Termékmonitor

Adat és információvédelem
Elektronikus jelzéstechnika (135)
Gépjárművédelem
Kommunikációtechnika
Mechanikus biztonságvédelem
Szolgáltatások
Tűzvédelem technika (5)

ADATVÉDELEM

GDPR - SALÁTATÖRVÉNNYEL KAPCSOLATOS FONTOSABB VÁLTOZÁSOK
 
ÁTTEKINTÉS, VALAMINT AZ ELEKTRONIKUS MEGFIGYELŐRENDSZEREKRE,
BELÉPTETŐRENDSZEREKRE VONATKOZÓ VÁLTOZÓ SZABÁLYOK ISMERTETÉSE
 
1. ÁTTEKINTÉS – A GDPR-SALÁTATÖRVÉNY MEGALKOTÁSA 

Az EU 2016. április 6-án megállapodott adatvédelmi keretének nagyszabású reformjáról, elfogadva a húszéves 95/46/EK irányelv és a rendőrségi irányelv helyébe lépő általános adatvédelmi rendeletet (a továbbiakban: GDPR) tartalmazó adatvédelmi reformcsomagot, melynek rendelkezései 2018. május 25. óta közvetlenül alkalmazandóak. A hazai adatvédelmi jogszabályi környezet GDPR megfeleltetésének keretében egyrészt 2018. augusztus 25-i hatállyal megtörtént az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) első módosítása, 2019. április 26-án pedig kihirdetésre került az Infotv. második módosítását tartalmazó, illetve az egyes ágazati törvényeket – számszerűen 86 ágazati törvényt – módosító, „GDPR-Salátatörvényként” (a továbbiakban: GDPR salátatv.) hivatkozott törvénycsomag.
■ Kicsit közelebbről az ágazati törvények módosítására a következő célok elérése érdekében került sor:
■ (I.) a módosítás célja a szabályozási duplikáció megszüntetése (a GDPR rendelkezéseinek primátusának biztosítása), illetve a GDPR fogalmaival, azok tartalmával konzisztens hazai szabályozási környezet megteremtése;
■ (II.) a módosítás célja azon szabályok „kiiktatása”, melyek a GDPR eltérést nem engedő rendelkezései ellenére eltérnek annak szabályaitól;
■ (III.) a módosítás célja azon hivatkozások megszüntetése, melyek a GDPR helyett még az Infotv.-re vagy abban szabályozott jogintézményekre utalnak.
■ Az előzőek szerinti módosítások alatt pedig érthetjük:
■ (I.) új rendelkezések bevezetését, a meglévő szabályok módosítását;
■ (II.) a szóhasználat, illetve a hivatkozások javítását;
■ (III.) az adott meglévő rendelkezés hatályon kívül helyezését.
■ Az egyes rendelkezések hatályon kívül helyezése persze nem feltétlenül jelenti az adott kötelezettség megszűnését, pusztán arról van szó, hogy mostantól az adott rendelkezést esetleg már „csak” a GDPR határozza meg.

Jelen cikkünkben a GDPR salátatv. nyomán változó egyes főbb szabályok közül elsőként az elektronikus megfigyelőrendszerekre, beléptetőrendszerekre vonatkozó változó szabályokat fogjuk áttekinteni.
 
2. ELEKTRONIKUS MEGFIGYELŐ- RENDSZEREK, BELÉPTETŐRENDSZEREK ADATKEZELÉSE

2.1. Előzmények
A személyes adatok jogszerű kezelése érdekében az adatkezelőnek még az adatkezelés megkezdése előtt több dolgot kell mérlegelnie. Leegyszerűsítve egyrészt meg kell vizsgálnia, hogy a tervezett adatkezelésre feltétlenül szüksége van-e, az adatkezelés jogszerű cél elérésére irányul-e. A szükségtelen adatkezelés semmilyen esetben sem fog jogszerű adatkezelésnek minősülni, még akkor sem, ha az adatkezeléshez szükséges egyéb feltételek fennállnak.

■ Ha az adatkezelő meghatározta az adatkezelés célját, megfelelő jogalapról is gondoskodnia kell.
A GDPR hat jogalapot(1) különböztet meg, melyek az elfogadhatóság szempontjából egymással egyenértékűek, tehát nincs szó „erősebb” vagy „gyengébb” jogalapról, ha a jogszabályi feltételek fennállnak, bármelyik jogalap alkalmazható a jogszerűség igazolására.
Témánk szempontjából két jogalap bír különös relevanciával, ez (I.) az érintett hozzájárulása, valamint (II.) az adatkezelő (esetleg harmadik fél) jogos érdeke.
■ A GDPR értelmében az érintett hozzájárulásának „az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása minősül, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez”(2). A hozzájárulás alapvetően megadható írásban, szóban vagy ráutaló magatartással is.
Fontos szempont ugyanakkor, hogy munkavállalók személyes adatainak kezelése esetén az adatkezelés jogszerűségéhez – néhány kivételtől eltekintve – nem szükséges a munkavállalók hozzájárulása.
A 95/46/EK irányelv 29. cikke alapján létrehozott Adatvédelmi Munkacsoport (a továbbiakban: Munkacsoport) több állásfoglalásában(3) is kifejtette, hogy a munkavállaló–munkáltató viszonyában megkérdőjelezhető az önkéntes hozzájárulás lehetősége. A Munkacsoport álláspontja szerint, „a foglalkoztatás kontextusában nehézségek merülhetnek fel az érintett beleegyezésének önkéntes voltával kapcsolatban, hiszen a munkáltató és az alkalmazott között alá-fölérendeltségi viszony van. Az érvényes beleegyezés ebben az értelemben azt jelenti, hogy az alkalmazottnak valós lehetőséget kell biztosítani beleegyezése megtagadására vagy utólagos visszavonására – amennyiben meggondolja magát – anélkül, hogy hátrány érné emiatt.
A hierarchikus függés e helyzeteiben az alkalmazott továbbítással kapcsolatos elutasítása vagy fenntartása anyagi vagy nem anyagi természetű hátrányt okozhat neki, ami teljes mértékben ellentétes a személyes adatok védelmére vonatkozó európai jogalkotás szövegével és szellemével.”
A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) több eseti döntésében is a Munkacsoport előzőekben leírt álláspontját igazolta, és rögzítette, hogy a munkahelyi kamerás megfigyelés jogszabályi garanciális kereteit a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (a továbbiakban: Szvmtv.) adja, a kamerák alkalmazásának jogszerűségének igazolásához  pedig az érintett hozzájárulásán túl más jogalapok is rendelkezésre állnak, továbbá kifejtette, az érintett hozzájárulására, mint jogalapra, a munkahelyi adatkezelések esetében tehát csak kivételesen lehet hivatkozni, alapvetően akkor, amikor egyértelmű, hogy az adatkezelés során feltétel nélküli „előnyöket” szerez a munkavállaló, és nem érheti őt semmilyen hátrány az adatkezelés megtagadása esetén. A hozzájárulás megfelelő jogalap
lehet különösen, ha az adatkezelésre nem a munkaviszonnyal összefüggésben kerül sor, vagyis ha az adatkezelés a munkáltatói jogok gyakorlásával nem áll kapcsolatban. Például egy munkáltató egy futóversenyre csapatot szervez, amelyhez a munkáltatónak továbbítania kell a szervezők részére azon munkavállalóinak az adatait, akik részt vennének a versenyen, mivel a munkáltató állja a nevezés költségeit. Emellett a munkáltató pólókat is biztosít a versenyre, ezért a munkavállalók pólóméretét továbbítania kell a pólót készítő vállalkozás részére. Ez két különböző adattovábbítást jelent, és mindkettőhöz egymástól függetlenül önkéntes hozzájárulást tud adni a munkavállaló anélkül, hogy ennek bármilyen következménye lenne a munkaviszonyára nézve.
■ Az Szvmtv. GDPR salátatv. előtti szabályai szerint az elektronikus megfigyelőrendszerek adatkezelésének jogalapja az érintett hozzájárulása lehetett, amely megadható volt akár ráutaló magatartással is. A Munkacsoport, illetve a NAIH előzőekben bemutatott gyakorlata szerint a kamerarendszer üzemeltetésének jogszerűségének igazolására az érintett munkavállaló hozzájárulása önmagában nem alkalmas, a kamerás megfigyelés alkalmazásának jogalapja a munkáltató jogos érdeke lehet.
Amennyiben a kamerás megfigyelés nem munkavállalóra, hanem a kamerával megfigyelt területre belépő tetszőleges személyre irányul, az Szvmtv.  által elvárt jogalapnak (tehát az érintett hozzájárulásának) alkalmazása szintén aggályokat vetett fel.
A Munkacsoport így különösen aggályosnak találta az önkéntesség követelményének gyakorlati megvalósulásának lehetőségét arra tekintettel, hogy az érintettek gyakran nem szabad elhatározásból lépnek be olyan épületbe, amelyben kamerarendszer üzemel, hanem mert valamilyen személyes ügyüket szeretnék intézni.
Az előzőekben kifejtettek természetesen megfelelően értelmezendőek a beléptetőrendszerek alkalmazása során felmerülő adatkezelések megítélésekor is.
■ A fentiekre figyelemmel tehát az adatkezelés jogalapjaként az érintett hozzájárulása helyett érdemes az adatkezelő jogos érdekét választani. Az adatkezelő jogos érdeke alatt olyan jogosultságot értünk, mely az érintett személyes adatai feletti rendelkezési jogával szembeállítva „erősebbnek” bizonyul,  és ami egyúttal magával hozza az érintett személyes adataihoz fűződő jogának korlátozását is. Fontos, hogy az érintett jogai kizárólag arányosan korlátozhatóak, és a korlátozásnak az
elérni kívánt cél szempontjából szükségnek is kell lennie. Az adatkezelő ezen feltételek fennállását ún. érdekmérlegelési teszt keretében köteles igazolni.
Amennyiben az érdekmérlegelési teszt eredményeképpen az adatkezelő jogos érdeke igazolást nyer, a jogalap szabályos alkalmazásához az adatkezelőnek továbbá még az adatkezelés megkezdése előtt az érintettet teljeskörűen tájékoztatnia is kell az adatkezelés részleteiről.
■ Jól látható, hogy az adatkezelő bármelyik jogalapot is választja, az adatkezelés jogszerűségéhez az érintettet előzetesen tájékoztatnia kell az őt érintő adatkezelés alapvető szabályairól.
 
2.2. A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (Szvmtv.) módosítása:
A jogalkotó tapasztalva az érintett adatkezelések sajátosságaiból adódó gyakorlati kihívásokat, a Munkacsoport azokra adott válaszait, illetve a NAIH gyakorlati megállapításait, az Szvmtv. módosítása mellett döntött.

■ A GDPR salátatv. az Szvmtv. számos rendelkezését hatályon kívül helyezi, így többek között a következőket:
■ Az adatkezelés célját meghatározó szabályokat: ennek megfelelően elektronikus megfigyelőrendszert már nemcsak az emberi élet, testi épség, személyi szabadság védelme, a veszélyes anyagok őrzése, az üzleti, fizetési, bank- és értékpapírtitok védelme, valamint vagyonvédelem céljából alkalmazhat az adatkezelő;
■ Az adatkezelés időtartamára vonatkozó szabályok: tehát a kamerafelvételek őrzésére korábban főszabály szerint engedélyezett 3 nap, illetve különleges esetekben 30 nap, illetve 60 nap szabálya kivezetésre kerül;
■ Az adatkezelés jogalapjára vonatkozó rendelkezések: korábban mind az elektronikus megfigyelőrendszer, mind a beléptetőrendszer alkalmazásához a jogalapot az érintett előzetes, ráutaló magatartással megadott hozzájárulása adta.
A GDPR salátatv. alapvetően módosítja az adatkezelés feltételeit azzal, hogy az adatkezelés jogalapját az adatkezelő vagy harmadik személy jogos érdekének körében határozza meg.
Az új szabályok szerint már az adatkezelő jogos érdeke alapján maga határozhatja meg az adatkezelés célját is, melyhez a korábbi szabályok támpontot adhatnak, de azoktól az adatkezelő el is térhet az előzőekben leírt feltételek mentén.
A GDPR salátatv. továbbá az adatkezelő jogos érdekének körébe utalja az adatkezelés idejének a meghatározását is. Figyelemmel az adattakarékosság és a korlátozott tárolhatóság alapelveire, valamint az előzőekben leírt feltételekre, az adatkezelő maga határozza meg az adatkezelés időtartamát.
■ Nem változik az a szabály, hogy a kamerák által megfigyelt területre történő belépést megelőzően, az adatkezelő megfelelő tartalmú tájékoztatás köteles adni az érintettek részére, ide értve a piktogramok
elhelyezését is. Az Szvmtv. részletszabályait tekintve megállapítható, hogy a GDPR salátatv. pontosítja a kamerával megfigyelhető területre vonatkozó szabályokat, amikor rögzíti, hogy a vagyonőr elektronikus megfigyelőrendszert kizárólag magánterületen alkalmazhat, tehát a valamely jogviszony alapján magánterületként használt közterületi rész (pl. valamely étterem járdán elhelyezett asztalait felölelő rész, építkezések esetén az építési területen kívüli részek) nem figyelhető meg.
A továbbiakban a szerződéses szabadság keretében a felek a GDPR alapján maguk döntik el, hogy a vagyonőr adatkezelő-e vagy adatfeldolgozó. A tapasztalatok azonban azt mutatják, hogy a vagyonőrök általában adatfeldolgozói minőségben látják el az elektronikus megfigyelőrendszerekkel kapcsolatos feladataikat.
Elektronikus beléptetőrendszer alkalmazásának feltétele a GDPR salátatv. nyomán, hogy a felekerre vonatkozóan megbízási szerződést kössenek egymással, továbbá az, hogy jogszabály vagy a terület használatára jogosult rendelkezése szerint a védett területre csak az arra jogosultak léphetnek be.
Végül a gyakorlatban sokszor kritizált azon rendelkezés, amely szerint kamerarendszer üzemeltetője csak vagyonőr lehet, továbbra is hatályban marad.
 
2.3. Társasházak:
A társasházakról szóló 2003. évi CXXXIII. törvény (Tht.) módosítása:
A Tht. rögzíti, hogy a társasházban való kamerarendszer alkalmazása csupán lehetőség az adatkezelő számára, ez ugyanakkor azt is jelenti, hogy a kamerarendszer alkalmazásából fakadó adatkezelés nem minősül kötelező adatkezelésnek, az adatkezelőnek más jogalapot kell keresnie a jogszerűség biztosítása érdekében. Ez a GDPR salátatv. rendelkezései szerint – összhangban az Szvmtv. szabályaival – az adatkezelő, valamint harmadik személy jogos érdeke lehet. Az új szabályok rögzítik, hogy a kamerarendszerrel felszerelt épületbe, épületrészbe és a kamerák által megfigyelt területre belépni, ott tartózkodni szándékozó személyeket az adatkezelőnek tájékoztatnia kell a személyes adatok védelmére vonatkozó előírások alapján szükséges információkról.
A GDPR salátatv. rögzíti azt is, hogy a kamerarendszer által készített felvételek megismeréséről jegyzőkönyvet kell készíteni, amelynek tartalmaznia kell a rögzített felvétel azonosításához szükséges adatokat, az annak megismerésére jogosult személy nevét, továbbá az adatok megismerésének okát és idejét.
A kamerarendszer által rögzített felvételekhez történő hozzáférésre, az ezek felhasználására vonatkozó, a jelenleg hatályos Tht.-ban szereplő további szabályok hatályon kívül helyezésre kerülnek.
Ezekre a jövőben a GDPR-ban található általános szabályok vonatkoznak.
A kamerarendszer üzemeltetői körére vonatkozó szabály itt is érvényesül, azaz a társasház a kamerarendszert maga továbbra sem üzemeltetheti, erre vagyonőrrel kell szerződnie.
■ Következő cikkünkben a GDPR salátatv. munkaviszonnyal kapcsolatos adatkezelésekre irányadó szabályait fogjuk körbejárni, kitekintéssel a biometrikus adatok kezelésére vonatkozó általános szabályokra, illetve a munka világát érintő specifikumokra.
 
Dr. Kádár Ágnes – Holló Ügyvédi Iroda
 
Megjegyzés: A cikkben található információk csupán tájékoztató jellegûek. Ezek az információk nem helyettesítik a szakmai tanácsadást, és nem szolgálnak bármely döntés alapjául az ügyvédjével, jogi tanácsadójával való elôzetes konzultáció nélkül.
 
 
1 GDPR 6. cikk (1) bekezdés: A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak
egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b)az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintettvagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekkel szemben elsőbbséget
élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
2 GDPR 4. cikk 11. pont
3 A 8/2001 vélemény a személyes adatok feldolgozásáról a foglalkoztatás kontextusában (WP 48), 23. oldal; a 1995. október 24-i
95/46/EK irányelv 26. cikke (1) bekezdésének közös értelmezéséről szóló munkadokumentum (WP 114) 11. oldal; a hozzájárulás fogalom-meghatározásáról szóló 15/2011. számú vélemény (WP
185) 14–15. oldal.
© Detektor Plusz    2010    Minden jog fenntartva.
powered by SiteSet