Állásfoglalás a társadalmi egyeztetés alatt álló új adatvédelmi törvényről

A minisztériumból visszajeleztek, hogy a tegnapi napon közzétett jogszabálytervezetről az állásfoglalásunkat még a mai (sic!) napig bezárólag meg kellene küldeni. A rendelkezésre álló rendkívül szűk idő alatt az alábbi állásfoglalást készítettük el:

T.
KÖZIGAZGATÁSI ÉS
IGAZSÁGÜGYI MINISZTÉRIUM

………………….
részére

1055 Budapest,
Kossuth Lajos tér 2-4

Tárgy: Az információs önrendelkezési jogról és az információszabadságról szóló törvény társadalmi egyeztetése – észrevételek

Tisztelt ………….. Úr!

Hivatkozással a 2011. június 7. napján a tisztelt Minisztérium kormányzati portálon található aloldalán közzétett információs önrendelkezési jogról és az információszabadságról szóló törvénytervezet (Törvénytervezet) társadalmi egyeztetésére, a tervezettel kapcsolatos észrevételeink, illetve jobbító szándékú megjegyzéseink az alábbiak:

1. A törvény hatálya: Észleltük, hogy a Törvénytervezet hatállyal kapcsolatos 2. § (1) bekezdése azonos a jelenleg is hatályos Adatvédelmi Törvény 1/A § (1) bekezdésével. Ekként sajnálattal állapítottuk meg, hogy a 29. cikk szerinti adatvédelmi munkacsoport 2010. december 16. napján elfogadott, alkalmazandó jogról szóló állásfoglalását (WP 179, 8/2010-es vélemény) a Törvénytervezet készítői nem vették megfelelően figyelembe. A munkacsoport állásfoglalásából ugyanis egyértelműen megállapítható, hogy a jelen Törvénytervezet hatályával kapcsolatos 2. § (1) bekezdése – ami kizárólag a territorialitás talaján áll – nincs összhangban az Adatvédelmi Irányelv alkalmazandó nemzeti jogra vonatkozó 4. cikkével.

A Törvénytervezet szabályozása alapján tehát joghézag áll elő, amennyiben valamely adatkezelést nem magyar területen folytatnak, hanem egy másik EGT tagállam területén, azonban ott egy helyi, ám egyébként magyar letelepedéssel is rendelkező adatkezelő tevékenysége („in the context of activities”) keretében történik adatkezelés. A gyakorlati problémát a magyar törvény(tervezet) hatályának tágabb értelmezése jelenti, mivel a magyar jogszabály(tervezet) alapján gyakorlatilag minden olyan esetben párhuzamosan kellene alkalmazni a magyar adatvédelmi jogot egy másik tagállami nemzeti joggal együttesen, mikor magyar területhez kötődik egy adatkezelési művelet (pl. Magyarország területén vesz föl valaki személyes adatokat), mégpedig annak vizsgálata nélkül, hogy milyen „adatkezelési tevékenység keretében” történik a vonatkozó adatkezelés.

Mint azt a 29. cikk szerinti adatvédelmi munkacsoport elismerte, el kellene elkerülni a tagállami jogok többes / együttes (overlap) alkalmazását. Sajnálatos módon a magyar törvénytervezet 2. § (1) bekezdése a túlszabályozás problémáját nem kerüli el. A törvénytervezet eme rendelkezését tehát akként lenne szükséges módosítani, hogy:

(1) E törvény hatálya minden olyan természetes személy adataira vonatkozó adatkezelésre és adatfeldolgozásra kiterjed, amely az adatkezelő, illetve adatfeldolgozó Magyarország területén található letelepedési helyéhez kötődik, továbbá amely közérdekű adatot vagy közérdekből nyilvános adatot érint.

Sajnálatos módon a Törvénytervezet az Irányelv 4. cikk (1) bekezdés c) pontját sem vette figyelembe, ideértve a képviselő kijelölésére vonatkozó kötelezettséget is. Részünkről ezzel összefüggésben a hatállyal kapcsolatos további szakaszok beillesztését javasoljuk a Törvénytervezetre.

(2) Amennyiben az adatkezelő, illetve adatfeldolgozó nem rendelkezik letelepedési hellyel Magyarország területén, a jelen törvény rendelkezései abban az esetben irányadóak az adatkezelésre, illetve adatfeldolgozásra, amennyiben az adatkezelési illetőleg adatfeldolgozási művelet során olyan gépi vagy más olyan eszköz kerül alkalmazásra, amely Magyarország területén található, kivéve, ha ezt az eszközt kizárólag a Közösség területén átmenő adatforgalom céljára szolgál.

(3) A (2) bekezdés hatálya alá eső az adatkezelőnek és adatfeldolgozónak – az ellene indítható bírósági keresetek sérelme nélkül – ki kell jelölnie egy, az Magyarország területén letelepedett képviselőt, akinek személyét be kell jelenteni az adatvédelmi nyilvántartásba. A képviselő az adatkezelő, illetőleg adatfeldolgozó kézbesítési meghatalmazottjaként jár el.

Amennyiben a magyar törvény nem irányadó az adatkezelésre, azonban magyar területen történik az adatkezelés, indokolt lenne előírni a magyar törvény adatbiztonsági rendelkezéseinek kötelező alkalmazását, miként erre az Irányelv kifejezett lehetőséget biztosít.

2. Adatfeldolgozás: Sajnálatos módon állapítottuk meg, hogy a Törvénytervezet nem annullálta az adatfeldolgozás fogalmát, illetőleg az adatfeldolgozó tevékenységét a továbbiakban is feleslegesen „az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzésére” korlátozza, ami nincs összhangban a 29. cikk szerinti adatvédelmi munkacsoport 2010. február 16.-án elfogadott 1/2010. számú véleményével az „adatkezelő” és az „adatfeldolgozó” fogalmáról. Számos gyakorlati problémát okoz ugyanis, hogy az „adatkezelés” nem értelmezhető az adatfeldolgozó viszonylatában (akinek tevékenysége az adatfeldolgozás a tervezet értelmében), míg az Irányelv alapján az adatkezelő és adatfeldolgozó által ellátott tevékenység egységesen adatfeldolgozásnak (data processing) minősül. Ezen felesleges megkülönböztetés megszüntetése indokolt lenne az álláspontunk szerint

A Törvénytervezetben indokolt lenne továbbá megállapítani az adatfeldolgozási szerződések szükséges illetve minimális tartalmi elemeit, illetve azokat a kötelezettségeket, melyektől a felek nem térhetnek el.

3. Az adatkezelés jogalapjai vonatkozásában álláspontunk szerint a Törvénytervezet nem ülteti át megfelelően az Adatvédelmi Irányelv 7. cikkét. A Törvénytervezetből ugyanis hiányzik különösen a 7. cikk (f) pontján alapuló jogalap, mikor az adatkezelés az adatkezelő, vagy harmadik személy jogos érdekének érvényesítéséhez szükséges, kivéve, ha ezekkel az érdekekkel szemben az érintett érdekei vagy alapvető jogai és szabadságai elsőbbséget élveznek. A hibás átültetés abból következik, hogy az Európai Bíróság a Lindquist ügyben (C-101/01. sz. ítélet 96. sarokpontja) egyértelműen megerősítette, miszerint az Adatvédelmi Irányelv a területén teljes harmonizációt nyújt. Ekként álláspontunk szerint az Irányelv 7. cikk (f) pontján alapuló jogalap átültetéséről is gondoskodni szükséges és nem lehet az egyes joglapok „kimazsolázását” megvalósítani. Mint azt számos 29. cikk szerinti adatvédelmi munkacsoport által közzétett állásfoglalás megerősíti, az Irányelv 7. cikk (f) pontján alapuló (ún. méltányossági) jogalap az adatvédelmi irányelv rendszerének integráns részét képezi és azt szűken kell értelmezni. Ezzel összefüggésben az adatvédelmi hatóságot illetve a bíróságot kell feljogosítani annak értékelésére, hogy az adatkezelő jogos érdekével szemben az adatalany alapvető jogai és szabadságai az elsődlegesek.

4. Külföldre történő adattovábbítás: A Törvénytervezet 8. §-val összefüggésben megjegyzendő, hogy a megfelelő szintű védelem tervezetben szereplő meghatározása nincs összhangban az Irányelv rendelkezéseivel, illetve sérti annak rendelkezéseit. A megfelelő szintű védelmet ugyanis nem csupán azok az országok garantálják, melyekről a Bizottság határozattal megállapította a megfelelő szintű védelem nyújtását (vö. Irányelv 25. cikk (6) bekezdése), hanem ennek biztosítására az Irányelv alapján egyéb eszközök is léteznek. Így az Irányelv 26. cikk (4) bekezdése alapján az Európai Bizottság határozatával általános szerződési feltételeket fogadhat el, melyek alkalmazását úgy kell tekinteni, hogy azok megfelelő biztosítékot nyújtanak. Ekként került elfogadása az EGT adatkezelő – harmadik állambeli adatkezelő közötti adattovábbításra vonatkozó bizottsági 2001/497/EK sz. határozat szerinti általános szerződési feltétel csomag, melyet a Bizottság 2004/915/EK sz. határozata módosított. Ezzel szemben az EGT adatkezelő és harmadik állambeli adatfeldolgozó közötti viszonylatban a 2010/87/EU. sz. bizottsági határozat (2010. február 5.) szerinti személyes adatoknak harmadik országbeli adatfeldolgozók részére történő továbbítására vonatkozó általános szerződési feltételek vonatkozik. Az általános szerződési feltételek alkalmazását a tagállamok kötelesek elismerni, azonban a tagállami adatvédelmi hatóságok kérhetik annak benyújtását / letétbe helyezését az adatvédelmi hatóságnál. Ez utóbbit – mivel ilyen kötelezettség az európai adatvédelmi hatóságok döntő többsége esetében fennáll – a magyar jog hatálya alatt is indokolt lenne előírni, mivel ez az intézkedés az adatkezelés/adattovábbítás transzparenciáját növelné.

Megfelelő szintű védelmet biztosítanak az ad hoc szerződési feltételek, továbbá az ún. Kötelező Erejű Vállalati Szabályok (BCR’s) is. Ez utóbbiak multinacionális vállalatok által a vállalat különböző, EGT-n kívüli országokban is elhelyezkedő egységei közötti adatáramlás szabályozására szolgál egységesen – az adatkezelő illetve adatalany nemzetiségétől függetlenül – melynek jogalapját az Irányelv 26. cikk (2) bekezdése jelenti, tehát a kötelező erejű vállalti szabályokat a tagállami adatvédelmi hatóságoknak jóvá kell hagyni. Itt jelzendő, hogy 27 tagállami adatvédelmi hatóságból jelenleg már 19 tagállami adatvédelmi hatóság vesz részt az ún. MRP eljárásban (mutual recognition procedure), ami a BCR-ok elfogadásában egyablakos ügyintézést valósít meg. Ekként amennyiben a vezér-hatóság elismeri a BCR megfelelőségét, a további adatvédelmi hatóságok – vizsgálat nélkül – szintén megadják a jóváhagyást külön vizsgálat nélkül. Sajnálatos módon az MRP eljárás bevezetéséhez a magyar jogban annak hiányzik a jogszabályi alapja, ezért Magyarország nem tud csatlakozni ehhez a rendszerhez. Éppen ezért álláspontunk szerint Törvénytervezetben ezt a hiányosságot is szükséges lenne pótolni.

Végül álláspontunk szerint az olyan adattovábbítások esetében, melyek vonatkozásában a megfelelő szintű védelmet az adatkezelő nem biztosítja, az ilyen adattovábbításokat a magyar adatvédelmi hatóság előzetes illetőleg akár utólagos engedélyéhez vagy például adatvédelmi nyilvántartási bejelentéshez kellene kötni.

5. Adatvédelmi nyilvántartás:

– A tervezet 64. § (1) bekezdésében jelzett bejelentendő adatok körében indokolt lenne felvenni az alkalmazott adatbiztonsági intézkedések általános leírását is.
– Az adatvédelmi nyilvántartási bejelentési kivételek esetében álláspontunk szerint indokolt lenne annak előírása, hogy a harmadik országba történő (különösen nem megfelelő szintű védelem mellett történő) adattovábbítások a tervezet 64. § (3) bekezdése alapján (különösen a) pont szerint) ne essenek a bejelentési kivétel hatálya alá. Így különösen abban az esetben, amennyiben egy magyar vállalat például közvetlenül külföldi hatóság részére továbbítja egyes munkavállalói vagy akár ügyfelei személyes adatait, a bejelentés előírása indokolt lenne, mivel a bejelentés tapasztalatunk szerint az adatkezelés transzparenciáját is hatékonyan növeli. A fentieknek megfelelően a 64. § (3) bekezdés a) pontja alapján azt tartanánk indokoltnak, hogy ne az adatalanyok személyéhez kötődően fogalmazza meg a tervezet a bejelentési kivételt, hanem azt közvetlenül a jogviszonyhoz illetve annak keretéhez kösse. Így a jogviszony keretét túllépő adatkezelések a bejelentési kötelezettség alá tartoznának. Ekként indokolt lenne – összhangban a jelenleg hatályos Avtv. miniszteri indokolásával – olyan kivétel-rendszer előírása, miszerint az olyan adatkezeléseket nem kell ügyfélkapcsolat / munkaviszony címén az adatvédelmi nyilvántartásba bejelenteni, amelyek esetében
• az adatokat közvetlenül az érintettektől veszik fel,
• az adatkezelés célja az érintett számára ismert, a kezelendő adatok fajtája, az adatkezelés időtartama (adattörlés) előre meghatározott,
• az adatokat csak az előre meghatározott céllal összefüggésben használják fel,
• az adatok nem kerülnek ki az adatkezelő kezeléséből,
• az érintetteket minderről megfelelően tájékoztatják.

Kifejezetten rögzíteni lenne szükséges továbbá, hogy nem vonatkozik a bejelentési kivétel olyan esetekre, amikor az adatokat az eredeti céltól eltérően is felhasználják.

Végül a törvényben indokolt lenne utalni a nyilvántartás kereshető módon történő hozzáférhetőségére is.

6. Üdvözöljük a Nemzeti Adatvédelmi és Információszabadság Hatóság létrehozását. Ezzel kapcsolatosan azt kívánjuk jelezni, hogy a bírság kiszabható összegét adatalanyok széles körét, illetőleg súlyos módon érintő jogsértések esetében magasabb összegben lenne indokolt megállapítani. Itt utalunk arra, hogy az Egyesült Királyság adatvédelmi hatósága 500.000,- angol fontig terjedően (kb. 150.000.000,- HUF) szabhat ki bírságot adatvédelmi jogsértés esetében.

7. Az adatalany jogaival kapcsolatosan álláspontunk szerint – összhangban a közösségi jogi törekvésekkel – indokolt lenne az adatalany jogait előreláthatóan súlyosan érintő adatsértések esetében előírni az adatkezelő értesítési kötelezettségét az adatalany irányába. (data breach notification)

Mivel a jelen véleményünk elkészítésére rendkívül szűk időtartam állt a rendelkezésünkre, ezért a tervezet vonatkozásában annak csak egyes kiragadott pontjai tekintetében tudtuk kifejteni az álláspontunkat, illetőleg annak terjedelme értelemszerűen korlátozott. Éppen ezért megtisztelnének vele, ha adatvédelmi ügyekre szakosodott irodánk a törvénytervezet véleményezésének további fázisaiban is részt vehetne a konzultációban, illetve álláspontunkat teljes terjedelmében kifejthetnénk esetleges konkrét, szövegszerű módosítási javaslatainkkal együtt.

Tisztelettel,

Dr. Liber Ádám
ügyvéd