Hosszú várakozás után végre felszállt a füst és megjelent az EU általános adatvédelmi rendeletéhez kapcsolódóan a magyarországi szabályozás módosításának első tervezete. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról szóló előterjesztés 2017. szeptember 8-án 14 óráig észrevételezhető. A közzétett tervezet egyrészt az EU általános adatvédelmi rendeletének (GDPR) végrehajtásához, másrészt a bűnügyi adatkezelésekre vonatkozó 2016/680/EU irányelv implementálásához szükséges módosításokat tartalmazza.

A NAIH július végén állásfoglalást bocsátott ki a blokklánc ("blockchain") technológia adatvédelmi összefüggéseivel kapcsolatban. Az alábbiakban összefoglaltuk az állásfoglalás legfontosabb megállapításait, illetve összegyűjtöttünk néhány további olyan adatvédelmi kérdést, amely felmerül a technológiával kapcsolatban, figyelemmel a GDPR közelgő alkalmazandóvá válására is tekintettel.

Az állásfoglalás először rögzíti az Infotv. alapján a fogalmi kereteket, majd röviden ismerteti a blokklánc technológia technikai hátterét. Ezt követően lényegében az alábbi adatvédelmi kérdéseket vizsgálja részletesebben a NAIH:

• Ki minősül adatkezelőnek, illetve adatfeldolgozónak?
• Mi az adatkezelés jogalapja?
• Melyik hatóságnak van joghatósága?
• Felmerülhet-e a profilozás kérdése a blokklánc technológia alkalmazásával kapcsolatban?

A NAIH közzétett a honlapján egy bírósági döntést, amely egy korábbi NAIH határozat bírósági felülvizsgálatára irányuló ügyben született. Az eset érdekessége, hogy bár még a régi Pénzmosási törvény alapján került elbírálásra, ugyanakkor utalásokat találhatunk benne a 2017. június 26-án hatályba lépett új Pénzmosási törvény (új Pmt.) okiratmásolásra vonatkozó szabályaira és annak NAIH általi értelmezésére is. (A személyes okmányok másolásának kérdésével az új Pmt. rendelkezései alapján ebben a posztban foglalkoztam részletesen.)

Az ítéletben hivatkozott NAIH álláspont szerint az új Pmt. lehetőséget ad az okiratok másolására. Ugyanakkor azt is megjegyzik, hogy a korábban jogszerűtlenül (azaz a régi Pmt. alapján) készített okiratmásolatokat meg kell semmisíteni, hiszen az új Pmt. nem biztosított azok megőrzésére semmilyen felhatalmazást, a régi Pmt. alapján pedig az okiratmásolatok készítése a személyesen megjelenő ügyfelek esetében jogszerűtlen volt. A bíróság is osztotta a NAIH álláspontját, miszerint az új Pmt. hatályba lépését megelőzően jogsértően beszerzett másolatok megőrzésére nincsen lehetőség.   

A megtámadott NAIH határozat is elérhető a NAIH honlapján.

Many data controllers consider consent as the primary or preferred legal basis for data processing. Although in many cases it would be justified to use another legal basis instead of the consent, data controllers often obtain consents from the data subjects.

Not only data controllers have this consent-centered approach, but as Article 29 Working Party’s (WP29) opinion analyzing the concept of consent also sets out: "The Directive clearly presents consent as a ground for lawfulness. However, some Member States see it as a preferred ground, sometimes close to a constitutional principle, linked to the status of data protection as a fundamental right." (Opinion No 15/2011 on the definition of consent, p. 7)

Article 7 of Directive 95/46/EC (the “Directive") laid down the legal bases on which legitimate data processing can be based. This list contains, in the first place, the consent of the data subject (Point (a) of Article 7). For historical reasons, and because of the fact that the information right of self-determination of the data subject may be exercised at the most through the right to provide consent for data processing, consent also has a priority role in creating a legal basis for data processing in Hungary. At the same time, it is also clear from the Hungarian data protection authority’s (NAIH) practice that data controllers also prefer to use consent as a legal basis for data processing in cases where the conditions of obtaining consent are not fulfilled (e.g. in the case of data processing in the workplace, due to the dependency based on the employer/employee relationship, consent can only exceptionally be the legal basis for data processing - see the Hungarian data protection authority’s Guidelines on Data Processing in an Employment Context).

The legal bases for data processing as defined in Article 6 of the GDPR are essentially the same as those set out in Article 7 of the Directive. What constitutes a significant novelty compared to the current situation is that, due to the direct effect of the Regulation, the rules will not be transposed by the Member States and thus situations where the direct effect of the Directive had to be relied on because of the lack of, or improper, transposition of the Member States can be avoided (e.g. the ASNEF case).

A hozzájárulásra sok adatkezelő úgy tekint, mint az adatkezelés elsődleges vagy kiemelt jogalapjára. Annak ellenére, hogy számos esetben a hozzájárulás helyett más jogalap alkalmazása lenne indokolt, az adatkezelők gyakran ilyenkor is hozzájárulást szereznek be az érintettektől.

Nemcsak az adatkezelők hozzáállásában jelenik meg ez a hozzájárulás-centrikusság, hanem amint a hozzájárulás fogalmát nagyon részletesen elemző 29-es cikk szerinti munkacsoporti (WP29) vélemény is rögzíti: „az irányelv egyértelműen a jogszerűség egyik jogalapjaként mutatja be a hozzájárulást. Néhány tagállam azonban elsőbbségi jogalapként, néha már-már az adatok védelmének alapvető jogi státuszához kapcsolódó alkotmányos alapelvként kezeli.” (15/2011. számú vélemény a hozzájárulás fogalommeghatározásáról, 7. o.)

A 95/46/EK irányelv ("Irányelv") 7. cikke határozta meg azokat a jogalapokat, amelyekre jogszerű adatkezelést lehet alapozni. Ebben a felsorolásban szerepel az első helyen az érintett hozzájárulása (7. cikk a) pont). Történeti okokból és abból fakadóan, hogy a hozzájárulás révén gyakorolható talán leginkább az érintett információs önrendelkezési joga, az adatkezelések jogalapjának megteremtése kapcsán Magyarországon is kiemelt helyet foglal el a hozzájárulás. Ugyanakkor az is egyértelmű a NAIH gyakorlata alapján, hogy az adatkezelők olyan esetekben is előszeretettel „használják” a hozzájárulást jogalapként, maikor ennek nem állnak fenn a feltételei (pl. munkahelyi adatkezelés kapcsán a hozzájárulás a felek alá-fölérendeltségi helyzetére tekintettel, csak nagyon kivételes esetekben képezheti az adatkezelés jogalapját – lásd a munkahelyi adatkezelésekre vonatkozó NAIH tájékoztatót).

A GDPR 6. cikkében meghatározott adatkezelési jogalapok lényegében megegyeznek az Irányelv 7. cikkében szereplő jogalapokkal. Ami lényeges újdonságot jelent az eddigiekhez képest, hogy a Rendelet közvetlen hatálya miatt nem kerül sor tagállami átültetésre és így elkerülhetők lesznek azok az esetek, amikor az elmaradt vagy nem megfelelő tagállami átültetés miatt az Irányelv közvetlen hatályára kellett hivatkozni (pl. ASNEF-ügy).

(Frissítés (2020.06.10.): 2020. májusában az Európai Adatvédelmi Testület is kiadta a hozzájárulásra vonatkozó iránymutatását.)

Sokakat meglepetésként ért, hogy június 26-án hatályba lépett az új pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvény (2017. évi LIII. törvény). A mindennapokban leginkább tetten érhető újdonság, hogy egyes csekkek befizetésekor a postán is sor került a személyazonosság ellenőrzésére.   

Az új pénzmosási törvény kapcsán több helyen is megjelent hírként a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnökére hivatkozással, hogy bár a személyazonosításra sor kerülhet, azonban - a kaszinók kivételével - nem másolhatók le a személyi okmányok.  

A NAIH - és korábban az adatvédelmi biztos - gyakorlata is egyértelmű volt abban, hogy kifejezett törvényi felhatalmazás hiányában törvénytelen a személyazonosító okmányok másolása és sérti a célhoz kötött adatkezelés elvét még akkor is, ha a másolat elkészítéséhez beszerzik az érintett hozzájárulását. A pénzmosási törvény tervezetéhez a Nemzetgazdasági Minisztérium részére megküldött, 2017. március 31-én kelt véleményében is úgy foglalt állást a NAIH, hogy az általános okmánymásolási kötelezettség előírása indokolatlan lenne. Az új pénzmosási törvény azonban új helyzetet teremt, hiszen úgy tűnik, hogy az elfogadott jogszabályban - a NAIH véleményében foglaltak ellenére - szerepel az okmányok másolására vonatkozó kötelezettség. 

Az új uniós adatvédelmi rendelet (GDPR) bemutatása kapcsán szinte mindig főszerep jut az elszámoltathatóság elvének, amelyet hangzatosan gyakran „szuperalapelvnek” titulálnak. Bár az elszámoltathatóság elvét korábban nem hallhattuk ennyit emlegetni, azonban nem egy újdonságról van szó, amit a GDPR vezetett be, sokkal inkább arról, hogy a GDPR az elszámoltathatóságot alapelvi szintre emelte és az eddigiekhez képest is sokkal inkább a középpontba helyezte. (Olyannyira nem újdonság egyébként, hogy már az 1980-as OECD adatvédelmi iránymutatás 14. pontjában is megjelent.)

Érdekesség, hogy maga az „elszámoltathatóság” szó mindössze két alkalommal fordul elő a rendelet szövegében, egyszer a preambulumban és egyszer az alapelvek felsorolásánál.

The principle of accountability almost always plays a key role when the EU’s new Data Protection Regulation (GDPR) is discussed. This principle is often referred to as a "super principle". Although the accountability principle has not been mentioned so often before, it is not a novelty introduced by GDPR. (Actually, accountability was already mentioned in Section 14 of the OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data in 1980). However, GDPR has brought accountability more into focus than before.

It is interesting to note that the word "accountability" itself occurs only two times in the Regulation, once in the preamble and once in the list of principles.

Érdekes felmérést közölt az ír adatvédelmi biztos (Data Protection Commissioner) az ír KKV-k felkészültségéről az új adatvédelmi rendelet (GDPR) alkalmazására. Ha röviden akarnánk összegezni: a helyzet eléggé lesújtó. Egy évvel azelőtt, hogy a GDPR-t élesben alkalmazni kellene, az ír KKV-k kevesebb, mint egyharmada van tudatában annak, hogy 2018. májusától nekik is alkalmazniuk kell a Rendeletet (a KKV-k kétharmada hallott egyáltalán magáról a GDPR-ról). (A felmérést az Amárach Reserach készítette 500 ír KKV megkérdezésével, 2017. április 24. és 2017. május 10. között.)

Ha egy kicsit mélyebbre ásunk, akkor azt láthatjuk, hogy az ír kisvállalkozások kevesebb, mint 20%-a tudott megnevezni legalább egy konkrét változást, amelyre fel kell készülnie. Ennek megfelelően a kisvállalkozások négyötöde nem is azonosított semmilyen tennivalót a GDPR-nak való megfelelés érdekében. Természetesen a KKV-k között a méret növekedésével növekszik a tudatosság is, az 50-249 főt foglalkoztató középvállalkozások esetében jobb eredmények születtek, mint a 49 főnél kevesebb munkavállalót foglalkoztató társaiknál.

Bár hasonló magyarországi felmérésről nincs tudomásunk, feltételezhető, hogy a KKV-k GDPR-tudatossága tekintetében Magyarországon semmivel sem jobb a helyzet.

Miért kell a KKV-knak is foglalkozniuk a GDPR-ral?

Elsősorban azért, mert a GDPR - ahogy a jelenlegi hatályos adatvédelmi szabályozás is - főszabály szerint minden adatkezelőre és adatfeldolgozóra vonatkozik, így a kisvállalkozások által folytatott adatkezelési tevékenységekre is kiterjed.

Bár a Rendelet rögzíti a preambulumában (13. pont), hogy „e rendelet alkalmazása során az uniós intézményeket és szerveket, és a tagállamokat és azok felügyeleti hatóságait ösztönözni kell, hogy vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit” és maga a Rendelet is - bizonyos feltételek fennállása esetén - megállapít könnyítést a KKV-k számára (pl. nyilvántartás vezetési kötelezettség tekintetében), ugyanakkor a kötelezettségek jelentős része valamilyen formában a kisebb társaságokat is érinti.

An interesting survey was published by the Irish Data Protection Commissioner on the Irish SMEs' readiness for the application of the EU’S new general data protection regulation (GDPR). If we want to summarize the findings of the survey briefly: the situation is quite depressing! One year before the GDPR is to be applicable, less than one third of Irish SMEs are aware of the fact that they will also have to apply the Regulation from May 2018 (two thirds of SMEs have heard of the GDPR itself).

If we dig a little deeper, we can see that less than 20% of Irish small businesses could name at least one specific change that they need to prepare for. Accordingly, four fifths of small businesses have not identified any steps that need to be made in order to meet the requirements of the GDPR. Of course, the larger the SME, the higher the awareness: the results are better with medium-sized companies employing 50-249 people than in the case of their counterparts with fewer than 49 employees. (The survey was carried out by Amárach Research, interviews were conducted with 500 businesses spread across the Republic of Ireland between April 24 and May 10, 2017.)

Although we do not know about similar surveys in Hungary, it can be assumed that the situation with regards to the GDPR awareness of SMEs in Hungary is not better at all.

Why do SMEs also need to deal with GDPR?

First and foremost because GDPR, as is currently the case with data protection legislation, applies to all data controllers and processors, so it also covers data processing activities carried out by small businesses.

Although the Regulation states in its preamble (point 13) that "the Union institutions and bodies, and Member States and their supervisory authorities, are encouraged to take account of the specific needs of micro, small and medium-sized enterprises in the application of this Regulation" and the Regulation itself also provides for facilitation for SMEs (e.g., regarding the obligation to maintain records of processing activities), a large part of the obligations also affect small companies.