Jövő januártól hatályba lép az új adatvédelmi törvény, amely alapján akár tízmillió forintra is büntethetik azt az adatkezelőt, aki elmulasztja a bejelentkezést az adatkezelési nyilvántartásba. A törvény szigorítja a közérdekű állami adatok megismerésének szabályait, a személyes adatok védelmét viszont a jelenlegi törvényhez képest számos ponton gyengíteni fogja.
Miután a jelenlegi öt ombudsman helyét januártól egy fogja átvenni, így az adatvédelmi biztos hivatala is megszűnik. A helyét átvevő Nemzeti Adatvédelmi és Információs Hatóság elnökét a köztársasági elnök fogja kinevezni, kilenc évre. Az új hatóság a jelenlegi ombudsmanhoz képest kemény szankciós jogosítványokat is kap: százezertől tízmillió forintig terjedő bírságot szabhat ki a jogosulatlan adatkezelőkkel szemben.
A bírságolásra kitűnő lehetőséget biztosít a hétfőn elfogadott törvény azon passzusa, miszerint a személyes adatok kezelése előtt az adatkezelő köteles az adatkezelés nyilvántartásba vételét kérelmezni a hatóságnál. Az adatkezelés pedig a nyilvántartásba vételt megelőzően nem kezdhető meg.
Miután az e-mail cím is személyes adat, így praktikusan ez azt jelentheti, hogy például valamennyi hírlevélküldő szolgáltatónak be kell jelentkeznie januárig a hatóságnál, ha nem akarja kitenni magát a hatóság szankcióinak. A regisztrációs kérelemnek tartalmaznia kell majd az adatkezelés célját, jogalapját, az érintettek körét, az érintettekre vonatkozó adatok jellegét, forrását, továbbított adatok esetén az adattovábbítás jogalapját, címzettjét, az adatok típusát, az adatkezelő nevét és címét, a tényleges adatkezelés helyét, hogy csak a legfontosabbakat említsem.
Megnyugtató, hogy a hatóság a hiánytalanul kitöltött kérelem esetén az adatkezelőt nyolc napon belül nyilvántartásba fogja venni, illetve ha ezt mégsem teszi meg határidőben, akkor nyolc nap után az adatkezelés megkezdhető - már ha vállaljuk annak kockázatát, hogy két hónappal később esetleg mégis előkerül egy elutasító határozat a bürokrácia mocsarából. Mindenesetre érdemes lesz a kérelmet tartalmazó levélküldeményt ajánlottan feladni (bár nincs kizárva, hogy elektronikusan is be lehet nyújtani a kérelmet, de azért ne legyünk túl optimisták). Egyelőre annyi biztos még, hogy a nyilvántartásba vételi eljárásért díjat kell majd fizetni - ennek mértékét a KIM fogja rendeletben megállapítani.
Érdekes értelmezési kérdéseket fog felvetni a törvénynek az a - magánszférát és információs önrendelkezési jogot erőteljesen szűkítő - rendelkezése is, hogy az érintett hozzájárulásával kezelt adatokat az adatkezelő "a rá vonatkozó jogi kötelezettség teljesítése céljából", valamint "az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából" további külön hozzájárulás nélkül, vagy akár az érintett hozzájárulásának visszavonását követően is kezelheti - ha ez az adatvédelmi jog korlátozásával arányban áll.
A jelenlegi törvényhez képest az új törvény súlyos joghézagot tartalmaz a közérdekű adatok megismerésére vonatkozó szabályok között is. Jelenleg közérdekű adatnak minősül a közfeladatot ellátó szerv "tevékenységére vonatkozó, illetve kezelésében lévő" valamennyi adat. Az új adatvédelmi törvény a definíciót leszűkíti az ezen szervek tevékenységére vonatkozó adatokra. Ugyanakkor a közérdekű adatigénylés kapcsán a törvény úgy fogalmaz, hogy a közfeladatot ellátó szervnek csak a kezelésében lévő közérdekű adat megismerését kell biztosítania. Ez gyakorlatilag a következőt jelenti: A állami szerv a tevékenységére vonatkozó adatait továbbadja kezelésre B állami szervnek, B pedig pontosan így tesz az ő tevékenységére vonatkozó adatokkal. Ha ezek után egy újságíró odajön B állami szervhez, akkor az széttárhatja a kezeit, és azt mondhatja, hogy ami nálam van, az nem az enyém, tehát nem vagyok köteles odaadni, ami rám vonatkozik, az pedig ugyan közérdekű adat, de az meg nem nálam van, úgyhogy azt sem tudom megmutatni. De nyilvánvalóan ez csak egy rosszindulatú feltételezés, én pedig egy szőrszálhasogató jogász vagyok. Remélem, tényleg így van.