A „GDPR Salátatörvényként” is emlegetett, számos magyar jogszabályt az Általános Adatvédelmi Rendelettel összhangban módosító, 2019. április 26-án hatályba lépő rendelkezések a személy- és vagyonvédelmi törvényt (Szvtv.) is jelentősen átírják.
A vagyonvédelmi célú adatkezelésekre, ezen belül különösen a kamerás megfigyelésre és az elektronikus beléptetőrendszerre vonatkozóan az Szvtv. tartalmazza a részletes szabályokat. Ezek adatvédelmi szempontból eddig igen szigorú korlátok közé szorították ezeket a tevékenységeket.
A megőrzési idők újraszabályozása
Mind a kamerafelvételek, mind pedig a belépőkártyák logolt (naplózott) adatai kapcsán kötött volt eddig az adatkezelési célok köre, valamint az adatmegőrzési idő tartama is.
Főszabály szerint eddig a kamerafelvételeket három munkanap elteltével törölni kellett. Az automatikus adattörlésre beállított rendszereknél azonban általában lehetetlen volt a munkanap értelmezése. Számos esetben az adatkezelő oldalán is felmerültek indokok, amelyek hosszabb megőrzési idő mellett szóltak. Az adatkezelők számára igen szűk körben nyílt lehetőség hosszabb – harminc, bankok esetén hatvan napos – törlési idő alkalmazására, így pl. csak akkor, ha a megfigyeléssel érintett területen veszélyes anyagokat, vagy legalább ötmillió forint értékben készpénzt, drágakövet vagy nemesfémet tartottak.
A kártyás beléptetőrendszerek kapcsán pedig az volt az előírás, hogy a kártyatulajdonos nevét rendszeres belépési jogosultság esetén annak megszűnésekor azonnal törölni kellett, azonban a be- és kilépési adatokat további hat hónapig lehetett tárolni. Ez a név nélküli tárolás nem sok haszonnal járt a gyakorlatban.
Mindezek a korlátok április 26-tól megszűnnek. Az új szabályozás szerint az adatkezelők jogosultak megfelelő érdekmérlegeléssel meghatározni az adatkezelés céljait és a szükséges megőrzési időt.
Kamerafelvételekhez való hozzáférés
Törölte a jogalkotó a videofelvételek felhasználásával kapcsolatos korlátozásokat: a jövőben nem szükséges jogát vagy jogos érdekét igazolnia annak, aki a rögzített felvételbe betekintést kér. A kamerafelvételeket pedig nem csak bírósági, hatósági eljárás során lehet felhasználni.
Megmaradt azonban a törvény azon rendelkezése, hogy a rögzített felvételekhez való hozzáférési jogosultságot szükséges korlátozni, és jegyzőkönyvben rögzíteni a betekintőket és a betekintés idejét, célját. A törvény új rendelkezése ilyen jegyzőkönyvként elismeri az elektronikus nyilvántartást is.
Az adatkezelési jogalap kiigazítása
Helyére került a szabályozásban a jogalap kérdése is. A korábbi szabály szerint a kamerával megfigyelt területre belépő személy a belépéssel – tudomásul véve a kamerára figyelmeztető jelzéseket, piktogramokat – hozzájárult az adatkezeléshez. Hozzájárulása hiányában azonban az adatkezelés nem volt jogszerűen folytatható. Az új uniós szabályok azonban egyértelműen kizárják a ráutaló magatartással megadott hozzájárulást. E rendelkezés Szvtv-ből való törlésével az adatkezelők számára egyértelműbb helyzet állt elő: akkor járnak el helyesen, ha a személy- és vagyonvédelmi célú megfigyelés jogalapjaként a jogos érdeket jelölik meg. Ekkor tehát nem kell hozzájárulás, kell viszont olyan érdekmérlegelési teszt, amely valamennyi kamerára kiterjedően alátámasztja azt az adatkezelői jogos érdeket, amely alapján lehetőség van az adatkezelésre.
A vagyonőrök adatvédelmi státusza
A GDPR életbe lépése óta nehézséget okozott az adatkezelők számára, hogy az Szvtv. adatkezelőnek minősítette a vagyonőröket, akik a vagyonvédelmi megfigyelési tevékenységüket a megrendelőjük számára végezték. Az adatvédelmi szabályok helyes értelmezése alapján azonban a vagyonvédelmi cég tipikusan adatfeldolgozónak minősül. A módosításnak köszönhetően a felek a valós körülményeknek megfelelően minősíthetik szerződéses kapcsolatukat, azaz az eset összes körülménye alapján el tudják dönteni, hogy kapcsolatrendszerük (közös) adatkezelésnek, vagy adatfeldolgozásnak minősül.
dr. Szűcs László, ügyvéd
dr. Mihola Réka, ügyvéd
TechRelated
a Réti, Várszegi és Társai Ügyvédi Iroda PwC Legal technológiai jogi blogja