2019-07-11 | Adatvédelem, IT jog
Az Európai Parlament és Tanács 2018. május 25. napjától hazánkban is kötelezően alkalmazandó 2016/679 számú általános adatvédelmi rendelete (GDPR) szükségszerűvé tette a hazai joggyakorlat módosulását. Egy évvel az Adatvédelmi Rendelet alkalmazásának kötelezővé válását követően a Parlament komplex módosító törvénycsomagot fogadott el, mely sok helyen változtatta meg az eddigi szokásokat.
A köztudatban GDPR salátatörvényként elhíresült 2019. évi XXXIV. törvény számos jogterületet érintett, azonban jelen cikkünkben a hétköznapi életet leginkább érintő jogterületekbe tekintünk bele, úgy mint a munkajog világába, a kamerás megfigyelő rendszerek alkalmazásába és a közvetlen üzletszerzés célját szolgáló személy- és lakcímadat nyilvántartásba.
A kodifikációt megelőzően az adatkezelő jogos érdeke kis hangsúlyt kapott az egyes jogterületeken gyakorolt adatkezelések kapcsán. Az adatkezelők gyakran követték el azt a hibát, hogy az érintettek hozzájárulására hivatkoztak vagy a köztük lévő szerződéses viszonyba alapján felhatalmazva érezték magukat a különböző fokú adatkezelések folytatására. A GDPR 6. cikk (1) bekezdés f.) pont alapján történő adatkezelés azonban összetettebb kérdést vet fel. Az adatkezelés ugyanis ez alapján akkor jogszerű, ha azt egy, az adatkezelő által lefolytatott előzetes érdekmérlegelés előzi meg, melyben az adatkezelő a saját jogos érdekét állítja szembe és elemzi az érintett Alaptörvényben és különböző jogszabályokban biztosított személyiségi jogaival szemben.
A NAIH 5 lépcsős érdekmérlegelési tesztje
- az adatkezelés ezen formája feltétlenül szüksége-e
- az érdekek jogosságának igazolása
- kezelt adatok köre, célja, ideje, tárolás helye az elszámoltathatóság, az adattakarékosság és a korlátozott tárolhatóság elveinek figyelembe vételével
- érintett érdekeinek meghatározása
- jogok arányos korlátozása
A munkaügyi nyilvántartásban kezelt adatok képezik az egyik legnagyobb területét az adatvédelemnek. Munkáltatónk a munkaviszony létesítéséhez és fenntartásához számos adatunkat szükséges ismerje és kezelje. A munkaviszony létesítéséhez elengedhetetlen az általános adatok megadásán túl végzettségünkről, családi állapotunkról és adott esetben egészségi állapotunkról nyilatkozni, azt igazolni és a munkáltatónál nyilvántartásba helyezni. A munkáltatót továbbá a munkaviszony fenntartásához megilleti számos jogosítvány mely a munkavállaló munkavégzésének illetve a munkaviszony fenntartásának ellenőrzésére irányul. E körben a munkáltató, mint adatkezelő jogosulttá válik a munkavállaló munkaviszonnyal összefüggő magatartásának ellenőrzésére.
Ez az ellenőrzési jogosultság magába foglalja a munkavállaló technikai eszközökkel történő megfigyelését, ellenőrzését, így például a kamerás megfigyelés, számítógépen végzett munka, úgynevezett naplózása, cégautóban elhelyezett GPS nyomkövető illetve belső kamera rendszer használata. A fentieken túl, a törvény módosulás óta, a munkáltató jogosult a munkavállaló biometrikus – (ujjnyomat, arcképmás) és bűnügyi személyes adatainak – melyek alapvetően a személyes adatok különleges kategóriáit érintik és melyek kezelése főszabály szerint tilos – kezelésére is immár jogszabályi előírás alapján.
Korábban ezeknek az adatoknak a kezelhetősége a munkáltató jogos érdekének bizonyítása mellett volt lehetséges. A jogos érdeken alapuló adatkezelés feltétele az előzetes érdekmérlegelési teszt elkészítése, melyben a munkáltató azt szükséges értékelje, hogy az adatkezelés megelőzheti-e az érintett jogos érdekeit, illetve ha igen, akkor képes-e az adatkezelő a megfelelő adatbiztonsági intézkedéseket megtenni az adatok kezelése során. Az Adatvédelmi Hatóság a jogos érdekre alapított adatkezelés során a hivatkozott érdekmérlegelési tesztben levezett álláspontot vizsgálja, míg a jogszabályi előíráson alapuló adatkezelés esetén a jogszabály tényleges felhatalmazását értékeli az adatkezelés kapcsán.
Fontos változások a kamerás megfigyelés terén
A legfontosabb újítás, hogy a kamerás megfigyelés jogalapja ezt követően az adatkezelő jogos érdeke lesz. Amennyiben nem a munkavégzés munkáltató általi ellenőrzése az adatkezelő célja, hanem személy- és vagyonvédelmi célú kamerás megfigyelésről beszélünk akkor az adatkezelő az adatkezelés megkezdése előtt a már korábban emlegetett érdekmérlegelési tesztben köteles saját adatkezelését az érintett érdekeivel összevetnie.
Ezen túl változnak a megfigyelhető területek is. Eddig elektronikus megfigyelő rendszert magánterületen, illetve magánterület közönség számára nyilvános részére lehetetett alkalmazni, ha ehhez a magánszemély hozzájárult. A szabály úgy módosult, hogy az ilyen rendszerek kizárólag magánterületen alkalmazhatók. Változtak a törvényben a megőrzési időre és a felvételekhez történő hozzáférésre vonatkozó szabályok is. A most hatályba lépő változások – a pénzügyi intézmények kivételével – a felvételek megőrzési idejének meghatározását is az adatkezelő döntési kompetenciájába adják, azzal, hogy a jogos érdek bizonyításához az adatkezelő érdekmérlegelésére van szükség. A rögzített felvételekhez való hozzáférés adminisztratív előírásoknak való megfelelést ír elő, oly módon, hogy ezen adatokat igazolható módon tartalmazó elektronikus nyilvántartásban és jegyzőkönyvben minősül.
Jelentősen módosultak a kutatás és közvetlen üzletszerzés célját szolgáló név-és lakcímadat kezelésnek. A közvetlen üzletszerzés, mint fogalom a direkt marketing jellegű megkereséseket jelenti, a kodifikáció azonban kiemelte ezt a fogalmat a jogszabályból és a GDPR illetve a majdan életbe lépő e-Privacy irányelv szabályozási körébe bocsátja. E körben pedig szintén előkerül az adatkezelő jogos érdeke, ugyanis ezen adatokat szintén ezen a jogalapon lehet kezelni.
