GDPR

Adatvédelem mindenkinek / Data protection for everyone

GDPR miatti törvénymódosítások

2019. február 08. 09:45 - poklaszlo

Hosszú előkészítés és várakozás után 2019. február 7-én benyújtásra került a Parlament részére az ágazati törvények GDPR miatt szükségessé vált módosítására vonatkozó javaslat ("törvényjavaslat az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról"). A törvényjavaslat több, mint 80 törvény esetében tartalmaz adatvédelmi tárgyú módosításokat. Ezek egy része inkább technikai jellegű, de a javasolt módosítások között akadnak érdemi változtatások is. Természetesen a jogalkotási folyamatban még több változáson is átmehet a javaslat, ugyanakkor fontos előrelépés lesz a jogszabály elfogadása a könnyebb és egységesebb jogalkalmazás érdekében. (Annak ellenére is így van, hogy még a javaslattal érintett törvényeken kívül is akad olyan ágazati jogszabály, amely módosításra szorul a GDPR-ra tekintettel.)

Az alábbiakban a legfontosabb módosítási javaslatok közül gyűjtöttem össze néhányat: 

1. Munka törvénykönyve

A munkavállalókat érintő adatkezelési kérdések az érintettek és adatkezelők széles körét érintik (néhány fontos fejleményről ezzel kapcsolatban itt írtam korábban). A Munka törvénykönyve (Mt.) adatkezeléssel kapcsolatos rendelkezései éppen ezért különösen fontosak. A javaslat szerint az Mt. egy új "adatkezelés" alcímet (5/A.) kapna, amely alatt a munkavállalókat érintő adatkezelési kérdéseket rendezné, különös tekintettel a munkavállalók biometrikus adatainak kezelésére, a bűnügyi személyes adatok kezelésére (erkölcsi bizonyítványok megtekintése), a munkavállalók ellenőrzésére. 

Fontos rendelkezés, hogy a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy e törvényből származó igény érvényesítése szempontjából lényeges adat kezelése, illetve a kért nyilatkozatok kezelése körében okirat bemutatása kérhető, azaz a törvény gátat szab az iratmásolatok kezelésének.  

Biometrikus adatok kezelése kapcsán az Mt. garanciális szabályokat fogalmaz meg az érintettek jogainak védelme érdekében. A javaslat szerint a munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben lenne  kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely
a) a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy
b) törvényben védett jelentős érdek
súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.

A törvényben védett jelentős érdek körében - példálózó jelleggel ("különösen") - néhányat meghatároz a javaslat, jelezve, hogy milyen súlyú érdekekről lehet szó ebben a körben. Ide tartozik a legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez, a lőfegyver, lőszer, robbanóanyag őrzéséhez, a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez, a nukleáris anyagok őrzéséhez, a Büntető Törvénykönyv szerint legalább különösen nagy vagyoni érték (50.000.001,- Ft- tól 500 millió Ft-ig terjedő érték) védelméhez fűződő érdek.

A bűnügyi személyes adatok kezelése kapcsán a leggyakrabban a büntetlen előélet ellenőrzéséhez szükséges adatkezelés (amely általában az erkölcsi bizonyítvány ellenőrzése útján valósul meg) kapcsán merülnek fel kérdések. Éppen ezért jelentős lépés, hogy a javaslatban szerepelnek erre vonatkozóan is szabályok. A munkáltató a munkavállaló vagy a munkáltatóval munkaviszonyt létesíteni szándékozó személy bűnügyi személyes adatát annak vizsgálata céljából kezelheti, hogy törvény vagy az Mt-ben foglaltak szerint a munkáltató a betölteni kívánt vagy a betöltött munkakörben nem korlátozza vagy nem zárja-e ki a foglalkoztatást. Az Mt. szerinti korlátozó vagy kizáró feltételt a munkáltató akkor határozhat meg, ha az adott munkakörben az érintett személy foglalkoztatása
a) a munkáltató jelentős vagyoni érdeke,
b) törvény által védett titok, vagy
c) a lőfegyver, lőszer, robbanóanyag őrzésére, a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzésére, illetve a nukleáris anyagok őrzésére vonatkozó törvény által védett érdek
sérelmének veszélyével járna.

A javaslat a munkavállalók ellenőrzésével kapcsolatban is tartalmaz új rendelkezéseket. A munkavállalók ellenőrzésével kapcsolatos adatvédelmi kérdésekkel a NAIH is részletekbe menően foglalkozott korábban (lásd pl. a munkahelyi adatkezelésekkel kapcsolatos NAIH tájékoztatót). A munkavállalók továbbra is a munkaviszonnyal összefüggő magatartásuk körében lennének ellenőrizhetők. Ennek keretében a munkáltató technikai eszközt is alkalmazhat, amelyről a munkavállalót előzetesen írásban tájékoztatni kell. Az Mt. rögzítené, hogy a munkavállaló a munkáltató által a munkavégzéshez biztosított számítástechnikai eszközt – eltérő megállapodás hiányában – kizárólag a munkaviszony teljesítése érdekében használhatja. A munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt a munkaviszonnyal összefüggő adatokba tekinthet be. Az ellenőrzési jogosultság szempontjából munkaviszonnyal összefüggő adatnak minősül az eszköz használata tekintetében meghatározott korlátozás (azaz, hogy kizárólag a munkaviszonnyal összefüggésben használható) betartásának ellenőrzéséhez szükséges adat.

A fenti adatkezelések kapcsán a munkavállalókat előzetesen, írásban tájékoztatni szükséges. Ezekben az esetekben írásbelinek kell tekinteni a nyilatkozatot, ha azt a helyben szokásos és általában ismert módon közzéteszik. 

(Az Mt. módosítására vonatkozó javaslat a törvényjavaslat 56. pontjában található, 100-102. §)

2. Vagyonvédelmi törvény

A vagyonvédelmi törvény (a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény) kapcsán elsősorban deregulációra kerül sor, egyszerűsödnek a szabályok, illetve hatályon kívül helyezésre kerülnek a fölösleges, GDPR-nak ellentmondó rendelkezések. A vagyonvédelmi törvény kapcsán az egyik jelentős gyakorlati problémát az okozta, hogy - bár a törvény csak egy meghatározott célú adatkezelésre irányult - széles körben ez a törvény vált az elektronikus megfigyelőrendszerek alkalmazásának zsinórmértékévé. A törvény szabályai azonban sem az adatkezelési jogalap, sem a megőrzési idők kapcsán nem igazodtak a változó igényekhez és adatvédelmi szabályokhoz. A NAIH is számos esetben foglalkozott ezzel a típusú adatkezeléssel és több esetben bírságot is kiszabott (lásd pl. ezt, ezt és ezt a határozatot).     

A jogalapok tekintetében a törvény a ráutaló magatartással megadott hozzájárulást határozta meg jogalapként, amely azonban a gyakorlatban számos ellentmondáshoz vezetett. A szabályok kigyomlálása után egyértelművé válik, hogy - bár bizonyos esetekben nem kizárt a hozzájárulás sem - alapvetően jogos érdeken alapuló adatkezelésként is végezhető az elektronikus megfigyelés, természetesen az ezzel szemben támasztott garanciális elvárásoknak való megfelelés mellett, így az érdekmérlegelési teszt sikeres elvégzését követően, illetve szükség esetén, hatásvizsgálat elvégzése mellett (lásd ezzel kapcsolatban a NAIH korábbi állásfoglalását).  

A gyakorlatban az elektronikus megfigyelőrendszerekkel kapcsolatos, a vagyonvédelmi törvényben meghatározott rugalmatlan megőrzési idők is gyakran okoztak nehézséget (3 munkanap, 30, illetve 60 nap). A módosítás után a törvény nem tartalmazna a továbbiakban konkrét megőrzési időt, így az adatkezelő mérlegelésén múlik majd, hogy mennyi ideig kezeli az adatokat. Ez ugyanakkor nem vezethet a megőrzési idők jelentős meghosszabbításához, mivel ez esetben sérülhetnek a célhoz kötöttség és adattakarékosság elvei. Az adatkezelők az elszámoltathatóság elve alapján felelősséggel tartoznak az általuk meghatározott megőrzési időkért és a túlzó megőrzési idők alkalmazása jogellenes adatkezelést valósíthat meg. A rugalmatlan szabályok hatályon kívül helyezése viszont utat nyithat reális, a gyakorlatban alkalmazható megőrzési idők alkalmazásának (vélhetően a 3 munkanapnál némileg hosszabb megőrzési idők terjedhetnek el általánosan). 

(A javaslat Vagyonvédelmi törvényt érintő rendelkezéseit lásd a 26. pontban, 56-58. §) 

3. Egészségügyi adatok kezelésére vonatkozó törvény

Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (Eüaktv.) módosítása kapcsán fontos változás lehet, hogy a törvény 4. § (3) bekezdésében megkövetelt írásbeli hozzájárulás helyett - a GDPR 9. cikk (2) bekezdés a) pontjával összhangban - a megfelelő tájékoztatáson alapuló önkéntes, egyértelműen kifejezett akaratot tartalmazó, és a szabályszerű nyilatkozat megtételét hitelt érdemlően bizonyító módon tett hozzájárulás is megfelelő jogalapot szolgáltathat a törvényben meghatározott adatkezelési célokon túli, egészségügyi adatot érintő adatkezelésekhez. Ez a módosítás összhangban van a gyakorlattal, az egyre terjedő egészségügyi adatokat is kezelő okoseszközök, applikációk terjedésével és alkalmazásának sajátosságaival. 

Az Eüaktv. kimondaná azt is, hogy az elhunyt személy elhalálozásának körülményeire és a halál okára vonatkozó, valamint az elhunyt személyre vonatkozó egészségügyi dokumentációban foglalt személyes adat kezelésére az egészségügyi adat és az egészségügyi dokumentációban foglalt személyes adat kezelésére vonatkozó kötelező európai uniós jogi aktusban vagy jogszabályban foglalt szabályokat kell alkalmazni. A jogalkotó tehát e tekintetben kiterjeszti az adatvédelmi szabályok alkalmazását az elhunyt személy bizonyos adataira is (főszabály szerint a személyes adatok védelmének szabályait élő természetes személyek adataira kell alkalmazni). 

(A javaslat Eüaktv-t érintő rendelkezéseit lásd a 15. pontban, 35-37. §) 

4. Humángenetikai adatok védelme  

Az adatok különösen szenzitív jellege és az ehhez kapcsolódó emelt szintű adatvédelmi követelmények miatt szükséges a humángenetikai adatokkal kapcsolatos törvény módosítása is. A javaslat alapján a törvény előírná például, hogy humángenetikai kutatás céljából csak anonimizált, kódolt vagy pszeudonimizált genetikai minta, illetve adat továbbítható harmadik országba, és csak abban az esetben, ha az adott ország joga legalább az e törvényben, továbbá az általános adatvédelmi rendelet  fejezetében meghatározott adatvédelmet biztosítja. Kódolt genetikai minta és adat harmadik országba történő továbbítása során a személyazonosításra alkalmassá tételhez szükséges kódkulcs nem továbbítható.

(A javaslat humángenetikai adatok kezelését érintő rendelkezéseit lásd a 33. pontban, 69-72. §) 

5. Kereskedelmi törvény 

A kereskedelemről szóló 2005. évi CLXIV. törvény javasolt módosítsa a vásárlók könyvébe bejegyzett személyes adatok védelmét garantálná. A bevezetendő új rendelkezés alapján, a más vásárlók által a vásárlók könyvébe bejegyzett személyes adatok megismerése lehetőségének kizárása céljából a vásárlók könyvéből a kereskedő a bejegyzést követően haladéktalanul eltávolítja a panaszt vagy javaslatot tartalmazó oldalt, azt elzártan – a folyamatos sorszámozás rendjének megfelelően – megőrzi és a hatóság felszólítására rendelkezésre bocsátja.  

(A javaslat Kereskedelmi törvényt érintő rendelkezéseit lásd a 27. pontban, 59. §)