsán kiemelendő, hogy az alkalmazandó az Európai Unió területén nem, csupán harmadik országokban letelepedett adatkezelők adatkezeléseire is, ha az adatkezelési tevékenységek
a) áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; vagy
b) az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve hogy az Unió területén belül tanúsított viselkedésükről van szó.
A Rendelet az adatkezelésre vonatkozó alapelveket és az adatalanyok jogainak katalógusát lényegében a jelenlegi szabályok szerint tartalmazza. Az átláthatóság elvének megfelelően a Rendelet az adatkezelőt az adatkezelés részleteire kiterjedő előzetes, közérthetően megfogalmazott tájékoztatás és a jogérvényesítéshez szükséges információk közlésére kötelezi, az adatalany jelenlegi szabályok szerinti jogosítványai (tájékoztatáshoz, tiltakozáshoz, helyesbítéshez, törléshez való jogok) továbbra is biztosítottak.
Újdonság - az internethasználattal összefüggésben felmerült kihívásokra válaszként - az "elfeledtetéshez való jog" (right to be forgotten), valamint az "adathordozhatósághoz való jog" kifejezett megjelenése. Míg az előbbi jogosultság az Európai Unió Bírósága vonatkozó esetjogának normaszöveggé történő transzformálásaként a személyes adatok végleges, vissza nem állítható és teljes, az internet egészére kiterjedő törlését célozza, addig az utóbbi azt a jogot biztosítja az adatalanynak, hogy saját személyes adatainak rendelkezésre bocsátását elektronikus és strukturált formátumban igényelhesse az adatkezelőtől, annak érdekében, hogy azokat más, az adatalannyal jogviszonyban álló adatkezelő felhasználhassa. Ez a Bizottság álláspontja szerint a szolgáltatást nyújtó vállalkozások (adatkezelők) közötti versenyt is előmozdítja.
A szabályozás újdonsága továbbá az - az uniós jog elektronikus hírközlésre vonatkozó területein már alkalmazott - megoldás, hogy az adatkezelőknek a lehető leghamarabb be kell jelenteniük a nemzeti felügyelő hatóságnak a súlyos adatbiztonsági incidensek eseteit, azokat dokumentálni, és azokról a kockázat mértékétől függően az adatalanyt is - szükségtelen késedelem nélkül - értesíteni kell.
Új elem az adatkezelő és az adatfeldolgozó kötelezettségei körében az is, hogy az adatalanyok jogaira nézve - a Rendeletben meghatározottak szerint - különösen kockázatosnak minősülő adatkezelési műveleteket megelőzően adatvédelmi hatásvizsgálatot kell készíteniük.
A Rendelet szabályainak egységes és hatékony érvényesítését célozza a határon átnyúló adatkezelések esetén a tagállami adatvédelmi hatóságok eljárását szabályozó ún. egységességi mechanizmus bevezetése és a tagállami adatvédelmi hatóságok képviselőiből álló Európai Adatvédelmi Testület létrehozása.
Az adatvédelmi előírások érvényesítésének letéteményesei a Rendelet alapján is elsősorban a nemzeti adatvédelmi hatóságok lesznek, amelyek hatáskörére, jogállására, eljárására, valamint függetlenségének garanciáira vonatkozó részletes szabályokat is tartalmazza a Rendelet.
Az Irányelv célja, hogy biztosítsa az adatvédelem magas szintjét a rendőrségi együttműködés és a büntetőügyekben való igazságügyi együttműködés területén, továbbá erősítse a kölcsönös bizalmat és megkönnyítse az adatok szabad áramlását a tagállamok rendőrségi és igazságügyi szervei között.
Az Irányelv hatálya - a jelenlegi, e tárgykörre vonatkozó szabályozástól eltérően - nem korlátozódik a határokon átnyúló adatkezelésre, hanem kiterjed minden, az Irányelvben foglalt célok érdekében az "illetékes hatóságok" (bűnüldöző, bűnfelderítő szervek) által bűnüldözési, büntetés-végrehajtási célból végzett adatkezelési tevékenységre.
Az Irányelv érdemi előírásai és alapelvei egyebekben lényegüket tekintve megegyeznek a Rendeletben foglaltakkal, a tagállami átültetést igénylő irányelvi formára tekintettel azonban nagyobb teret engednek a nemzeti jogi rendelkezések kialakításának.
Mind a Rendelet, mind az Irányelvet átültető hazai jogi előírások alkalmazására 2018 májusától kötelezi hazánkat az uniós jog, a két jogi aktus eltérő jogforrási jellegéből - így a jogharmonizáció eltérő mértékéből - következően azonban a magyar jogalkotó számára a két jogi aktus tekintetében különböző jellegű és terjedelmű szabályozási kötelezettség, illetve lehetőség fakad.
A Rendelet - funkciója szerint - teljes jogegységesítésre törekszik, így a hatálya alá tartozó jogterületeken horizontálisan, azaz minden személyes adatok kezelésére irányuló vagy azt is magában foglaló jogviszony (a továbbiakban: adatkezelési jogviszony) tekintetében általánosan alkalmazandó előírások közvetlenül hatályosulnak és válnak alkalmazandóvá a magyar jogban. E tekintetben tehát a magyar jogalkotónak elsősorban deregulációs kötelezettsége keletkezik. Emellett a Rendelet előírásainak érvényesülése - végrehajtása -érdekében azonban a magyar jogalkotót pozitív jogalkotási kötelezettség is terheli. A Rendelet tekintetében ezen kötelezettség elsősorban az anyagi jogi szabályokhoz kapcsolódó megfelelő intézményi és eljárásjogi keretek biztosítását jelenti, így különösen a személyes adatok védelméhez fűződő jog érvényesülésének biztosítására létrehozandó szerv - az adatvédelmi felügyelő hatóság - kijelölését, működése feltételeinek és eljárásrendjének biztosítását.
Figyelemmel arra, hogy a hatályos magyar jogrendszerben a horizontálisan alkalmazandó adatvédelmi előírásokat az Infotv. tartalmazza, az említett deregulációs és jogszabálymódosítási kötelezettség elsősorban az Infotv. rendelkezéseinek módosítását igényli.
Az Infotv.-ben foglalt általános szabályok mellett azonban a tagállami jogrendszerekben - így a magyar jogrendszerben is - számos, a személyes adatok kezelését szabályozó ágazati norma alkalmazandó, amelyek az általános szabályokat kiegészítve, vagy - ha arra lehetőség van -azoktól eltérést előírva érvényesülnek. Tipikusan ilyen normák a személyes adatok védelméhez fűződő alapvető jog korlátozásaként érvényesülő, a hatályos Infotv. 5. § (1) bekezdés b) pontján, valamint 5. § (2) bekezdés b) és c) pontján alapuló adatkezelési jogviszonyokat (ún. kötelező adatkezelést) szabályozó törvényi (és szűk körben önkormányzati rendeleti) rendelkezések. Ezen rendelkezéseket egyes esetekben önálló, kifejezetten ezen adatkezelési jogviszonyokat szabályozó törvény tartalmazza (pl. az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény), túlnyomórészt azonban azok a különös ágazati jogviszonyokat részletesen szabályozó rendelkezések részeként az azokat tartalmazó törvények keretein belül kaptak helyet.
Az Infotv. 5. § (3) bekezdése a kötelező adatkezelést előíró törvények vonatkozásában jelenleg is tartalmi követelményeket állapít meg, amely követelményeknek így az ágazati törvények meg kell, hogy feleljenek. A Rendelet alkalmazandóvá válásával az adatkezelés lehetséges jogalapjait ugyan már nem az Infotv., hanem a Rendelet határozza meg [6. cikk (1) bekezdés], ám a kötelező adatkezelések esetköre - a Rendelet 6. cikk (1) bekezdés c) és e) pontjában meghatározott jogalapokon alapuló adatkezelési jogviszonyok - fennmarad. A Rendelet 6. cikk (2) bekezdése egyértelműen rögzíti, hogy a "[R]endeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására". A Rendelet 6. cikk (3) bekezdése pedig - az Infotv. 5. § (3) bekezdésével lényegét tekintve megegyező módon -meghatározza, hogy az ágazati szabályoknak mely tartalmi elemeket kell, illetve lehet tartalmazniuk. Összességében tehát megállapítható, hogy a jelenleg hatályos ágazati normák - ha azok kötelező adatkezelést írnak elő és összhangban vannak az Infotv. 5. § (3) bekezdésében foglaltakkal - főszabályként a Rendelet alkalmazandóvá válását követően is azzal e vonatkozásban összhangban állónak minősülhetnek és így hatályukban fenntarthatóak.
Az ágazati szabályok másik, jelentősen szűkebb csoportját képezik azon adatkezelési jogviszonyokat szabályozó rendelkezések, amelyek nem írják elő személyes adatok kötelező kezelését (alapvető jog törvényen alapuló korlátozását), azonban a más jogalapon, így tipikusan az érintett hozzájárulásán, az érintettel létrehozott szerződéses jogviszonyon alapuló adatkezelési jogviszony vonatkozásában különös feltételeket, az adatkezelő által érvényesítendő követelményeket állapítanak meg. A Rendelet ezen adatkezelési jogviszonyok tekintetében is jelentős mozgásteret biztosít a tagállami - és az uniós - jogalkotó részére, így különösen a genetikai, biometrikus és egészségügyi adatok kezelése [Rendelet 9. cikk (4) bekezdése], a bűnügyi személyes adatok [Rendelet 10. cikk] és egyes különös jogviszonyok [pl. foglalkoztatásra irányuló jogviszonyok, levéltári, tudományos, történelmi kutatási, statisztikai célból folytatott adatkezelések, vö. Rendelet IX. fejezet] vonatkozásában.
A Rendelet fenntartja továbbá a tagállami jogalkotó részére azon lehetőséget, hogy az alapvető jog korlátozására irányadó alkotmányos keretek között a Rendelet által az érintettek részére biztosított jogokat korlátozza [Rendelet 23. cikk].
Az Irányelv - a Rendelettel szemben - nem a teljes jogegységesítésre, hanem a tagállami jogok harmonizációjára - az 1. cikk (3) bekezdése alapján minimum-harmonizációjára -törekszik. Ebből fakadóan a magyar jogalkotó kötelezettségei és mozgástere is eltér az előzőekben a Rendelet vonatkozásában ismertetettektől. Az Irányelv szabályait a magyar jogalkotónak a magyar jogba át kell ültetnie, azok főszabály szerint közvetlenül nem alkalmazandóak és nem hatályosulnak. Az Irányelv hatálya azonban kizárólag egyes közrendvédelmi-közbiztonsági, bűnmegelőzési, bűnfelderítési, bűnüldözési, büntetőeljárási és büntetés-végrehajtási tevékenységet - ide értve a szabálysértésekkel összefüggő tevékenységet - végző szervezetek [Irányelv 1. cikk (1) bekezdés és 2. cikk (1) bekezdés] adatkezelési jogviszonyaira terjed ki, így az Irányelv előírásait átültető magyar jogi rendelkezések is e körre korlátozódhatnak.
Figyelemmel arra, hogy a hatályos magyar jogrendszer az általánosan, horizontálisan alkalmazandó adatvédelmi rendelkezéseket hagyományosan egy normában - jelenleg az Infotv.-ben - tartalmazza, az ágazati törvények pedig ezen általános szabályokhoz kapcsolódnak, ezen jogalkotói megoldást a jogrendszeri hagyományok és a normatakarékosság követelményéből fakadóan a Rendelet és az Irányelv alkalmazandóvá válását követően is - az uniós jog által biztosított keretek között - indokolt fenntartani. Ennek megfelelően az Irányelv rendelkezéseivel kapcsolatos jogharmonizációs kötelezettséget a Javaslat szerint a magyar jogalkotó elsősorban az Infotv. rendelkezéseinek szükségszerű módosításával fogja teljesíteni.
Emellett a Rendelet végrehajtását, így különösen az adatvédelmi felügyelő hatóság működésének kereteit biztosító rendelkezéseket is az Infotv. fogja (továbbra is) tartalmazni.
Végezetül kiemelendő, hogy a Kormány álláspontja szerint a Rendelet közvetlenül hatályosuló szabályait eredeti rendeltetésüknek megfelelően, vagyis elsősorban a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok ellen fellépve szükséges alkalmazni, míg a többi gazdasági szereplő - elsősorban és kiemelten a kis- és középvállalkozások - tekintetében az arányosság elvét figyelembe véve a figyelmeztetés jogkövetkezményét indokolt alkalmazni. Magyarországon ugyanis igen nagyszámú kis- és középvállalkozás működik, amely vállalkozásokra jelentős terheket ró a Rendeletnek való megfelelés biztosítása. E vállalkozások és érdekképviseleti szerveik által jelzett aggályokra a Kormány már eddig is tekintettel volt, így a T/335. számon benyújtott, az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról szóló törvényjavaslatban már elhelyezett a Hatóság gyakorlatát orientáló rendelkezéseket. E körben a T/335. számú törvényjavaslat akként módosítaná az Infotv.-t, hogy a Hatóság a Rendelet 83. cikk (2)-(6) bekezdésében foglalt hatásköreit az arányosság elvének figyelembevételével gyakorolja azzal, hogy a személyes adatok kezelésére vonatkozó, jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott előírások első alkalommal történő megsértése esetén a Hatóság a jogsértés orvoslása iránt - az általános adatvédelmi rendelet 58. cikkével összhangban - elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik. Hangsúlyozandó tehát, hogy T/335. számú törvényjavaslatban foglalt, a Hatóság bírságolását orientáló szabályt a jelen törvényjavaslat érintetlenül hagyja.
RÉSZLETES INDOKOLÁS
Az 1. § -hoz
A Javaslat az általános indokolásban fentebb megfogalmazott keretekre tekintettel az Infotv. rendelkezéseit oly módon módosítja, hogy a Javaslat hatálybalépését követően az Infotv. -továbbra is a személyes adatok védelmének átfogó és koherens szabályrendszerét adva -
a) az Irányelv rendelkezéseit a magyar jogba átültesse,
b) a Rendelet rendelkezései végrehajtásának feltételeit, így elsősorban a Rendeletben meghatározott jogintézmények alkalmazásához szükséges eljárási szabályokat biztosítsa,
c) az uniós jog hatálya alá nem tartozó adatkezelési jogviszonyok tekintetében alkalmazandó anyagi és eljárásjogi szabályokat meghatározza, ezzel biztosítva a magyar joghatóság alá tartozó adatkezelési jogviszonyok teljes körének hézagmentes szabályozottságát,
d) az érintett halálát követően a személyes adatokkal összefüggő egyes jogosultságok érvényesítésének rendjét meghatározza.
A Rendelet és az Irányelv alkalmazandóvá válását követően szükségképpen megváltozik az Infotv. személyes adatok védelmével összefüggő rendelkezéseinek tárgyi és szervi hatálya. Tekintettel arra, hogy a Rendelet a hatálya alá tartozó jogterületeken - a tagállami jogalkotó részére kifejezetten fenntartott egyes tárgyköröket kivéve - uniós szinten egységes, közvetlenül hatályosuló és alkalmazandó előírásokat tartalmaz, az Infotv. hatálya ezen jogterületeken végzett adatkezelési jogviszonyokra általánosan nem terjedhet ki, hanem csupán azon terjedelemben, amely a Rendeletben meghatározott anyagi jogi szabályok érvényesülésének feltételeit hivatott biztosítani. Az Irányelv ezzel szemben - hasonlóan a hatályos Infotv. uniós jogi alapját képező 95/46/EK európai parlamenti és tanácsi irányelvhez és 2008/977/IB tanácsi kerethatározathoz - azt a kötelezettséget rója a tagállami jogalkotóra, hogy az Irányelvben meghatározott anyagi jogi és eljárásjogi jogintézményeket egyaránt a magyar jogban - az Irányelvben meghatározott keretek között - részletesen és teljes körűen szabályozza. Itt emelendő ki az Irányelv azon, 1. cikk (3) bekezdésében deklarált jellegzetessége is, hogy az csupán minimum-harmonizációs kötelezettséget ró a tagállamokra, azaz az esetlegesen magasabb védelmi szintet biztosító tagállami szabályok - az alkotmányossági követelményekre is figyelemmel - fenntarthatók.
A Rendelet és az Irányelv tárgyi és szervi hatálya azonban együttesen sem terjed ki az adatkezelési jogviszonyok teljes körének szabályozására, így egyrészt természetesen azon jogviszonyokra, amelyek egyáltalán nem tartoznak az uniós jog hatálya alá (pl. nemzetbiztonsági célú adatkezelések), másrészt amelyeket noha az alapítószerződések nem zárnak ki az uniós jog hatálya alól, az uniós jogalkotó nem kívánt szabályozni (pl. papír alapú, nyilvántartásba nem rendezett adatkezelések). A magyar jogalkotónak azonban az Alaptörvény VI. cikk (2) bekezdésében biztosított, a személyes adatok védelméhez fűződő alapvető jog érvényesülését minden, Magyarország joghatósága alá tartozó adatkezelési jogviszonyban - ahogyan azt a személyes adatok védelmére vonatkozó általános szabályokat tartalmazó törvényi szabályozás a magyar jogban hagyományosan megtette - biztosítania kell, összhangban az Európa Tanács - az 1998. évi VI. törvénnyel kihirdetett - adatvédelmi egyezményéhez tett magyar nyilatkozattal is.
Ezen alkotmányossági követelményből fakadóan a Javaslat az Infotv. tárgyi és szervi hatályát a következők szerint határozza meg:
a) azon adatkezelési jogviszonyok vonatkozásában, amelyekre vonatkozó anyagi jogi szabályokat a Rendelet határozza meg, az Infotv. azon rendelkezéseit rendeli alkalmazni, amelyek vagy a Rendelet által a tagállami jogalkotó részére fenntartott szabályozási tárgykörbe tartoznak, vagy a Rendelet végrehajtásához szükséges kiegészítő előírásokat állapítanak meg (így tipikusan a Hatóság jogállására és eljárásaira vonatkozó rendelkezések);
b) azon adatkezelési jogviszonyok vonatkozásában, amelyek az Irányelv hatálya alá tartoznak (bűnüldözési célú adatkezelések) az Infotv. egészének alkalmazását írja elő;
c) azon adatkezelési jogviszonyok tekintetében, amelyeket az uniós jogalkotó nem szabályoz, az adatkezelés jellegzetességeire tekintettel vagy
ca) az Irányelvet átültető normaösszességet (nemzetbiztonsági, honvédelmi célú adatkezelések), vagy
cb) a Rendelet hatálya alá tartozó adatkezelési jogviszonyokat szabályozó normaösszességet (papír alapú, nyilvántartásba nem rendezett adatkezelések)
rendeli alkalmazni.
A fentieknek megfelelően az Infotv. jövőbeni alkalmazása során kiemelt figyelmet kell fordítani arra, hogy a Rendelet hatálya alá tartozó adatkezelések esetén az Infotv.-nek csak és kizárólag azon előírásai alkalmazandók, amelyeket az Infotv. a Javaslat szerint megállapított hatálya kifejezetten a Rendeletet kiegészítő normaként alkalmazni rendel. Az Infotv. minden további rendelkezését a Rendelet hatálya alá tartozó jogviszonyokban nem kell és - a vonatkozó uniós jog jellegére és tartalmára figyelemmel - nem lehet alkalmazni.
A Javaslat általános jelleggel - de eltérést megengedő módon - rögzíti továbbá azon rendezőelvet, amely meghatározza, hogy - a Rendeletben lehetővé tett tagállami jogalkotói szabadsággal élve - a Rendeletet kiegészítő vagy annak szabályaitól eltérő magyar jogi rendelkezések mely adatkezelések vonatkozásában alkalmazandóak. Ezen rendezőelv a Rendelet 3. cikk (2) bekezdésével - amely a harmadik országban letelepedett adatkezelők esetén az Unióban tartózkodó érintettek személyes adatainak kezelése vonatkozásában rendeli alkalmazni a Rendelet szabályait - analóg módon határozza meg az érintettek személyes adatainak kezelésével összefüggésben alkalmazandó előírásokat.
A 2. §-hoz
A Javaslat összhangba hozza az Infotv. fogalommeghatározásait a megváltozott uniós jogi környezettel. Ennek során elvégzi az Irányelv 3. cikkében foglalt definíciók átültetését, másrészt olyan meghatározásokat és rövidítéseket vezet be, amelyek kodifikációs és normatakarékossági szempontból indokoltak.
A 3. és 4. §-hoz
Az adatkezelés alapelvei tekintetében lényegi változást az uniós adatvédelmi reform sem eredményez, a Javaslat az Irányelv 4. cikkével való összhang biztosításához szükséges módosításokat elvégzi.
Az 5. § -hoz
A Javaslat az Irányelvvel - figyelemmel annak minimum-harmonizációs jellegére is -, az Alaptörvényből fakadó követelményekkel és az Infotv. szerkezetével összhangban szabályozza újra az adatkezelés jogalapjait és általános feltételrendszerét.
Az adatkezelés jogalapjai tekintetében kiemelendő, hogy az adatkezelés jogszerűségéhez az Irányelv minden esetben feltételként szabja, hogy az - a magyar alkotmányossági hagyományokból egyébként is következően - az Irányelv szervi és tárgyi hatálya alá tartozó tevékenység ellátásához szükséges legyen, (35) preambulumbekezdésében azonban kifejezetten utal arra is, hogy ezen feltételen túl egyes esetekben az érintett hozzájárulása is további követelményként írható elő a tagállami jogszabályokban. A Javaslat ezzel összhangban tehát továbbra is lehetővé teszi az érintett információs önrendelkezési jogának érvényesülését és ezen jogának az adatkezeléshez történő hozzájárulása útján történő gyakorlását.
A Javaslat a Rendeletben a tagállami jogalkotó részére biztosított szabályozási felhatalmazás keretei között - az Irányelv hatálya alá tartozó és az uniós jog hatályán kívül eső adatkezelési jogviszonyokon túl - a Rendelet hatálya alá tartozó jogviszonyokban is alkalmazandó szabályokat állapít meg. Ezen szabályok címzettje egyrészt a magyar adatvédelmi jogi hagyományok alapján ún. kötelező adatkezelési jogviszonyokban a jogalkotó [a Rendelet 6. cikk (3) bekezdésével és az Irányelv 8. cikk (2) bekezdésével összhangban], másrészt az Irányelv és a Rendelet által lehetővé tett, illetve előírt körben az adatkezelő és az adatfeldolgozó [a Rendelet és az Irányelv 10. cikkével, a Rendelet 85. cikk (2) bekezdésével, továbbá 89. cikk (2) és (3) bekezdésével összhangban].
Itt emelendő ki a Rendelet 10. cikkéből fakadó azon követelmény, hogy a tagállami jogalkotónak a bűnügyi személyes adatok kezelésével összefüggésben "az érintett jogai és szabadságai tekintetében megfelelő garanciákat" kell biztosítania. Figyelemmel arra, hogy ezen garanciák körét, jellegét és tartalmát maga a Rendelet nem határozza meg, továbbá arra, hogy az Európa Tanács keretei között létrehozott adatvédelmi egyezmény 6. cikke a bűnügyi személyes adatokat a különleges adatok közé tartozóként határozza meg, a Javaslat -igazodva a magyar adatvédelmi hagyományokhoz és az alkotmányossági követelményekhez -a bűnügyi személyes adatok kezelése esetén főszabályként a különleges adatok kezelésére vonatkozó feltételrendszert rendeli alkalmazni, mely főszabálytól természetesen - a megfelelő garanciák biztosításának követelménye figyelembevételével - az ágazati uniós vagy magyar jogi rendelkezések eltérést állapíthatnak meg.
A Javaslat az Infotv. 5. alcíme keretei között ülteti át továbbá az Irányelv 6., 7. és 11. cikkének rendelkezéseit is.
A 6. §-hoz
A Javaslat az Irányelv rendelkezéseinek a magyar jogba történő átültetése, valamint az uniós jog hatálya alá nem tartozó adatkezelési jogviszonyok szabályozása érdekében az Infotv. külön alcímében állapítja meg a személyes adatok más címzett részére történő továbbítására vonatkozó feltételrendszert.
Míg ezen előírások egy része [így az Irányelv 7. cikk (2) és (3) bekezdésén, valamint 9. cikk (3) bekezdésén alapulóak] a Javaslat alapján minden, az Infotv. hatálya alá tartozó adattovábbítás tekintetében érvényesítendő, egyes feltételek meghatározott adattovábbítástípusokra, így személyes adatok harmadik országba vagy nemzetközi szervezet részére történő továbbítására (nemzetközi adattovábbítás) vagy bűnüldözési célú adatkezeléshez kapcsolódó adattovábbításra [az Irányelv V. fejezetének előírásaival összhangban] alkalmazandóak.
A 7-9. §-hoz
A Javaslat az Irányelv szerkezetéhez igazodóan (az Irányelv III. fejezetével összhangban) az Infotv.-t egy új fejezettel kiegészítve szabályozza újra az érintettet a személyes adatai kezelése kapcsán megillető (rész)jogosítványok körével és azok érvényesítésével összefüggő előírásokat, ideértve ezen jogérvényesítéshez kapcsolódóan az adatkezelőt terhelő kötelezettségeket.
Ezen előírások az Irányelv rendelkezései alapján, de lényegüket tekintve az Infotv.-ben az uniós adatvédelmi reformot már megelőzően is rögzített körben részletesen meghatározzák az érintettet megillető jogok tartalmát, gyakorlásának módját és eszközeit, valamint esetleges korlátozásának feltételeit és kereteit.
A 10. §-hoz
A Hatóság 2015. november 11-én ajánlást (a továbbiakban: Ajánlás) bocsátott ki az online adatok halál utáni sorsáról. Az Ajánlásban a Hatóság egyrészt ismertette a személyes adatok kezeléséhez kapcsolódó jogosultságoknak az adatalany halálát követő jogi sorsára vonatkozó hatályos jogi rendelkezéseket, másrészt felhívta az igazságügyi minisztert, hogy "vizsgálja meg a lehetőségét egy olyan jogalap és eljárásrend kidolgozásának, amely [az ajánlásban megfogalmazott, a személyes adatokhoz kapcsolódó egyes jogosultságokkal] ruházná fel az elhunyt hozzátartozóit és örököseit az Infotv.-ben meghatározott alapelvek és előírások minél teljesebb érvényesülésének megteremtése érdekében".
Ahogyan arra az Ajánlás is utalt, a személyes adatok védelméhez fűződő jog alanya (a vonatkozó uniós jogi és nemzetközi jogi instrumentumokkal összhangban) kizárólag természetes személy - az Infotv. fogalmi rendszerében az "érintett" - lehet. E jogosultság, valamint az ahhoz kapcsolódó, a jog érvényesülését célzó rendelkezések (így pl. az adatkezelők kötelezettségei) azonban a természetes személy halálával - jogalanyiságának, jogképességének megszűnésével - elenyésznek, illetve nem alkalmazhatók.
Noha a Rendelet az elhunytak személyes adataira - az előzőekben jelzettekkel azonos indokokból - nem alkalmazandó, annak (27) preambulumbekezdése kifejezetten rögzíti a tagállamok jogalkotási kompetenciáját az elhunyt személyek személyes adatai kezelésének szabályozására.
A hatályos magyar jogrendszer az érintett halálát követően is fűz - polgári jogi és büntetőjogi - joghatásokat az elhunyt adatainak kezeléséhez (pl. a kegyeleti jog keretein belül), e jogok alanya azonban értelemszerűen - jogképessége híján - már nem az elhunyt, hanem annak hozzátartozói és örökösei. E joghatások terjedelme továbbá csupán az elhunyt emlékét sértő magatartásokra korlátozódik, és az abból fakadó jogosultságok érvényesítése is bírósági eljáráshoz kötött.
Az Alaptörvény VI. cikk (2) bekezdésében biztosított, a személyes adatok védelméhez fűződő alapvető jogot az Alkotmánybíróság "nem hagyományos védelmi jogként értelmezi, hanem annak aktív oldalát is figyelembe véve, információs önrendelkezési jogként" [legutóbb megerősítette: 17/2014. (V. 30.) AB határozat, [31] pont], amelynek "az a tartalma, hogy mindenki maga rendelkezik személyes adatainak feltárásáról és felhasználásáról" [legutóbb: 32/2013. (XI. 22.) AB határozat, [87] pont]. Ezen értelmezés kifejezett jogalkotói elismerésére és alkalmazandóságára pedig az Infotv. címének megfogalmazása is egyértelműen utal.
Az információs önrendelkezési jog tartalmára, valamint az állam e tartalomhoz kapcsolódó objektív intézményvédelmi kötelezettségére tekintettel, továbbá az Ajánlásban ismertetett gyakorlati tapasztalatok alapján a Javaslat a magyar jogban mindeddig nem szabályozott jogintézményt megteremtve törekszik eleget tenni a jogalkalmazó által jelzett jogalkotási szükségletnek, bővítve ezzel az Alaptörvény VI. cikk (2) bekezdésében biztosított, az információs önrendelkezési jog érvényesülésének garanciáit, az ezen alapjoghoz kapcsolódó jogosultságokat.
A Javaslat ennek érdekében egyrészt az érintett számára lehetőséget biztosít arra, hogy az általa még életében megtett jognyilatkozattal rendelkezhessen személyes adatainak a halálát követő sorsáról, akként, hogy az adatkezelőnél tett jognyilatkozatával - több ilyen nyilatkozat esetén a későbbi időpontban tett, a korábbit felülíró nyilatkozatával - meghatalmazza a személyes adataival kapcsolatban őt életében megillető egyes jogosultságok érvényesítésére jogosult személyt. Az így átruházható jogosultságok a Javaslat alapján kiterjednek az adatokhoz való hozzáférésre (azok megismerésére), azok helyesbítésének, törlésének, zárolásának kezdeményezésére, továbbá az adatkezelés elleni tiltakozásra.
A Javaslat emellett, ilyen jognyilatkozat hiányában, ex lege feljogosítja az érintett közeli hozzátartozóit arra, hogy az érintetti jogok közül a helyesbítés, valamint - ha az adatkezelés már az érintett életében is jogellenes volt vagy az adatkezelés célja az érintett halálával megszűnt - a törlés és a zárolás kezdeményezéséhez, továbbá az adatkezelés elleni tiltakozáshoz fűződő jogokat érvényesíthessék. Mind az ex lege érvényesíthető jogosultságok, mind az azokat potenciálisan gyakorló személyek köre tehát szűkebb a jognyilatkozat alapján érvényesíthető jogok és azok lehetséges jogosultjainak körénél. Az információs önrendelkezési jog tartalma és a személyiséghez szorosan kapcsolódó jellege miatt a Javaslat csak az elhunyt érintett közeli hozzátartozói számára és kizárólag a jogellenes adatkezelés megszüntetésének vagy korrekciójának lehetőségét teremti meg. E törvényi rendelkezés az érintett információs önrendelkezési jogát, magánszféráját halálát követően is tiszteletben tartva - az érintett erre irányuló kifejezett akaratkijelentése hiányában - így nem biztosít lehetőséget arra a közeli hozzátartozóknak sem, hogy az elhunyt érintett egyes adatkezelők által kezelt adataihoz hozzáférhessenek, azokat (pl. az elhunyt érintett elektronikus levelezésének tartalmát) megismerhessék. Ez ugyanakkor nem gátolja azon adatmegismerési jogosultságok érvényesülését, amelyek nem e törvényből, hanem más jogi előírásokból fakadnak (pl. a hagyaték sorsának jogi rendezése, szerződéses jogviszonyokban való jogutódlás stb.).
A rendelkezés azt sem teszi továbbá lehetővé a közeli hozzátartozók számára, hogy olyan személyes adatok törlését kezdeményezzék, amelyek kezelése az érintett életében jogszerű volt (pl. az érintett kifejezett hozzájárulásán alapult), kivéve, ha az érintett halálával az adatkezelés eredeti célja is megszűnt.
A közeli hozzátartozók ugyanakkor az érintett adatai sorsának nyomon követhetősége érdekében a Javaslat alapján - azon egyetlen eset kivételével, ha ezt az érintett életében tett nyilatkozatával előzetesen kizárta - jogot kapnak arra, hogy a meghatalmazott vagy más közeli hozzátartozó fellépése nyomán az adatkezelő által megtett intézkedésekről kérelmükre tájékoztatásban részesüljenek. Az intézkedésről való tájékoztatásra való jogosultság azonban kifejezetten csak az adatkezelői cselekmény tartalmára vonatkozik, nem terjed ki arra, hogy a közeli hozzátartozók olyan, az érintettre vonatkozó adatokat megismerjenek, amelyhez hozzáférésre egyébként nem jogosultak.
A Javaslat mind az érintett akaratnyilatkozatán, mind a törvényi rendelkezésen alapuló jogosultságok érvényesíthetőségét a jogrendszerben széles körben alkalmazott mértékű, objektív időbeli korláthoz - az érintett halálát követő öt év - köti, ezzel megfelelő egyensúlyt teremtve az érintett személyes adatainak az érintett elhunytát követő sorsának rendezéséhez fűződő, valamint az adatkezelők adminisztratív terheinek észszerű mértékéhez fűződő érdekek között.
A Javaslat mindezek mellett kifejezetten rögzíti azt is, hogy az egyes érintetti jogokat érvényesítő személyek jogosultságai - a "nemo plus iuris..." alapelvvel összhangban - az Infotv. alapján az érintettet ezen jogok érvényesítése során megillető jogosultságok tartalmához, azok gyakorlásának feltételeihez, korlátaihoz igazodnak.
A 11-18. §-hoz
A Javaslat az adatkezelők és az adatfeldolgozók feladatait és kötelezettségeit az Infotv. új, önálló fejezetébe iktatva állapítja meg, az Irányelv IV. fejezetében foglalt előírások magyar jogba történő maradéktalan átültetésére, továbbá a Rendeletben a tagállami jogalkotó részére fenntartott szabályozási mozgástérnek a magyar jogi környezetben indokolt mértékű kihasználására törekedve.
Ennek érdekében a Javaslat az Irányelv rendelkezései alapján részletesen szabályozza az adatkezelők által a személyes adatok kezelésével összefüggő tevékenységük kapcsán elvégzendő általános feladatokat és intézkedési kötelezettségeket, az adatfeldolgozó szerepét, jogállását és igénybe vételének rendjét, az adatkezelő és adatfeldolgozó által vezetett nyilvántartás - ennek részeként az adatvédelmi incidensekkel összefüggésben vezetendő nyilvántartás - és az elektronikus napló tartalmát, az adatvédelmi hatásvizsgálat és ahhoz kapcsolódóan az előzetes konzultáció lefolytatásának rendjét, az adatbiztonsági intézkedésekkel és az adatvédelmi incidensek kezelésével kapcsolatos előírásokat, valamint az adatvédelmi tisztviselők alkalmazásának eseteire, feladat- és szerepkörükre kiterjedő rendelkezéseket.
Ezen rendelkezések közül - az Infotv. 2. §-ának a Javaslattal megállapított (2) bekezdése alapján - a Rendelet hatálya alá tartozó jogviszonyokban is alkalmazandóak a Hatóság által közzéteendő, az adatvédelmi hatásvizsgálat elvégzésének alapjául szolgáló listákra [a Rendelet 35. cikk (4) és (5) bekezdésével összhangban], a kötelező adatkezelés esetén elvégzendő hatásvizsgálatnak és előzetes konzultációnak a jogszabály-előkészítés során történő lefolytatására [a Rendelet 35. cikk (10) bekezdésével összhangban], valamint az adatvédelmi tisztviselő titoktartási kötelezettségére [a Rendelet 38. cikk (5) bekezdésével összhangban] és az adatvédelmi tisztviselők konferenciájára vonatkozó előírások.
Figyelemmel arra, hogy a nemzetbiztonsági célú adatkezelések az uniós jog hatályán kívül esnek, a Javaslat ezek vonatkozásában kivételi szabályokat állapít meg azon jogintézmények (adatvédelmi incidens bejelentése és az érintettel való közlése) alkalmazására nézve, amelyek a hatályos magyar adatvédelmi szabályozásból nem következnek. Fenntartja ugyanakkor a Javaslat azon előírásokat, amelyek jelenleg is irányadók ezen adatkezelésekre, így a Javaslat nem érinti azon különös szabályok tartalmát sem, amelyek a Hatóság jogköreinek gyakorlását ezen területen meghatározzák.
A 19. §-hoz
Az Infotv. V. fejezetének hatályos, a Hatóság jogállására, a Hatóság elnökének kinevezésére és függetlenségének garanciáira vonatkozó rendelkezései lényegi tartalmukat tekintve megfelelnek a Rendelet VI. fejezetében és az Irányelv VI. fejezetében meghatározott követelményeknek. A Javaslat ezért csupán azon rendelkezéseket módosítja, amelyek az uniós adatvédelmi reformot követően alkalmazandó szabályozással való összhang megteremtése érdekében szükségesek. Ennek keretei között egyrészt formálisan is kijelöli a Hatóságot a Rendelet hatálya alá tartozó jogviszonyok vonatkozásában a Rendeletben a felügyeleti hatóságra ruházott feladat- és hatáskörök gyakorlására, másrészt rögzíti, hogy a Hatóság elnöke egy alkalommal újraválasztható [a Rendelet 44. cikk (1) bekezdés e) pontjával összhangban]. A Javaslat emellett pontosítja az Infotv. terminológiáját a közigazgatási perrendtartásról szóló törvénnyel való maradéktalan összhang megteremtése érdekében.
A 20-22. §-hoz
A Javaslat kis terjedelemben módosítja a Hatóság ún. ombudsmani típusú vizsgálati eljárásának rendelkezéseit egyrészt annak érdekében, hogy kifejezetten lehetővé tegye a Hatóság számára a vizsgálat hivatalból történő megindítását is, valamint annak érdekében, hogy önálló vizsgálatkezdeményezési lehetőséget biztosítson az érintettnek az őt megillető jogok ún. közvetett - a Hatóságon keresztül történő - érvényesítése céljából [az Irányelv 17. cikkével összhangban]. E jogintézmény célja, hogy az érintett számára jogi kereteket biztosítson annak ellenőrzése kezdeményezésére, hogy az őt megillető érintetti jogok gyakorlása esetén azok érvényesítésének adatkezelő általi korlátozására irányuló intézkedés jogszerű volt-e.
A 23-24. §-hoz
A Hatóság közigazgatási hatósági jogkörében lefolytatott eljárásainak kereteit a Javaslat szerint továbbra is az általános közigazgatási eljárási szabályok, az általános közigazgatási rendtartásról szóló 2016. évi CL. törvényben (a továbbiakban: Ákr.) foglalt rendelkezések képezik. A személyes adatok védelmével kapcsolatos feladat- és hatáskörei gyakorlása során ezen eljárások közül az adatvédelmi hatósági eljárás továbbra is a személyes adatok védelméhez fűződő jog hatósági eszközökkel történő érvényesítését, jogi eszközökkel kikényszeríthető döntések meghozatalát szolgálja, míg az adatvédelmi engedélyezési eljárás a Rendelet alapján a felügyeleti hatóságokra ruházott és a Hatóság által gyakorolt engedélyezési, jóváhagyási típusú feladat- és hatáskörök (pl. magatartási kódexek, kötelező erejű vállalati szabályok jóváhagyása) gyakorlásának közös eljárásrendjét biztosítja.
Tekintettel arra, hogy a Rendelet az Európai Unió tagállamainak adatvédelmi hatóságait - elsősorban a határon átnyúló adatkezeléseket érintő eljárásaikban - a magyar jogban közvetlenül hatályosuló és alkalmazandó szabályok szerint formalizált együttműködésre kötelezi, a Javaslat hazánk uniós jogból fakadó kötelezettségeinek, így ezen együttműködésre vonatkozó szabályok és az uniós jog elsőbbségének érvényesülése érdekében az Ákr.-ben foglalt előírásokhoz képest - a kifejezetten indokolt mértékben - különös szabályok alkalmazását írja elő.
Ezen különös szabályok közül kiemelendő, hogy az adatvédelmi hatósági eljárást, valamint az adatkezelési engedélyezési eljárást a Javaslat szerint fel kell függeszteni a Rendeletben szabályozott ún. együttműködési eljárás és egységességi mechanizmus alkalmazásának időtartamára, így az ügyintézési határidőbe ezen időtartamok nem számítanak bele. A Hatóság ugyanakkor a Javaslat alapján a felfüggesztés időtartama alatt is elvégzi az együttműködési eljárásban és az egységességi mechanizmusban szükséges eljárási cselekményeket. A szabályozás indoka, hogy ezen jogintézmények az Európai Unió tagállamainak adatvédelmi hatóságai tevékenységének az uniós jog egységes alkalmazását célzó összehangolását szolgálják, amelyekre nézve a Rendelet részletesen meghatározza a hatóságok döntései tartalma kialakításának és egyeztetésének eljárásrendjét. Ezen eljárásrend a Hatóság által a magyar eljárási szabályok alapján végzett eljárási cselekmények mellett szükségszerűen olyan eljárási cselekményeket is magában foglal, amelyeket nem a magyar, hanem más uniós tagállami adatvédelmi hatóság, illetve az Európai Adatvédelmi Testület végez és amelyek elvégzésének határidejét maga a Rendelet, illetve más tagállam joga határozza meg. Ezen eljárási cselekmények határidőben történő elvégzésére a magyar hatóságnak nincs érdemi befolyása. Az általános eljárásjogi szabályok alkalmazása ezen esetekben a Rendelet hatékony érvényesülését, az uniós adatvédelmi együttműködés gyakorlati megvalósulását gátolná.
Mindebből következően a Rendelet által szabályozott együttműködési és egységességi eljárásrendet a Javaslat a Hatóság eljárásának folyamatába oly módon illeszti be, hogy annak időtartama - mivel a Hatóság hatáskörén kívül eső cselekményektől függ - a Hatóság által folytatott hazai eljárás ügyintézési határidejét ne érintse. Azon ügyekben ugyanakkor, ahol más uniós tagállam érintettsége nemzetközi elemként nem merül fel, a határidő számítása továbbra is az irányadó magyar törvényi szabályok szerint alakul.
Az adatvédelmi hatósági eljárás tekintetében újdonság, hogy a hivatalbóli eljárás indításának lehetősége (és meghatározott esetekben kötelezettsége) mellett a Javaslat bevezeti az érintett kérelmére induló eljárástípust is.
Ugyanezen eljárás tekintetében kiemelendő továbbá az is, hogy a Javaslat a közigazgatási szabályszegések szankcióiról szóló törvény és a Rendelet szabályainak összhangba hozatala érdekében rendelkezik arról, hogy a Hatóság abbéli - a konkrét eset körülményeit figyelembe vevő - mérlegelését, hogy valamely adatvédelmi jogsértés esetén bírság kiszabása szükségese, nem korlátozza a hivatkozott törvény azon általános előírása, amely főszabályként bírság kiszabását csak egy éven belül nyilvántartásba vett korábbi, szankciót megállapító döntés esetén teszi lehetővé. A közigazgatási szabályszegések szankcióiról szóló törvény azon előírása pedig, amely a hatóság mérlegelési jogkörében meghatározható közigazgatási bírságösszeg mértékét legfeljebb a törvényben meghatározott közigazgatási bírságösszeg felső határának felében rendeli megállapítani korábbi szankcionálás hiánya esetén (azaz ha a hatósági eljárás megindításának napját megelőző három éven belül az ügyfél vonatkozásában közigazgatási bírság szankciót megállapító döntést nem vettek nyilvántartásba), a Rendelet vonatkozásában külön kivételi szabály nélkül is mellőzendő, mivel a bírságmaximumokat ez esetben nem a magyar jog, hanem a Rendelet határozza meg.
A Javaslat mindemellett az Ákr. által adott, az általános szabályoktól való eltérés lehetőségével élve a Hatóság feladat- és hatáskörébe utalja a meghatározott cselekmény elvégzésére, meghatározott magatartásra, tűrésre vagy abbahagyásra irányuló kötelezést tartalmazó döntése végrehajtásának foganatosítását is. Ezen túl, noha a Hatóság fizetési kötelezettségeket megállapító döntése végrehajtásának foganatosítása tekintetében az állami adóhatóság feladatköre fennmarad, a Javaslat a Rendeletben az anyagi jogi bírságokra meghatározott előírásokkal összhangban kizárja a fizetési kötelezettség a kötelezett kérelmére történő mérséklésének lehetőségét, a további teljesítési kedvezmények (halasztás, részletfizetés) iránti kérelmek érdemi elbírálását pedig szintén a Hatóság feladat- és hatáskörébe utalja.
Az adatkezelési engedélyezési eljárás tekintetében a Javaslat meghatározza az ezen eljárás keretei között benyújtható kérelmek, valamint ezen kérelmek alapján meghozható határozatok tartalmát, az ügyintézési határidőt, kizárja továbbá a sommás eljárás lefolytatásának lehetőségét.
A 25. §-hoz
A Javaslat a Rendelet és az Irányelv előírásaival összhangban rögzíti a Hatóság nemzetközi együttműködésére vonatkozó alapvető rendelkezéseket, ideértve nemcsak az EGT-államok adatvédelmi hatóságaival történő együttműködéshez szükséges és a tagállami jogalkotó által megalkotandó előírásokat, hanem a harmadik országoktól és nemzetközi szervezetektől ezen együttműködés során érkező jogsegélykérelmek kezelésének szempontrendszerét is.
A 26. §-hoz
A Javaslat a Rendelet 42. cikkében meghatározott tanúsításra irányuló eljárást - az azonos célra és tartalmi jellemzőkre tekintettel - az Infotv. korábbi, az adatvédelmi auditra vonatkozó eljárásrendre alkalmazandó szabályainak alapulvételével, a Rendelet előírásainak végrehajtását biztosítva határozza meg.
A 27. §-hoz
Figyelemmel arra, hogy a Rendelet az adatkezelési műveletek kötelező bejelentésére, valamint azok Hatóság általi nyilvántartására vonatkozó előírások helyett az ún. kockázatalapú megközelítés alapján és az adatkezelő elszámoltathatóságának elvét hangsúlyozva az adatkezelők által elvégzendő, az adatkezelési műveletekkel összefüggésben felmerülő kockázatokat felmérő és azok megfelelő eszközökkel való csökkentésére irányuló intézkedések (pl. adatvédelmi hatásvizsgálat) végrehajtására kötelezi az adatkezelőket, az Infotv. adatvédelmi nyilvántartásra vonatkozó előírásait nem tartja fenn. A Javaslat ugyanakkor az érintettek tájékozódásának biztosítása érdekében a Hatóság részére előírja egyrészt azon döntései közzétételét, amelyek nyilvánosságra hozatala a Rendelet, illetve az Infotv. alapján kötelező, másrészt azon, az adatvédelmi tisztviselőre vonatkozó adatokat, amelyek a Rendelet és az Irányelv alapján a Hatóság részére bejelentendőek.
Emellett a Javaslat a Hatóság eljárásaira vonatkozó közös rendelkezésként kizárja egyrészt, az adatkezelő vagy az adatfeldolgozó kérelmére történő hatósági ellenőrzés lefolytatását, másrészt az ún. elszámoltathatóság elvével összhangban rögzíti az adatkezelőt, illetve az adatfeldolgozót terhelő bizonyítási kötelezettséget is.
A 28. §-hoz
A Javaslat egyértelműen rögzíti azon rendelkezéseket, amelyeket a Hatóság abban az esetben alkalmaz, ha az érintettet megillető jogokat az adatkezelő jogszerűen korlátozta, amely korlátozás alapjául szolgáló érdekek érvényesítése az érintettnek a Hatóságnál történő joggyakorlása esetén sem mellőzhető.
A 29. §-hoz
A Rendelet 55. cikk (3) bekezdése és az Irányelv 45. cikk (2) bekezdése értelmében az adatvédelmi felügyeleti hatóságok hatásköre nem terjed ki a bíróságok által igazságügyi feladataik ellátása során végzett adatkezelési műveletek felügyeletére. E rendelkezés azonban nem érinti a hatálya alá tartozó tárgykörökben az uniós jogi aktusok anyagi jogi szabályainak alkalmazandóságát ezen adatkezelési jogviszonyokban, sőt, mind a Rendelet, mind az Irányelv rendelkezései alapján ezen adatkezelési műveletek ellenőrzésére irányuló felügyeleti mechanizmusról - az egyébként az érintett rendelkezésére álló, perindítási jogosultság mellett - a bíróságok szervezetén belül szükséges gondoskodni.
Ennek megfelelően a Javaslat az Infotv. új VI/A. Fejezetének megállapításával a bíróságok igazságszolgáltatási feladataihoz kapcsolódó adatkezelési műveletek ellenőrzésének eszközeként létrehozza az adatvédelmi kifogás jogintézményét, továbbá meghatározza e kifogás elintézésének rendjét.
A bíróságok által igazságügyi feladataik ellátása során végzett adatkezelési műveletek jellegük szerint minden esetben egy kontradiktórius vagy nemperes eljáráshoz (alapügyhöz) kapcsolódó műveletek, így a Javaslat ezen alapügyhöz kapcsolódóan teszi lehetővé bármely érintettnek, hogy ha megítélése szerint az alapügyben személyes adatok kezelésével kapcsolatban jogsérelem következett be, vagy az alapügyben eljáró bíróság az érintettet az adatkezelővel szemben megillető jogok (azaz például a hozzáféréshez való joga, helyesbítéshez való joga vagy törléshez való joga) érvényesítése során nem a vonatkozó szabályok szerint járt el, adatvédelmi kifogást terjesszen elő.
A kifogás elbírálására a Javaslat sui generis szabályokat állapít meg, amelyek igazodnak a hatályos eljárásjogi kódexekben már létező, egyéb indokból előterjeszthető kifogások elbírálásának rendjéhez, ezzel is segítve a jogalkalmazási gyakorlat egységesítését.
A Javaslat rögzíti, hogy a kifogás alapján a bíróság azt vizsgálja, hogy az eljáró bíró, ülnök vagy igazságügyi alkalmazott az adatkezelési tevékenysége során a személyes adatok védelmére vonatkozó jogszabályi és uniós jogi előírásoknak megfelelően járt-e el.
A Javaslat alapján a kifogást elbíráló bíróság az utólag nem orvosolható jogsértések esetén indokolt határozatban megállapítja a személyes adatok jogellenes kezelésének tényét, illetve azt, hogy az érintetti jogok gyakorlásával kapcsolatban jogsérelem következett be. Orvosolható jogsértések esetén kifogást elbíráló bíróság reparatív jellegű jogkövetkezményeket ír elő, elrendelheti a jogellenes adatkezelési művelet megszüntetését, a jogellenes adatkezelés közvetlen veszélyének elhárítását és az adatkezelés jogszerűségének helyreállítását. Az, hogy ennek keretében pontosan milyen intézkedés megtételét írja elő a kifogást elbíráló bíróság, mindig az adott egyedi ügy sajátosságai alapján kerülhet eldöntésre. A kifogást elbíráló bíróság a jogsértés tényének vagy veszélyének a megállapítása mellett elrendelheti a vonatkozó jogszabályokban biztosított érintetti jogok érvényesülését szolgáló intézkedések megtételét is. Ha a jogsérelem vagy annak közvetlen veszélye nem állapítható meg, a kifogást elbíráló bíróság az eljárást megszünteti.
Az egységes jogalkalmazás kialakítása érdekében a Javaslat lehetőséget biztosít a kifogást elbíráló bíróság részére, hogy eljárásában kikérje a Hatóság véleményét.
A Javaslat a kifogást elbíráló bíróság eljárásának külön nem szabályozott elemei tekintetében az Infotv.-nek a Hatóság vizsgálatára vonatkozó egyes szükséges előírásait utaló szabállyal rendeli alkalmazni.
A 30. §-hoz
A Javaslat megállapítja az új vagy módosuló tartalmú jogintézmények alkalmazásához szükséges átmeneti szabályokat.
A 31-32. §-hoz
A Javaslat az Infotv.-be illeszti az Irányelv átültetésére és a Rendelet végrehajtására utaló jogharmonizációs klauzulát.
A 32-33. §-hoz
E rendelkezések a Javaslat által kitűzött célokkal összhangban tartalmazzák a szövegcserés módosító, hatályba léptető és hatályon kívül helyező rendelkezéseket.
A 35-40. §-hoz
A Rendelet előírja az adatvédelmi felügyelő hatóságok közreműködését a Rendelet 43. cikke szerinti tanúsító szervezetek akkreditációjára irányuló eljárásban. A javaslat a nemzeti akkreditációról szóló törvény rendelkezéseinek módosításával megteremti a Hatóság e feladatellátásának jogi kereteit.
A 41-43. §-hoz
Az adatvédelmi felügyelő hatóságok feladataikat az érintettek által benyújtott panaszok tekintetében a Rendelet és az Irányelv alapján ingyenesen kötelesek ellátni. A hatályos szabályrendszerben a Hatóság bejelentésen alapuló vizsgálata és hivatalbóli adatvédelmi hatósági eljárása is ingyenes. Mivel a Javaslat folytán az adatvédelmi hatósági eljárás kérelemre is indulhat a jövőben, illetve a bíróságok adatkezelési tevékenységét bírói szerv fogja ellenőrizni, ezen eljárások illetékmentességéről is rendelkezni szükséges.
A 44. §-hoz
Hatályba léptető rendelkezések.
45-46. §-hoz
A Javaslat megjelöli a sarkalatosnak minősülő rendelkezéseket a jogszabály-szerkesztési követelményeknek megfelelően, továbbá jogharmonizációs záradékot tartalmaz.