Ugyan lassan már egy éve alkalmazandó a GDPR, azaz az általános adatvédelmi rendelet Magyarországon is, azonban még mindig nem ért nyugvópontra az általános adatvédelmi szabályokat kiegészítő, vagy az azoktól való eltérést biztosító egyes ágazati jogszabályok módosítása. Az Országgyűléshez 2019. február 7-én benyújtott T/4479 számú, Az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról című salátatörvény (Javaslat) 86 ágazati törvény módosítását tartalmazza. A Javaslattal kapcsolatos általános vita már lezajlott az Országgyűlésben.
A Javaslatot előterjesztő Igazságügyi Minisztérium szerint az ágazati adatkezelési törvények különös adatkezelési rendelkezései közül a GDPR miatt nem tarthatók fenn többek között az alábbiak:
- a GDPR-ban foglalt fogalom-meghatározásokkal azonos fogalmakat (akár azonos, akár eltérő tartalommal) meghatározó definíciók, értelmező rendelkezések, rövidítések;
- a GDPR-ban meghatározott – a kötelező adatkezelésen kívül eső körbe tartozó – jogalapokon [6. cikk (1) bekezdés a), b), d), f) pontok] alapuló adatkezelések különös feltételei, kivéve, ha ezt a GDPR kifejezetten megengedi);
- az információs önrendelkezési jogról és az információszabadságrólszóló 2011. évi CXII. törvényre (Infotv.), vagy az abban szabályozott jogintézményekre történő hivatkozások.
A Javaslattal módosítani kívánt jogszabályok teljes listája, valamint az alábbiakban részletezett jogszabályok módosítással érintett rendelkezéseinek részletes táblázatos összefoglalása itt olvasható (és innen is letölthető):
Az alábbiakban a főbb változásokat foglaljuk össze röviden.
Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény (Eüak.)
Figyelemmel a GDPR-ban rögzített fogalmakra, a módosított Eüak. a jövőben egyértelműen rögzíti, hogy annak egyes rendelkezéseinek hatálya kiterjed az elhunyt személyekre is. Ennek körében rögzítésre került, hogy az egészségügyi adat részét képezi az elhalálozott személyek halálának oka, és a haláluk körülményei is.
A módosítás érinti a jelenlegi Eüak.-ban található, és a gyakorlatban jelentős jogértelmezési nehézséget okozó „egészségügyi adat” és a „személyazonosító adat” fogalom-párost is. Itt érdemes megemlíteni, hogy az Eüak.-ot módosító korábbi tervezet, amelyet az IM 2018. október 5-én bocsátott társadalmi egyeztetésre, ehhez még nem nyúlt. Az IM ekkor ezt még az alábbiakkal indokolta:
A Rendelet 4. cikk 1. pontja meghatározza a személyes adat fogalmát. A magyar jogrendszerben és az Eüak.-ban is szerepelnek olyan adatok, amelyek hatályon kívül helyezése az Eüak. egészét inkoherensé tenné, ezért szükséges a fogalom kiegészítése a személyazonosságra vonatkozó előírásokkal.
A NAIH elnöke ez előbbiekhez az alábbi kritikai megjegyzést fűzte az előterjesztéssel kapcsolatos állásfoglalásában:
Megítélésem szerint a megváltozott uniós jogi környezetre tekintettel ezen indokolás azon eleme, miszerint a „magyar jogrendszerben és az Eüak.-ban is szerepelnek olyan adatok, amelyek hatályon kívül helyezése az Eüak. egészét inkoherensé tenné” nem alapozza meg ezen, az uniós jogi környezettel nem koherens előírások deregulációjának vagy megfelelő módosításának mellőzhetőségét. Álláspontom szerint tehát mindezen keretekkel az Eüak. tervezett módosítása nincs maradéktalanul összhangban.
A jelenlegi Javaslat az előzmények fényében törli az egészségügyi adat fogalmát az Eüak.-ból, és egy új 3/B. §-ban rögzíti, hogy az Eüak. alkalmazásában személyazonosító adat az olyan, az egészségügyi adat érintettjének azonosítására szolgáló személyes adat, amelyet az adatkezelő az egészségügyi adattal együtt, az egészségügyi adat kezelésével azonos vagy attól elválaszthatatlan céllal az egészségügyi dokumentáció részeként kezel. Ezzel a frappánsnak szánt megoldással nem lenne szükség a személyazonosító adat fogalmának kiirtására az Eüak. egészéből, valamint így már egyértelmű lenne, hogy csak azok az egészségügyi információk minősülnek egészségügyi adatnak, amelyek alkalmasak az érintett, azaz a beteg azonosítására. Azon információkra, amelyek erre alkalmatlanok, pl. azért mert megfosztották őket a személyazonosító adatoktól, pedig sem a GDPR, sem az Eüak. előírásai nem vonatkoznak.
Az Eüak-ban meghatározott céloktól eltérő adatkezelés körében a jogalkotó a GDPR 7. cikkére figyelemmel pontosítja a személyes és az egészségügyi adatok kezeléséhez szükséges hozzájárulás megadásának feltételeit is. Eszerint az érintett, illetve a törvényes képviselője megfelelő tájékoztatáson alapuló önkéntes, egyértelműen kifejezett akaratot tartalmazó, és a szabályszerű nyilatkozat megtételét hitelt érdemlően bizonyító módon tett hozzájárulásával lehet az e törvényben meghatározott céloktól eltérő célra egészségügyi adatot kezelni. A módosítás lényege, hogy több nem lesz szükség írásbeli hozzájárulásra, elég lesz „csak” kifejezett (angolul: explicit) hozzájárulást beszerezni az érintettől, ahogy azt a GDPR is elvárja a személyes adatok különleges kategóriái esetében.
Továbbá egyértelműen rögzítésre kerül az is, hogy az érintett erre vonatkozó kérése esetén az adatkezelő díjmentesen biztosítja az adatokról való másolatot. A további másolatokért viszont már díj számítható fel. Az egységes díjmegállítás érdekében várhatóan az egészségügyért felelős miniszter rendeletben határozza majd meg a díjfizetéssel kapcsolatos részletszabályokat.
A társasházakról szóló 2003. évi CXXXIII. törvény (Tht.)
A Javaslat módosítja a jelenleg hatályos Tht-t. A jogalkotó a társasházban való kamerarendszer alkalmazására csupán lehetőségként tekint, ezért a kamerarendszer alkalmazásából fakadó adatkezelés nem minősül kötelező adatkezelésnek, csak az adatkezelő, valamint harmadik személy jogos érdekeinek érvényesítéséhez szükséges, jogos érdeken alapuló adatkezelésnek. Ezért az új szabályok kifejezetten annyit tartalmaznak, hogy a kamerarendszerrel felszerelt épületbe, épületrészbe és a kamerák által megfigyelt területre belépni, ott tartózkodni szándékozó személyeket tájékoztatni kell a személyes adatok védelmére vonatkozó előírások alapján szükséges információkról, így különösen a kamerarendszer alkalmazásának tényéről, az érintetteket megillető jogokról, az üzemeltető személyéről és elérhetőségeiről.
Rögzítésre kerül az is, hogy a kamerarendszer által készített felvételek megismeréséről jegyzőkönyvet kell készíteni, amelynek tartalmaznia kell a rögzített felvétel azonosításához szükséges adatokat, az annak megismerésére jogosult személy nevét, továbbá az adatok megismerésének okát és idejét.
A kamerarendszer által rögzített felvételekhez történő hozzáférésre, az ezek felhasználására vonatkozó, a jelenleg hatályos Tht.-ban szereplő további szabályok hatályon kívül helyezésre kerülnek. Ezekre a jövőben a GDPR-ban található általános szabályok vonatkoznak. Ugyanakkor az a gyakorlatban sokszor kritizált rendelkezés, amely szerint kamerarendszer üzemeltetője csak biztonsági cég lehet, azaz a társasház maga sem üzemeltetheti azt, továbbra is hatályban marad.
A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (Szvmtv.)
Változnak az Szvmtv. rendelkezései is. A Javaslat szerint az Szvmtv.-ből számos az elektronikus megfigyelőrendszerrel kapcsolatos rendelkezés hatályon kívül helyezésre kerül (például hatályon kívül helyezésre kerül azaz általános szabály, hogy a rögzített kép-, hang-, valamint kép- és hangfelvételt felhasználás hiányában legfeljebb a rögzítéstől számított három munkanap elteltével meg kell semmisíteni, illetve törölni kell). Ez tulajdonképpen leképezi azt a helyzetet, hogy a GDPR alkalmazását követően számos kamerás megfigyelést alkalmazó adatkezelő áttért a jogos érdekre mint jogalapra, és jogos érdekeinek figyelembevételével állapította meg a felvételek megőrzési idejét, adott esetben 8, 15, 30, 45 vagy 60 napban.
Ez azonban nem jelenti azt, hogy a jövőben megszűnnek az adatkezelő elektronikus megfigyelőrendszerrel kapcsolatos kötelezettségei. Az adatkezelő egyes kötelezettségei a továbbiakban közvetlenül a GDPR-ból, illetve az Infotv. rendelkezéseiből olvashatók ki.
A kereskedelemről szóló 2005. évi CLXIV. törvény
A Javaslat értelmében a jogalkotó szigorítja a vásárlók könyvére vonatkozó rendelkezéseket, melyek lehetővé tették a korábbi panasztevők személyes adataihoz való hozzáférést. A jövőben a más vásárlók által a vásárlók könyvébe bejegyzett személyes adatok megismerése lehetőségének kizárása céljából a kereskedő a bejegyzést követően haladéktalanul eltávolítja a panaszt vagy javaslatot tartalmazó oldalt a vásárlók könyvéből. Az eltávolított oldalt elzártan meg kell őriznie a kereskedőnek és a hatóság erre irányuló felszólítására rendelkezésre kell bocsátania.
A munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.)
A jogalkotó szigorítja a munkavállaló személyiségi jogai korlátozásának lehetőségét. A Javaslat értelmében a munkáltatónak a munkavállalót előzetesen írásban kell tájékoztatnia a személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról. Emellett a munkáltatói tájékoztatásnak ki kell terjednie a korlátozás szükségességét és arányosságát alátámasztó körülményekre is.
A jövőben az Mt-ben külön alcím alatt szabályozzák a munkáltató személyes adatkezeléssel és a különleges adatok kezelésével összefüggő jogait és kötelezettségeit.
A jogalkotó az alkalmassági vizsgálatokkal kapcsolatban rögzíti, hogy a munkavállalóval szemben csak olyan alkalmassági vizsgálat alkalmazható, amelyet munkaviszonyra vonatkozó szabály ír elő, vagy amely munkaviszonyra vonatkozó szabályban meghatározott jog gyakorlása, kötelezettség teljesítése érdekében szükséges.
A módosítással bekerül az Mt-be a munkavállaló biometrikus adatainak kezelésével kapcsolatos szabályozás. A jelenleg hatályos jogszabályok csak szűk körben teszik lehetővé a munkavállalók biometrikus adatainak kezelését. Erre a továbbiakban is szigorú szabályok mellett lesz lehetőség.
A Javaslat szerint a biometrikus adatok kezelésére kizárólag a munkavállaló azonosítása céljából valamely dologhoz vagy adathoz, elzárt területhez történő jogosulatlan hozzáférés megakadályozása érdekében kerülhet sor, amennyiben
- a jogosulatlan hozzáférés a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy
- valamely más törvényben védett érdek súlyos vagy tömeges sérelmének veszélyével járna.
A jogalkotó példálózó felsorolásban rögzíti azokat az eseteket, melyek a jelentős védett érdek körébe tartoznak. Például:
- legalább „Bizalmas!” minősítési szintű minősített adatok védelméhez,
- a lőfegyver, lőszer, robbanóanyag őrzéséhez,
- a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez,
- a nukleáris anyagok őrzéséhez,
- a Büntető Törvénykönyv szerint legalább különösen nagy vagyoni érték védelméhez fűződő érdek.
Abban az esetben, ha a munkáltató biometrikus adatokat is kezelni kíván, úgy az általános adatvédelmi szabályoknak való megfelelésen túl azt is igazolnia kell, hogy a biometrikus adatok kezelésére vonatkozó feltételek fennállnak.
Továbbá a jogalkotó a módosítással beemeli az Mt-be a hatósági erkölcsi bizonyítvány kezelésére vonatkozó szabályokat is. Az új szabályozás értelmében a munkáltató a munkavállaló bűnügyi személyes adatait annak vizsgálata céljából kezelheti, hogy törvény vagy a munkáltató a betölteni kívánt vagy a betöltött munkakörben nem korlátozza vagy nem zárja-e ki a foglalkoztatást. Külön bekezdésben kerültek rögzítésre azon korlátozó vagy kizáró feltételek, melyeket a munkáltató akkor határozhat meg, ha az adott munkakörben az érintett személy foglalkoztatása a munkáltató jelentős vagyoni érdeke, törvény által védett titok, lőfegyver, lőszer, robbanóanyag, a mérgező vagy veszélyes vegyi vagy biológiai anyagok, vagy nukleáris anyagok sérelmének veszélyével járna.
Az erkölcsi bizonyítványokkal kapcsolatban érdemes megjegyezni, hogy a NAIH 2019. január 22-én közzétett egy véleményt, amelyben rögzíti, hogy az erkölcsi bizonyítvány bekérésre és az ezzel kapcsolatos adatkezelésre jogos érdek alapján is van lehetőség, amennyiben ezt az érdekmérlegelési teszt eredménye alátámasztja. Ez mindenképpen pozitív fejlemény, különösen annak fényében, hogy korábban a sajtóban megjelent és nagy port kavart egy olyan cikk, amely szerint a munkáltatók túlnyomó többsége az erkölcsi bizonyítványok kezelését jogszerűtlenül végezte, mert nem volt rá olyan jogalapja, amely ezt kötelezettségként írta volna elő számukra.
Változnak a munkavállaló számára biztosított számítástechnikai eszközök használatára és az eszközökön tárolt adatokba való betekintésre vonatkozó rendelkezések is. Az Mt. jelenleg úgy szabályozza a munkáltató ellenőrzési jogosultságát, hogy a munkavállaló csak a munkaviszonnyal összefüggő magatartása körében ellenőrizhető és az ellenőrzés során alkalmazott eszközök, módszerek nem járhatnak az emberi méltóság megsértésével. A munkavállaló magánélete nem ellenőrizhető. A Javaslat alapján a jogalkotó a magánélet ellenőrzésének kizárása helyett a hangsúlyt arra helyezi, hogy a munkavállaló a rendelkezésére bocsátott számítástechnikai eszközt kizárólag a munkaviszony teljesítése érdekében használhatja. Egyértelműen rögzítésre kerül, hogy a munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt a munkaviszonnyal összefüggő adatokba tekinthet be, mely betekintés (ellenőrzés) addig terjedhet, ameddig a munkáltató el nem tudja dönteni, hogy az adat magáncélú adat-e.
A panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény (Pkbtv.)
Korábban, ha a foglalkoztatói szervezet visszaélés-bejelentési (whistleblowing) rendszert működtetett, úgy az azzal kapcsolatos adatkezelést be kellett jelenteni a NAIH által vezetett adatvédelmi nyilvántartásába. A GDPR alkalmazásával az Infotv. adatvédelmi nyilvántartással kapcsolatos rendelkezései hatályon kívül helyezésre kerültek. Ennek következtében a Pkbtv. kapcsolódó rendelkezéseinek hatályon kívül helyezése is szükségessé vált. Azaz a foglalkoztatói szervezeteknek már nem kell a bejelentési rendszerrel kapcsolatos adatkezelést bejelenteni a NAIH adatvédelmi nyilvántartásába.
A jelenleg hatályos szabályozás szerint a bejelentési rendszerben különleges adatok kezelése tilos. Ezt a jogalkotó úgy módosítja, hogy megszünteti a különleges adatok kezelése vonatkozásában az abszolút tilalmat és a jövőben megfelelő garanciák beépítése mellett lehetővé teszi azok kezelését. E módosításra azért is szükség volt, mert a gyakorlatban ez az abszolút tilalom sok esetben lehetetlenné tette az egyes bejelentések fogadását, kivizsgálását.
A hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény (a továbbiakban: „Hpt.”) és a biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény (Bit.)
Változnak a Hpt. és a Bit. banktitok, illetve biztosítási titok megtartásának kötelezettségével kapcsolatos rendelkezései. A jogalkotó egyértelműsíti, hogy a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény szerinti csoportszinten meghatározott pénzmosás és terrorizmus-finanszírozás elleni politikához és eljáráshoz kapcsolódó kötelezettség teljesítésekor is mentesül az adott intézmény az egyes védett ügyféladatok megtartásának kötelezettsége alól.
A Javaslat továbbá módosítja a szerzői jogi és szabadalmi törvényt is, azonban ezek közül adatvédelmi vonatkozása csak ez előbbinek van.
A szerzői jogról szóló 1999. évi LXXVI. törvény (Szjt.)
Módosulnak az Szjt. árva mű felhasználásra vonatkozó rendelkezések. A jogszabály-módosítás egyértelműsíti azon személyes adatok körét, melyeket a felhasználás engedélyezésére, illetve a már megadott felhasználási engedély visszavonására irányuló kérelemben kell megadni. Ugyanakkor a jelen módosítás nem jelent átfogó módosítást. Jelenleg az árva művek felhasználására vonatkozóan kiadott engedélyekről vezetett nyilvántartásban kezelt személyes adatok körét az árva mű felhasználásának részletes szabályairól szóló 138/2014. (IV. 30.) Korm. rendelet állapítja meg. Az Szjt. módosítással csupán annyi történik, hogy a kapcsolódó adatkezeléssel érintett adatok felsorolása kormányrendeleti szintről törvényi szintre kerül.
A mű önkéntes műnyilvántartásba vételére irányuló kérelem, a mű önkéntes nyilvántartásba vételéről kiállított tanúsítvány visszavonására irányuló kérelem, valamint a korábban szerzőként bejegyzett személy önkéntes műnyilvántartásból történő törlésére irányuló kérelem tekintetében ugyancsak kiegészítésre kerül az Szjt. Az előzőekben ismertetett árva mű felhasználásához hasonlóan ez esetben is a törvényi szintű szabályozás vált szükségessé. Így a jelenleg az önkéntes műnyilvántartás részletes szabályairól szóló 26/2010. (XII. 28.) KIM rendeletben szabályozott a kérelmező azonosítását lehetővé tevő személyes adatokkal kapcsolatos rendelkezéseket is az Szjt. szabályozza majd.
A találmányok szabadalmi oltalmáról szóló 1995. évi XXXIII. törvény (Szt.)
Módosulnak a szabadalmi bejelentésre vonatkozó szabályok. A jelenleg hatályos rendelkezések szerint, amennyiben a bejelentés mellékletei idegen nyelven készültek, a magyar nyelvű szabadalmi leírást igényponttal, a kivonatot és a rajzot a bejelentés napjától számított négy hónapon belül kell benyújtani a Szellemi Tulajdon Nemzeti Hivatalához (SzTNH).
A Javaslat szerint az angol nyelvű mellékletek esetén ez a határidő meghosszabbodik. Az új rendelkezés értelmében a magyar nyelvű dokumentumok benyújtására a bejelentés napjától számított tizenkét hónap vagy a legkorábbi elsőbbség napjától számított tizenhat hónap ─ amennyiben ez korábban jár le, mint a 12 hónapos határidő ─ fog rendelkezésre állni. A meghosszabbított határidőnek köszönhetően a bejelentőnek lehetősége lesz arra, hogy az angol nyelvű mellékletekkel benyújtott szabadalmi bejelentésével egészen a nemzetközi (vagy külföldi oltalomszerzési) szakasz megkezdéséig folytassa az SzTNH előtti eljárást. Így a szabadalmi bejelentést a legkorábbi elsőbbség napjától számított tizennyolc hónap elteltével közzé kell tenni.
Az angol nyelvű mellékletek alapján a jövőben lehetőség lesz egy írásos véleménnyel kiegészített újdonságkutatási jelentéselkészítésére is. Az írásos véleménnyel kiegészített újdonságkutatási jelentést az SzTNH a kérelem benyújtásától számított hat hónapon belül küld meg a bejelentőnek. Az angol nyelvű dokumentumok alapján készített írásos véleménnyel kiegészített újdonságkutatási jelentés díja várhatóan a négyszeresére fog emelkedni, melynek oka, hogy ez esetben az SzTNH-ra hárul az angol nyelvű dokumentumok szaknyelvi értelmezésének terhe, valamint adott esetben az igénypontok megfelelő értelmezése is nehézkes lehet. A díj a kérelem benyújtásának napján esedékes, a kérelmet pedig a díj megfizetéséig nem lehet benyújtottnak tekinteni, ezért az írásos véleménnyel kiegészített újdonságkutatási jelentés iránti kérelem benyújtásától számítandó határidőket (ha ezek a későbbiek) a díj beérkezésének napjától kell számítani. Az SzTNH a kérelmet elutasítja, a befizetett díjat pedig kérelemre visszafizeti, ha:
- a szabadalmi bejelentés nem felel meg a bejelentési nap elismeréséhez előírt feltételeknek,
- ha azzal kapcsolatban nem fizették meg a bejelentési és a kutatási díj teljes összegét,
- ha a bejelentés az összes igénypont vonatkozásában alkalmatlan az újdonságkutatás elvégzésére, illetve
- amennyiben nem fizették meg az említett díj teljes összegét.
Az első két feltétel hiánya esetén újdonságkutatási jelentés sem készíthető.
A bejegyzés és az ágazati jogszabályok módosuló rendelkezéseit bemutató táblázat elkészítésében Veres Zsuzsanna és Ottóffy Zsófia kollégáim segítettek.
dr. Halász Bálint ügyvéd, partner
Siegler Bird & Bird Ügyvédi Iroda
balint.halasz@twobirds.com
+36 1 301 8900