Adattovábbítás külföldre – II.


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A Hatósághoz gyakran fordulnak több országban is képviselettel rendelkező, multinacionális társaságok azzal a kérdéssel, hogy van-e lehetőség a cégen belül munkavállalók személyes adatainak továbbítására, és amennyiben igen, milyen szabályok is vonatkoznak az adattovábbításra.


 
2. Az adatkezelés jogalapja
 
A magyar és az uniós jogszabályi rendelkezések alapján különböző jogalapok alkalmazhatóak annak érdekében, hogy az adatkezelés jogszerű legyen, amelyek közül a munkahelyi adatkezelés során alapvetően három jogalap jöhet szóba: az érintett hozzájárulása, törvényi felhatalmazás,illetve a munkáltató jogos érdekén alapuló adatkezelés.
 
2.1. Az érintett hozzájárulása
 
A hozzájárulás jogalapjának legfontosabb feltétele, hogy annak önkéntesnek, azaz mindenfajta külső befolyástól mentesnek kell lennie. Az Adatvédelmi Munkacsoport több dokumentumában kifejtett álláspontjára támaszkodva a Hatóság gyakorlata szerint is a hozzájárulás jogalapként csak akkor jöhet szóba, ha valódi választási lehetőség áll az érintett rendelkezésére, és nem áll fenn a megtévesztés, a megfélemlítés, a kényszerítés vagy más jelentős negatív következmény veszélye a hozzájárulás megtagadása esetén. Az önkéntesség hiányában az adatkezelő nem rendelkezik megfelelő jogalappal az adatkezeléshez. A munkavégzésre irányuló jogviszonyokban azonban nem értelmezhető a hozzájárulás önkéntessége: a munkáltató és a munkavállaló közötti alá-fölérendeltségi viszonyban, ha az alkalmazott a hozzájárulását megtagadja, ez anyagi vagy nem anyagi természetű hátrányt okozhat neki.
 
Az érintett hozzájárulására, mint jogalapra, a munkahelyi adatkezelések esetében tehát csak kivételesen lehet hivatkozni, alapvetően akkor, amikor egyértelmű, hogy az adatkezelés során feltétel nélküli „előnyöket” szerez a munkavállaló, és nem érheti őt semmilyen hátrány az adatkezelés megtagadása esetén.
 
A hozzájárulás megfelelő jogalap lehet, ha az adatkezelésre nem a munkaviszonnyal összefüggésben kerül sor, vagyis ha az adatkezelés a munkáltatói jogok gyakorlásával nem áll kapcsolatban. Például egy munkáltató egy futóversenyre csapatot szervez, amelyhez a munkáltatónak továbbítania kell a szervezők részére azon munkavállalóinak az adatait, akik részt vennének a versenyen, mivel a munkáltató állja a nevezés költségeit. Emellett a munkáltató pólókat is biztosít a versenyre, ezért a munkavállalók pólóméretét továbbítania kell a pólót készítő vállalkozás részére. Ez két különböző adattovábbítást jelent, és mindkettőhöz egymástól függetlenül önkéntes hozzájárulást tud adni a munkavállaló anélkül, hogy ennek bármilyen következménye lenne a munkaviszonyára nézve.
 
A hozzájárulás jogalapjának egyik speciális esete az Infotv. 6. § (3) bekezdésében megfogalmazott kivétel, amelynek alapján 16 éven aluli kiskorúakat érintő adatkezelések jogszerűségéhez szükséges a szülő beleegyezése. Az Mt. ezzel szemben más szabályokat tartalmaz a kiskorúak munkavállalásával kapcsolatban.10 A munkahelyi adatkezelések során párhuzamosan figyelemmel kell lenni mind az Infotv., mind az Mt. sajátos szabályaira. Így például az Mt. 34. § (3) bekezdése alapján nem csak a szülő beleegyezése szükséges a munkaszerződés megkötéséhez, hanem a gyámhatóság engedélye is.
 
A fent kifejtettek alapján elmondható tehát, hogy a munkáltatói adatkezelések esetében a hozzájárulás mint jogalap csak szűk körben jelenik meg, amikor is ténylegesen fennállhat az önkéntesség.
 
2.2. Törvényen alapuló adatkezelés
 
A munkahelyi adatkezelések egy jelentős része törvényi rendelkezésen alapul: vagy olyan törvényi előíráson, amely kötelezővé teszi az adatkezelést, vagy olyan jogszabályon, amely csupán lehetővé teszi az adatkezelést. Mindkét esetben előfordul, hogy az adott törvény az adatkezelés valamennyi körülményét szabályozza, de olyan jogszabály által nevesített adatkezelés is létezik, amelynél a törvény az adatkezelés részleteit, körülményeit nem határozza meg, azokat az adatkezelőre bízza.
 
Törvényen alapuló, kötelező adatkezelést széles körben rendelnek el az adókötelezettségre,
társadalombiztosításra vonatkozó jogszabályok. Ezen jogszabályok rendelkezései a munkáltatók és a munkavállalók számára kötelezettségként jelennek meg, vagyis ezek ténylegesen kötelező adatkezelések.
 
Ezen túlmenően a munkaviszonyra is irányadóak lehetnek olyan törvények, amelyek az adatkezelést a munkáltató számára lehetővé teszik. Ebbe a körbe tartozik például a munkáltatói visszaélés-bejelentési rendszerrel, illetve a munkáltató ellenőrzési jogosultságával összefüggő adatkezelés a munkavégzés tekintetében. Azonban ezek nem tekinthetőek klasszikusan törvényi felhatalmazáson alapuló adatkezeléseknek, hanem közelebb állnak a munkáltató jogos érdekén alapuló adatkezelések csoportjához, hiszen a munkáltatók több-kevesebb mozgástérrel rendelkeznek az adatkezelési körülmények meghatározásában.
 
2.3. A munkáltató jogos érdekén alapuló adatkezelés
 
A munka világában az érintett hozzájárulása helyett – a fenti szűk esetkört leszámítva – más jogalapok alkalmazása indokolt. Az Adatvédelmi Munkacsoport kifejtette, hogy a jogszerű adatkezelésnek nem csak a hozzájárulás lehet az egyetlen jogalapja, hanem az Adatvédelmi Irányelv 7. cikkében szereplő többi jogalap is alkalmazható az adatkezelők számára.
 
Az Európai Bíróság a C-468/10. és C-469/10. sz. egyesített ügyekben hozott ítéletére11 tekintettel ezen jogalapok közül kiemelt szereppel rendelkezik az Adatvédelmi Irányelv 12 7. cikk f) pontja. Ezen rendelkezés értelmében személyes adat kezelhető abban az esetben is, ha a munkahelyi adatkezelés a munkáltató – kivételesen harmadik fél – jogos érdekének érvényesítéséhez szükséges, kivéve, ha ennél az érdekeknél magasabb rendűek a munkavállalók személyes adatai védelméhez és a magánéletük tiszteletben tartásához való joguk. A 7. cikk f) pontjában szereplő jogalap egyik fő jellemzője az, hogy ez a munkavállalók hozzájárulásától függetlenül jogszerűvé teheti a munkáltató adatkezelését, feltéve, ha a munkáltató jogos érdeke arányosan korlátozza a munkavállalók személyes adatok védelméhez való jogát, magánszféráját.
 
A munkáltatóra hárul azon kötelezettség, hogy belső szabályzatban vagy más írásbeli dokumentumban kidolgozza ezen jogalap alkalmazásával végzett adatkezeléseit. Fontos garanciális szempont, hogy a munkáltató írásban rögzítse ezen az jogalap alkalmazásával együtt járó adatkezelési körülményeket, hiszen a munkavállalók így tudnak meggyőződni arról, hogy a szóban forgó munkahelyi adatkezelés valóban arányosan korlátozza a jogaikat. Emellett a Hatóság vagy a bíróság is így tudja ellenőrizni, vizsgálni azt, hogy a munkáltató adatkezelése megfelelt-e az adatvédelmi követelményeknek.
 
A jogalap alkalmazása során a munkáltatónak két követelményre kell figyelemmel lennie. Egyrészt ezen jogalap alkalmazásakor a magyar jogszabályi előírásokat, így különösen az Mt. és az Infotv. rendelkezéseit kell alapul vennie. Másrészt ezzel egyidejűleg el kell végeznie az érdekmérlegelési  tesztet. Az Adatvédelmi Munkacsoport véleménye13 támpontot jelenthet ahhoz, hogy
 
– milyen szempontok alapján lehet meghatározni a munkáltatói jogos érdeket,
– mire kell a munkáltatónak figyelemmel lennie az érintteti érdekek, jogok meghatározása során,
– melyek az érdekmérlegelési teszt elvégzése során megfontolandó kulcsfontosságú tényezők,
– melyek lehetnek például az adatkezelők által alkalmazott olyan intézkedések, amelyek biztosítják az érintettek magánszférájának és személyes adatainak védelmét.
 
Az érdekmérlegelési teszt elvégzése során a munkáltatónak számos szempontra figyelemmel kell lennie, ezért a Hatóság egy lehetséges forgatókönyvet javasol, amely mellett természetesen elfogad más módszereket is ennek a tesztnek az elvégzésére.
 
– 1. lépés: a munkáltatónak a tervezett adatkezelés megkezdése előtt át kell tekintetnie, hogy a célja elérése érdekében feltétlenül szükséges-e személyes adat kezelése: rendelkezésre állnak-e olyan alternatív megoldások, amelyek alkalmazásával személyes adatok kezelése nélkül megvalósítható a tervezett cél.
– 2. lépés: a munkáltatói jogos érdek lehető legpontosabb meghatározása (így különösen az Mt. 10. § (1) bekezdésének figyelembe vételével).
– 3. lépés: annak meghatározása, hogy mi az adatkezelés célja, milyen személyes adatok, meddig tartó adatkezelését igényli a jogos érdek.
– 4. lépés: annak meghatározása, hogy a munkavállalóknak mik lehetnek az érdekeik az adott adatkezelés vonatkozásában (például azok a szempontok, amelyeket a munkavállalók felhozhatnának az adatkezeléssel szemben).
– 5. lépés: annak meghatározása, hogy miért korlátozza arányosan a munkáltatói jogos érdek – és az ennek alapján végzett adatkezelés – a 4. lépésben meghatározott munkavállalói jogokat, várakozásokat. A munkáltatónak az érdekmérlegelés során segítséget nyújthatnak azok az alapelvek, amelyeket a tájékoztató 2. pontjában a Hatóság már kifejtett. Az érdekmérlegelésen alapuló munkahelyi adatkezelések esetében többek között az alábbi garanciák biztosíthatják az adatkezelés szükségesség-arányosságát (természetesen más garanciális intézkedések is szóba jöhetnek):
 
• A fokozatosság elvének érvényesülése. Ennek a garanciának elsődlegesen a munkáltatói ellenőrzésekkel együtt járó adatkezelések esetén van jelentősége. A munkáltatónak a munkavállalók munkaviszonnyal összefüggő magatartásának ellenőrzése körében lehetőleg olyan módszert kell választania, amely nem jár együtt személyes adat kezelésével. Ha nincs ilyen, akkor a magánszférát legkevésbé korlátozó módszert kell alkalmaznia, amelynek nyomán korlátozott körben ismer meg személyes adatokat.
 
• A munkavállaló jelenlétének biztosítása. Ugyancsak a munkáltatói ellenőrzések keretében van szerepe ezen garanciának. Amennyiben az ellenőrzés körülményei nem zárják ki ennek lehetőségét, akkor biztosítani kell, hogy a munkavállaló jelen lehessen az ellenőrzés során (így például a felvételek visszanézésekor vagy az e-mail elolvasásakor).
 
2.4. Az Mt. és az Infotv. szabályai az adattovábbítás jogalapjával kapcsolatban
Ezen rendelkezésekből fakadó gyakorlati követelmények:
 
– A külföldre történő adattovábbítás alapvető követelményeit a tájékoztató 4. pontja tartalmazza.
– Az Infotv. 3. § 13. pontja értelmében adattovábbításnak minősül az, amikor személyes adatot meghatározott harmadik személy számára hozzáférhetővé tesznek. Az Infotv. 3. § 22. pontja alapján harmadik személy az adatkezelőn, az érintetten és az adatfeldolgozón kívül minden más személy és szervezet. A munkaviszonyban az érintett a munkavállaló, az adatkezelő a munkáltató, és minden, rajtuk kívüli személy harmadik személynek minősül, így például harmadik személynek minősülnek a munkáltatóval egy vállalatcsoportban lévő más vállalatok is. Ebből fakadóan adattovábbításnak tekinthető az is, amikor a munkáltató egy közös adatbázisba tölti fel a munkavállalók személyes adatait, amely adatbázishoz más adatkezelők (más leányvállalatok, az anyavállalat) is hozzáférhet.
– Ugyanez a helyzet a munkáltató tulajdonosát tekintve is: főszabályként a tulajdonosi jogok gyakorlása nem teszi szükségessé, és nem engedi meg a munkavállalókra vonatkozó személyes adatok tulajdonos részére való továbbítását. Kivételt ez alól csupán a vezető állású munkavállalók jelenthetnek, egyéb esetben azonban a tulajdonos részére csak személyazonosításra alkalmatlan adatok továbbíthatóak.
– Az Mt. rendelkezéséből következik az is, hogy egy álláspályázatra jelentkezéskor az állást meghirdető munkáltató nem jogosult a korábbi munkáltatótól információkat gyűjteni, és ily módon „leinformálni” a pályázót. Ebben az esetben a korábbi munkáltató semmilyen személyes adatot nem közölhet az állást meghirdető munkáltatóval, hiszen – törvényi felhatalmazás hiányában – az Mt. 10. § (2) bekezdése csak a munkavállaló hozzájárulásával tehetné ezt meg. 
 
3. Az előzetes tájékoztatás követelménye
Ezen rendelkezésekből fakadó gyakorlati követelmények:
 
– Az érintett az előzetes, megfelelő tájékoztatás alapján képes felismerni azt, hogy az adott adatkezelés milyen hatással van az információs önrendelkezési jogára és a magánszférájára.
– Az előzetes tájékoztatásra vonatkozó követelményeket a jogalkotó az Infotv. 20. §-ában fogalmazta meg. Az előzetes, megfelelő tájékoztatás kötelezettségének központi eleme az Infotv. 20. § (2) bekezdése, amely felsorolja azokat az alapvető adatkezelési körülményeket, amelyekről az adatkezelőnek tájékoztatást kell nyújtania. Az előzetes tájékoztatás adatvédelmi követelményeiről szóló ajánlás14 részletesen foglalkozik az előzetes tájékoztatási kötelezettséggel.
– Amennyiben a munkáltató technikai eszközzel kíván ellenőrzést végezni – tekintve, hogy az ellenőrzés személyes adatok kezelésével jár együtt – úgy az nem lehet titkos, arról a munkavállalókat előzetesen tájékoztatni kell, így például a munkavállalóknak tisztában kell lenniük az ellenőrzés módjával, céljával.
– A munkahelyi adatkezelésekkel összefüggésben kiemelten fontos arról tájékoztatást nyújtani, hogy a munkáltató szervezetrendszerén belül ki férhet hozzá a személyes adatokhoz. Azt a személyi kört, akik hozzáférhetnek a személyes adatokhoz, adatkezelési célonként külön-külön kell meghatározni.

 

4. Adattovábbítás külföldre
 
A Hatósághoz gyakran fordulnak több országban is képviselettel rendelkező, multinacionális társaságok azzal a kérdéssel, hogy van-e lehetőség a cégen belül munkavállalók személyes adatainak továbbítására, és amennyiben igen, milyen szabályok is vonatkoznak az adattovábbításra. A kérdés megválaszolásához az Mt. és az Infotv. nyújt segítséget.
 
4.1. Adattovábbítás az EGT-n belül
 
Az Infotv. 8. § (4) bekezdése szerint az EGT-államba irányuló adattovábbítást úgy kell tekinteni, mintha Magyarország területén belüli adattovábbításra kerülne sor. Az Infotv. rendelkezése természetesen irányadó a munkáltatók adattovábbításaira is, azokkal a korlátozásokkal, amelyeket az Mt. tartalmaz.
 
Az Mt. 10. § (2) bekezdés alapján a munkáltató a munkavállalóra vonatkozó adatot harmadik személlyel csak törvényben meghatározott esetben vagy a munkavállaló hozzájárulásával közölhet. Ennek megfelelően tehát az általános szabályok az irányadóak, figyelembe véve a jogalapoknál kifejtetteket, vagyis, hogy az érintett hozzájárulása a munkavégzésre irányuló jogviszonyokban az önkéntessége miatt nehezen értelmezhető, ezért az adattovábbítás során más jogalapok alkalmazása lehet indokolt.
 
4.2. Adattovábbítás az EGT-n kívülre
 
Amennyiben nem EGT-államban, azaz harmadik országban honos adatkezelő vagy adatfeldolgozó részére történik az adatok továbbítása, akkor arra elsődlegesen az Infotv. 8. § (1)-(2) bekezdésében megjelölt esetekben kerülhet sor.
 
Ez alapján – a munkahelyi adatkezelések sajátosságaira is figyelemmel – két esetkör alapján lehet harmadik országban honos munkáltató (adatkezelő, adatfeldolgozó) számára adatot továbbítani:
 
1. Az első esetkör az érintett kifejezett hozzájárulásán alapuló adattovábbítás. Mint már szó volt róla a tájékoztató 3.1. pontjában, ezen jogalap esetében figyelemmel kell lenni arra, hogy a hozzájárulás mint az adatkezelés vagy az adattovábbítás jogalapja, kivételesen alkalmazható csak. A munkáltatótól elvárható, hogy a munkavállalók személyes adatait csak megfelelő védelmet nyújtó harmadik országokba továbbítsa, vagy az Infotv. és az uniós jogszabályok által rögzített más módon biztosítsa a megfelelő szintű védelmet az adattovábbítással összefüggésben.
 
2. A második esetkör az érintett kifejezett hozzájárulásának hiányában, ha az alábbi konjunktív feltételek teljesülnek:
 
a. az Infotv. hatálya alá tartozó adatkezelő (az adattovábbító szervezet) az Infotv. vagy az Adatvédelmi Irányelv által elismert jogalappal rendelkezik az adatkezeléshez, és b. a harmadik országban a személyes adatok megfelelő szintű védelme biztosított, mivel: 
i. az adattovábbítással összefüggésben az Európai Unió kötelező erejű jogi aktust fogadott el, vagy
ii. az adattovábbításra vonatkozó kötelező szervezeti szabályozást (angol nyelvű elnevezéssel: binding corporate rules; a továbbiakban: BCR) a Hatóság jóváhagyta. A BCR lehetővé teszi, hogy egy multinacionális vállalat Infotv. hatálya alá tartozó tagja személyes adatokat továbbítson az EGT-térségen kívüli országokban található tagjai részére oly módon, hogy az adattovábbítás megfeleljen mind az uniós, mind a magyar adatvédelmi követelményeknek.
 
Az Infotv. 8. § (2) bekezdés a) pontja szerinti uniós kötelező erejű jogi aktusok köre tovább bővült.
 
Az Európai Bizottság 2016. július 12-én ugyanis elfogadta az EU-USA adatvédelmi pajzsot (Privacy Shield határozat). Ez az új keretrendszer védelmezi minden olyan uniós polgár alapvető jogait, akinek a személyes adatait az Egyesült Államokba továbbították, valamint egyértelmű jogi helyzetet teremt azoknak a vállalkozásoknak a számára, amelyek igénybe veszik az Egyesült Államokba irányuló adattovábbításokat. A Privacy Shield határozat – melynek jelenleg felülvizsgálata zajlik – az Európai Unió kötelező erejű jogi aktusának tekinthető, ezért megfelelő szintű védelmet biztosíthat a külföldi adattovábbítások esetén.
 
5. Az adatvédelmi nyilvántartásba való bejelentési kötelezettség
 
Az Infotv. 65. § (3) bekezdés a) pontja szerint nem vezet adatvédelmi nyilvántartást a Hatóság arról az adatkezelésről, amely az adatkezelővel munkaviszonyban álló személyek adataira vonatkozik. Ez a kivétel vonatkozik minden munkaviszony jellegű egyéb jogviszonyra is. A nyilvántartásba vétel alóli felmentés kiterjed a munkáltató teljes adatkezelésére, tehát az általa folytatott adatkezelésekről a Hatóság nem vezet nyilvántartást. Kizárólag azokat az adatkezeléseket nem kell bejelenteni a nyilvántartásba, amelyeket a munkáltató számára a jogszabályok kötelezően előírnak. Ezeknek az adatkezeléseknek (például a társadalombiztosítással, a személyi jövedelemadózással kapcsolatban az illetékes szervek felé történő adattovábbítások) a célja a munkavállalók számára is ismert, ezért nem szükséges a bejelentés. Kiemelendő, hogy a munkáltató által végzett, jogszabályban előírt adatkezeléssel kapcsolatos nyilvántartásokat (például közszolgálati nyilvántartás, a munkáltató keretein belül folytatott bérszámfejtés kapcsán létrejött adatbázis), illetve a munkavállalók ellenőrzésével kapcsolatos adatkezeléseket sem kell bejelenteni az adatvédelmi nyilvántartásba. A bejelentés alóli mentességnek az ad alapot, hogy a személyes adatok kezelése az érintettel fennálló jogviszonyhoz kötődik. Abban az esetben, ha az adatkezelés célja eltér a jogszabályokban a munkáltató számára előírt adatkezelési céloktól, nem állnak fenn a mentesség feltételei.
 
Mindezek mellett az Infotv. 65. § (3) bekezdés d) pontja szerint a Hatóság arról az adatkezelésről sem vezet nyilvántartást, mely az érintett anyagi és egyéb szociális támogatása céljából nyilvántartott személyes adataira vonatkozik. Ezt a kivételt a Hatóság széles körben értelmezi, kiterjed minden jogszabályban szabályozott anyagi és szociális támogatás nyújtásával kapcsolatos adatkezelésre, legyen az például a munkáltatón keresztül igénybe venni kívánt adókedvezmény, támogatás, melyhez adott esetben a munkavállalók hozzátartozóinak személyes adataira is szükség van.
 
A kamerarendszerrel összefüggő adatkezelések esetében tekintettel kell lenni arra, hogy az adott helyiségben kik tartózkodhatnak, hiszen bizonyos helyiségek esetében a megfigyeltek nem csak munkavállalók lehetnek, hanem más, az elektronikus vagyonvédelmi rendszer által megfigyelt területen tartózkodó személyek is (így például ügyfelek, látogatók). Amennyiben a munkahelyen alkalmazott elektronikus megfigyelőrendszer érintetti köre túlmutat az Infotv. 65. § (3) bekezdés a) pontján, azaz nem csak a munkavállalók kerülhetnek a kamerák látókörébe, akkor az adatkezelést be kell jelenteni az adatvédelmi nyilvántartásba. Ellenkező esetben az adatkezelés a kivételszabály alá esik, és ennek megfelelően bejelentési kötelezettség sem terheli a munkáltatót.
 
Az álláspályáztatásokkal összefüggő adatkezelések esetében munkaviszonyról még nem beszélhetünk, ezért a fenti kivételszabály nem alkalmazható. Helyette azonban szintén mentesülést jelenthet a nyilvántartásba vételi kötelezettség alól, ha az adatkezelés megfelel a szintén az Infotv. 65. § (3) bekezdés a) pontja szerinti ügyfélkapcsolat feltételeinek.
 
Az ügyfélkapcsolat fogalmát az Infotv. nem definiálja, a Hatóság gyakorlata szerint az alábbi követelményeknek kell megfelelnie az adatkezelésnek, hogy ügyfélkapcsolatról lehessen beszélni:
– az adatokat közvetlenül az érintettektől veszik fel,
– az adatkezelés célja az érintettek számára ismert,
– a kezelendő adatok fajtája, az adatkezelés időtartama (adattörlés) előre meghatározott,
– az adatokat csak az előre meghatározott céllal összefüggésben használják fel,
– az adatok nem kerülnek ki az adatkezelő kezeléséből,
– az érintetteket minderről megfelelően tájékoztatják.
 
Amennyiben az álláspályáztatással összefüggő adatkezelés megfelel ezen ügyfélkapcsolat szempontjából releváns kritériumoknak, az adatkezelést az adatvédelmi nyilvántartásba nem kell bejelenteni, ellenkező esetben bejelentési kötelezettség áll fenn.
 
A munkáltatói belső visszaélés-bejelentési rendszert a Pktv. rendelkezése16 alapján kell bejelenteni az adatvédelmi nyilvántartásba.

 

6. A munkahelyi adatkezelésekkel kapcsolatos joghatósági kérdések
 
A Hatóság tapasztalatai alapján gyakran fordul elő az, hogy az adatkezelési körülményeket nem az Infotv. hatálya alá tartozó adatkezelő, hanem annak EGT-államban17 vagy harmadik országban található tulajdonosa határozza meg, illetve sok esetben e tulajdonos is végzi az adatkezelést. Erre egy gyakori példa visszaélés-bejelentő rendszerek alkalmazása, amelyeket sokszor úgy alkalmazzák Magyarországon, hogy a már meglevő rendszereket „kiterjesztik” hazánkban található adatkezelőre is.
 
Az országhatáron átnyúló adatkezelések esetében felmerül az a kérdés, hogy alkalmazni kell-e a magyar jogszabályokat abban az esetben, amikor az adatkezelő tulajdonosa az adatkezelés mindennapi gyakorlatának kialakítása során más EGT-állam jogszabályait vette alapul.
 
E kérdésben elsődlegesen az Adatvédelmi Irányelv 4. cikk (1) bekezdés a) alpontja irányadó. Eszerint a nemzeti rendelkezések alkalmazandóak, ha az adatkezelést „a tagállam területén az adatkezelő egy szervezete tevékenységeinek keretében végzi; amennyiben ugyanaz az adatkezelő több tagállam területén is letelepedett, meg kell tennie a szükséges intézkedéseket annak biztosítása érdekében, hogy szervezeteinek mindegyike megfeleljen az alkalmazandó nemzeti jog által megállapított kötelezettségeknek.”
 
Az Adatvédelmi Irányelv 29. cikke szerint létrehozott Adatvédelmi Munkacsoportnak az alkalmazandó jogról szóló 8/2010. számú véleménye szerint az alkalmazandó jog meghatározása szempontjából az Irányelv fenti rendelkezésében szereplő „tevékenységeinek keretében” fordulata rendelkezik döntő jelentőséggel, és nem pedig az, hogy például a személyes adatokat hol tárolják. E kifejezés nem azt jelenti, hogy az alkalmazandó jog annak a tagállamnak joga, ahol az adatkezelő letelepedett, hanem ahol az adatkezelő egy szervezete az adatkezeléshez vagy az adatfeldolgozáshoz kapcsolódó tevékenységekben részt vesz. Tehát kiemelt szerepe van az egyes szervezetek részvételének azokban a tevékenységekben, amelyek keretében az adatkezelést végzik. Ha egy szervezet saját tevékenységei keretében kezel vagy dolgoz fel személyes adatokat, az alkalmazandó jog azon tagállam joga lesz, ahol e szervezet található. Ha a szervezet egy másik szervezet tevékenységei keretében kezel vagy dolgoz fel személyes adatokat, az alkalmazandó jog azon tagállam joga lesz, ahol a másik szervezet található.
 
Az alkalmazandó jog meghatározására irányadó szabályokkal az Európai Unió Bírósága is foglalkozott a Google spanyolországi leányvállalatának tevékenységével kapcsolatban hozott ítéletében. A Bíróság megállapította, hogy a Google szolgáltatáshoz „hasonló, harmadik államban letelepedett, azonban a tagállamok egyikében szervezettel rendelkező vállalkozás által működtetett keresőmotort kiszolgáló személyesadat‑kezelés [helyesen: adatkezelés] e szervezet „tevékenységeinek keretében” végzett adatkezelésnek minősül, ha a szervezetet arra hozták létre, hogy ebben a tagállamban biztosítsa az e keresőmotor által kínált reklámhelyek értékesítését és reklámozását, amelyek a keresőmotor által nyújtott szolgáltatás nyereségességét szolgálják.” A Google Inc.-nek mint a keresőmotor működtetőjének, illetve az adott tagállamban található leányvállalatának tevékenységei elválaszthatatlanul összekapcsolódnak, mivel a reklámhelyekkel kapcsolatos tevékenységek jelentik azt az eszközt, amelyek a szóban forgó keresőmotort nyereségessé teszik, és ugyanakkor ez a keresőmotor teszi lehetővé e tevékenységek végzését. Erre alapozva a testület végül megállapította, hogy „a személyes adatok kezelését e rendelkezés értelmében a tagállam területén az adatkezelő egy szervezete tevékenységeinek keretében végzik, ha a keresőmotor működtetője az egyik tagállamban olyan irodát nyit vagy leányvállalatot hoz létre a keresőmotor által kínált reklámhelyek értékesítésére és reklámoz amelynek tevékenysége az adott állam lakosai felé irányul.”
 
Ennek megfelelően, ha az Infotv. alá tartozó adatkezelő Európai Unióban vagy harmadik országban található tulajdonosának tevékenységével megegyező, vagy ahhoz kapcsolódó tevékenységet végez, és ezzel a tevékenységgel összefüggésben kerül sor a munkahelyi adatkezelésre, akkor az Adatvédelmi Irányelv 4. cikk (1) bekezdés a) pontja vonatkozásában úgy kell tekinteni, mintha az adatkezelést a „tevékenységeinek keretében” végezné, és alkalmazni kell a magyar jogszabályokat. A Hatóság álláspontja szerint a joghatóság kérdésében különös figyelemmel kell lenni továbbá arra a körülményre is, hogy a hazánkban végzett munkahelyi adatkezelések alapján alapvetően Magyarországon alkalmazzák a jogkövetkezményeket, vagyis az adatkezelés egyik fontos eleme, az érintettre vonatkozó következtetés levonása és a személyes adat felhasználása szintén Magyarország területén történik. Ez is azt támasztja alá, hogy ezekben az esetekben alkalmazni kell a magyar jogszabályi rendelkezéseket is.
 
Mindezek alapján, a jelen tájékoztatóban kifejtett adatvédelmi követelményeket alkalmazni kell abban az esetben is, ha a munkahelyi adatkezelés szabályait az EGT-állam vagy harmadik ország jogszabályai alapján határozták meg, de ezen adatkezeléseket Magyarországon is végzik akár az Infotv. hatálya alá tartozó, akár más ország joga szerint létrejött adatkezelők.

Kapcsolódó cikkek

2024. október 30.

A kriptoeszközök szabályozásának jelenlegi helyzete Magyarországon

A 2024. évi VII. törvény és a MiCA A magyar jogi szabályozás alapja a 2024. évi VII. törvény a kriptoeszközök piacáról, amely részletesen szabályozza az egyes kriptoeszközök kibocsátását és a hozzájuk kapcsolódó egyes szolgáltatásokat. Ezen túlmenően, az Európai Unióban a kriptoeszközökre vonatkozó szabályozást a MiCA Rendelet (Markets in Crypto Assets; az EURÓPAI PARLAMENT ÉS A […]