Jog
2017. július 27. csütörtök, 10:30
adatvédelem, infotörvény, RSM Hungary
2018 jelentős év lesz az adatvédelem területén, hatályba lép az új európai adatvédelmi rendelet, amely Magyarországon is közvetlenül hatályos és alkalmazandó jogszabály lesz, felváltja a jelenleg hatályos Infotörvényt. A küszöbön álló változás alkalmat biztosíthat arra, hogy elmélyüljön, vagy széles körben kialakuljon az adatvédelmi jogi tudatosság – hívja fel a figyelmet dr. Szűcs Bálint az RSM Hungary blogjában.

Az adatvédelmi jog széles körben kihat mindennapjainkra. Csak élő, természetes személyek (magánszemélyek) adatai minősülhetnek személyes adatnak, ebből adódóan a természetes személyek jogainak védelme adja az adatvédelmi jog fókuszát – írja dr. Szűcs Bálint az RSM Hungary blogjában.

A vállalatok, egyéb szervezetek szemszögéből annak van kiemelkedő jelentősége, hogy ők a természetes személyek adatai kapcsán adatkezelőnek, vagyis olyannak, aki felelős az adatkezelésért, vagy adatfeldolgozónak, azaz olyannak, akinek a szerepe főleg az, hogy végrehajtsa az adatkezelő utasításait minősülnek.

Cég, egyéb szervezet és magánszemély is lehet adatkezelő

Sok esetben találkozunk azzal a vélekedéssel, hogy az adatvédelmi jog vállalkozásokra, szervezetekre vonatkozóan jelent elsősorban kötelezettséget, mivel jellemzően ők állnak kapcsolatban nagyszámú ügyféllel; gyűjtenek és kezelnek adatokat, adatbázisokat.  Egy átlagos felhasználó (természetes személy) hajlamos úgy gondolni, hogy az adatvédelemmel csak akkor találkozik, amikor – elolvasás nélkül – rákattint (aláhúzza, kipipálja stb.) a személyes adatainak kezelésére vonatkozóan megfogalmazott hozzájáruló nyilatkozatra, hogy hozzáférjen valamely szolgáltatói tartalomhoz.

Ez a gondolat annak ellenére erősen tartja magát a köztudatban, hogy az adatvédelmi jogszabályok alkalmazásában természetes személy is minden további nélkül lehet adatkezelő.

Kamerás megfigyelés – az adatkezelés egy formája

Teljesen hétköznapi szituációkban is felmerülhet tehát természetes személyek magatartásának adatvédelmi jogi vonatkozása. Ezt szemlélteti a következő jogeset. 

Egy magánszemély kamerarendszert szerelt fel és működtetett a családja házán. A kamera rögzített helyzetben a ház bejáratáról, az utcáról és a szemközti ház bejáratáról készített videófelvételt, amelyet adatrögzítő eszközön – merevlemezen – tároltak végtelenített formában. Miután a merevlemez memóriája megtelt, a későbbi felvétel törölte a korábbi adatokat. Az adatrögzítő eszközhöz nem csatlakoztattak képernyőt, így nem volt lehetőség a kép valós időben történő megtekintésére, a rendszerhez és az adatokhoz kizárólag a magánszemély fért hozzá.

A megfigyelt ház ablakát csúzlival betörték, a kamerás megfigyelőrendszer segítségével két gyanúsítottat azonosítani tudtak. A ház tulajdonosa a rögzített felvételeket átadta a rendőrségnek, amelyeket ezt követően felhasználtak a megindult büntetőeljárásban.

A legjobb védekezés a támadás elvét követve az elkövetők bepanaszolták a kamerarendszert működtető magánszemélyt, adatvédelmi jogi alapon. Arra hivatkoztak, hogy a magánszemély adatkezelőnek minősül, és ebben a minőségében az eljárása több vonatkozásban is jogsértő volt. A nemzeti hatóság meg is állapította a többszörös jogsértést. A határozattal szemben a magánszemély jogorvoslattal élt, a nemzeti bíróság felé előzetes döntéshozatali kérelmet terjesztett elő. 

Kérdésének lényege az volt, hogy ügyében alkalmazható-e az a kivétel1, miszerint a „személyes adatkezelés” nem tartozik az adatvédelmi jog tárgyi hatálya alá.

Az előzetes döntéshozatali eljárásban a következő lényegi megállapítások születtek:

  • személyekről kamerával felvett kép a rendelkezések értelmében személyes adatnak minősül,
  • videókamerás megfigyelés főszabály szerint az európai Irányelv hatálya alá tartozik, mivel automatizált módon történő adatkezelésnek minősül, 
  • amely csak abban az esetben nem tartozik az adatvédelmi jogszabály tárgyi hatálya alá – azaz minősül kivételnek – ha az adatkezelést „kizárólag” személyes, illetve otthoni tevékenységek gyakorlása céljából végzik,
  • az olyan videókamerás megfigyelés, amely csak részben, de közterületre is kiterjed – a kamerás megfigyelőrendszerrel adatkezelést végző személy magánszféráján kívülre irányul –, nem tekinthető kizárólag „személyes, illetve otthoni” tevékenységnek.

A konklúzió az tehát, hogy a magánszemély fenti magatartása is az irányadó (cseh) adatvédelmi jogszabály hatálya alá tartozik, annak alapján kell megítélni. 

Az előzetes döntéshozatali eljárásban meghozott ítélet nem azt mondta ki, hogy a magatartás jogellenes, „csak” azt, hogy a magánszemély magatartására alkalmazni kell az irányadó adatvédelmi jogszabályt, mivel annak tárgyi hatálya alá tartozik. A jogosság, jogellenesség kérdését már az irányadó adatvédelmi jogszabály egyéb rendelkezései alapján kell elbírálni.

Az adatvédelmi tudatosság a GDPR életbe lépésével növekedni fog

Mindezzel arra kívánunk rámutatni, hogy egy hétköznapinak minősülő cselekmény vonatkozásában is felmerülhet az adatvédelmi jog alkalmazásának a kötelezettsége, akár magánszemélyek esetében is. Véleményünk szerint az adatvédelmi tudatosság és felelősség fokozottan kell, hogy érvényesüljön a vállalkozások részéről, mivel esetükben – jellemzően – már fel sem merül az a kérdés, hogy tevékenységük része, vagy egésze az adatvédelmi jog tárgyi hatálya alá tartozik, vagy sem. Esetükben jellemzően azonnal élesben indul a tanúsított magatartás adatvédelmi jogi megfelelőségének a vizsgálata.

1„Személyes adatkezelés” kivétel megfogalmazása:

a) Az Európai Parlament és a Tanács 95/46/EK irányelve (1995. október 24.) a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról („Irányelv”),3. cikk (2) Az irányelv nem alkalmazandó […] a természetes személy által kizárólag személyes célra, vagy háztartási tevékenysége keretében végzett adatfeldolgozásra.

b) Infotörvény 2. § (4) alapján nem kell alkalmazni a törvény rendelkezéseit a természetes személynek a kizárólag saját személyes céljait szolgáló adatkezeléseire.

c)Új adatvédelmi rendelet 2. cikk (1) c) pontja alapján a rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik.


Cég és szolgáltatás kereső
Twitter megosztás Google+ megosztás
A szerkesztő ajánlja