Felügyelet
Ez a lecke akkor tekinthető teljesítettnek, ha minden diát megtekintünk és a leckében eltöltjük az előírt időt, amit a kis óra ikonnal nyomon is követhetünk.

A Felügyeleti hatóság

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról is szóló, GDPR rendelet, másrészt a személyes adatoknak az illetékes hatóságok által a bűncselekmények megelőzése, nyomozása, felderítése, a vádeljárás lefolytatása vagy büntetőjogi szankciók végrehajtása céljából végzett kezelése tekintetében a természetes személyek védelméről és az ilyen adatok szabad áramlásáról, is szóló, európai parlamenti és tanácsi bűnügyi adatvédelmi irányelv a magyar adatvédelmi szabályozást alapvetően megváltoztatta az azt megelőző szerkezetéhez képest. A megváltozott jogszabályi környezetben továbbra is a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) maradt az Alaptörvény VI. cikkében is rögzített alapjogok érvényesülésének ellenőrzéséért felelős független hatóság, valamint a GDPR-szerinti adatvédelmi felügyeleti hatóság. 

Az adatvédelmi felügyelet hatásköre

Az Infotv. rendelkezéseinek megfelelően az adatvédelmi felügyeleti hatóság hatásköre minden olyan Magyarországon folyó adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személyek adataira és közérdekű adatra vagy közérdekből nyilvános adatra vonatkoznak.

Az Infotv-ben foglaltakat szükséges alkalmazni, amennyiben az EU területén kívül személyes adatok kezelésében résztvevő adatkezelő az adatfeldolgozással olyan adatfeldolgozót bíz meg, aki Magyarország területén székhellyel, telephellyel, fiókteleppel vagy lakóhellyel, tartózkodási hellyel rendelkezik, vagy az országban található eszközt használ fel, kivéve, ha a kérdéses eszköz kizárólag az EU területén átmenő adatforgalom célját szolgálja. Az említett adatkezelőnek Magyarországon képviselőt szükséges  kineveznie. Az Infotv. hatálya tehát egyben meghatározza az adatvédelmi hatóság, vagyis a NAIH illetékességi területét is.

A jogszabályi környezet változása

A GDPR rendelet bevezetésével megvalósuló jogszabályi környezet elindította a NAIH által hivatalból lefolytatható vizsgálat jogintézményét, másrészt lehetővé tette az érintettek számára adatvédelmi hatósági eljárás kérelemre történő megindítását is. A közérdekű adatok megismerése és terjesztése kapcsán változatlanul az ombudsmani típusú eljárás,  vagyis vizsgálat lefolytatása lehetséges. A személyes adatok védelméhez fűződő jog érvényesítése tekintetében a hatósági eljárások lefolytatása válik jelentősebbé és hangsúlyosabbá.

Egységes felügyelet

Az adatvédelmi felügyelet egységes az összes EU tagállamban, a következő fő hatáskörökkel:

  • Vizsgálati hatáskör
  • Korrekciós hatáskör
  • Engedélyezési és tanácsadási hatáskör

Valamint a következő szerepekkel:

  • Adatkezelő
  • Adatfeldolgozó
  • Tanúsító szervezet
  • Kódex ellenőrző szerve

Az egységes felügyelet működése

Az EU felügyeleti hatóságai a GDPR rendelet egységes végrehajtása és alkalmazása érdekében megosztják egymással a legfontosabb információkat, ezzel kölcsönös segítséget nyújtva, valamint hatékony együttműködést elősegítő intézkedéseket is tesznek. A kölcsönös segítségnyújtás különösen információkérésekre és felügyeleti intézkedésekre terjed ki, például az előzetes engedélyezés és egyeztetés, az ellenőrzés és a vizsgálat lefolytatása iránti megkeresésekre.

Minden felügyeleti hatóságnak kötelessége megtenni a megfelelő intézkedéseket annak érdekében, hogy a más tagállam felügyeleti hatóságtól érkező megkereséseket késedelem nélkül, legkésőbb a megkeresés kézhezvételétől számított egy hónapon belül megválaszolja. A megkeresések közül az egyik legfontosabb a vizsgálatok lefolytatásával kapcsolatos releváns információk továbbítása. A cserélt információk kizárólag a megkeresésben meghatározott célja érdekében használhatók fel.

A felügyeleti hatóságok együttműködése

Az EU tagállamainak felügyeleti hatóságai ha a helyzet megköveteli, közös műveleteket hajtanak végre, beleértve a közös vizsgálatokat és a közös végrehajtási intézkedéseket, melyekben más tagállamok felügyeleti hatóságainak tagjai vagy alkalmazottai is közreműködhetnek.

Amennyiben egy adott adatkezelő vagy adatfeldolgozó több tagállamban is tevékenykedik, vagy adatkezelési műveletei más tagállamban is jelentős mértékben hatnak nagyszámú érintettre, az összes szóban forgó tagállam felügyeleti hatósága jogosult részt venni a közös műveletekben. Az illetékes felügyeleti hatóság felkéri az összes szóban forgó tagállam felügyeleti hatóságát, hogy vegyenek részt a közös műveletekben, és haladéktalanul válaszol a felügyeleti hatóság részvételre irányuló megkeresésére.

Kirendelő és fogadó felügyeleti hatóság

Az egyes tagállami felügyeleti hatóságok a tagállamuk jogával összhangban, valamint a kirendelő felügyeleti hatóság engedélyével, hatáskört ruházhat át a kirendelő felügyeleti hatóság közös műveletben részt vevő tagjaira, vagy amennyiben a fogadó felügyeleti hatóság tagállamának joga lehetővé teszi, engedélyezheti a kirendelő felügyeleti hatóság számára, hogy vizsgálati hatáskörüket a kirendelő felügyeleti hatóság tagállami jogának megfelelően gyakorolják. A vizsgálati hatáskört azonban csakis a fogadó felügyeleti hatóság irányítása mellett és jelenlétében lehetséges gyakorolni. A kirendelő felügyeleti hatóság tagjai, vagy alkalmazottai a fogadó felügyeleti hatóság tagállami jogának hatálya alá tartoznak.

Ha egy kirendelő felügyeleti hatóság az első bekezdésnek megfelelően egy másik tagállamban végez tevékenységet, cselekedeteikért, ideértve a tevékenységük során általuk okozott károkat is, a fogadó felügyeleti hatóság tagállama viseli a felelősséget a tevékenységvégzés helye szerinti tagállam jogának megfelelően.

Károkozás, kártérítés

A károkozás helye szerinti tagállam a kárt ugyanolyan feltételek mellett téríti meg, mintha azt a saját hatóságának alkalmazottai okozták volna. A kirendelő felügyeleti hatóság tagállama, amelynek alkalmazottai egy másik tagállam területén valakinek kárt okoznak, teljes mértékben kötelesek megtéríteni a másik tagállamnak az összeget, amelyet az a kártérítésre jogosult részére megfizetett.

A harmadik felekkel szembeni jogai gyakorlásának sérelme nélkül és az előző bekezdésben foglaltak kivételével, közös művelet esetében minden tagállam eltekint attól, hogy a károk megtérítését követelje egy másik tagállamtól.

Amennyiben egy felügyeleti hatóság egy tervezett közös művelet esetén, egy hónapon belül nem tesz eleget a szükséges kötelezettségnek, a többi felügyeleti hatóság a saját tagállama területén ideiglenes intézkedést fogadhat el. Ebben az esetben vélelmezni kell, hogy a sürgős fellépésre van szükség, és az Európai Adatvédelmi Testület sürgősségi eljárás keretében véleményt bocsát ki vagy kötelező erejű döntést fogad el.

A Korrekciós hatáskör jogkövetkezményei

  • Figyelmeztetés valószínűsíthető jogsértés esetén
  • Elmarasztalás jogsértés megtörténte esetén
  • Utasítás az érintett kérelem teljesítésére
  • Utasítás a jogszerű állapot helyreállítására
  • Utasítás incidensről tájékoztatás adására
  • Adatkezelés korlátozása és megtiltása
  • Helyesbítés, korlátozás, törlés, értesítés elrendelése
  • Tanúsítvány visszavonása vagy visszavonatása
  • Közigazgatási bírság kiszabása
  • Az adatáramlás felfüggesztése harmadik ország felé

A bírság rendeltetése és céljai:

  • Alapvető cél, hogy a jogellenes magatartás kevésbé érje meg, mint a jogszerű
  • Speciális prevenció, megelőzés
  • Generális prevenció, megelőzés
  • Tisztességes piaci körülmények megteremtése
  • Közhatalmi szervek bírságolása

Konkrét ügy hazánkban

Az ügy tényállása alapján az érintett és az adatkezelő között gépkocsi beszerzésének finanszírozására kölcsönszerződés jött létre, ami miatt az érintett levélben jelezte az adatkezelőnek lakcímének megváltozását, valamint kérelmezte telefonszámának a törlését is. Az adatkezelő válaszlevelében közölte az érintettel, hogy a bejelentett lakcímet csak akkor hajlandó rögzíteni, ha az érintett megküldi számára a lakcímkártyájának másolatát. A telefonszám törlését pedig arra való hivatkozással tagadta meg, hogy azt jogos érdek alapján a lejárt tartozás telefonos megkeresés útján történő érvényesítése érdekében és céljából kezeli.

Összefoglalás

A modulban röviden ismerkedtünk azzal, hogy magát az adatkezelést vagyis az adatkezelőket milyen felügyeleti rendszerben, mely hatáskörökkel figyelik meg, abban milyen mértékű bírságok fordulhatnak elő.