Az Igazságügyi Minisztérium honlapján közzétette az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Info tv.) módosítására vonatkozó előterjesztését, amely az információs önrendelkezés, adatvédelem területén jelentős változásokat hozhat, főleg a multinacionális társaságok számára.

Valamennyi személyes adatot kezelő szervezetet érintő módosítás lehet azonban, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által kiszabható bírságösszeg 10 millió forintról 20 millió forintra emelkedhet. Ennek a magasabb – az európai gyakorlathoz egyebekben jobban közelítő – bírságösszegnek már komoly visszatartó hatása lehet, érdemes lesz tehát jobban törekedni az eddig nem mindig a fontosságának megfelelő figyelmet kapott terület, az adatvédelem szabályainak a betartására is.

Emellett, a multinacionális cégek cégcsoporton belüli adattovábbítását segítő, Magyarországon eddig nem elismert jogintézmény, a kötelező erejű vállalati szabályok (közismert elnevezésével ‘Binding Corporate Rules’ vagy ‘BCR’) is bevezetésre kerülhet, ha az előterjesztésből valóban elfogadott törvény lesz.

A BCR hasonlóan a multinacionális cégek által alkalmazott más belső szabályzatokhoz, egy cégcsoport által a cégcsoport tagjai tekintetében elfogadott és világszerte alkalmazott belső szabályzat, amely meghatározza, hogy milyen módon lehet személyes adatokat továbbítani a cégcsoport azon tagjai részére, amelyek olyan országban találhatóak, ahol nem biztosított a személyes adatok megfelelő szintű védelme (gyakorlatilag néhány kivétellel ezek az EGT tagországokon kívüli országok). Ilyen BCR-t használ már a cégcsoporton belüli adattovábbítások tekintetében például az American Express, az AXA, a BMW, a BP, a Hewlett Packard, a Total és még számos multinacionális társaság. Ha az előterjesztésből törvény lesz, ezek a társaságok a BCR-jük használatát Magyarországra is kiterjeszthetik.

A BCR használata tehát az eddigi nehézkesebb cégcsoporton belüli adattovábbítási lehetőségek alternatívája lehet a Magyarországon is leányvállalatot működtető külföldi cégek számára. A BCR bevezetése a magyar jogba valóban nagyon időszerű lenne, tekintettel arra, hogy ennek használatát szinte valamennyi EU tagország már lehetővé teszi, ez pedig versenyhátrányt okoz Magyarország számára. Az új EU adatvédelmi rendelettervezet pedig szintén bővíteni kívánja a BCR-ek használatának lehetőségét. Fontos hangsúlyozni, hogy a BCR kizárólag a cégcsoporton belüli adattovábbításokat könnyítheti meg, a cégcsoporton kívülre történő adattovábbításoknál maradnak az eddigi szabályok.

Megjegyezzük, hogy az előterjesztés véleményünk szerint számos és igen jelentős módosításra szorulna még, ha a BCR magyarországi használatára, elfogadására a már jól bevált európai gyakorlatnak megfelelő eljárást szeretnénk kidolgozni itthon is. A jelenlegi formában a jogszabály bevezetése számos kérdést és bizonytalanságot vetne fel, amelyet célszerű lenne elkerülni.

Az előterjesztés továbbá be kívánja vezetni az ‘adatvédelmi incidens’ fogalmát, amely tulajdonképpen a személyes adatok bármely okból történő megsértését jelenti, azaz különösen a jogosulatlan hozzáférést, továbbítást, megváltoztatást, nyilvánosságra hozatalt. Ezt a jogintézményt hírközlési törvényünk (Eht.) már ismeri, az NMHH által ebben a tekintetben elfogadott rendelettel együtt számos részletszabályt állapít meg, azonban kizárólag a hírközlési szolgáltatókra nézve. Az előterjesztés valamennyi adatkezelő számára elő kívánja írni, hogy az ilyen adatvédelmi incidensekről az adatkezelők nyilvántartást vezessenek. Ennek a szabálynak a hasznossága ilyen formában azonban megkérdőjelezhető, kérdés továbbá, hogy nem ró-e felesleges adminisztratív terhet az adatkezelőkre minden egyes – akár jelentéktelen – adatvédelmi incidens regisztrálása.

Végezetül kívánatosnak tartottuk volna, hogy a fentiek mellett számos más tekintetben módosításra kerüljön az Info tv., különösen azon kérdésekben, ahol maga a NAIH is számos alkalommal jelezte a módosítás szükségességét az európai szabályozásnak való megfelelőség érdekében (pl. adatkezelés jogcímeinek pontosítása, az adatfeldolgozó, adatfeldolgozás fogalmainak megfeleltetése az adatvédelmi irányelv rendelkezéseinek). Sajnos úgy néz ki, ezek a módosítások ezúttal is elmaradnak.

A cikk szerzője: