Fél év maradt a GDPR hazai alkalmazására való felkészülésre, ezért egyre nagyobb szerepet kapnak azok a kérdések, hogy milyen GDPR-tól eltérő vagy a GDPR-t kiegészítő hazai szabályok elfogadása várható. Annyi már most bizonyos, hogy a rendeletet átültető hazai jogszabály elfogadása csak a felkészülés végső hajrájában, azaz 2018 tavaszán várható.

A GDPR rendeleti formában került elfogadásra. A rendelet mindazonáltal hibrid jogszabály az irányelvi és rendeleti forma között, mivel 50 feletti tagállami eltérési lehetőségre biztosít lehetőséget. A tagállamoknak a rendeleti szabályok végrehajtását kell biztosítaniuk, ahol ezt a rendelet előírja, továbbá a tagállamok egyes esetekben önkéntesen is eltérhetnek a GDPR szabályaitól.

A GDPR végrehajtását szolgáló jogszabály megalkotásával kapcsolatosan megjegyezendő, hogy 2017 nyarát megelőzően sem az Igazságügyi Minisztérium, sem a NAIH nem adott tájékoztatást a végrehajtási jogszabály megalkotásának koncepciójáról. Nem folyt nyilvános vita arról, hogy milyen módon lenne szükséges Magyarországon a GDPR-t végrehajtani. A NAIH nyilvános kommunikációja egy laikusoknak szóló tájékoztatóra korlátozódott, melyet 2017 év elején „Felkészülés az Adatvédelmi Rendelet alkalmazására 12 lépésben” címmel tettek közzé és ami az angol adatvédelmi hatóság által közzétett, hasonló című tájékoztató magyar adaptálása. Szintén év közben tette közzé a NAIH, hogy a felkészülés jegyében a vizsgálók számát kétszeresére, negyven fővel fogják megemelni, melyből következően a NAIH létszámában nagyobb hivatallal fog rendelkezni, mint a Gazdasági Versenyhivatal. A GDPR hatályba lépésének egy éves évfordulóján a NAIH közleményben hívta fel az adatkezelők és adatfeldolgozók figyelmét, hogy kezdjék meg a felkészülést a rendeletre. A NAIH más tagállami adatvédelmi hatóságokkal szemben nem adott ki a felkészülés hazai, speciális lépéseivel kapcsolatos útmutatót, illetőleg az ilyen útmutatók kiadásával a hatóság már most jelentős késedelemben van.

A fenti előzményeket követően az Igazságügyi Minisztérium 2017. augusztus 29-én tette közzé az Infotv. jogharmonizációs célú módosításáról szóló javaslatát ("Előterjesztés"), amely a bűnügyi adatvédelmi irányelv (2016/680/EU irányelv) átültetésére és a GDPR hazai végrehajtására vonatkozó jogszabályokat együttesen tartalmazza. Az Előterjesztés alapvetően "minimalista" szemléletű, mivel az eredeti tervek szerint nem hajtaná végre a magyar szektoriális adatvédelmi szabályok reformját, ami 2011 óta elmaradt. Az Előterjesztés GDPR végrehajtásával kapcsolatos rendelkezéseit az alábbiak szerint lehet összegezni:

•           Az Infotv. a jövőben főszabály szerint a hatósági (bűnüldözési, nemzetbiztonsági és honvédelmi célú) adatkezelésekre, illetőleg közérdekű adatok nyilvánosságára fog vonatkozni. Az Infotv. rögzíti a GDPR-ra vonatkozó végrehajtási, továbbá a GDPR alkalmazását kiegészítő adatvédelmi rendelkezéseket. A GDPR végrehajtását szolgáló szabályok az Előterjesztésben "salátaként" találhatóak, ami várhatóan jelentősen megnehezíti azok átláthatóságát és gyakorlati alkalmazását.

•           A GDPR főszabály szerint csak automatizált adtakezelésekre terjed ki. Az Előterjesztés a rendelkezéseit az automatizált adatkezelések mellett a manuális módon végzett, olyan adatkezelésre is kiterjeszti, melyek nem képezik nyilvántartási rendszer részét.

•           Az Előterjesztés az érintett számára lehetőséget biztosít arra, hogy az általa még életében megtett jognyilatkozattal rendelkezhessen személyes adatainak a halálát követő sorsáról. Ilyen jognyilatkozat hiányában feljogosítja az érintett közeli hozzátartozóit arra, hogy az érintetti jogok közül a helyesbítés, valamint – ha az adatkezelés már az érintett életében is jogellenes volt vagy az adatkezelés célja az érintett halálával megszűnt – a törlés és a zárolás kezdeményezéséhez, továbbá az adatkezelés elleni tiltakozáshoz fűződő jogokat érvényesíthessék.

•           A jogalapok vonatkozásában a magyar jog számos GDPR 6. cikk (1) bek. (c) és (e) pont hatálya alá tartozó adatkezelést rögzít. Ilyen adatkezelések többek között a postai direkt marketing, reklám, visszaélés-jelentési rendszerek üzemeltetése, biztonsági szolgálatok adatkezelései, banki, biztosítási és egyéb pénzügyi titkok kezelése, elektronikus hírközlési szolgáltatással kapcsolatos adatkezelések. Ezekre a magyar jog várhatóan továbbra is speciális szabályokat fog fenntartani. Az Előterjesztés nem rögzít olyan GDPR 6. cikk (1) bek. (c) és (e) pont hatálya alá tartozó adatkezelést, melyre adatvédelmi hatásvizsgálatot lenne szükséges elvégezni (vö. GDPR 35. cikk (10) bek). Speciális szabályt rögzít az Előterjesztés a 6. cikk (1) bek. (c) és (e) pont hatálya alá tartozó kötelező adatkezelések vonatkozásában, mivel ha az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát törvény vagy az Európai Unió kötelező jogi aktusa nem határozza meg, akkor az adatkezelő az adatkezelés megkezdésétől legalább háromévente felülvizsgálja, hogy az általa, illetve a megbízásából vagy rendelkezése alapján eljáró adatfeldolgozó által kezelt személyes adat kezelése az adatkezelés céljának megvalósulásához szükséges-e. E felülvizsgálattal kapcsolatos adatokat 10 évig kell megőrizni és kérésre a NAIH rendelkezésére bocsátani.

•           Különleges kategóriájú személyes adatok tekintetében (vö. GDPR 9. cikk) megállapítható, hogy a magyar jog egészségügyi személyes adatok, illetve genetikai adatok tekintetében is várhatóan fenn fog tartani a GDPR-nál szigorúbb szabályokat, ideértve azt is, hogy az egészségügyi személyes adatok kezelése főszabály szerint írásbeli hozzájáruláshoz lesz kötött. Az Előterjesztés nem rögzít a kifejezett hozzájárulás alkalmazását különleges kategóriájú személyes adatok tekintetében kizáró speciális szabályt (vö. GDPR 9. cikk (1) bek. a) pontja).

•           Az információs társadalommal összefüggő szolgáltatások vonatkozásában a gyermekek hozzájárulását az Előterjesztés 16. életévhez köti (vö. GDPR 8. cikk)

•           Az Előterjesztés számos kérdést nem szabályoz. Így nem rögzít speciális munkaügyi adatkezelési szabályokat (GDPR 88. cikk), egyházak adatkezelésére vonatkozó szabályokat (GDPR 91. cikk) vagy véleménynyilvánítás szabadságára vonatkozó eltéréseket (GDPR 85. cikk). Az Előterjesztés nem rögzít eltéréseket az érintett jogaitól vagy a felejtés joga tekintetében, mivel az ilyen eltéréseket kizárólag a szektoriális adatkezelési jogszabályokra hagyja (vö. GDPR 23. cikk); nem szabályozza a kizárólag automatizált adatkezelésen alapuló, joghatással járó adatkezelések (pl. scoring) feltételeit (vö. GDPR 22. cikk (2)(b)); közös adatkezelésre (vö. GDPR 26. cikk), továbbá az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés feltételeire (29. cikk) sem rögzít külön szabályokat. Az Előterjesztés a személyes adatok nemzetközi továbbításának tagállami korlátait sem rögzíti, melyre a GDPR 49. cikk (5) bekezdése alapján lenne lehetőség. A nemzeti azonosítók kezelésére sem rögzít külön speciális rendelkezéseket az Előterjesztés, azaz az ilyen azonosítókra továbbra is az 1996. évi XX. törvény fog vonatkozni. Nemzeti azonosítók tekintetében megjegyzendő, hogy a TAJ szám a jövőben egyben különleges kategóriájú adatnak fog minősülni (vö. GDPR 35. preambulumbekezdése)

  • A bírságolási szabályok vonatkozásában (GDPR 84. cikk) a kis és középvállalkozások jelenleg első esetben csak figyelmeztetést kaphatnak jogsértés esetében, mely kivételszabályt az Előterjesztés hatályon kívül helyez, mivel a közösségi jog értelmében ezt a kivételt 2018. május 25 után adatvédelmi jogsértések vonatkozásában nem lehet fenntartani. Hazai szankcióként az adatvédelmi hatóság elrendelheti határozatának – az adatkezelő, illetve az adatfeldolgozó azonosító adatainak közzétételével történő – nyilvánosságra hozatalát, ha a határozat személyek széles körét érinti, ha azt közfeladatot ellátó szerv tevékenységével összefüggésben hozta, vagy ha a bekövetkezett jogsérelem súlya a nyilvánosságra hozatalt indokolja.
  • Az Előterjesztés nem határoz meg a Rendeletben rögzítetteken felül további eseteket, mikor adatvédelmi tisztviselőt lenne kötelező kijelölni tagállami jog alapján (vö. GDPR 37. cikk (4) bekezdés), azonban szabályozza az adatvédelmi tisztviselő titoktartási kötelezettségét;
  • Az Előterjesztés a jelenlegi formájában felszámolja az adatvédelmi nyilvántartást és az ott rögzített adatvédelmi nyilvántartási bejelentési kötelezettségeket, azonban arról rendelkezik, hogy az adatvédelmi hatóság archiválja a nyilvántartási bejelentéseket, melyeket jövőbeli vizsgálatoknál a hatóság felhasználhat; az adatvédelmi nyilvántartás a jövőben a jogkövetkezmények és a bejelentett adatvédelmi tisztviselők nyilvántartására szolgál;
  • A bírói függetlenség indokából az adatvédelmi hatóság nem vizsgálhatja a bíróságok igazságügyi feladataival kapcsolatos adatkezelését (vö. GDPR 20. preambulumbekezdés). Az Előterjesztés ezért bíróságok adatkezelésével kapcsolatosan az ún. szolgálati bíróság feladatává teszi az adatvédelmi jogszabályok érvényesítését.
  • Szakmai titoktartás vonatkozásában (vö. 90. cikk (1) bek) az Előterjesztés változatlanul hagyja a hazai szakmai titoktartási szabályokat, melyek az orvosokat, ügyvédeket és más hivatások gyakorlóit illetik meg.

A GDPR végrehajtását szolgáló Előterjesztés társadalmi egyeztetését követően a Kormány úgy döntött, hogy az ágazati adatvédelmi jogszabályok reformját is megvizsgálja, ezért a Kormány egy szakértői Munkacsoportot állított fel az Európai Unió adatvédelmi reformjához kapcsolódó ágazati jogalkotási feladatokkal összefüggésben. A Munkacsoport első ülésére 2017. november közepén került sor és a Munkacsoport által megtett ágazati jogalkotási javaslatokat a Munkacsoport 2018 februárjában vitatja majd meg. Az ily módon, immár ágazati adatvédelmi javaslatokkal kiegészített Infotv. várhatóan 2018 márciusában kerül majd az Országgyűlés elé annak tavaszi ülésszaka során. Az Előterjesztés rendelkezései tehát jelenleg még képlékenyek és azok a Munkacsoporti javaslatok fényében is változhatnak. A végrehajtási jogszabályról az Országgyűlés fog szavazni és e jogszabály várhatóan nem kerül elfogadásra 2018 áprilisát megelőzően, ami megnehezíti azt, hogy a felkészüléssel határidőben el lehessen készülni.