Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A cikk eredeti címe „A magyar adatvédelmi jog reformja érdeklődés hiányában elmarad?” lett volna, de az első betűk leírása után jött a hír, hogy a kormány munkacsoport felállításáról döntött azzal a céllal, hogy az Általános Adatvédelmi Rendelet hazai végrehajtásával kapcsolatos ágazati reformjavaslatokat becsatornázza. Ez a lépés mindenképpen üdvözlendő, hiszen az ágazati adatkezelési szabályok reformja tekintetében eddig érdemleges előrelépés nem történt.
Az Európai Unió Általános Adatvédelmi Rendelete[1] (közismert angol rövidítésével: GDPR), amelyet 2018. május 25-étől kell alkalmazni, számos területen jelentős változást eredményez a magyar adatvédelmi jogban és gyakorlatban. Ennek ellenére egészen 2017. augusztus végéig kell(ett) várni a GDPR-hoz kapcsolódó magyar jogalkotási javaslatra.[2] A tervezet azonban számos kritikát váltott ki. Ezek az alábbiak:
– kodifikációs megoldása (merev hivatkozások alkalmazása) miatt igen nehézkes annak megállapítása, hogy az Infotv.[3] mely rendelkezései alkalmazandóak a GDPR hatálya alá eső esetekben;
– nem szakít azzal, hogy személyes adat kezelését – amennyiben jogszabályon alapul – csak törvény rendelheti el (miközben számos kormányrendelet is rendelkezik adatkezelésről);
– nem tesz különbséget a „jogi kötelezettségen” alapuló, illetve a „közérdekű, közhatalmi célú” adatkezelések között, noha jelentős különbségek vannak köztük (kötelező az adatkezelés vs. az adatkezelés csak lehetőség);
– hiányoznak belőle a GDPR-ban biztosított eltérési (derogációs) lehetőségek (a GDPR csaknem 50 esetben hatalmazza fel a nemzeti jogalkotót a GDPR-tól eltérő szabályok megalkotására), pedig ezek alkalmazása különösen az innovatív termékek esetében versenyképességi kérdés is;
– gyakorlatilag érintetlenül hagyta az ágazati jogszabályok adatvédelmi rendelkezéseit (százas nagyságrendű törvényről beszélünk, amelyek módosítására vonatkozó jogszabályok nem szerepelnek a 2017. II. félévi jogalkotási tervben).
Másként fogalmazva: az Infotv. módosítására vonatkozó javaslat az ágazati törvények revíziójának elmaradásával együtt jelentős adminisztratív terheket és versenyhátrányt jelentett volna a magyar vállalkozásoknak. Az Infotv. módosításának tervezetét eredetileg 2017 októberében kellett volna az Országgyűlés elé terjeszteni, de – információim szerint – még a kormány elé sem került.
Fél évvel a GDPR kötelező alkalmazásának kezdete előtt – a GDPR-on kívül – tehát még semmi sem ismert a jövő magyar adatvédelmi jogából. Márpedig a magyar adatvédelmi jog jelenlegi rendszere és a GDPR között igen nagy a távolság, annak ellenére, hogy a magyar adatvédelmi jogról az járja, hogy konform az EU adatvédelmi irányelvével[4] (elvileg más nem is lehet). Másrészt viszont – egy-két új jogintézményen és a jelentősen megnövelt bírságon kívül – maga a GDPR nem jelent egetverő változást az európai adatvédelmi jog rendszerében.
Hogyan lehet ezt a két ellentmondó állítást összeegyeztetni? Sehogy. Az egyik állítás nem igaz. És nem az utóbbi.
Alig három és fél hónapja van a magyar jogalkotónak, hogy tegyen valamit és – mivel a teljes reform reménytelennek tűnik – legalább a legfontosabb területeken alkossa meg a GDPR-hoz igazodó, a vállalkozások versenyképességét növelő, adminisztratív terheit enyhítő, szükség esetén a GDPR érvényesülését segítő átmeneti szabályokat. Ellenkező esetben vakrandira megyünk a GDPR-ral 2018. május 25-én
Az Infotv., illetve az elődje, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (Avtv.) ugyanis a legfontosabb részében, az adatkezelés jogalapjai tekintetében egyáltalán nem felel meg (és soha nem is felelt meg) az EU adatvédelmi irányelvének, és így a GDPR-nak sem. 2003-ban ugyanis a jogalkotó elmulasztotta az Avtv. reformját, és annak ellenére ragaszkodott a „törvény vagy hozzájárulás” kettős (és kizárólagos) rendszeréhez, hogy már akkor is nyilvánvaló volt, hogy az számos esetben (pl. a munka világában) gyakorlatilag akadálya volt az adatkezelést igénylő folyamatok bevezetésének. (Ezen a kettős jogalapon az Infotv. csak annyiban enyhített, hogy bevezette a „jogos érdek” jogalapját, de olyan feltételek mellett, ami erősen korlátozza az alkalmazhatóságát.) Az ágazati törvények rendszere pedig ehhez igazodva uralja az adatkezeléseket.
A magyar adatvédelmi jog tehát alapos reformra szorul, ha nem akar szembe menni a GDPR-ral. Mit kellene tenni ahhoz, hogy a magyar adatvédelmi jog összhangban legyen az európai adatvédelmi joggal?
Először is – érdemei elismerése mellett – fel kell adni az információs önrendelkezési jog eszméjét, különösen azt, hogy „személyes adatot (…) felhasználni (…) általában csakis az érintett beleegyezésével szabad; (…) Kivételesen törvény elrendelheti személyes adat kötelező kiszolgáltatását”.[5] Az információs önrendelkezési jog teóriája sem az Alkotmány 59. §-ából, sem az Alaptörvény VI. cikkéből nem következik, az pusztán az Alkotmány, illetve az Alaptörvény alkotmánybírósági értelmezése (egyik lehetséges értelmezése). Ehelyett azt az elvet kellene követni, amit a GDPR (4) preambulumbekezdése is megfogalmaz, tudniillik „a személyes adatok védelméhez való jog nem abszolút jog, azt az arányosság elvével összhangban, a társadalomban betöltött szerepének függvényében kell figyelembe venni, egyensúlyban más alapvető jogokkal”, például a gondolat-, a lelkiismeret- és a vallás-, valamint a véleménynyilvánítás és a tájékozódás, továbbá a vállalkozás szabadságához fűződő jogokkal. Mindez egyáltalán nem jelenti azt, hogy az adatvédelem szintje vagy szigorúsága csökkenne.
Praktikus megközelítésben: a jogalkotónak felül kellene vizsgálnia azokat a törvényi rendelkezéseket, amelyek helyett 2018. május 25. után a „szerződés teljesítése” jogcím vagy „jogos érdek” alapján is kezelhetők személyes adatok (pl. a munkaviszony területén, a direkt marketing vagy a GDPR-ben említett egyéb jogos érdekek tekintetében). El kell kerülni azokat a jogértelmezési problémákat, amelyek abból adódhatnak, hogy a törvényen alapuló adatkezelést a jövőben „jogi kötelezettség” [GDPR 6. cikk (1) bek. c) pont] címén történő adatkezelésnek tekintsenek, és úgy értelmezzenek, hogy a törvényben nem szabályozott eseteken túl adatkezelésre nem kerülhet sor.[6] Amennyiben a jogalkotó az ágazati jogszabályok felülvizsgálatát 2018. május 25-ig nem tudja elvégezni, indokolt egy olyan általános klauzula beiktatása is az új adatvédelmi törvénybe, amely az ágazati jogszabályokkal lefedett életviszonyokban lehetővé teszi egyéb jogcímek (pl. szerződés teljesítése, jogos érdek) alkalmazását is, illetve kimondja, hogy az ágazati jogszabályok rendelkezései nem jelentenek kizárólagos jogalapot az adatkezeléshez.
Számos kérdésben a jogalkotónak új szabályokat kellene alkotnia annak érdekében, hogy az adatkezelés új jogcímein (pl. szerződés teljesítése, jogos érdek) alapuló adatkezelések a gyakorlatban is működni tudjanak. Például, ha az adatkezelő „szerződés teljesítése” vagy „jogos érdek” [GDPR 6. cikk (1) bek. b) és f) pont] alapján kezel adatot és más adatkezelőtől adatot igényel, ez a másik adatkezelő megtagadhatja-e az adat átadását azon az alapon, hogy az adatátadás jogalapja „csak” szerződés teljesítése vagy jogos érdek? Hogyan igazolható harmadik személyek felé a jogos érdek fennállta? Köteles-e ezt a „jogos érdeket” harmadik személy elfogadni? Milyen felelőssége van a harmadik személynek? Ezek a szabályok jelenleg teljesen hiányoznak a magyar jogrendből.
[htmlbox eu_jog_alkalmazasa]Élnie kellene a jogalkotónak azokkal a derogációs lehetőségekkel, amelyeket a GDPR megenged. Néhány ilyen eset a teljesség igénye nélkül:
– a technikai fejlődéssel való lépéstartás és a piaci verseny kényszere miatt a biometrikus adatok kezeléséhez jogalapot kellene teremteni, lehetőség szerint az új adatvédelmi törvényben. Ennek elmaradása esetén fennáll a veszélye, hogy a jelenlegi jogi környezetben jelentős költség mellett jogszerűen kifejlesztett termékek, illetve alkalmazott folyamatok 2018. május 25. után jogellenessé válnak, vagy működésükben súlyos fennakadásokra lehet számítani;
– a versenyképesség megőrzése és fenntartása érdekében is indokolt, hogy a profilalkotás, illetve az automatizált döntéshozatal lehetőségét – a szükséges garanciákkal egyetemben – az új adatvédelmi törvény (vagy az ágazati jogszabályok) általánosságban lehetővé tegyék;
– az ugyanazt az azonosító jelet alkalmazó nyilvántartási rendszerek közötti adattovábbítás/adatátadás megkönnyítése, még inkább az adatok pontosságának biztosítása miatt indokolt, hogy a jogalkotó engedélyezze a különböző azonosító jelek „belső azonosítóként” történő használatát az ilyen nyilvántartási rendszerek között (egyéb feltételek teljesülése esetén);
– a munka törvénykönyvében – a garanciális szabályok rögzítése mellett – lehetővé kellene tenni az adatvédelmi kérdések kollektív szerződésben történő szabályozását (az erre való felhatalmazást meg kellene adnia). A munkáltatók és munkavállalók közötti viszony, illetve a munkavégzéssel kapcsolatos biztonsági, munkaszervezési és egyéb érdekek sokrétűsége miatt az egységes szabályozás ugyanis gyakorlatilag lehetetlen (arról nem is beszélve, hogy a munka törvénykönyve még az Infotv.-nyel sem konform, hanem az Avtv. logikáját követi).
A sort persze még lehetne folytatni. Alig három és fél hónapja van a magyar jogalkotónak, hogy tegyen valamit és – mivel a teljes reform reménytelennek tűnik – legalább a legfontosabb területeken alkossa meg a GDPR-hoz igazodó, a vállalkozások versenyképességét növelő (vagy legalább nem rontó), adminisztratív terheit enyhítő (vagy legalább nem növelő) szabályokat, szükség esetén a GDPR érvényesülését segítő átmeneti szabályokat. Ha nem, tényleg vakrandira megyünk a GDPR-ral 2018. május 25-én.
A szerző Compliance szenior szakértő, OTP Bank.
1999 óta foglalkozik adatvédelmi kérdésekkel is, 2001 és 2011 között az adatvédelmi biztosok munkatársa
Lábjegyzetek:
[1] A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK-irányelv hatályon kívül helyezéséről szóló 2016/679/EU európai parlamenti és tanácsi rendelet, Európai Unió Hivatalos Lapja L 119., 2016. május 4., 1-88. o. [2] Előterjesztés a kormány részére az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról www.kormany.hu [3] Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény [4] Az Európai Parlament és a Tanács 95/46/EK-irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról (a jelenleg hatályos európai adatvédelmi jogszabály) [5] 15/1991. (IV. 3.) AB-határozat, ABH 1991., 40-41. o. [6] Ld. például a személyazonosító okmányok másolásával kapcsolatos, megszorító értelmezést képviselő adatvédelmi hatósági álláspontot.