A napokban múlt 30 éve, hogy közzétételre került az Alkotmánybíróság híres, ún. "személyi szám határozata" (15/1991 (IV.13.) AB határozat). Bár a határozat immár több, mint 30 éves és időközben számos olyan jogszabályi, illetve jogalkalmazásbeli változás történt, amely a határozat egyes megállapításaihoz képest elmozdulást jelent (lásd a témához például Dr. Jóri András: Adatvédelem: az alapjogvédelmi teszttől az érdekmérlegelésig c. cikkét), a határozat teljes egészében mégsem tekinthető idejét múltnak és a mai napig érezteti hatását az adatvédelmi gondolkodásban.
Miért fontos ez a határozat?
A 15/1991 (IV.13.) AB határozat nem az első volt az Alkotmánybíróság (AB) személyes adatok védelmével foglalkozó határozatai közül, ugyanakkor egyrészt tárgya miatt, másrészt több olyan általános megállapítására tekintettel, amelyek az adatvédelmi gondolkodás alapjait fektették le, fontos hivatkozási pont maradt mind a mai napig.
Az Alkotmány 59. §-ában már megjelent a személyes adatok védelméhez fűződő jog, de a határozat még jóval az első adatvédelmi törvény (1992. évi LXIII. törvény, Avtv.) elfogadása előtt született meg és jelentős mértékben támaszkodott a német adatvédelmi gondolkodásra, amely - a határozatban kifejezetten hivatkozott - ún. népszámlálás-ítéletben (1983) az információs önrendelkezési jogot megfogalmazta.
A NAIH - elsősorban jogszabályok véleményezése kapcsán - még a közelmúltban is (pl. 2016-ban a hitelbiztosítéki nyilvántartásról szóló törvény véleményezése kapcsán, vagy 2019-ben a horgásznyilvántartással (!) kapcsolatban) több alkalommal hivatkozott azon elvekre, amelyek ebben az AB határozatban jelentek meg.
Mit mond ki ez a határozat, amelynek mind a mai napig érvényes üzenete van?
Az egyik fontos tételmondata a határozatnak, hogy az Alkotmánybíróság "[...] a személyes adatok védelméhez való jogot nem hagyományos védelmi jogként értelmezi, hanem annak aktív oldalát is figyelembe véve, információs önrendelkezési jogként." Az információs önrendelkezési jog gyakorlásának feltételeként pedig a célhoz kötöttség elvének érvényesülését határozza meg az AB:
Ez azt jelenti, hogy személyes adatot feldolgozni csak pontosan meghatározott és jogszerű célra szabad. Az adatfeldolgozásnak minden szakaszában meg kell felelnie a bejelentett és közhitelűen rögzített célnak. Az adatfeldolgozás célját úgy kell az érintettel közölni, hogy az megítélhesse az adatfeldolgozás hatását jogaira, és megalapozottan dönthessen az adat kiadásáról; továbbá, hogy a céltól eltérő felhasználás esetén élhessen jogaival. Ugyanezért az adatfeldolgozás céljának megváltozásáról is értesíteni kell az érintettet. Az érintett beleegyezése nélkül az új célú feldolgozás csak akkor jogszerű, ha azt meghatározott adatra és feldolgozóra nézve törvény kifejezetten megengedi. A célhozkötöttségből következik, hogy a meghatározott cél nélküli, „készletre”, előre nem meghatározott jövőbeni felhasználásra való adatgyűjtés és -tárolás alkotmányellenes.
Az adatkezelés (a határozatban használt terminológiát tekintve, feldolgozás alatt adatkezelést kell értenünk) - a korábbi hozzájárulás vagy törvényi felhatalmazás bináris megközelítésén túllépve - lehetséges jogalapjainak köre kiszélesedett, de a célhoz kötöttség, mint az adatkezelés egyik központi alapelve továbbra is megkerülhetetlen (vö. GDPR 5. cikk (1) bekezdés b) pont). Az adatkezelési cél pontos meghatározása a jogszerű adatkezelés kiindulópontját jelenti ma is.
A készletező adatkezelés fogalma pedig a NAIH 2019-es, Sziget Zrt-t érintően hozott határozatában is feltűnik. Az adatkezelőknek úgy kell megtervezniük, kialakítaniuk az adatkezelési folyamataikat, hogy az adatkezelés - a célhoz kötöttség és adattakarékosság - elveire is figyelemmel kizárólag az adott adatkezelési cél szempontjából szükséges adatokra korlátozódjon, azaz el kell kerülni az olyan adatok kezelését, amelyek ehhez nem szükségesek. Ennek megvalósítása során támaszkodhatnak az adatkezelők a beépített és alapértelmezett adatvédelem elveire (GDPR 25. cikk), amelyek érvényesítése - többek között - megfelelően szolgálhatja a készletező adatkezelés elkerülését is.
Szintén meghatározó eleme a határozatnak az osztott információs rendszerek elve, illetve az egységes személyi azonosító tilalma, amely védi az állampolgár egy egységes "személyiségprofil" kialakításával szemben, amely azzal a veszéllyel fenyeget, hogy
[...] [e]z teljesen kiszolgáltatja neki az adatalanyokat, átvilágíthatóvá teszi magánszférájukat is, továbbá egyenlőtlen kommunikációs helyzetet eredményez, amelyben az érintett nem tudja, hogy az adatfeldolgozó mit tud róla. Az eredeti összefüggésekből szükségképpen kiragadott adatokból összeállító ún. „személyiségprofil”, amely a személyiségi jogokat különösen sérti, s amelynek elkerülése az egyes adatfeldolgozások jogszerűsége megítélésénél alapvető szempont, a széles, de határozatlan gyűjtőkörű adatfeldolgozás velejárója. Mindezekért az ilyen adatfeldolgozás az emberi méltóságot sérti.
(A fenti veszélyre hívta fel 2019-ben a NAIH a figyelmet az egyes ügyintézési folyamatok egyszerűsítéséről szóló előterjesztés véleményezése kapcsán.)
Az elmúlt 30 évben számos változás történt az adatvédelmi jogalkotás és jogalkalmazás terén, de ettől függetlenül a 15/1991 (IV.13.) AB határozat továbbra is olyan kályha, amelyhez vissza-visszajárunk, amikor az adatvédelem egyes alapvető elemeit szeretnénk megvilágítani.
