Keveset lehetett hallani róla, de a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) november 20-i dátummal közzétett egy jelentést a politikai pártok törléshez való joggal kapcsolatos adatkezelési gyakorlatáról ("Jelentés").
A Jelentés az Európai Adatvédelmi Testület 2025-ös összehangolt végrehajtási keretének (Coordinated Enforcement Framework, CEF) fókuszával (törléshez való jog) összhangban készült, de attól függetlenül, a Hatóság saját kezdeményezésére.
A CEF az Európai Adatvédelmi Testület egyik kulcsfontosságú intézkedése a 2024-2027-es stratégiája keretében, amelynek célja az adatvédelmi hatóságok közötti együttműködés erősítése. (A 2025-ös CEF-re vonatkozó testületi bejelentés itt érhető el. A NAIH kapcsolódó közleménye pedig itt, amelyben a NAIH jelezte, hogy a 2025-ös összehangolt felmérés keretében a hazai bankszektorban működő adatkezelők törlési joghoz kapcsolódó gyakorlatát kívánja felmérni. A korábbi évek együttműködése alapján készült jelentések elérhetők: (i) 2023, (ii) 2024.)
A Jelentés a GDPR szerinti törléshez (elfeledtetéshez) való jog gyakorlati érvényesítését vizsgálja, kifejezetten a a politikai pártokra fókuszálva. A Jelentés elkészítéséhez a 2024-es európai parlamenti választáson listát állító 14 pártot keresték meg, és a kérdőíves felmérésre adott válaszaik alapján állt össze a Jelentés. A Hatóság célja a jó gyakorlatok bemutatása, a pártoknak szóló javaslatok megfogalmazása és a nyilvánosság számára helyzetértékelés nyújtása volt.
A NAIH a pártok törlési gyakorlatára vonatkozó jelentéssel egyidejűleg közzétett egy másik jelentést is, amely az online médiatartalom-szolgáltatók törléshez való joggal kapcsolatos adatkezelési gyakorlatát mutatja be, 10 szolgáltatótól - szintén kérdőíves módszerrel - gyűjtött információk alapján. (Az alábbiakban az online médiatartalom-szolgáltatókra vonatkozó jelentés egyes, a pártok tekintetében tett megállapításokon túlmutató elemeire még visszatérek.)
A pártok adatkezelése leginkább tagokra, érdeklődőkre/szimpatizánsokra és támogatókra terjed ki, kisebb arányban érintettek a munkavállalók és rendezvényeken résztvevők. Több párt szerint nem kezelnek érzékeny csoportokra vonatkozó adatokat, de egyeseknél megjelöltek érzékeny csoportokat, mint gyermekek, kiszolgáltatott helyzetű személyek és más szenzitív csoportok adatkezelése; egy pártnál romák, idősek és fogyatékkal élők is megjelölésre kerültek a szenzitív csoportok között.
1. Mi az a törléshez (elfeledtetéshez) való jog?
A törléshez való jog („az elfeledtetéshez való jog”) a GDPR-ban (és más kontextusban a bűnüldözési adatkezelési irányelv alapján az Infotv-ben, lásd Infotv. 20.§) szabályozott érintetti jog. (A pártok által végzett adatkezelések jellegére tekintettel a pártok tekintetében a GDPR alkalmazandó.)
A GDPR 17. cikke alapján
az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
- a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
- az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
- az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezeléseó ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
- a személyes adatokat jogellenesen kezelték;
- a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
- a személyes adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Az "elfeledtetéshez való jog" a törléshez való jog online környezetben történő alkalmazása, amely a Google Spain-ügyben (C-131/12. sz. ügy) hozott ítéletre vezethető vissza. Eszerint, ha az adatkezelő nyilvánosságra hozta a személyes adatot, és azt a fentiek értelmében törölni köteles, az elérhető technológia és a megvalósítás költségeinek figyelembevételével meg kell tennie az észszerűen elvárható lépéseket – ideértve technikai intézkedéseket – annak érdekében, hogy tájékoztassa az adatokat kezelő adatkezelőket, hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.
Fontos azonban, hogy a töréshez való jog nem abszolút, lehetnek kivételek, amelyek fennállása esetén nem kell, hogy a törlésre sor kerüljön. Nem kell, hogy a törlésre ("elfeledtetésre") sor kerüljön, amennyiben az adatkezelés szükséges:
- a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából;
- a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából;
- a 9. cikk (2) bekezdése h) és i) pontjának, valamint a 9. cikk (3) bekezdésének megfelelően a népegészségügy területét érintő közérdek alapján;
- a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést; vagy
- jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez.
A törlési kérelmeket az adatkezelőnek meg kell vizsgálnia, és indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a kérelem nyomán hozott intézkedésekről (lásd GDPR 12. cikk (3) bekezdés). Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. Ezen határidő esetleges meghosszabbításáról is tájékoztatni kell az érintettet, mégpedig az eredeti legfeljebb 1 hónapos határidő lejárta előtt (a tájékoztatásban meg kell jelölni a késedelem okait is).
2. A Jelentés főbb megállapításai
A pártok általi adatkezelésekkel érintettek becsült száma széles skálán mozog, egészen a több, mint 1 millióig terjedően.
A 2022–2024 közötti időszakban a legtöbb párt kapott törlési kérelmet, ezek száma pártonként széles sávban mozgott (1–50, 51–500, illetve akadt 500 feletti is). A pártok többsége a kérelmeket teljesítette, de akadt egy párt, ahol az elutasítási arány meghaladta az 50%-ot (persze kérdés, hogy ez milyen darabszám mellett fordult elő). A kérelmek ritkábban kapcsolódtak a GDPR 21. cikk szerinti tiltakozás jogához (egy párt esetén a törlés iránti kérelmek több mint ötven százaléka, egy másik pártnál csupán csekély része – tíz százalék alatti arány – kapcsolódott olyan esethez, amikor ugyanazon érintett a GDPR 21. cikk szerinti tiltakozáshoz való jogát is gyakorolta).
A GDPR 21. cikke (tiltakozáshoz való jog) szerint az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a kezelése ellen, ha (i) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges (GDPR 6. cikk (1) bek. e) pont) vagy (ii) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges (GDPR 6. cikk (1) bek. f) pont). Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
A kérelmeket jellemzően párttagok és szimpatizánsok nyújtották be.
A pártok többségének nincs írásban rögzített belső szabályzata a törlési kérelmek kezelésére, de van kialakult eljárási rendjük; volt olyan párt, amely a hatósági kérdőív hatására készített adatmegsemmisítési szabályzatot. A törlési kérelmek intézésében gyakran az adatvédelmi tisztviselő (DPO) az elsődleges szereplő. Fontos azonban, hogy a DPO adatkezelést érintő döntést nem hozhat, hiszen az összeférhetetlen a DPO pozícióval. Képzéseket a pártok többsége tart, de több pártnál nincs célzott tréning a törlési kérelmekről. Ahol sor kerül képzésre ott, az leginkább általános GDPR képzés keretében valósul meg, de előfordul kampányidőszakhoz kötött oktatás, illetve van olyan párt, ahol az eljárásokat támogató kézikönyv is készült.
A teljesítési idők jellemzően a GDPR szerinti 1 hónapos határidőn belül maradnak, sokszor 1–4 hét, sőt néhol akár néhány nap vagy percek alatt megtörténik az automatikus folyamatok miatt; határidő-hosszabbítás ritka és főként tömeges kérelmek vagy technikai okok indokolják. Általánosságban a pártok változatos kritériumok alapján állapítják meg a törlés szükségességét (cél megszűnése, jogszabályi megőrzés, kapcsolattartás megszűnése), hozzájárulás visszavonásakor tipikusan gyors törlést, értesítést és dokumentálást alkalmaznak.
A tiltakozási kérelmek intézésére nem egységes a gyakorlat, de jellemző az esetenkénti vizsgálat, érdekmérlegelés és törlés; több párt (szám szerint, 5) nem kezel „jogos érdek” jogalapon adatot, ezért a GDPR 21. cikk szerinti jog gyakorlása ritkábban merül fel. Olyan eset a pártok válaszai alapján nem merült fel, amikor az adatok törlését „az adatkezeléshez fűződő kényszerítő erejű jogos okra” hivatkozva tagadták volna meg.
A nyilvánosságra hozatal nem általános, ahol előfordul, tipikusan hozzájáruláson alapul, és törlési kérelem esetén a pártok haladéktalanul eltávolítanak és értesítik a harmadik feleket ésszerű keretek közt. A GDPR 17. cikk (3) bekezdés szerinti kivételeket ritkán alkalmazzák, ahol igen, ott jellemző a jogi igények védelme vagy tagállami kötelezettségek (pl. számvitel, adózás) miatti további kezelés. Egyetlen párt sem jelezte, hogy valaha is megtagadta volna az adatok törlését a „véleménynyilvánítás szabadságára és a tájékozódáshoz való jogra” hivatkozva. Ha az azonnali törlés nem biztosítható, előfordul zárolás/korlátozás (lásd GDPR 18. cikk, az adatkezelés korlátozásához való jog), és az érintett tájékoztatása, de a legtöbb válaszadónál nem fordult elő ilyen eset. A címzettek értesítését többnyire e-mailben végzik, és elektronikusan dokumentálják, a beérkezés visszaigazolása viszont nem egységes, e körben mutatkoznak hiányosságok.
A pártok többsége nem használ formális műszaki szabványokat a törléshez, jellemző a végleges, visszaállíthatatlan törlés (pl. anonimizálás), papíron fizikai megsemmisítés, és az informatikai eszközökre kevésbé támaszkodó végrehajtás. Külső törlőszolgáltatót nem vesznek igénybe, az anonimizálás nem általános, és a többség a törlést a biztonsági másolatokban is végrehajtja, bár van, ahol a mentések automatikusan törlődnek 1–4 héten belül. A legnagyobb technikai nehézségek a kérelmek követhetősége és a mentésekből való törlés körül jelentkeznek.
Az online médiatartalom-szolgáltatókra vonatkozó jelentés esetében a pártokra vonatkozó megállapításokhoz képest találhatunk néhány fontos gyakorlati, pl. a jogalapokra és kivételek alkalmazására vonatkozó eltérést.
Természetesen az alapvető eltérést az adatkezelés közege és célja jelenti, hiszen az online médiatartalom-szolgáltatóknál az adatkezelés középpontjában a cikkekben/tartalmakban szereplő személyek és az olvasók/fogyasztók állnak, míg a pártoknál a tagok, szimpatizánsok és támogatók a fő érintettek. Ez a különbség a törlési kérelmek természetét és elbírálását is érdemben befolyásolja. A médiaszolgáltatóknál általános a honlapon nyilvánosságra hozott adatok kezelése. A 2022-2024. évekre vonatkozóan a 10 szolgáltatóból 9-hez érkezett a GDPR 17. cikke szerinti törlési kérelem. A beérkezett kérelmek száma jellemzően alacsony vagy közepes nagyságrendű (1-50 között), de akadtak olyan médiaszolgáltatók is, amelyek több száz esetet regisztráltak. Egy szolgáltató jelezte, hogy a vizsgált időszakban egyáltalán nem érkezett hozzá törlés iránti kérelem.
A jogalapok és a törlés alóli kivételek kapcsán hangsúlyosan jelenik meg, hogy a médiában a törléshez való jog elbírálásakor központi jelentőségű a véleménynyilvánítás és a tájékozódáshoz való jog érvényesülése, valamint a sajtószabadságról és a médiatartalmak alapvető szabályairól szóló 2010. évi CIV. törvény (Smtv.) speciális szabályainak az alkalmazása (lásd különösen Smtv 15. § és 10. §). A médiaszolgáltatók rendszeresen alaklamazzáj a jogos érdeken alapuló adatkezelést és végeznek érdekmérlegelést és hivatkoznak az Alkotmánybíróság és az EJEB ítélkezési gyakorlatára (pl. Hurbain kontra Belgium) a törlés mellőzésének alátámasztására. A médiában kifejezetten előfordul a törlés megtagadása közérdeklődésre számot tartó ügy, sajtószabadság és történelmi-társadalmi dokumentálási célokra hivatkozva. A médiaszolgáltatók többsége tiltakozás esetén érdekmérlegelési tesztet végez annak vizsgálatára, hogy fennáll-e olyan kényszerítő erejű jogos érdek, amely az adatkezelés folytatását indokolja az érintett tiltakozása ellenére. "A válaszok szerint ilyen indok lehet például a közérdeklődésre számot tartó ügy, az alkotmányos alapjoghoz – így különösen a sajtószabadsághoz – kötődő cél, történelmi vagy társadalmi jelentőségű esemény dokumentálása, valamint a közhatalmat gyakorló szervek átláthatóságának, illetve a közpénzek felhasználásának ellenőrizhetősége." (lásd az online média-szolgáltatókra vonatkozó jelentés 4. o.).
A médiában a törlési kérelmek jelentős része a közzétett cikkekben szereplő adatokra vonatkozik, és a tiltakozáshoz kapcsolódó arány szolgáltatónként széles sávban mozog (akár 40–50% is lehet). A médiában gyakoribb és jogilag összetettebb az elutasítás a sajtó- és tájékoztatási szabadságra tekintettel. A Hatóság viszont felhívta a figyelmet arra, hogy ha a GDPR 17.cikk (1) bekezdés d) pontja szerint a személyes adatokat jogellenesen kezelték, akkor a személyes adatok törlésére az adatkezelő köteles. Abban az esetben tehát, "ha a közzététel jogellenességét megállapítja a Hatóság vagy bíróság sajtóhelyreigazítási vagy más perben, a személyes adat törlésének kötelezettsége alól nincs kivétel." (lásd az online média-szolgáltatókra vonatkozó jelentés 5. o)
A médiacégek fele rendelkezik írásbeli eljárásrenddel a törlési jog kezelésére, a másik fele belső protokollt követ. A médiában a kérelmek kezelésében a jogi osztály, szerkesztőség és – nem ritkán – ügyvédi irodák is elsődleges szereplők. A médiában gyakori és célzott oktatás jelenik meg (pl. újságíróknak).
A médiában rendszerszintű kérdés a nyilvános archív tartalmak kezelése, beleértve a honlapról és közösségi felületekről történő eltávolítást, valamint a keresőmotorok általi elérhetőség csökkentését. Ebben az ágazatban sajátosan jellemző a „szemlézés” (másodközlés) felelősségi kérdése: az átvett cikkek személyes adatainak törléséért a szemléző kiadó is önállóan felel. A médiában bevett gyakorlat az is, hogy azonnali törlés helyett átmeneti korlátozást alkalmaznak jogvita tisztázásáig.
A jelentések az mutatják, hogy mindkét szektor kerüli a külső törlőszolgáltatók bevonását, de a médiában gyakrabban hivatkoznak konkrét CMS/CRM rendszerekre és a kereshetőség kezelésére vonatkozó lépésekre.
A médiában hangsúlyosan jelenik meg a GDPR 85. cikkének (a személyes adatok kezelése és a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog) tagállami implementációja körüli bizonytalanság és az egységes jogalkalmazási standardok hiánya; a Hatóság szerint a jelenlegi magyar jogi környezet több ágazati jogon és joggyakorlaton keresztül érvényesíti az „összeegyeztetést”, de a jogbiztonság szempontjából felmerül az igény további speciális szabályozásra, igaz, ez merevebb keretrendszert eredményezhet. (A GDPR 85. cikke kapcsán felmerülő kérdésekről ebben a posztban foglalkoztam kicsit részletesebben.)
Összefoglalva, az online média-szolgáltatók tekintetében a törlési jog elsődlegesen a sajtószabadság és a közérdek mérlegelése mentén dől el, jóval nagyobb szerepet kap a jogos érdek, mint jogalap és így a tiltakozáshoz való jog gyakorlása. Speciális szempontként jelennek meg az adatok nyilvánosságra hozatalával, az archívummal, a szemlézéssel és a kereshetőséggel kapcsolatos kérdések.
3. A Hatóság által megfogalmazott ajánlások és jó gyakorlatok
A Hatóság kiemelten javasolja
- írásbeli belső szabályzat kialakítását a törlési kérelmek kezelésére, mert ez az egységes, átlátható és jogszerű ügyintézést segíti,
- a szervezeten belül egyértelmű felelősségi rendet rögzíteni, és a döntési folyamatban jogi/adatvédelmi szakismeretű szereplőt bevonni, miközben biztosítani kell azt, hogy a DPO ne kerüljön döntéshozói helyzetbe,
- rendszeres, dokumentált adatvédelmi képzés tartását, beleértve a törlési jog eljárásaira vonatkozó oktatást;
- a kérelem beérkezésének visszaigazolását és jó gyakorlatként, a határidők/jogorvoslatok ismertetését,
- annak technikai oldalról történő biztosítását, hogy végleges és ellenőrizhető törlésre kerüljön sor, beleértve a biztonsági mentésekből való törlést is.
Az online média-szolgáltatókra vonatkozó jelentés alapján a fentiekhez hozzátehetjük, hogy amennyiben az adatkezelés jogos érdeken alapul, akkor kiemelten fontos az érdekmérlegelés írásban történő dokumentálása. A szektorban speciális, de fontos szempont a közszereplőkre vonatkozó adatkezelési keretek tisztázása és nyílt ismertetése, valamint a másodközlés felelősségi szempontjainak rögzítése is.
A Jelentés alapján összességében a pártok túlnyomórészt teljesítik a törlési kérelmeket és több jó gyakorlat is kirajzolódik, de az írásbeli belső szabályozás, a képzések rendszerszintűvé tétele, a technikai törlési megoldások és a mentések kezelése terén van tere a fejlesztésnek.
A NAIH fent ismertetett jelentései ugyan a pártok, illetve az online média-szolgáltató tekintetében ismertették a törléshez (elfeledtetéshez) való jog érvényesülését, de a jelentések hasznos olvasmányt jelenthetnek szélesebb körben is, különös tekintettel a Hatóság által megfogalmazott ajánlásokra és jó gyakorlatokra.
