Adatvédelem
Vajon mit takar a manapság egyre gyakrabban használt és felkapott szó, az adatvédelem? Mi a jelentősége? Mi történik a személyes adatainkkal? Sokan csak legyintenek a szó hallatán, de mikor egyre-másra megkeresik telefonon is különböző termékekkel, szolgáltatásokkal és egyéb ajánlatokkal bombázzák őket, mégis felmerül a kérdés: Honnan tudta meg a telefonszámomat? Honnan tudja az e-mailcímemet? Sok esetben mi magunk sem emlékszünk, hány oldalra regisztráltunk annak érdekében, hogy igénybe vegyük egy cég szolgáltatását. Kevesen emlékeznek arra is, hogy hol és milyen regisztrációs adatlapot töltöttek ki, és az x jelet éppen melyik rubrikába tették. Az is előfordul, hogy a x jel már előre ki van töltve egy lapon, azaz automatikus hozzájárulást feltételez az adatkezeléshez, ami a Hatóság álláspontja szerint egyébként nem is jogszerű.
Magyarország új Alaptörvényének rendelkezéseivel összhangban az Országgyűlés elfogadta az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényt ( Infotv. ). Az Infotv. szigorította és átláthatóbbá tette az adatkezelés szabályait 2012. január 1-jétől. Az internetalapú eszközök elterjedésével egyre nagyobb hangsúlyt kap az adatvédelem. Egyre népszerűbbek az online piactereken történő vásárlások és az online-marketing. Szinte nincs olyan oldal, ahol a regisztrációt megúszhatjuk. Se szeri, se száma azon weboldalaknak, ahol szintén regisztráció szükséges ahhoz, hogy elérjük célunkat, pl. hirdetést adjunk fel álláskeresés céljából, önéletrajzot töltsünk fel vagy egy terméket adjunk el, amire már nincs szükségünk; az is lehet, hogy csak online vásárolnánk valamit. És ez csupán néhány kiemelt területet jelent. Ezen kívül számos más eset van. Jelen cikkünkben az adatvédelem munkajogi vetületét, illetve az online adatfelhasználást vizsgáljuk meg, valamint az adatvédelmi hatóság (NAIH) szerepét vesszük górcső alá, ami egyébként napjainkban egyre jelentősebb, hiszen akár 10 milliós bírságot is jogosult kiszabni jogsértés esetén. Mi az Infotv. célja? Az Infotv. célja az adatok kezelésére vonatkozó alapvető szabályok meghatározása egyrészt annak érdekében, hogy a természetes személyek magánszféráját az adatkezelők tiszteletben tartsák, másrészt azért, hogy a közügyek átláthatósága a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog érvényesítésével megvalósuljon. Milyen adatokra vonatkozik a törvény, vagyis mire terjed ki az Infotv. hatálya? A Magyarország területén folytatott minden olyan adatkezelésre és adatfeldolgozásra kiterjed, amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik. Az Infotv. alkalmazandó a manuális módon végzett adatkezelésre, valamint az olyan adatkezelésre és adatfeldolgozásra is, amelyet akár teljesen, akár részben automatizált eszközzel végeznek. Az Európai Unió területén kívül e jogszabály akkor alkalmazandó, ha személyes adatok kezelését folytató adatkezelő az adatfeldolgozással Magyarország területén székhellyel, telephellyel, fiókteleppel vagy lakó-, illetve tartózkodási hellyel rendelkező adatfeldolgozót bíz meg, vagy Magyarországon lévő eszközt használ fel, kivéve, ha az eszköz csak az EU területén átmenő adatforgalom célját szolgálja, mert ebben az esetben Magyarország területén adatkezelő képviselőt kell kineveznie. Az internetalapú eszközök elterjedésével egyre nagyobb hangsúlyt kap az adatvédelem. Egyre népszerűbbek az online piactereken történő vásárlások és az online-marketing. Szinte nincs olyan oldal, ahol a regisztrációt megúszhatjuk.
A legalapvetőbb fogalmak, melyek az adatvédelemhez kapcsolódnak: személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés; adatkezelés: az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hotala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése; adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve, hogy a technikai feladatot az adatokon végzik; adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi. Mi a különbség az adatfeldolgozó és az adatkezelő között? Az adatfeldolgozó a NAIH állandó gyakorlata szerint a technikai feladatokat végzi el az adatokon (pl. ügyfelek címadatait felhasználja vagy egy cégnek például tárhely-szolgáltatást nyújt) és fő ismérve, hogy az adatkezelőtől elkülönült jogalany, az adatkezelő utasítására cselekszik, és az adatkezelőtől kapott jogszerű utasításokat hajtja végre. Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat. Fontos tehát kiemelni, hogy amennyiben az adatfeldolgozónak a technikai feladat végrehajtása során hozott döntése kihat az adatkezelés valamely lényeges körülményére, akkor a döntése vonatkozásában már nem adatfeldolgozónak, hanem adatkezelőnek tekintjük. Ennek megfelelően az adatkezelő az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja. Milyen célból kezelhetők a személyes adataink? Személyes adatot kizárólag meghatározott célból (pl. munkaviszonynál munkavégzés céljából szükséges), jog gyakorlása és kötelezettség teljesítése érdekében szabad kezelni. Az adatkezelés bármely szakaszában meg kell felelni az adatkezelés céljának. Kizárólag olyan személyes adat kezelhető, amely az adatkezelési cél megvalósu-
Nézzük meg, hogyan tud a fenti helyes, jogszerű adatkezelésnek eleget tenni pl. egy cég vagy egy munkahely, akinek birtokában vannak a személyes adataink? Mire kell figyelnie az adott cégnek vagy a munkahelynek, ha megkezdi az adataink kezelését? Adott egy cég, aki online felületen értékesít. Természetes, hogy ahhoz, hogy be tudjunk jelentkezni, regisztráció szükséges az adott weboldalon. Ehhez különböző adatainkat kérik el. Pl. név, e-mailcím, jelszó, anyja neve, születési hely, idő stb., amely egytől egyig személyes adatnak minősül. Általában a regisztráció elfogadásához ki kell pipálnunk, hogy elfogadjuk a cég Általános Szerződés Feltételeit (ÁSZF) és ezzel egyidejűleg hozzájárulunk adataink kezeléséhez. Lényeges, hogy az adatkezelés ös szes fázisában tudnunk kell, mi történik személyes adatainkkal, miért kezelik azt, meddig, esetlegesen kinek továbbítják, hol van lehetőségünk leiratkozni, törölni a regisztrációt és milyen egyéb jogaink vannak, ha az adatkezeléssel kapcsolatban aggályaink merülnek fel. A személyes adatokat kezelő valamen nyi cég esetében szükséges adatvédelmi tájékoztatót közzétenni a cég honlapján, mert ennek hiánya a NAIH által kiszabott bírságot vonhat maga után. Az adatkezelés megkezdése előtt be kell jelentkezni a NAIH nyilvántartásába, ahol a cég adatkezelési nyilvántartási számot kap. A bejelentkezés történhet papír alapon vagy online felületen.
lásához elengedhetetlen és a cél elérésére alkalmas. Személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. Személyes adatot kezelni az érintett előzetes hozzájárulását követően lehet, vagy az ún. kötelező adatkezelés esetében (ha jogszabály közérdekű célból megengedi az adatkezelést). Fontos szabály, hogy az adatkezelés megkezdése előtt közölni kell az érintettel, hogy az adatkezelés hozzájáruláson alapul vagy kötelező adatkezelésről van szó. Mi a különbség az adatvédelmi nyilatkozat és az adatvédelmi tájékoztató között? Míg az adatvédelmi nyilatkozatban az adatkezelő csupán kötelezettséget vállal arra, hogy az adatvédelemmel kapcsolatos jogainkat tiszteletben tartja, addig az adatvédelmi tájékoztató részletes dokumentum, amely az Infotv.-nek megfelelő valamennyi kötelező elemet tartalmazza. Mit tartalmazzon az adatkezelési tájékoztató? Az adatkezelés célját, és jogalapját, a kezelt adatok körét, az adatok tárolásának módját, az adatkezelés biztonságára vonatkozó főbb szabályokat, az adatkezelő adatait, elérhetőségét, az adattovábbításra vonatkozó információkat, az adatfeldolgozók adatait, elérhetőségeit, a személyes adatkezelés elleni tiltakozás szabályait. Ha a cég rendelkezik adatkezelési tájékoztatóval, és az a mindennapi gyakorlattal is összhangban van, bírságra és dorgálásra nagy valószínűséggel nem kell számítania.
A munkaviszonnyal kapcsolatos adatkezelés Más adatokat kezel a munkáltató a munkára jelentkezőknél, mint a munkaviszonyban állóknál, illetve a munkaviszony megszűnése után. A munkavállalók ellenőrzése szintén külön kérdéskört vet fel. Nézzük most a munkaviszonnyal kapcsolatos adatkezelést, vagyis amikor a Munkáltató és a Munkavállaló már munkaviszonyt létesített. A munkaviszonnyal kapcsolatos adatkezelés célja minden esetben csak a munkaviszony létesítése, fenntartása és megszüntetése lehet. A munkavállalók adatainak kezelésére a Munka törvénykönyvéről szóló 2012. évi I. törvény, illetve az érintett hozzájárulása [Infotv. 5. (1) a) és 6. (6)] ad jogalapot. A munkáltató köteles a munkavállalót tájékoztatni a személyes adatai kezeléséről. A munkáltató munkavállalóra vonatkozó tényt, adatot, véleményt csak törvényben meghatározott esetben vagy a munkavállaló hozzájárulásával közölhet. Nem kell bejelenteni a NAIH-nyilvántartásba pl. a munkavállaló személyes adatainak munkáltató általi kezelését, de számos kivétel van. A munkavállalót tájékoztatni kell arról, hogy a munkaviszonnyal összefüggésben a munkáltató milyen adatokat kezel, mi az adatkezelés jogalapja, az adattárolás időtartama és az adatkezelés módja, valamint meg kell jelölni, hogy ki az adat-
feldolgozó és esetleges adattovábbításnál ki az adattovábbítás címzettje. A külföldre történő adattovábbításra külön szabályok vonatkoznak. A munkaviszonynál adatfeldolgozónak minősül pl. a bérszámfejtő. Az adatfeldolgozó esetében adatfeldolgozási szerződés megkötése kötelező. Ennek hiányában bírságra számíthatunk. Adattovábbítás (pl. Cafeteria-rendszer) esetében történik, ahol adatainkat a munkáltatóval szerződésben álló cégeknek továbbítják (pl. SZÉP-kártya, vagy ajándékutalvány mint béren kívüli juttatás esetében). Sokszor nem csak a saját adatunkat kell közölni a munkáltatóval, hanem hozzátartozóink adatait is, pl. céges üdülés esetében, vagy családi adókedvezmény kapcsán. A munkaviszony okán harmadik személy adatai a szükséges adattartamot meg nem haladóan vehetőek fel és kezelhetők. Az adatok megadása A munkáltató köteles a munkavállalót tájékoztatni a személyes adatai kezeléséről. A munkáltató munkavállalóra vonatkozó tényt, adatot, véleményt csak törvényben meghatározott esetben vagy a munkavállaló hozzájárulásával közölhet. önkéntes és megadásuk minden esetben a hozzájárulás eseti beszerzése mellett történhet. Gyakran találkoztunk olyan esettel, ahol pl. az erkölcsi bizonyítványt lefénymásolja a munkáltató, valamint céges autóhasználat esetén a munkavállaló jogosítványát és személyi igazolványát is lefénymásolják. Ez az eljárás súlyosan aggályos és nem jogszerű a munkáltató részéről. Elegendő az ok-
mány eredetiségét és a regisztrációs szempontokat (pl. erkölcsi bizonyítvány okmányszáma, a kérelem azonosítója) rögzíteni. Ezek tartalmát hiteles nyilvántartásban ellenőrizhetjük. Az Infotv. rendelkezései szerint a munkavállalótól csak olyan nyilatkozat megtétele vagy adat közlése kérhető, amely személyiségi jogát nem sérti, és a munkaviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges. A munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő (pl. egészségügyi alkalmassági vizsgálat) vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása vagy kötelezettség teljesítése érdekében szükséges. A NAIH szerepe A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2012. január 1-jén jött létre. A független, csak a törvénynek alárendelt hatóság feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése. Bejelentés A NAIH-nál bejelentéssel bárki vizsgálatot kezdeményezhet arra hivatkozással, hogy személyes adatok kezelésével, illetve a közérdekű adatok vagy a közérdekből nyilvános adatok megismeréséhez fűződő jogok gyakorlásával kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll. A NAIH ezen vizsgálata nem minősül közigazgatási eljárásnak. A NAIH a bejelentés alapján lefolytatott vizsgálatról jelentést A munkáltató a munkavállalót csak a munkaviszonnyal összefüggő magatartása körében ellesági eljárás megindítására nem került sor. A jelentés tar- készíthet, ha az ügyben általa hatósági eljárás vagy bírónőrizheti. A munkáltató ellenőrzése és az annak során talmazza a vizsgálat során feltárt tényeket, az ezeken alkalmazott eszközök, módszerek nem járhatnak az emberi méltóság megsértésével. A munkavállaló magánélete alapuló megállapításokat és következtetéseket. nem ellenőrizhető. A munkáltatónak előzetesen kell tájékoztatni a munkavállalót azokról a technikai eszközökről, amelyek a munkavállaló ellenőrzését szolgálják (pl. kamerák kihelyezése). A kamerák elhelyezéséről és a munkahelyi megfigyelésről a NAIH részletes ajánlást bocsátott ki, ez megismerhető a NAIH honlapján.
Az adatvédelmi hatósági eljárás Az adatvédelmi hatósági eljárás kizárólag hivatalból indítható. A személyes adatok védelméhez való jog érvényesülése érdekében a NAIH adatvédelmi hatósági eljárást indíthat. Az adatvédelmi hatósági eljárásra a közigazgatási hatósági eljárás általános szabályairól szóló törvényt (Ket.) kell alkalmazni az Infotv.-ben meghatározott eltérésekkel. A NAIH adatvédelmi hatósági eljárást indít, ha a bejelentésen alapuló vizsgálat alapján vagy egyébként valószínűsíthető a személyes adatok jogellenes kezelése, és a jogellenes adatkezelés a) személyek széles körét érinti, b) különleges adatokat érint, vagy c) nagy érdeksérelmet vagy kárveszélyt idézhet elő. Az ügyintézési határidő az adatvédelmi hatósági eljárásban két hónap. Az adatvédelmi hatósági eljárásban hozott határozatában a NAIH a) elrendelheti a valóságnak nem megfelelő személyes adat helyesbítését, b) elrendelheti a jogellenesen kezelt személyes adatok zárolását, törlését vagy megsemmisítését, c) megtilthatja a személyes adatok jogellenes kezelését vagy feldolgozását, d) megtilthatja a személyes adatok külföldre történő továbbítását vagy átadását, e) elrendelheti az érintett tájékoztatását, ha azt az adatkezelő jogellenesen tagadta meg, valamint f) bírságot szabhat ki százezertől tízmillió forintig terjedő mértékben. Ezen felül a NAIH elrendelheti határozatának nyilvánosságra hozatalát, ha azt az adatvédelem érdekeinek, illetve nagyobb számú érintett jogainak védelme megköveteli.
Tekintettel arra, hogy az adatvédelem napjainkban egyre fontosabb szerepet kap, a hatóság pedig módszeresen ellenőrzi a cégek napi gyakorlatát, a bírságolás elkerülése végett érdemes minden fontos szempontot szem előtt tartanunk az adatvédelem kapcsán. Főszabály szerint a személyes adatok kezelésének megkezdése előtt hatósági nyilvántartásba kell bejelentkeznünk, de legalábbis tájékozódunk arról, hogy cégünk számára a bejelentés kötelező-e. A bejelentést az erre rendszeresített nyomtatványon kell megtenni, és az jelenleg nem díjköteles. Fontos szem előtt tartani, hogy a bejelentésen szereplő adatok ténylegesen is megegyezzenek a cég gyakorlatával. Irodánk készséggel áll az Önök rendelkezésére adatvédelmi audit szolgáltatásával, melynek során a mindennapi gyakorlatot alapul véve, egyénre szabott megoldásokat javasolva segítünk annak elérésében, hogy az adatkezelés Önnél is jogszerű legyen, figyelembe véve a hatályos jogszabályokat. Kérje Irodánk árajánlatát és segítségét az adatvédelem kapcsán.
Holló & Társai Ügyvédi Iroda 1124 Budapest, Jagelló út 14. +36 1 319 1201; +36 1 319 1279 office@hplaw.hu www.hplaw.hu Tájékoztatás: Felhívjuk szíves figyelmét, hogy a jelen kiadvány általános információkat tartalmaz, és egyedi esetek megoldására önmagában nem alkalmazható. KARBONSEMLEGESEN NYOMTATVA Legyen Ön is környezettudatos, dolgozzon Magyarország első Zöld Nyomdájával! Grafika: cantinart.hu