A GDPR-nak való megfelelés érdekében az Országgyűlés két részletben módosította az Infotörvényt. Míg a korábbi módosítás csupán a hatóság kijelöléséről és az arányosság elvének alkalmazásáról rendelkezett, az utóbbi átfogóbb módosítást valósít meg.
Ahogyan az várható volt, a felügyeleti hatóság hatásköreit a Nemzeti Adatvédelmi és Információszabadság Hatóság fogja gyakorolni. Az első módosítás ezen túlmenően elvi éllel rögzíti, hogy a hatóság a közigazgatási bírság alkalmazására vonatkozó hatáskörét az arányosság elvének figyelembevételével köteles gyakorolni, és az előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt elsősorban figyelmeztetéssel intézkedni.
A július végén kihirdetett második módosítás számos újdonságot hoz a hatályban volt törvényhez képest, amelyek közül az alábbiakat emeljük ki.
Az új szabályozás értelmében az érintett jogainak gyakorlására vonatkozó kérelmek elbírálására és az érintettek értesítésére 25 nap áll az adatkezelők rendelkezésére.
A módosítás meghagyja a vizsgálat, illetve az adatvédelmi hatósági eljárás intézményeit, mint az adatvédelemmel kapcsolatos elsődleges eljárási formákat. Alapvető újítás ugyanakkor, hogy az adatvédelmi hatósági eljárás nem csupán hivatalból, hanem az érintett kérelmére is megindítható.
Az Infotörvény az adatvédelmi hatóság eljárásaira vonatkozó általános rendelkezéseket is megfogalmaz. A módosítás az adatkezelés jogszerűsége tekintetében a bizonyítási terhet minden hatósági eljárásban az adatkezelőre, illetve az adatfeldolgozóra helyezi.
A módosítás a GDPR rendelkezéseire tekintettel szabályozza az adatvédelmi engedélyezést, amely alapján a hatóság kérelemre jóváhagyja az adatkezelő által alkalmazott magatartási kódexeket (pl. belső adatkezelési szabályzatokat), vagy engedélyezi az adatkezelő vagy adatfeldolgozó és a harmadik országbeli vagy a nemzetközi szervezeten belüli adatkezelő, adatfeldolgozó vagy a személyes adatok címzettje között létrejött szerződéses rendelkezéseket. Az engedélyezési eljárás kérelemre, igazgatási szolgáltatási díj ellenében folytatható le.
A várakozásoknak megfelelően megszűnt az adatkezelési tevékenységek kötelező hatósági nyilvántartásba vétele. Ezzel szemben a törvény nagyobb hangsúlyt fektet a személyes adatokkal kapcsolatos belső nyilvántartásra. Az adatkezelő a kezelésében lévő személyes adatokkal kapcsolatos adatkezeléseiről, az adatvédelmi incidensekről és az érintett hozzáférési jogával kapcsolatos intézkedésekről nyilvántartást köteles vezetni és abban rögzíteni többek között az adatkezelő, valamint az adatvédelmi tisztviselő nevét és elérhetőségeit, az adatkezelés céljait, jogalapját, vagy az adattovábbítás címzettjeinek körét. Az elektronikus úton végzett adatkezelési műveletek jogszerűségének ellenőrizhetősége céljából az adatkezelőnek a nyilvántartás részeként elektronikus naplót kell vezetnie, amelyben az adatkezelő, illetve az adatfeldolgozó automatizált adatkezelési rendszerben köteles rögzíteni a törvényben meghatározott adatokat.