Nem áprilisi tréfa – az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról

2019. április 1-jén az Országgyűlés elfogadta az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról szóló törvényjavaslatot, mely 2019. április 11-én került kihirdetésre (2019. évi XXXIV. törvény; a továbbiakban: VH Törvény). A VH Törvény célja a hazai jogrendszer adaptálása a tavaly tavasszal hatályba lépett Európai Parlament és a Tanács (EU) 2016/679 Rendeletéhez, azaz az EU Általános Adatvédelmi Rendeletéhez (a továbbiakban: GDPR). Ennek érdekében a VH Törvény mindösszesen nyolcvanhat (86) törvény kisebb-nagyobb mértékű módosítását rendeli el. A módosítások egy része csupán a jogszabályban található szóhasználat/hivatkozások javítását célozza, más esetekben azonban szélesebb körben hatályon kívül helyez egyes bekezdéseket a felesleges és sokszor az értelmezést zavaró jogrendszeri duplikációk elkerülése érdekében. Számos jogszabály esetén azonban mélyreható módosításokat, új részeket és teljesen új rendelkezéseket is bevezet. Sok időt sajnos nem kaptak az adatkezelők a felkészülésre mivel a VH Törvény rendelkezéseinek többsége a kihirdetést követő tizenötödik (15.) napon, azaz 2019. április 26-án hatályba léptek.

Alább összefoglaljuk a VH Törvény főbb újításait, elsősorban azokra a szabályokra fókuszálva, amelyek a Magyarországon működő cégek és egyéb gazdasági szereplők működését széles körben érinthetik.

1.  Direkt marketing szabályok

Fontos deregulációs lépés a VH Törvény eredményeként, hogy a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény (a továbbiakban: Kksztv.) hatálya alól kikerül a közvetlen üzletszerzés és az a jövőben kizárólag a közvélemény- és piackutatási célú adatkezelésekre fog vonatkozni. Ez elsősorban abból a szempontból számít lényeges módosításnak, hogy tiszta vizet önt a pohárba és megszünteti a direkt marketing tevékenységek tekintetében sokszor ellentmondásos szabályozást, hiszen eddig a Kksztv. rendelkezéseit a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló a 2008. évi XLVIII. törvény rendelkezéseivel és a GDPR rendelkezéseivel is összhangban kellett alkalmazni és értelmezni, ami sok esetben okozott fejtörést a cégeknek.

Megszűnik emellett a tilalmi lista (Robinson lista) vezetésére vonatkozó kifejezett jogszabályi kötelezettség is.

2.  Egészségügyi adatok kezelése

Tisztulni látszik a kép az egészségügyi adatok kezelésével kapcsolatos elvárások tekintetében is a VH Törvénynek az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvényt (a továbbiakban: Eü. Adatvédelmi Törvény) módosító rendelkezései nyomán.

Törlésre kerül a fogalmak köréből az egészségügyi adat és a személyazonosító adat fogalompárja és helyette rögzíti az Eü. Adatvédelmi Törvény, hogy személyazonosító adatnak minősül az olyan, az egészségügyi adat érintettjének azonosítására szolgáló személyes adat, amelyet az adatkezelő az egészségügyi adattal együtt, az egészségügyi adat kezelésével azonos vagy attól elválaszthatatlan céllal az egészségügyi dokumentáció részeként kezel.

A GDPR-ban rögzítettekkel összhangban pontosítást vezet be a VH Törvény a tekintetben is, hogy kifejezetten rögzíti, hogy az Eü. Adatvédelmi Törvény egyes rendelkezései elhunyt személyekre is kiterjednek és a halál körülményei és oka az egészségügyi adatok részét képzik.

Fontos és régóta várt módosítása az Eü. Adatvédelmi Törvénynek, hogy kikerül belőle az írásbeliség követelménye mint az érvényes hozzájárulás megadásának formai feltétele. Ettől kezdve csupán a „megfelelő tájékoztatáson alapuló önkéntes, egyértelműen kifejezett akaratot tartalmazó, és a szabályszerű nyilatkozat megtételét hitelt érdemlően bizonyító módon tett” nyilatkozat lesz szükséges az egészségügyi adatok kezeléshez adott érvényes hozzájáruláshoz. Ez megteremti a jogszabályi hátterét többek között a napjainkban egyre népszerűbb, különféle egészségügyi adatokat rögzítő és kezelő applikációk jogszerű működéséhez, hiszen mindezidáig – bár feltétel lett volna – a gyakorlatban ritkán voltak adottak a körülmények ahhoz, hogy ezek alkalmazásához minden esetben beszerezzék az érintettek írásbeli hozzájárulását.

Egyértelműen rögzíti az Eü. Adatvédelmi Törvény azt is, hogy az adatkezelő első körben díjmentesen köteles az érintett számára biztosítani a személyes adatainak a másolatát. Minden további másolatért viszont már díj számítható fel. Ennek részleteit várhatóan egy miniszteri rendelet fogja rögzíteni.

3.  Személy- és vagyonvédelem – kamerahasználat, beléptető rendszerek

Sokat várt módosítás a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (a továbbiakban: Szvmtv.) módosítása, melynek különös jelentőségét az adja, hogy egyedül ez a jogszabály határozott meg kifejezetten a személy- és vagyonvédelmi tevékenység körében készített kamerafelvételekre, illetve beléptetőrendszerekre vonatkozó (meglehetősen rövid) megőrzési időket, melyeket analógia útján a Nemzeti Adatvédelmi és Információszabadság Hatóság a gyakorlatában és ajánlásaiban gyakran használt más, az Szvmtv. hatálya alá egyébként nem tartozó adatkezelések megítélése esetén is. Így a jogszabály eredetileg korlátozott tárgyi hatályát messze meghaladó jelentőségre tett szert és sokszor megkötötte a jogalkalmazók kezét a saját belső, céges kamerahasználati és beléptetési szabályzataik és rendszereik kialakításakor.

A VH Törvény sokak által üdvözölt újítása a szigorú és gyakran a kamera- illetve beléptető rendszer használatának célját ellehetetlenítően rövid megőrzési idők törlése. Ez természetesen nem jelenti azt, hogy mostantól korlátlan ideig megőrizhetők a rendszerekben tárolt személyes adatok, hanem azt, hogy a rendszereket alkalmazók felelőssége lesz a jövőben, hogy ezeket a megőrzési időket a GDPR-ral összhangban szabályozzák, figyelembe véve utóbbinak az adatkezelésre vonatkozó alapelveit, így különösen az adattakarékosság és a korlátozott tárolhatóság előírásait.

Rögzíteni fogja viszont a VH Törvény nyomán az Szvmtv., hogy a kamerarendszerek által rögzített felvételek megtekintéséről minden esetben jegyzőkönyvet kell felvenni, mely tartalmazza a betekintés okát, idejét és a betekintő személyek személyazonosságát.

Ehhez kapcsolódik a kamerahasználatot érintő módosítása a VH Törvénynek a társasházakról szóló 2003. évi CXXXIII. törvény, valamint a lakásszövetkezetekről szóló 2004. évi CXV. törvény módosítása. Előbbiekből törlésre kerülnek a jogszabály által előírt megőrzési határidők és az adattovábbításra vonatkozó szigorú korlátozások. Ezeket a kérdéseket a jövőben a GDPR rendelkezéseivel összhangban kell értelmezni és a vonatkozó eljárásrendet kialakítani. Az Szvmtv. új rendelkezéseihez hasonlóan a társasházak kamerafelvételeibe történő betekintés esetén is szükség lesz jegyzőkönyv felvételére és a kamerarendszerrel megfigyelt területre belépni szándékozó személyeket tájékoztatni kell a személyes adatok védelmére vonatkozó előírások alapján szükséges információkról, így különösen a kamerarendszer alkalmazásának tényéről, az érintetteket megillető jogokról, valamint az üzemeltető személyéről és elérhetőségéről.

4.  Munkajogi változások

A VH Törvény legnagyobb publicitást kapó, legszélesebb kört érintő és talán egyben valóban legfontosabb módosításai a munka törvénykönyvéről szóló 2012. évi I. törvényt (a továbbiakban: Munka tv.) érintik.

A VH Törvény által implementált módosítás nyomán egyfelől szigorodnak a munkavállaló személyiségi jogainak a korlátozásának a feltételei, mivel az új szabályok értelmében az ilyen jellegű korlátozásokról írásban kell tájékoztatni a munkavállalókat és a tájékoztatásnak ki kell terjednie a korlátozás szükségességét és arányosságát alátámasztó körülményekre.

Egyértelművé teszi a módosított Munka tv., hogy a munkáltató jogosult okirat bemutatását is követelni a munkaviszony létesítése, teljesítése, megszüntetése vagy a Munka tv-ből származó igény szempontjából lényeges körülmények tekintetében. Ezekről az adatkezelésekről, valamint a munkáltató által alkalmazott alkalmassági vizsgálatokról azonban köteles lesz a munkáltató írásban tájékoztatni a munkavállalókat (függetlenül attól, hogy okirat bemutatását elvárja-e a vagy sem).

Sok munkáltatónál felmerült a munkavállalók biometrikus azonosításának lehetősége, illetve igénye. Ebben a tekintetben a VH Törvény és pontosan meghatározza azokat a feltételeket és munkaköröket, melyek tekintetében erre lehetősége van a munkáltatóknak. Ennek megfelelően kizárólag akkor alkalmazhat biometrikus azonosítást a munkáltató, ha az valamely dologhoz vagy adathoz való olyan jogosulatlan hozzáférés megakadályozásának céljából szükséges, mely személyek élete, testi épsége, illetve egészsége vagy törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének veszélyével járna. Segíti a jogalkotó a jogalkalmazókat az előbbi feltételeknek megfelelő „törvényben védett jelentős érdek” azonosításában, ugyanis kimondja, hogy mindenképpen ilyennek minősül a legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez, a lőfegyver, lőszer, robbanóanyag őrzéséhez, a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez, a nukleáris anyagok őrzéséhez, valamint az ötven millió (50.000.000) forintot meghaladó érték védelméhez fűződő érdek. Nem köti meg teljesen a munkáltatók kezét a törvény, mivel egyértelművé teszi, hogy a felsorolás csupán példálódzó jellegű.

Tisztázza az új szabályozás az erkölcsi bizonyítvány munkáltatók általi kezelhetőségének kérdését is. A jövőben egyértelműen kizárólag akkor lesz lehetősége a munkáltatónak erkölcsi bizonyítványt kérni, azaz a munkavállaló vagy állásra jelentkező személy bűnügyi személy adatát kezelni, ha törvény, vagy a munkáltató az adott munkakör tekintetében korlátozza vagy kizárja a büntetett előéletű személyek foglalkoztatását. Erre a munkáltatónak kizárólag azon munkakörök tekintetében van lehetősége, melyek esetén büntetett előéletű személy foglalkoztatása a munkáltató jelentős vagyoni érdekének, törvény által védett titoknak, lőfegyvernek, veszélyes vagy nukleáris anyagoknak az őrzéséhez fűződő érdek sérelmének veszélyével járna. Mindezekről a munkáltatónak minden esetben előre, írásban kell rendelkeznie. Ennek megfelelően a munkáltatók kötelesek megsemmisíteni a korábban beszerzett erkölcsi bizonyítványokat és újakat csak akkor kérhetnek, ha kialakították a Munka tv. új szabályaival összhangban lévő eljárási rendjüket és belső szabályzataikat.

Pontosítja a jogalkotó a munkáltató lehetőségét a munkavállalók ellenőrzésére, illetve igyekszik biztosítani ennek a GDPR-ral összhangban lévő feltételeit, amikor előírja a munkáltatók számára, hogy kötelesek előzetesen, írásban értesíteni a munkavállalókat az ellenőrzésükre használt technikai eszközökről. Annak megakadályozása érdekében, hogy a munkáltató az ellenőrzése során akár véletlenül a munkavállaló magánéletének körébe tartozó személyes adatokat ismerjen meg, főszabályként előírja a VH Törvény, hogy a munkáltató által a munkavállaló számára biztosított számítástechnikai eszközöket a munkavállaló kizárólag a munkaviszony teljesítésének érdekében használhatja. Ennek megfelelően, a felek kifejezett eltérő megállapodásának hiányában a törvény alapján kifejezetten tilos lesz a munkavállalóknak a céges telefont, laptopot, tabletet és egyéb eszközt magáncélra (is) használni. A munkáltató azonban ettől függetlenül továbbra sem kap teljesen szabad kezet a számítástechnikai eszközeinek ellenőrzése tekintetében. A Munka tv. új rendelkezésének értelmében ugyanis az ellenőrzés során, a korábban kialakult gyakorlatnak megfelelően, addig tekinthet be az adatokba, amíg nem tudja eldönteni, hogy az adott adat magáncélú adat-e. Amennyiben magáncélú adatról van szó, úgy a további vizsgálat kizárt, azonban a munkáltató jogosult a szükséges munkajogi következményeket alkalmazni, ha a magáncélú használat jogellenes volt.

5.  Közérdekű bejelentések, azaz whistleblowing

A VH Törvény rögzíti, illetve pontosítja a panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvényben (a továbbiakban: Whistleblowing Törvény) szereplő, a munkáltatói visszaélés-bejelentő rendszereket érintő egyes fogalmakat, így magának a bejelentőnek, illetve a bejelentéssel érintett személynek a fogalmát és rögzíti azt a kört, melyen belül az előbbiek személyes adatai kezelhetők, illetve továbbíthatók.

Fontos és szükséges újítás, hogy már nem lesz tilos különleges adatokat kezelni a bejelentési rendszerben, mely korlátozás eddig sokszor indokolatlanul kötötte meg a jogalkalmazók kezét. A jövőben lehetővé válik a különleges adatok és a bűnügyi személyes adatok kezelése a bejelentési rendszer keretein belül, ideértve ezen adatok továbbítását a Whistleblowing Törvényben rögzített elvekkel összhangban.

A racionalizálás és adatminimalizálás jegyében azt sem fogja többé előírni a Whistleblowing Törvény, hogy a bejelentőnek a nevét és a lakcímét is meg kell adnia. Bár a törvény indoklása szerint továbbra sem szeretné támogatni a névtelen bejelentésekre épülő rendszereket, utóbbi a jövőben sem lesz tilos, azonban a beazonosíthatatlan bejelentő által tett bejelentés vizsgálata továbbra is mellőzhető.

A külföldre történő adattovábbítás tekintetében a jogalkotó rögzíti, hogy arra kizárólag akkor kerülhet sor, ha a továbbítás címzettje kifejezetten vállalja a Whistleblowing Törvényben lefektetett garanciák biztosítását. A GDPR szabályaival szemben ez valamennyi Magyarországon kívüli országba irányuló adattovábbításra vonatkozik és nem kizárólag az EU-n kívüli adattovábbítás esetére. Utóbbira természetesen az itt rögzítettek mellett a GDPR szabályait és garanciáit is alkalmazni kell.


A jelen hírlevélben található információ nem tekinthető a KNP LAW Nagy Koppány Varga és Társai Ügyvédi Iroda vagy annak közreműködő ügyvédjei által nyújtott jogi tanácsadásnak. További információkért keressen fel minket.