Aktív bírságoló az adatvédelmi hatóság

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Tavaly január 1-jétől új időszámítás indult az adatvédelem területén, amikor is megszűnt az adatvédelmi biztos (ombudsman) intézménye, és ezzel egyidejűleg megalakult a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), amely 2012-ben nagy erőkkel kezdte meg működését.

Az ombudsman és a hatóság közötti egyik legnagyobb különbségként értékelhetjük azt, hogy míg az előbbit az országgyűlés választotta 2/3-os többséggel, úgy az utóbbi egy teljesen független szerv, a köztársasági elnök nevezi ki elnökét, aki 9 évig gyakorolja posztját. A magyarországi vállalkozások számára azonban az előbbieknél, úgy vélem, fontosabb változás az, hogy a hatóság – az őt megelőző intézménnyel ellentétben – jogosult bírságot kiszabni, méghozzá nem is kis mértékben, melyre a megalakulásának első évében már többször volt példa.

Mi adja meg az új szabályok hátterét?

2011 novemberében hatályba lépett egy törvény, amely az adatvédelem és az információszabadság területén megteremtette az új szabályokat, fel­számolta az ombudsmani modellt, illetőleg meg­adta a későbbi hatóság jogosítványait, mely ezennel konkrét jogkörökre tett szert a személyes adatok védelméhez, valamint a közérdekű adatok megismeréséhez fűződő jog érvényesítése terén. Ez a törvény a régi – ma már nem hatályos – személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992-ben megalkotott jogszabály helyébe lépett, hatályon kívül helyezve azt.

Az információs önrendelkezési jogról és az in­formációszabadságról szóló 2011. évi CXII. törvényt (Infotv.) érdemes minden vállalkozás polcán elhelyezni, mivel innentől fogva valamennyi cégvezetőnek érdeke alkalmazni a benne foglalt szigorú szabályokat, amennyiben nem szeretné akár az éves adójának többszörösét bírságra fizetni, ugyanis a Hatóság egyik legfontosabb jogosítványa az, hogy 300 000 Ft-tól 10 000 000 Ft-ig szabhat ki bírságot a szabálysértőkre. A nem tudás pedig – mint tudjuk – nem mentesít…

Mikre kell odafigyelni, ha nem szeretnénk bírságot kézhez kapni?

A törvény szabályait – területi hatályát illetően – minden magyarországi adatkezelésre és adatfel­dolgozásra alkalmazni kell, amennyiben természetes személy adatairól, közérdekű adatokról, vagy köz­érdekből nyilvános adatokról van szó. A magyar­országi adatkezelés és adatfeldolgozás alatt nem a magyarországi adatok bárhol történő kezelését kell érteni, hanem kizárólag a Magyarország terü­letén végzett bármely adatra vonatkozik a megfelelési kötelezettségünk. Azonban a külföldi érdekeltségű vállalkozások sem minden esetben men­tesülnek az Infotv. szabályainak betartása és az esetleges hatósági eljárásba vonás alól, mivel a jogszabály egyértelműen kimondja, hogy rendelkezéseit alkalmaznia kell az Európai Unió területén kívül személyes adatok kezelését folytató adatkezelőnek is, amennyiben olyan adatfeldolgozónak ad megbízást, aki vagy amely Magyarország terü­letén székhellyel, telephellyel, fiókteleppel vagy lakóhellyel, tartózkodási hellyel rendelkezik, vagy itt lévő eszközt használ fel, kivéve, ha ez az eszköz csak az Európai Unió területén átmenő adatforgalom célját szolgálja. Akik viszont az utóbbi szerinti adatkezelést végzik, azoknak fontos tudni azt is, hogy erre kijelölt képviselővel kell rendelkez­niük Magyarország területén.

Dr. Orcsik Judit

Annak érdekében, hogy tisztában legyünk azzal, érint-e bennünket, illetve tevékenységünket a szabályozás, meg kell ismernünk, hogy mi tartozik az adatkezelés és az adatfeldolgozás fogalmi körébe.
Az Infotv. az értelmező rendelkezések között tartja számon mindkét fogalmat, valamint ezeken felül meghatározza a személyes adat, a különleges adat, vagy épp a közérdekű adat tartalmát is, de ugyanitt tudatja velünk azt is, hogy mi minősül tiltakozásnak, vagy hogy milyennek kell lennie a hozzájárulásnak, ha épp beleegyezésünket szeretnénk adni bizonyos adataink kezeléséhez. Akkor nézzük azt a két fontos fogalmat, amellyel eldönthetjük, végzünk-e olyan tevékenységet, amelynél alkalmaznunk kell a törvény szabályait.

Az Infotv. szerint adatkezelésnek minősül az adatokon végzett minden művelet, ezt kibontva a jogszabály konkretizálja is az idetartozókat, mint például az adatok gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők rögzítése. Az utóbbihoz tartozhat például az ujj- vagy tenyérnyomat, a DNS minta, vagy az íriszkép.

A törvény az adatfeldolgozásra is hasonlóképpen tág fogalmi kört határoz meg, amikor kimondja, hogy adatfeldolgozásnak minősül az adatkeze­lési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik.

Az előzőekben ismertetett két fontos fogalom tartalmát ha elolvastuk, úgy vélem, nem nagyon marad olyan személy, aki ne tartozna valamelyest az Infotv. hatálya alá, és ne kellene odafigyelnie arra, hogy szabályszerűen végezze tevékenységét. Főleg, ha azzal is tisztában vagyunk, hogy nem ­csupán a törvény felhatalmazásából válhatunk adatkezelővé, hanem úgy is, hogy az érintett személy önként bízza ránk személyes adatait. Ebből már el is érkeztünk a jogalapokhoz, amely meg­mutatja, hogy mikor van jogosultságunk adatokat kezelni, illetve feldolgozni. A törvény erről is egy­értelműen rendelkezik az 5. § (1) bekezdésében.

Személyes adatot (amelynek fogalmát a törvény 3. §-ában olvashatjuk) kizárólag három esetben kezelhetünk. Egyrészt akkor, ha az érintett személy – akinek az adatai kezelését végezzük – ehhez elő­zetesen hozzájárult. Ez fontos, hogy írásban történjen meg, valamint azt is jó tudni, hogy ez a hozzá­járulás bármikor visszavonható, tehát ezt a lehetőséget is biztosítanunk kell az érintett számára. Szintén jogosultak vagyunk a személyes adat kezelésére azokban az esetekben, amikor a törvény ad erre felhatalmazást. Ekkor kötelező adatkezelésről beszélünk, ilyen eset például, amikor egy pénzintézet a Központi Hitelinformációs Adatbázis – a köznyelvben KHR- ként azonosítjuk – rendszerébe továbbítja a kötelező ügyféladatokat. A 2011-es adatvédelmi törvény egy új jogosultságot is ad az adatkezelők kezébe annak érdekében, hogy ezzel ­kiküszöbölje azt a hiányt, amit az ezt megelőző ­jogszabály nem rendezett. Ez pedig nem más, mint hogy kezelhető adat a törvényi kötelezettség és az érintett hozzájárulása nélkül is, de kizárólag akkor, ha az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, valamint érvényesül emellett a célhoz kötöttség elve, amely egyébként minden szintű és típusú adatke­zelés vagy adatfeldolgozás esetében fontos szempont.

Az adatkezelésben fontos a célhoz kötöttség

 

A célhoz kötöttség lényege az, hogy személyes adat kizárólag abban az esetben kezelhető, ha egyrészt annak célja törvényes, másrészt pedig az adatkezelés maga is megfelel a kitűzött célnak. Bontsuk ki ezt egy példával, nézzük meg, mit is jelent. Amennyiben az érintett átadja nekünk a személyes adatait egy bizonyos célból, mint például azért, hogy szerződést tudjunk kötni vele, akkor egészen odáig jogos az adatkezelésünk a célhoz ­kötöttség elvének megfelelően, amíg kizárólag a szerződés megkötéséhez, annak fenntartásához és majdani megszüntetéséhez használjuk fel. Abban a pillanatban azonban, amikor az érintett adatait arra szeretnénk használni, hogy ajánlatokkal „bombázzuk” a direkt marketing tárházát felhasználva, ehhez már nem rendelkezünk kellő és érvényes jogalappal egészen addig, amíg az érintettnek ehhez való hozzájárulása nincs a kezünkben.

Kinek nem kell mégsem betartania a törvény betűit?

A törvény egyetlen kivételt tartalmaz, és ezt igen szűken határozza meg, amikor kimondja azt, hogy: „Nem kell alkalmazni a törvény rendelkezéseit a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire.” Első olva­sásra talán nem is tűnik olyannyira megszorítóan értelmezendő kategóriának, azonban jó, ha tudjuk, hogy nem elég csupán a mi részünkről az adatkezelést személyes célként definiálva kivonni ­magunkat a törvény hatálya alól. Gondoljunk itt például arra, hogy amennyiben az eredetileg személyes célra használt adatokat üzletszerzésre felhasználjuk, abban a pillanatban máris bevontuk magunkat abba a körbe, ahol már nem hivatkoz­hatunk a kivételszabályra, hanem meg kell felelnünk az előírásoknak. Azonban egészen addig, amíg az adatkezelés során fennáll a személyes cél, nem kell tartanunk a helytelen kezelésből fakadó bírság kiszabásától.

A Hatóság nyilvántartja az adatkezeléseinket

Adatkezelőként a legfontosabb kötelezettségeink közé tartozik az, hogy ezt a tevékenységünket – céljainknak megfelelően – bejelentsük a Hatóságnak, amely nem egy elhanyagolható kötelezettség, ­mivel ez adja meg számunkra az engedélyt a személyes adatok kezelése, feldolgozása terén. Ez azt jelenti, hogy egészen addig, amíg a valamely adatkezelési célnak megfelelő bejelentésünk nem tör­ténik meg, addig az arra vonatkozó konkrét tevékenységet sem kezdhetjük el. A bejelentést köve­tően a Hatóság 8 nap múlva értesít bennünket az elfogadásról, valamint határozatot küld részünkre, amely tartalmazza azt az adatvédelmi nyil­vántartási számot, amelyet onnantól minden adattovábbításnál vagy -feldolgozásnál szerepeltetnünk kell. Ez bizonyítja azt, hogy nyilvántartott a tevékenységünk, azonban ne gondoljuk, hogy ez elegendő a jogszerűséghez is, mivel ezen a téren ez semmit sem bizonyít. A nyilvántartási szám az ­érintettek biztonságát is elősegíti, mivel a NAIH honlapján ezáltal visszakereshetővé válik, hogy az adatkezelő milyen személyes adatokat, milyen célból és meddig kíván kezelni. Azonban a kivétel erősíti a szabályt, ezért ebben a tekintetben is ta­lálunk olyan adatkezelést, amikor nem kell a bejelentéssel törődnünk, mert a hatóság nem kívánja azt meg tőlünk. Az Infotv. 65. § (3) bekezdése 9 pontra osztva sorolja fel a különböző kivételeket, ami alapján például nem kell bejelentenünk a munkaviszonyból, tanulói jogviszonyból vagy ügyfélkapcsolatból származó adatok keze­lését, de nem vezet nyilvántartást a Hatóság az egészségügyi ellátásban kezelt betegek, illetve a bírósági eljárás által érintett személyek adatairól sem, ahogy az előzőekhez hasonlóan nem kötelessége az egyházaknak és a levéltáraknak sem bejelentkezni a nyilvántartásba.

Az új törvény és a visszaható hatály

A 2011. évben hatályba lépett Infotv.-nek egyértelműen nincs visszaható hatálya, tehát annak sza­bályait 2012. január 1-jétől kell alkalmaznunk az adatkezeléseinkre. Ez azonban nem azt jelenti, hogy a törvény hatálybalépését megelőzően már megkezdett adatkezelések tekintetében, amelyek átnyúlnak a következő évekre, ne kellene a szigorú szabályokat figyelembe vennünk. Tehát érdemes rövid időn belül megvizsgálnunk minden adatkezelési ­tevékenységünket, akár legyen szó nyilvántartás vezetéséről vagy régen iktatott – személyes adatokat tartalmazó – iratokról, mivel ezek tekintetében elővigyázatosan, szabályoknak megfelelően kell már eljárnunk, betartva minden rendelkezést, amit az új jogszabály meghatároz. ­Ennek legfőbb mozgatórugója talán az lehet, ha tudjuk, hogy a Hatóság az elmúlt 1 éves munkája során hozott már olyan elmarasztaló határozatot egy in­ternetes ingatlanhirdetéseket megjelentető vállalkozás esetében, amelyben a legmagasabb, tízmillió forintot elérő bírságot szabott ki.

A cikk az Ügyvédvilág 2013 április számában is olvasható.

---