Hogyan változnak az adatvédelmi szabályok?

Adatvédelem idejeEz év januárjában - éppen húsz évvel elődje, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló törvény megalkotását követően - lépett hatályba az új adatvédelmi törvény. Az új jogszabály elnevezésében is különbözik a régitől: a 2011. évi CXII. tv. az információs önrendelkezési jogról és az információszabadságról címet viseli, és elősegíteni hivatott az - ugyancsak idén életbe lépő - Alaptörvény VI. cikkében foglalt alapjog érvényesülését, mely szerint mindenkinek joga van személyes adatai védelméhez, valamint a közérdekű adatok megismeréséhez és terjesztéséhez.

Összességében elmondható, hogy az új törvény a korábbihoz képest nem tartalmaz jelentős számú újdonságot --– nagyobb részt követi a korábbi törvény rendszerét. Mégis vannak figyelemre méltó eltérések, melyeket érdemes kiemelni. Cikkünkben rövid áttekintést nyújtunk a legfontosabb változásokról, azok gyakorlati alkalmazásáról, különösen hangsúlyt helyezve a munkáltatókat és munkavállalókat potenciálisan érintő rendelkezésekre.

A legfontosabb változások öt pontban

1. Az egyik legjelentősebb változás, hogy a jogérvényesítést 2012-től kezdődően az adatvédelmi biztos helyett - eleget téve az Alaptörvény erre vonatkozó rendelkezésének - az ún. Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) szolgálja, független, autonóm államigazgatási szervként. Itt jegyezzük meg, hogy a részletesebb szabályozás mellett általánosságban szintén elmondható, hogy a törvény szigorúbb a korábbinál; erre utal többek közt, hogy a hatóság által alkalmazható szankciók köre bővült, jogkörei az adatvédelmi biztoséival összehasonlítva szélesebbek.

2. A legfőbb adatkezelési elv változatlanul a célhoz kötöttség elve, mely kiemelkedően fontos a gyakorlati alkalmazás szempontjából. Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető, mégpedig csak a cél megvalósulásához szükséges mértékben és ideig.

A célhoz kötöttség elvéből kiindulva - így például munkaközvetítés esetén ---– a cél megvalósulását követően (tehát amennyiben a munkavállaló kiközvetítése megtörtént), az adatkezelést meg kell szüntetni. Ez azt is jelenti, hogy a pályázók által rendelkezésre bocsátott önéletrajzokat meg kell semmisíteni, ahhoz pedig, hogy egy esetleges újabb ajánlat kapcsán, jövőbeni kapcsolatfelvétel céljából a munkaközvetítő raktározza az adatokat, egyrészt a pályázó előzetes hozzájárulása, másrészt az önéletrajz-adatbázis nyilvántartásba történő bejelentése szükséges. Hasonlóképpen: egy állásinterjú lezárultát követően a felvételt nem nyert jelentkező adatait meg kell semmisíteni - ellenkező, kifejezett hozzájárulása hiányában.

Részben fentieket erősítik meg az alábbi adatvédelmi biztosi állásfoglalás következtetései, melyek az álláshirdetésekkel, valamint a magán-munkaközvetítők tevékenységével kapcsolatban gyakorta felmerülő kérdések tekintetében adnak iránymutatást. (Ugyan az idézett állásfoglalás a korábbi adatvédelmi törvényre hivatkozik, az abban foglaltak változatlanul irányadók a témában.)

A felvételi eljárás lezárultával, annak eredményéről tájékoztatni kell az érintett munkavállalót, kérelmére az általa megküldött személyes adatait vissza kell juttatni a részére, azok kezelését pedig meg kell szüntetni. A fentiekből következik, hogy a jeligével, anonim módon feladott álláshirdetések eredményeképpen létrejövő adatkezelések, a jelentkező munkavállalók személyes adatok védelméhez való jogát korlátozzák, sértik. Az adatkezelésekről ugyanis az érintett nem kap tájékoztatást, így az az alkotmányos követelmény, miszerint az érintett a személyes adatainak kezelését nyomon követhesse, nem érvényesül, s mivel nem ismeri az adatkezelő személyét, nem képes érvényesíteni továbbá az Avtv. által az adatkezeléssel kapcsolatban biztosított egyéb jogait sem. (Ügyszám: 167/A/2006-3.)

3. Az adatkezelés továbbra is kétféle felhatalmazáson alapulhat ---– hozzájáruláson vagy jogszabály alapján (kötelező adatszolgáltatás). Újdonság azonban a törvényszövegbe illesztett vélelmek köre, melyek az adatkezelés jogalapjának meghatározásában némi zavart okoznak. Az új szabályok értelmében ugyanis, amennyiben az érintett hozzájárulásának beszerzése lehetetlen vagy aránytalan költséggel járna, és a személyes adat kezelése az adatkezelőre vonatkozó jogi kötelezettség teljesítése céljából szükséges, az érintett hozzájárulása hiányában is kezelhető a személyes adat.

Ugyanez áll arra az esetre is, ha az adatkezelés az adatkezelő vagy harmadik személy jogos érdekeinek érvényesítése céljából szükséges, feltéve, ha ezen érdek érvényesítése a személyes adatok védelméhez fűződő jog korlátozásával arányban áll. Ugyanezen logika mentén haladva - a vélelem másik oldala: amennyiben a személyes adat felvételéhez az érintett hozzájárulását már megadta, fenti indokok alapján további külön hozzájárulás nélkül, sőt: az érintett hozzájárulásának visszavonását követően is kezelhető az adat. Némiképp finomít a szövegen az az új rendelkezés, mely szerint kétség esetén azt kell vélelmezni, hogy az érintett a hozzájárulását nem adta meg.

A személyes adatok kezeléséhez történő hozzájárulást előzetes tájékoztatásnak kell megelőznie, az ezen kötelezettségre vonatkozó szabályozás a korábbinál részletesebb, így az érintettel az adatkezelés megkezdése előtt közölni kell, hogy az adatkezelés hozzájáruláson alapul vagy kötelező, egyúttal az adatok kezelésével kapcsolatos minden tényről meg kell adni számára a tájékoztatást (az adatkezelés célja, jogalapja, időtartama; az adatok megismerésére jogosultak köre, jogorvoslati lehetőségek, stb.)

4. Az adatvédelmi nyilvántartásra vonatkozó szabályok részletesebbek a korábbihoz képest. Az adatkezelést - csak úgy, mint eddig - be kell jelenteni, most már a hatóság nyilvántartásába, mely 8 napon belül intézkedik a nyilvántartás felől. A bejelentést megelőzően nem kezdhető meg adatkezelés. Országos hatósági-, munkaügyi- és bűnügyi adatállományok, pénzügyi szervezetek, közüzemi szolgáltatók és elektronikus hírközlési szolgáltatók új adatkezeléseit 40 napon belül veszi nyilvántartásba a hatóság.

Bizonyos adatokra vonatkozó adatkezeléseket nem kell bejelenteni. Utóbbi körbe tartozik az adatkezelés, amely az adatkezelővel például munkaviszonyban, ügyfélkapcsolatban álló személyek adataira vonatkozik. Így a munkavállalókra vonatkozó adatokat a munkaviszony ideje alatt nem kell bejelenteni, ugyanakkor a munkaviszonyhoz közvetlenül nem kapcsolódó adatokat tartalmazó adatbázis kezelése bejelentésre szorul. Természetesen mindezek mellett az állásra pályázók adatait tartalmazó adatbázisról a célhoz kötöttség körében írtakat sem szabad figyelmen kívül hagyni. Egyelőre nem egyértelmű, tisztázatlan fogalom az "adatkezelővel ügyfélkapcsolatban álló személyek" köre.

Az új törvény értelmében a bejelentés díjköteles, ám ennek mértékéről egyelőre nem áll rendelkezésre információ, csak annyi bizonyos, hogy a díjtételek miniszteri rendelettel kerülnek majd megállapításra. A 2012. január 1-jét megelőzően megkezdett, de az adatvédelmi nyilvántartásba ezt az időpontot megelőzően be nem jelentett adatkezelések esetében adatkezelés csak akkor folytatható, ha a nyilvántartásba vételt 2012. június 30-ig kérelmezik.

5. Az új törvény új terminológiákat vezet be, egyes fogalmak pontosítását is elvégzi. Gondolunk itt többek között az "érintett" fogalmára, mely a korábbi törvényben is szerepelt, mégsem létezett annak megfelelő meghatározás - annak ellenére, hogy a törvény e kifejezést sűrűn használta szövegében. Az immáron az értelmező rendelkezések közé illesztett fogalom a jelenlegi törvényben is központi szerepet tölt be.

dr. Menyhárt Anna
Jamjam.hu

 
x

Kérjük, ossza meg velünk véleményét!

Visszajelzés küldése