A NAIH honlapján közzétett újabb olyan állásfoglalásokat, amelyek a GDPR-ral és ágazati jogszabályokkal kapcsolatos kérdésekre adott válaszokat tartalmaznak. Ezek számos érdekes megállapítást tartalmaznak, a jelen bejegyzésben az érdekesebbek közül válogattunk néhányat, és fűztünk ezekhez saját megjegyzéseket.

Állásfoglalás termelőüzem kamerarendszerrel történő megfigyelésénél szükséges szabályzat, tájékoztató, illetve bejelentési kötelezettség ügyében

Kelt: 2018. május; feltöltés napja: 2018. június 1. Link. A NAIH szerint a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (a továbbiakban: Szvtv.) mint mögöttes jogszabály (!) továbbra is irányadó a magánvagyon védelmére telepített biztonsági kamerákra. Ez azért érdekes, mert az Szvtv. személyi hatálya a személy- és vagyonvédelmet végző vállalkozásokra, azaz a biztonsági cégekre terjed ki. Ebből arra a következtetésre lehet jutni, hogy egy olyan cég, amelynek nem ez a tevékenysége (pl. a címben szereplő gyár vagy akár egy kiskereskedelmi üzlet) és saját maga üzemelteti a kamerarendszerét, akkor rá az Szvtv. hatálya nem terjed ki. Ennek gyakorlati jelentősége a felvételek megőrzési idejével kapcsolatos, az Szvtv. ugyanis nagyon rövid megőrzési időket tartalmaz: 3 munkanap, kivételes esetekben 30 vagy 60 nap. A 3 munkanap, amely az esetek túlnyomó többségében irányadó, a gyakorlatban sokszor betarthatatlan. A NAIH korábbi álláspontja szerint azonban a Szvtv. irányadó a saját működtetésű kamerarendszerekre is, mert nincs más jogszabály, ami rendezné a megőrzési időket (lásd pl. itt).

A most közzétett tájékoztató többek között az alábbiakat tartalmazza:

A GDPR alapján várható a közeljövőben mind az Infotv. mind az Szvtv. módosítása. A fő változás a kamerás megfigyelés jogcíme. A GDPR 6. cikk (1) bekezdése szerint a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben az ott felsorolt jogalapok egyike fennáll.

A kamerás adatkezelés GDPR szerinti jogalapja lehet a 6. cikk (1) a) pontja szerinti érintetti hozzájárulás, valamint az f) pont szerinti jogos érdek érvényesítése is.

Pozitívum, hogy a NAIH megerősíti, hogy a kamerarendszer üzemeltetésének lehet jogalapja az adott cég vagy más jogos érdeke. Ezzel kapcsolatban az állásfoglás az alábbiakat is tartalmazza:

A munkáltató által a munkavállalókat érintő kamerás megfigyelés esetén azonban az érintetti hozzájárulás önkéntessége problémás lehet, tekintettel a munka világára jellemző alá- fölérendeltségi hierarchikus viszonyra.

A GDPR 6. cikk (1) bekezdés f) pont szerinti – az adatkezelő vagy harmadik fél jogos érdekén alapuló – jogalap esetében szükséges az abban feltételként támasztott érdekmérlegelési teszt előzetes elvégzése és dokumentálása, azaz annak tisztázása, hogy az adott esetben az adatkezelő vagyonvédelmi érdeke elsőbbséget élvez-e az érintettek érdekeivel vagy alapvető jogaival és szabadságaival szemben.

A GDPR 5. cikk (2) bekezdése szerinti elszámoltathatóság elvének megfelelően az érintettek alapvető jogait nem sértő jogos érdek fennállását az adatkezelő köteles utólag bizonyítani tudni. Ehhez a kamerázás megkezdése előtt el kell végeznie annak dokumentálását, hogy pontosan hol és mit vesz fel a kamerákkal, ki és milyen biztonságos módon fér hozzá a felvételekhez, és azokat ki és mikor törli. Erről az adatkezelő a kamerával megfigyelt nyilvános területekre megfelelő tájékoztatást köteles elhelyezni oly módon, hogy a kamerával megfigyelt területre lépés előtt tudhassák, hogy kamerával megfigyelt területre fognak belépni. Az adatkezelő felelős a saját jogos érdekében készített felvételek biztonságos tárolásáért és kezeléséért.

Garanciális követelmény tehát az elektronikus megfigyelőrendszer alkalmazásával kapcsolatban is a munkavállaló megfelelő tájékoztatásának követelménye. Mégpedig minden kamera vonatkozásában tájékoztatást kell nyújtani, hogy annak látószöge pontosan milyen célból, mely terület vagy tárgy megfigyelésére irányul.

A munkavállalóknak nyújtott írásbeli tájékoztatásnak ki kell terjednie legalább az alábbiakra: – adatkezelése jogalapjára, – egyes kamerák elhelyezésére, vonatkozásukban fennálló célokra, területre, tárgyra, arra hogy közvetlen vagy rögzített megfigyelést végez-e, – az üzemeltető személy meghatározása, – felvételek tárolásának ideje, helye, – adatbiztonsági intézkedésekre (természetesen nem szükséges az intézkedések hatékonyságát veszélyeztető részletes tájékoztatás), – megismerésre jogosult személyek körére, – továbbítás lehetőségeire, – felvételek munkáltató által milyen célból használható fel, – munkavállalókat megillető jogokra, azok gyakorlásának módjára, – információs önrendelkezési jogok megsértése esetén rendelkezésre álló jogérvényesítési eszközökre.

Ami az állásfoglalásból sajnos nem derül ki, hogy aha egy cég a kamerarendszerét saját maga a GDPR szerinti jogos érdek mint adatkezelési jogalap alapján működteti, akkor elmozoghat-e az Szvtv.-ben meghatározott megőrzési időktől, azaz tárolhatja-e a felvételeket 3 munkanap helyett pl. 15 vagy 30 napig, amennyiben az érdekmérlegési teszt ezt alátámasztja.

Tájékoztatás a GDPR kis- és középvállalkozások esetében történő alkalmazhatóságáról

Kelt: 2018. május; feltöltés napja: 2018. június 1. Link. A NAIH megerősíti, hogy a GDPR a KKV-ékra is vonatkozik és többek között azt is, hogy az elszámoltathatóság elvének való megfelelés szempontjából kulcsfontosságú a belső adatvédelmi nyilvántartás. A 250 főnél kevesebb személyt foglalkoztató szervezetek esetében alkalmazandó kivétellel kapcsolatban a NAIH álláspontja az alábbi:

[…] e mentesített körbe valóban csak az egyedi, egyszeri, kivételes adatkezeléseket folytató kis- és középvállalkozások tartozhatnak, más esetben nem lehet eltekinteni a nyilvántartás vezetésétől.

Egyesületek adatkezelési kötelezettségei

Kelt: 2018. május; feltöltés napja: 2018. június 1. Link. Az állásfoglalás szerint egy egyesületnek nem feltétlenül szükséges külön adatvédelmi tájékoztatót készíteni, amennyiben az alapszabály ezt tartalmazza:

Célszerű lehet az egyesület alapszabályában megadni a megfelelő tájékoztatást az adatkezelésről, és a belépés feltételévé tenni ennek kifejezett elfogadását.

Külön adatvédelmi szabályzat elfogadása nem kötelező, amennyiben az adatkezelés célját, módját, az adatokhoz hozzáférés szabályait és az adatvédelmi incidensbejelentés módját az egyesületi alapszabály külön fejezetben, világosan tartalmazza.

Ez a megközelítés azonban a gyakorlatban nem biztos, hogy működik, hiszen az adatkezelési tájékoztató tartalma időről-időre változhat, és ha ez az alapszabályban van benne, akkor ezeket csak alapszabály módosítással lehet átvezetni.

Tájékoztatás a GDPR hatályával kapcsolatban akkor, ha megbízási szerződések teljesítése érdekében történik a személyes adatkezelés a szerződéses partnerekkel és kapcsolattartóikkal

Kelt: 2018. május; feltöltés napja: 2018. június 1. Link. Ebben az állásfoglalásban a NAIH azzal foglalkozott, hogy hogy kiterjed-e egy olyan cégre a GDPR hatálya, amely csak a megbízási szerződéseik teljesítése érdekében kezel kevés számú személyes adatot a szerződéses partnerekkel és kapcsolattartóikkal összefüggésben.

A NAIH szerint a kérdésre adott válasz igen, hiszen a kapcsolattartó személyek adatai is személyes adatok, tehát még B2B környezetben is van adatkezelés partneri szerződések esetén. Azzal kapcsolatban, hogy ebben az esetben mi az adatkezelés jogalapja, a NAIH álláspontja a következő:

Amennyiben a személyes adat a nem természetes személy szerződő partnerük munkavállalójáé, akkor a személyes adatokat a szerződéses partnerük továbbítja Önök felé a kapcsolattartáshoz szükséges mértékben. Ilyenkor a munkáltató (szerződéses partnerük) a GDPR 6. cikk (1) (b) pontja [szerződés teljesítése] és a munka törvénykönyvéről szóló 2012. évi I. törvény (a továbbiakban: „Mt.”) 10. § (1) bekezdése alapján szerzi meg és kezeli a személyes adatokat, míg Önök a GDPR 6. cikk (1) (f) pontja [jogos érdek] szerint a szerződéses partnerük jogos érdekében veszik át tőle és kezelik a személyes adatokat a célhoz szükséges mértékben és ideig.

A GDPR 6. cikk (1) (f) pontjára történő hivatkozás esetén fontos annak dokumentálása, hogy a harmadik személy jogos érdekének érvényesítése előnyt élvez az adott esetben a munkavállaló személyes adataihoz fűződő rendelkezési jogához képest, mivel a munkavállaló munkakörének ellátásához szükséges és arányos korlátozás.

Az állásfoglalás azzal kapcsolatban sajnos nem az útmutatást, hogy utóbbi esetben, azaz amikor egy cég a szerződéses partnerének – amely lehet akár ügyfele, akár beszállítója – természetes személy kapcsolattartójának az adatát kezeli jogos érdek alapján, akkor az adatkezelésről szóló előzetes tájékoztatást hogyan kellene megadnia a partnere munkavállalói számára, akikkel jellemzően semmiféle kapcsolatba sem kerül, mielőtt az adott szerződés megkötésre kerülne. Vajon kéne erre készítenie egy külön adatvédelmi tájékoztatót, majd ezt megküldeni a partnernek, hogy ezt adja át az érintett személyeknek, mielőtt a szerződésben vagy annak tervezetében az ő személyes adatai feltüntetésre kerülnek? Ha nem kell előzetes tájékoztatás adni, hanem elég csak a GDPR 14. cikke szerinti utólagos tájékoztatást megadni, akkor vajon lehet hivatkozni az (5) bekezdés (b) pontjában lévő azon kivételre, hogy az információk rendelkezésre bocsátása aránytalanul nagy erőfeszítést igényelne? Ezekben a kérdésekben égető lenne további, gyakorlati szempontokat is figyelembe vevő iránymutatás a hatóság részéről.

Tájékoztatás a GDPR- al kapcsolatban várható jogszabályváltozásokról, iránymutatások

Kelt: 2018. május; feltöltés napja: 2018. május 18. Link. Az elmúlt időszak egyik legérdekesebb kérdése volt – és a jelek szerint még egy ideig az is marad -, hogy mikor és hogyan kerül sor a korábbi magyar adatvédelmi szabályozás érdemi módosítására, deregulációjára a GDPR-ral való összhang megteremtése érdekében, illetve, hogy a GDPR vagy a nemzeti jogszabályok rendelkezései irányadóak, ha a kettő között eltérések vannak. A NAIH ezzel kapcsolatban az alábbiakat emeli ki:

Az Infotv. módosításáról szóló tervezet – amely a GDPR vonatkozásában elsősorban az intézményi feltételek kialakítását és az eljárási szabályok megalkotását jelenti – már elkészült, és az várhatóan hamarosan benyújtásra kerül az Országgyűlés elé. Az Infotv. tehát hatályban marad, de a tartalma változik, és a GDPR szabályaival együtt kell majd alkalmazni.

E mellett számítani lehet rá, hogy a GDPR-ral való összhang megteremtése érdekében egyéb, adatkezelési rendelkezést tartalmazó (szektorális) törvények is módosításra kerülnek; tudomásunk szerint az ezzel kapcsolatos jogszabály-előkészítő munka folyamatban van az adott szakterület ágazati felügyeletéért felelős szakminisztériumban.

Kiemelendő, hogy a GDPR rendelkezéseitől csak akkor van lehetősége eltérni a tagállami jogalkotónak, ha azt a GDPR kifejezetten megengedi. A GDPR ilyen felhatalmazást tartalmaz például a különleges adatok kezelésére vonatkozó, a foglalkoztatással összefüggő, vagy az egyházi adatkezelések nemzeti szabályozása esetén. A módosítási igénnyel érintett hazai jogszabályok körének beazonosításához tehát elsősorban maga a rendelet jelenti a kiindulópontot.

Tudomásunk szerint az Infotv. és a kapcsolódó ágazati törvények módosításáról szóló javaslatok még az idei év tavaszán az Országgyűlés elé kerülhetnek megfelelő időben ahhoz, hogy azokról még a GDPR kötelező alkalmazását megelőzően lehessen szavazni. Ez alapján az adatkezelők és adatfeldolgozók számára is egyértelmű szabályozás áll majd rendelkezésre annak eldöntéséhez, hogy milyen rendelkezéseknek kell majd megfelelniük.

Ami az utóbbi bekezdést illeti, ma már tény, hogy az Infotv. és a kapcsolódó ágazati törvények módosítására nem került sor a május 25-ig, és a jelek szerint erre ősz előtt nem is fog sor kerülni.