Az adatvédelem a személyes adatok gyűjtésének, feldolgozásának és felhasználásának korlátozásával, az érintett személyek védelmével foglalkozik. Nevével ellentétben tehát nem elsősorban az adatokat védjük, hanem azokat a személyeket, akikkel az adatok összeköthetők.
Fontosabb alapfogalmak Az adatvédelemre vonatkozó hatályos jogszabály az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.), amely hatályon kívül helyezte a korábbi adatvédelmi szabályozást, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvényt (Avtv.).
Az információs önrendelkezési jogról és az információszabadságról szóló törvény 3. § 2. pontja szerint személyes adat: “az érintettel kapcsolatba hozható adat – különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés”. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható. Az érintettel akkor helyreállítható a kapcsolat, ha az adatkezelő rendelkezik azokkal a technikai feltételekkel, amelyek a helyreállításhoz szükségesek. (Infotv. 4. § (3))
Az Infotv. 3. § 3. pont szerint különleges adat: “a) a faji eredetre, a nemzetiséghez tartozásra, a politikai véleményre vagy pártállásra, a vallásos vagy más világnézeti meggyőződésre, az érdekképviseleti szervezeti tagságra, a szexuális életre vonatkozó személyes adat, b) az egészségi állapotra, a kóros szenvedélyre vonatkozó személyes adat, valamint a bűnügyi személyes adat;”
A 3. § 9. pont szerint adatkezelő: “az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adatok kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja;”
A 3. § 10. pont szerint adatkezelés: “az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;[1]
Az adatvédelem története Magyarországon Az 1949. évi XX. törvény 1989. októberi módosítása már elismeri a személyes adatok védelméhez és a közérdekű adatok megismeréséhez való jogot, melyet az 1990. évi teljes alkotmányrevízió a kétharmados szabályozású törvények körébe emelt. Az adatvédelem, más néven az információs önrendelkezési jog az egyén „azon joga, hogy alapvetően maga döntsön személyes adatainak kiszolgáltatásáról és felhasználásáról.” – mondta ki a 15/1991. (IV. 13.) AB határozat.[2]
Az állam és a gazdaság működéséhez, a társadalmi tevékenységek tervezéséhez és szervezéséhez egyre több információra van szükség. A nagy tömegű információkezelésben növekedett az informatika jelentősége. Hiányzott egy átfogó szabályozás az adatok feldolgozásával és nyilvántartásával kapcsolatban, mely jogbizonytalanságot szült. Az Országgyűlés alkotmányos kötelezettségének eleget téve megalkotta és 1992. november 17-én kihirdette a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvényt, közismertebb nevén az adatvédelmi törvényt (Avtv.). A törvény 2004. január 1-jétől hatályos módosítása átültette a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK európai parlamenti és tanácsi irányelvet.[3] Az irányelv jelenleg is fontos, főleg jogértelmező szerepet tölt be a magyar törvény mellett.[2]
Az adatkezelés feltételei
Személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárult vagy azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli. (Infotv. 5. § (1) a) és b))
Különleges adat akkor kezelhető,
- ha az érintett írásban hozzájárul,
- vagy ha az törvényben kihirdetett nemzetközi szerződés végrehajtásához szükséges,
- vagy azt az Alaptörvényben biztosított alapvető jog érvényesítése, továbbá a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése érdekében vagy honvédelmi érdekből törvény elrendeli,
- vagy bizonyos – a hatályos törvényben meghatározott – adatok esetében törvény közérdeken alapuló célból elrendeli.
A hozzájárulás csak akkor érvényes, ha az megfelelő tájékoztatáson alapul. Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. Kötelező adatszolgáltatás esetén meg kell jelölni az adatkezelést elrendelő jogszabályt is. Az érintettet – egyértelműen és részletesen – tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is. (Infotv. 20. § (1) és (2))
A tájékoztatás követelményének való megfelelést szolgálja pl. az internetes honlapok esetében az adatvédelmi nyilatkozat.
Az adatkezelés konjunktív feltétele az adatkezelés célhoz kötöttsége elvének való megfelelés is, amely így szól: 4. § (1) Személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhető. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.
(2) Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes adat csak a cél megvalósulásához szükséges mértékben és ideig kezelhető.[1]
Az adatkezelő személyes adatokra vonatkozó adatkezeléseiről, az érintettek tájékozódásának elősegítése érdekében a Hatóság hatósági nyilvántartást, adatvédelmi nyilvántartást vezet, amely tartalmazza (Infotv. 65. § – 68. §)[1]
- a) az adatkezelés célját,
- b) az adatkezelés jogalapját,
- c) az érintettek körét,
- d) az érintettekre vonatkozó adatok leírását,
- e) az adatok forrását,
- f) az adatok kezelésének időtartamát,
- g) a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat is,
- h) az adatkezelő, valamint az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
- i) az alkalmazott adatfeldolgozási technológia jellegét,
- j) a belső adatvédelmi felelős alkalmazása esetén annak nevét és elérhetőségi adatait.
Jogorvoslati és jogérvényesítési lehetőségek
Az érintett tájékoztatást kérhet adatai kezeléséről, kérheti személyes adatainak helyesbítését, és – a kötelező adatkezelés kivételével – kérheti adatai törlését vagy zárolását. (Infotv. 14. §)[1]
Az érintett a jogainak megsértése esetén az adatkezelő ellen bírósághoz fordulhat. A bíróság az ügyben soron kívül jár el. (Infotv. 22. § (1))[1]
(2) Azt, hogy az adatkezelés a jogszabályban foglaltaknak megfelel, az adatkezelő köteles bizonyítani.
(4) A perben fél lehet az is, akinek egyébként nincs perbeli jogképessége. A perbe a Hatóság[4] az érintett pernyertessége érdekében beavatkozhat.
A jogellenes adatkezelés következményei
Törlés (17. § (2))[1]
Bíróság lehetőségei (22. §)[1]
Kártérítés és sérelemdíj (23. §)[1]
Más polgári jogi igények (Ptk. 3:406. § és 6:498. §)[5]
Szabálysértés (Szabs. tv.)[6]
Munkajogi (Mt.)[7]
Bűncselekmény (Btk.)[8]
A Nemzeti Adatvédelmi és Információszabadság Hatóság
Az adatvédelmi biztosi intézményt autonóm államigazgatási szervként a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) váltja fel. A független Hatóság elnökét a miniszterelnök javaslatára a köztársasági elnök nevezi ki 9 évre.
A Hatóságnál bárki vizsgálatot kezdeményezhet, akár a jogsérelem bekövetkezését követően, akár ha csak annak veszélye fennáll. A bejelentéstől számított két hónapon belül a Hatóság dönteni kényszerül. Döntéséről értesíti a bejelentőt. Amennyiben a bejelentést megalapozatlannak tartja, lezárja az eljárását. Megalapozottság esetén adatvédelmi hatósági eljárást indít, vagy egyéb intézkedést tesz. Az egyéb intézkedések körében a Hatóság az adatkezelőt a jogsérelem orvoslására, illetve a jogsérelem veszélyének megszüntetésére szólíthatja fel, illetve ajánlással élhet a felügyeleti szerve felé. A Hatóság jogszabály, illetve közjogi szervezetszabályozó eszköz módosítását, hatályon kívül helyezését vagy épp megalkotását is javasolhatja. A Hatóság tehát nem csak a már bekövetkezett jogsértés esetén szankcionál, hanem preventív célból is intézkedhet. Ha a Hatóság intézkedése nem vezetett eredményre, adatvédelmi hatósági eljárást indíthat.[9]
A Hatóság nem mérlegelhet, hanem köteles megindítani a hatósági eljárást – akár az előzetes vizsgálati eljárás nélkül is –, ha a jogellenes adatkezelés személyek széles körét érinti, különleges adatokat érint, vagy nagy érdeksérelmet, kárveszélyt idézhet elő.
Adatvédelmi tisztviselő
Az adatvédelmi tisztviselő kijelölése minden olyan esetben szükséges, amikor:
a) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
Egy vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelölhet. Az adatvédelmi tisztviselő az adatkezelő alkalmazottja is lehet, vagy akár szolgáltatási szerződés keretében láthatja el a feladatait.[10]
Az európai adatvédelmi hatóságokból álló 29-es munkacsoport iránymutatást adott ki az adatvédelmi tisztviselőkkel kapcsolatosan: PDF
Direkt marketing célú adatkezelés
2008. szeptember elsején lépett hatályba az új reklámtörvény, a 2008. évi XLVIII. törvény – Grt.[11]
A reklámtörvény az opt-in jelleget érvényesíti, azaz fő szabály szerint gazdasági reklám csak előzetes hozzájárulás birtokában küldhető.
“Reklám természetes személynek mint reklám címzettjének közvetlen megkeresése módszerével, így különösen elektronikus levelezés vagy azzal egyenértékű más egyéni kommunikációs eszköz útján kizárólag akkor közölhető, ha ahhoz a reklám címzettje előzetesen egyértelműen és kifejezetten hozzájárult.” [Grt. 6. § (1) bek.]
500 db feletti postai reklámküldemény a címzett előzetes és kifejezett hozzájárulásának hiányában is küldhető, a reklámozó és a reklámszolgáltató azonban köteles biztosítani, hogy a reklám címzettje a reklám küldését bármikor ingyenesen és korlátozás nélkül megtilthassa.
Telefonkönyvben található telefonszámokat jogszerűen fel lehet hívni direkt marketing célból, ha az előfizető a dm-célú hívásokat a szolgáltatójánál nem tiltotta le.[12]
Európai adatvédelmi rendelet
2016 áprilisában jelent meg az új európai adatvédelmi rendelet egységes szövege magyar nyelven. A meglévő nemzeti adatvédelmi szabályozás helyébe lépő, 2018-tól hatályos adatvédelmi rendelet[13] fontos újításai és lényeges rendelkezései:
- konkrétabb szabályok vonatkoznak az adatok adatkezelők (az adatok kezeléséért felelős szervek) általi kezelésére; az érintettektől például beleegyezést kell kérni. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés nem minősül hozzájárulásnak.
- könnyebb hozzáférés a saját személyes adatokhoz. A személy kérheti azok módosítását vagy tárolásuk megszüntetését.
- több információ arról, hogy mi történik az adatokkal a megosztás után. Az érintetteket például egyszerű és világos nyelvezetet használva tájékoztatni kell az adatvédelmi szabályzatról – ezt az adatkezelők szabványosított ikonok segítségével is megtehetik. A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, miképp gyakorolhatja az adatkezelés kapcsán megillető jogokat.
- a személyes adatok törléséhez való jog, valamint a személyes adatok eltávolíttatásához való jog. Ez például lehetővé teszi az érintettek számára, hogy a gyermekkorukban a közösségi hálózatokon közzétett vagy róluk gyűjtött adatok haladéktalan eltávolítását kérjék. Ez magába foglalja azt is, hogy az adatkezelőnek észszerű lépéseket kell tennie a többi adatkezelő értesítésére arról, hogy az érintett kezdeményezte a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését
- amennyiben egy 16 éven aluli fiatal online szolgáltatást kíván használni, a szolgáltatónak meg kell kísérelnie annak megállapítását, hogy a felhasználó kapott-e ehhez szülői beleegyezést. A tagállamok e szabály alkalmazásakor alacsonyabb életkort is megállapíthatnak, ám nem határozhatnak meg 13 év alatti korhatárt. A közvetlenül a gyermek részére nyújtott megelőzési és tanácsadási szolgáltatások esetében azonban nincs szükség a szülői felügyelet gyakorlójának hozzájárulására
- az adatok hordozhatóságához való jog, amely megkönnyíti az adatoknak a szolgáltatók – például közösségi hálózatok – közötti továbbítását. Ez nem csak az adatvédelem szintjét emeli, hanem fokozza a szolgáltatók közötti versenyt is
- a közérdekhez vagy az adatkezelő jogos érdekeihez kapcsolódóan végzett adatkezelés kifogásolásához való jog. Ez a jogosultság többek között a „profilalkotás” céljából felhasznált személyes adatokra vonatkozik
- egységes biztosítékok az archiválás érdekében történő adatkezelés olyan eseteiben, amikor az a közérdeket, valamint tudományos és történeti kutatások, illetve statisztikai munka céljait szolgálja
- rendelkezés arról, hogy adatvédelmi incidens esetén a felügyeleti hatóságot 72 órán belül, az érintetteket haladéktalanul tájékoztatni kell
- a magas kockázatú adatkezelés (amelyek jelentős mennyiségű személyes adat regionális, nemzeti vagy szupranacionális szintű kezelését célozzák, és amelyek az érintettek jelentős számára hatással lehet, és amelyek például az adatok érzékenysége folytán valószínűsíthetően magas kockázattal járnak) előtt adatvédelmi hatásvizsgálatot kell végezni. A személyes adatok kezelése nem tekinthető nagymértékűnek, ha az adatkezelés egy adott szakorvos, egészségügyi szakember betegei vagy egy adott ügyvéd ügyfelei személyes adataira vonatkozik. Ilyen esetekben az adatvédelmi hatásvizsgálatot nem kell kötelezővé tenni.
- A személyes adatok kezelésével összefüggő jogalkotási vagy szabályozási intézkedések előkészítése során a felügyeleti hatósággal konzultálni kell
- ösztönözni kell olyan tanúsítási mechanizmusok, és adatvédelmi bélyegzők illetve jelölések létrehozását, amelyek lehetővé teszik az érintettek számára, hogy gyorsan értékelni tudják az adott termékek és szolgáltatások adatvédelmi szintjét.
- Az Európai Unión kívüli harmadik országba személyes adat csak akkor adható át, ha a harmadik országban az adott adatkezelés adatvédelmi szintje megfelel az EU szabályainak, vagy az nemzetközi szerződés alapján történik.
- Az egységes európai adatvédelmi szabályozás és annak érvényesülése érdekében létrehozzák az Európai Adatvédelmi Testületet. A Testület minden tagállam egy felügyeleti hatóságának vezetőjéből és az európai adatvédelmi biztosból, vagy ezek képviselőiből áll.