A Nemzeti Adatvédelmi és Információszabadság Hatóságról

A NAIH létrejöttét megalapozó normák – Alaptörvény, Infotörvény – 2011-re datálódnak, a szervezet 2012. január 1-től kezdte meg működését. Jogi értelemben nem történt jogutódlás, azonban elsősorban a feladatkör, illetve a szervezeti-személyi kontinuitás miatt a NAIH önmagát az 1995-2011. között működő Adatvédelmi Biztos Irodája örököseként, munkájának folytatójaként határozta meg. Igazi törés, újrakezdés tehát az információs jogok felügyeleti szervének szervezet történetében nem történt, így a szervezeti fejlődés töretlen íve jól nyomon követhető, elemezhető.

1995-ben egy klasszikus ombudsmani szerv kezdte meg működését, bár a személyes adatok védelmét és közérdekű adatok nyilvánosságát felügyelő parlamenti biztos – ombudsman társaihoz képest is – már többletjogosítványokkal rendelkezett. Az adatvédelmi biztos hatáskörének szabályozásánál a jogalkotó – üdvözlendő, de nem magától értetődő módon – kifejezetten erős jogkörökkel támogatta meg a különbiztos eljárását, akinek feladat- és hatásköre az információs alapjogokkal kapcsolatos összes visszásságra kiterjedt (egyetlen kivétel a folyamatban lévő bírósági eljárás volt) és az összes magyarországi adatkezelést vizsgálhatta, függetlenül attól, hogy arra a privát- vagy a közszférában került-e sor. 

Az adatvédelmi törvény 2004. január 1-től hatályos módosítása fontos lépés volt az adatvédelmi biztos jogállásának meghatározásában: a biztos hatósági jellegű jogosítványt kapott azzal, hogy elrendelhette a jogosulatlanul kezelt adatok zárolását, törlését vagy megsemmisítését, illetve megtilthatta a jogosulatlan adatkezelést vagy adatfeldolgozást, továbbá felfüggeszthette az adatok külföldre továbbítását. Az adatvédelmi biztos intézkedése ellen az adatkezelő a bírósághoz fordulhatott. (Erre egyébként kifejezetten ritkán került sor.) A hatósági jogosítványokkal való felruházás az adatvédelmi biztos pozícióját egyértelműen elmozdította a klasszikus ombudsman-szerepkörtől. Ahogyan a 2010-es adatvédelmi biztosi beszámoló bevezetője kiemeli, ez az év a „határozott jogérvényesítés: az első bíróság által jóváhagyott határozat, az első felszólítás, az első feljelentések” jegyében telt – ugyanakkor 2011-ig ez mégiscsak egyfajta átmeneti időszakként írható le.

Az ombudsmani rendszer reformja („egy a biztos”) magával hozta az adatvédelmi felügyeleti szerv jogállásának új alapokra helyezését – hiszen épp az akkor hatályos uniós adatvédelmi irányelv „függetlenségi kritériumába” ütközött volna, ha egy „beosztott” ombudsmanhoz telepítik ezt a hatáskört. A GDPR fényében is jó döntésnek bizonyult a hatósági forma melletti döntés annak ellenére, hogy a NAIH mint új hatóság létrehozatalát komoly politikai vita övezte hazai és európai színtéren egyaránt. A Magyarország ellen 2012 januárjában indított uniós kötelezettségszegési eljárások egyikének tárgya épp az volt, hogy a NAIH létrehozásával Magyarország “idő előtt megszüntette a 2008 szeptemberében kinevezett korábbi magyar adatvédelmi biztos hat évre szóló megbízatását, amely csak 2014 szeptemberében járt volna le. A nemzeti adatvédelmi felügyelő hatóság személyi függetlensége, amely magában foglalja a hivatalból történő elmozdítással szemben a megbízatás ideje alatt érvényesülő védelmet is, az uniós jog alapvető követelménye. A nemzeti adatvédelmi hatóság átszervezése nem indok az e követelménytől való eltérésre” – érvelt áprilisi ítéletében a Luxemburgi Bíróság.

A Hatóságnak tehát születésének első percétől védekező pozícióból kellett bizonyítania függetlenségét, szakmaiságát Magyarországon és külföldi fórumokon egyaránt. Ugyanakkor „[A]z állampolgárok bizalma töretlen, ezt egyértelműen bizonyítja a 2012-ben NAIH-hoz beérkezett 2929 panasz és egyéb ügy magas száma vagy akár az adatvédelmi felelősök részéről megnyilvánuló fokozott érdeklődés is. 2012-ben számos európai és uniós vizsgálóbizottság (schengeni szakértő csoport, LIBE, Velencei Bizottság) vette górcső alá működésünket, törvényünket és a végső következtetés minden esetben pozitív volt (sőt, az intézmény pénzügyi függetlensége és az erős hatósági jogosítványok külön méltatást is kaptak) – olvasható a Hatóság első éves beszámolójának bevezetőjében.

A hatósági átalakulás és működés, valamint az aktív nemzetközi szerepvállalás egyik pozitív hozadéka, hogy az új uniós adatvédelmi rendelet elfogadásakor nem hirtelen kellett létrehozni egy új közigazgatási szervet, és 2018-ban a NAIH a GDPR szerinti kötelezettségei ellátásának úgy tudott nekikezdeni, hogy már komoly hatósági tapasztalattal rendelkezett. Az Infotörvénnyel bevezetett új jogalapok, az adatvédelmi audit, az aktívan használt bírságolási jogkör és az adatvédelmi hatósági ügyek (ahol a Ket. és Infotörvény együttes értelmezése önmagában nagy kihívást jelentett) olyan tapasztalatokkal gazdagították a magyar adatvédelmi hatóságot már több évvel a GDPR életbe lépése előtt, mely egyértelműen megkönnyítette a 2018-as átállást (hozzátesszük: az Unió egyes más tagállamaiban ez egyáltalán nem volt általános vagy magától értetődő).