Nyilvánosan elérhetővé vált egyes magyar ágazati jogszabályok GDPR-vonatkozású módosításának tervezete.

A hónapok óta csak „GDPR salátatörvény” néven emlegetett jogszabálymódosítás-csomag a várakozások szerint számos adatkezelő helyzetét teszi majd valamelyest egyszerűbbé, hiszen a jogalkotó kifejezett szándéka volt, hogy a magyar joganyagot összhangba hozza GDPR szabályaival. Ezzel várhatóan javul az a 2018. május 25. (a GDPR kötelező alkalmazásának kezdete) óta fennálló szerencsétlen helyzet, amelyben a GDPR és az azzal párhuzamosan alkalmazandó egyes magyar ágazati törvények eltérő fogalomhasználata és logikája miatt jobb esetben kétértelmű, rosszabb esetben egymásnak ellentmondó rendelkezések alapján kell megítélni, hogy egy adott adatkezelés jogszerű-e vagy sem.

A „saláta” számos törvényt érint, de az adatkezelők napi működésére vélhetően a következőknek lesz a legnagyobb hatása:

Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló törvény (1997. évi XLVII.) – eddig sok esetben megoldhatatlan problémát okozott, hogy a törvényben meghatározott célokon túlmenően kizárólag írásbeli hozzájárulás alapján volt lehetőség egészségügyi adatok kezelésére. A Polgári Törvénykönyv szabályai szerint írásbelinek lényegében csak a saját kezű aláírás, vagy a minősített elektronikus aláírás minősül, ebből következően pl. egy internetes felület használatakor megadott hozzájárulás esetében gyakorlatilag lehetetlen volt az írásbeliség követelményének megfelelni. A módosítás ehhez képest már nem vár el írásbeliséget, helyette „kifejezett akaratot tartalmazó és a szabályszerű nyilatkozat megtételét hitelt érdemlően bizonyító módon tett” hozzájárulásról ír. Bár az írásbeliség követelményének elhagyása egyértelmű könnyebbség, az új elvárásrendszernek való gyakorlati megfeleléshez még számos kérdés fűződik.

A személy-és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló törvény (2005. évi CXXXIII.) – ennek a törvénynek azért volt mindig is nagy jelentősége az adatkezelések szempontjából, mert szabályozza egyrészt a kamerarendszerek, másrészt az elektronikus beléptetőrendszerek működtetésének szabályait. A „saláta” összhangba hozza a kamerarendszerekkel kapcsolatos adatkezelések jogalapját a GDPR szabályaival, amire azért volt szükség, mert eddig ebben a kérdésben a vagyonvédelmi törvény a kamera által megfigyelt személyek kifejezett hozzájárulását várta el. Ez a GDPR szabályaival nyilvánvalóan nem volt összeegyeztethető, hiszen a hozzájárulás legfőbb feltétele – a dolog természetéből fakadóan –hogy az önkéntes legyen. Az önkéntességhez pedig az szükséges, hogy a hozzájárulás megadásának legyen valós alternatívája. Ha tehát az érintett kizárólag a között választhat, hogy bemegy egy magánterületre és ez esetben a kamera felveszi őt, vagy pedig egyáltalán nem megy be, akkor nincs valós alternatíva, a hozzájárulás nem lehet önkéntes. Ez az oka annak, hogy a GDPR logikáját követve tipikusan az adatkezelő jogos érdeke és nem hozzájárulás alapján történik a kamerák üzemeltetése és ezt követi le a törvény módosítása.

A munka törvénykönyvéről szóló törvény (2012. évi I.) – a munkaviszonyhoz kapcsolódó adatkezelések köre az egyik legjelentősebb. Az Mt. módosításai közül kiemelendő, hogy a munkavállaló személyiségi jogai korlátozását a törvény az eddiginél szigorúbb feltételekhez köti, hiszen ennek lehetőségét előzetes írásbeli tájékoztatástól teszi függővé, azzal, hogy a tájékoztatásnak ki kell terjednie a korlátozás szükségességét és arányosságát bemutató körülményekre is (pl. a munkavállaló céges email fiókjának ellenőrzése, GPS nyomkövetés, kamerák telepítése stb.). Szintén említést érdemel, hogy az Mt. módosítása fokozott védelemben részesíti az ún. biometrikus adatokat és igen szigorú feltételekhez köti a munkavállaló ilyen adatainak kezelését (pl. ujjlenyomat-leolvasóval működő beléptetőrendszerek esete). Miután a törvény példálózó felsorolást is tartalmaz az ilyen technológiák alkalmazásának jogszerű eseteiről, kijelenthető, hogy arra csak viszonylag szűk körben lesz lehetőség, így pl. a munkavállaló vagy mások élete, testi épsége védelme érdekében, vagy pl. lőfegyverek, vagy veszélyes vegyi anyagok őrzéséhez fűződő jelentős érdek fennállása esetén.

A hitelintézetekről és a pénzügyi vállalkozásokról szóló törvény (2013. évi CCXXXVII.) – a módosítás rögzíti, hogy amikor az intézmények a pénzmosás és terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvény rendelkezéseiből fakadó kötelezettségeiket teljesítik (pl. ügyfélátvilágítás), akkor mentesülnek a banktitok megtartásának kötelezettsége alól. Ez tehát megkönnyíti és racionalizálja a személyes adatok kezelésének és átadásának azon esetkörét, amikor arra a fenti ellenőrzési kötelezettségekkel összefüggésben van szükség.

A pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló törvény (2017. évi LIII.) – jelentőséggel bír, hogy a módosítás egyrészt előírja a szolgáltatók számára az okmánymásolás kötelezettségét annak érdekében, hogy az ügyfelet teljes körűen azonosítani tudják, másrészt pontosítja azt is, hogy a lakcímkártya mely oldaláról készülhet fényképfelvétel (a személyi azonosítót tartalmazóról nem), illetve mely oldalán feltüntetett adatokat kezelhetik a szolgáltatók.

A fenti módosítások jól érzékeltetik, hogy milyen összetett és szerteágazó feladat elé állítja a jogalkotót – és még inkább a jogalkalmazókat – a GDPR-al történő harmonizáció a magyar jogban.

Pezsgőt bontani mindenesetre még biztosan korai a GDPR-saláta ismeretében, hiszen- bár jelentős előrelépést jelent – több esetben továbbra is megmaradnak a GDPR és a magyar törvények között feszülő ellentmondások, értelmezési nehézségek. Az a Rubik kocka-szerű feladvány tehát, amely elé a GDPR-megfelelés állítja az egyes szervezeteket továbbra is fennáll, azonban a „saláta” eredményeképp talán rövidebb idő alatt megoldható, mint eddig.

dr. Csenterics András LL.M, ügyvéd, adatbiztonsági és adatvédelmi szakjogász

TechRelated
a Réti, Várszegi és Társai Ügyvédi Iroda PwC Legal technológiai jogi blogja