A törvényt (2019. évi XXXIV. törvény) 2019.04.11-én hirdették ki a Magyar Közlönyben, így a módosítások 2019.04.26-án, a kihirdetést követő 15. napon lépnek hatályba, alapvető célkitűzésük a GDPR végrehajtásához szükséges koherencia biztosítása.
A gazdálkodókat leginkább érintő változások:
– Kamerázás
– Munkavállalók adatainak kezelése, a dolgozók ellenőrzése
– Erkölcsi bizonyítvány kezelése
– Kereskedelmi törvény
– Direkt marketing
1. A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvénnyel (Szvmt.) kapcsolatos változások
– Szvmt. 30. § (2) bekezdése helyébe a következő rendelkezés lép: „(2) A vagyonőr elektronikus megfigyelőrendszert kizárólag magánterületen alkalmazhat.”
A magánterület közönség számára nyilvános része tehát kikerült a megfigyelhető területek közül.
Magánterület közönség számára nyilvános része az Szvmt. szerint olyan magánterület, amely mindenki számára korlátozás nélkül igénybe vehető, ideértve a közterület azon részét is, amelynek birtokába a személy- és vagyonvédelmi tevékenység folytatására megbízó valamely polgári jogi jogügylet, különösen bérleti vagy haszonbérleti jogviszony keretében jut, feltéve, ha
a) a területrész igénybevétele, használata a személy- és vagyonvédelmi tevékenységet folytató által őrzött magánterület nyilvános részén folyó tevékenységhez szervesen kapcsolódik, annak folyamatosságát, segítését szolgálja, vagy
b) a megbízó (megrendelő), avagy a magánterület nyilvános részét igénybe vevő közönség ingóságainak elhelyezésére szolgál.
A fentiek alapján tehát kizárólag magánterületen alkalmazható elektronikus megfigyelőrendszer, a valamely jogviszony alapján magánterületként használt közterületi rész nem figyelhető meg, az ilyen területre irányuló kamerákat le kell szerelni. Ilyen lehet például étterem terasza, parkoló autókra, biciklitárolóra irányuló kamera.
– Az Szvmt 31.§ helyébe a következő rendelkezés lép: „31. § Az elektronikus megfigyelőrendszer működése útján rögzített kép-, hang-, valamint kép- és hangfelvétel megismerésének okát és idejét, valamint a megismerő személyét jegyzőkönyvben kell rögzíteni. Az ezen adatokat igazolható módon tartalmazó elektronikus nyilvántartás is jegyzőkönyvnek minősül.„
Hatályon kívül kerülnek azok a rendelkezések, amelyek elektronikus megfigyelőrendszerek esetén az adatkezelés időtartamát (3 nap, 30 nap, 60 nap) és az adatkezelési célt (az emberi élet, testi épség, személyi szabadság védelme, a veszélyes anyagok őrzése, az üzleti, fizetési, bank- és értékpapírtitok védelme, valamint vagyonvédelem) határozzák meg. Konkrét adatkezelési idő helyett az adatkezelő jogos érdeke alapján maga határozza meg az adatkezelési cél eléréséhez szükséges adatkezelési időt, figyelembe véve az adatkezelésre vonatkozó alapelveket mint az adattakarékosság, és a korlátozott tárolhatóság.
Hatályon kívül kerülnek az érintettek jogaival kapcsolatos garanciális szabályok is, az érintettek a GDPR-ból fakadó jogaikat érvényesíthetik az elektronikus megfigyelőrendszerekkel történő adatkezelés esetén is.
Az adatkezelőnek jogos érdekének igazolására érdekmérlegelési tesztet kell végeznie, és a teszt eredményének függvényében lehet az egyes kamerákat továbbra is üzemeltetni és az adatkezelési időt meghatározni. A NAIH által kiadott hatásvizsgálati lista értelmében módszeres megfigyelés esetén, illetve munkavállaló munkájának megfigyelése esetén, amely szintén jelenthet kamerás megfigyelést, az adatkezelőnek a hatásvizsgálatot kötelezően le kell folytatnia. A NAIH azt is hozzáteszi, hogy az adatvédelmi hatásvizsgálat egy folyamat, különösen akkor, ha az adatkezelési művelet dinamikus és állandóan változik. Az adatvédelmi hatásvizsgálatot nem egyetlen alkalommal, hanem folyamatosan kell végezni.
Az érintett továbbra is kérheti a felvételek zárolását (korlátozását), ehhez elég jogos érdekére hivatkozni, és ezt nem kell igazolnia. Az érintett ezen jogos érdeke nemcsak a hatósághoz fordulás lehet. A zárolt felvétel – a korábbi szabályozással ellentétben – 30 napon túl is tárolható. Ha az érintett másolatot is kér a felvételről, ennek okát sem kell megjelölnie.
A felvételek megismerésének okát, idejét, a megismerő személyét elektronikus nyilvántartásban is lehet rögzíteni.
– Az Szvmt. 32. § helyébe a következő rendelkezés lép: „32.§ Elektronikus beléptető rendszer az erre vonatkozó megbízási szerződés alapján és akkor alkalmazható, ha jogszabály vagy a terület használatára jogosult rendelkezése szerint a védett területre csak az arra jogosultak léphetnek be.”
Szintén hatályon kívül kerülnek az adatkezelési időtartamot és az érintetti garanciákat szabályozó rendelkezések, így ebben az esetben is az adatkezelő jogos érdeke alapján határozhatja meg az adatkezelési időtartamot. A módosítás után nincs rendelkezés a hatóságok részére történő adatátadásról. Végeredményben csak annyi marad a szabályozásból, hogy a bárki számára nyitott területen nem alkalmazható elektronikus beléptető rendszer.
– Az Szvmt. 23. §, 29. §, 30. § -ait érintő változások: a vagyonvédelmi tevékenységre vonatkozó személyes adat megőrzésére, tárolása vonatkozó szabályok hatályon kívül kerülnek. A kamera- és távfelügyeleti rendszerek esetében a szerződéses szabadság érvényesül, a felek a GDPR alapján döntik el, hogy a vagyonőr adatkezelő-e vagy adatfeldolgozó. Tapasztalataink szerint általában adatfeldolgozói minőségben látják el a vagyonőrök a kamerarendszerrel kapcsolatos feladataikat.
– Az Szvmt. 35. §-t érintő változások: korábban a magánnyomozás csak akkor irányulhatott a megfigyelt személy személyes adataira, ha ő ehhez írásban hozzájárult. A jövőben a jogos érdek jogalappal kezelhetők a nyomozással érintett adatai, sőt, tájékoztatni sem kell az adatkezelésről, mert a magánnyomozó törvény szerint hivatásbéli titkokat kezel.
Az érintettek megfelelő tájékoztatása elektronikus megfigyelő és beléptető rendszerek kapcsán továbbra is az érintettek GDPR 13. cikkéből fakadó joga.
2. A társasházakról szóló 2003. évi CXXXIII. törvény (Tht.) és a lakásszövetkezetekről szóló 2004. évi CXV. törvény (Lszt.) változásai a kamerarendszer üzemeltetésével kapcsolatban
– Továbbra is csak a közgyűlés 2/3-os döntésével működhet kamerarendszer. A jövőben is csak vagyonőr üzemeltetheti a rendszert, a felvételek hozzáférését jegyzőkönyvezni kell.
Hatályon kívül helyezik az adatkezelési célra, az időtartamra és egyes alapelvekre vonatkozó rendelkezéseket, így ebben az esetben is az adatkezelő jogos érdeke alapján határozhatja meg az adatkezelési célt és időtartamot, amelyhez érdekmérlegelési tesztet kell végeznie. A NAIH által kiadott hatásvizsgálati lista értelmében érintettek nagyszámú és módszeres megfigyelése esetén az adatkezelőnek hatásvizsgálatot kell lefolytatnia.
Megmarad a GDPR-ban szintén szereplő tájékoztatási kötelezettség, és az továbbiakban az érintettek a GDPR-ból származó jogaikat érvényesíthetik.
3. A munka törvénykönyvéről szóló 2012. évi I. törvénnyel (Mt.) kapcsolatos változások
– 9. § (2) bekezdése helyébe a következő rendelkezés lép: „(2) A munkavállaló személyiségi joga akkor korlátozható, ha a korlátozás a munkaviszony rendeltetésével közvetlenül összefüggő okból feltétlenül szükséges és a cél elérésével arányos. A személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról, továbbá szükségességét és arányosságát alátámasztó körülményekről a munkavállalót előzetesen írásban tájékoztatni kell.”
A jövőben tehát a munkáltatónak szükségességi-arányossági tesztet kell végeznie, amely alapján igazolja a személyiségi jog korlátozásának jogszerűségét és azt, hogy az adatkezelés nem indokolatlan beavatkozás a munkavállaló magánszférájába.
Írásbeli tájékoztatás: írásbelinek kell tekinteni a nyilatkozatot, ha azt a helyben szokásos és általában ismert módon közzéteszik.
– „10. § (1) A munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy e törvényből származó igény érvényesítése szempontjából lényeges.
(2) A munkáltató, az üzemi tanács, a szakszervezet e törvény Harmadik Részében meghatározott jogának gyakorlása vagy kötelességének teljesítése céljából nyilatkozat megtételét vagy adat közlését követelheti.
(3) Az (1) és (2) bekezdés alapján okirat bemutatása követelhető.
A fentiek alapján a munkavállalótól okirat bemutatása is követelhető, ha munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy az Mt.-ből származó igény érvényesítése szempontjából lényeges. Így a munkavállaló okiratainak tárolására, fénymásolására a fenti okokból nem lehetséges, elegendő azok bemutatása és a szükséges adatok feljegyzése. Ilyen okirat például egyes munkakörök esetén az egészségügyi kiskönyv vagy a targonca jogosítvány, amelynek adatait a munkáltató feljegyezheti, de azt a munkavállalónak kell magánál tartania. Más adat is kezelhető egyéb jogalappal, de az nem kikényszeríthető. A munkáltató, a szakszervezet és az üzemi tanács is követelheti az Mt. III. Részével (A MUNKAÜGYI KAPCSOLATOK) összefüggésben nyilatkozat megtételét, személyes adat közlését, okirat bemutatását.
– Hatályon kívül helyezik: munkavállalói adat csak hozzájárulással vagy törvény alapján továbbítható, így tehát a GDPR-ban foglalt más jogalapok is megfelelőek a munkavállalói adatok továbbításához. Hatályon kívül kerül: adatfeldolgozó részére átadható az adat, anonim adat statisztikai célból átadható, ezek a GDPR-ból fakadó jogosultságok továbbra is megilletik az adatkezelőt.
– Az Mt. 11. §-a biometrikus és a bűnügyi személyes adatokkal kapcsolatos adatkezelést szabályozza.
A biometrikus azonosítókkal, így például az ujjlenyomat-olvasó, írisz- és retina azonosító, arcfelismerő, vénaszkenner alkalmazásával kapcsolatos újdonság, hogy a munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely
a) a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy
b) törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.
Ilyen védett jelentős érdek például min. „Bizalmas!” minősítésű adat, lőfegyver, lőszer, robbanóanyag őrzéséhez, mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez, nukleáris anyagok őrzéséhez, vagy a Btk. szerint legalább különösen nagy vagyoni érték (legalább ötvenmillió forint) védelméhez fűződő érdek.
A fentieknek megfelelően tehát a munkavállalók biometrikus adatai csak a fenti törvényi feltételeknek megfelelően kezelhetőek. A biometrikus azonosítás így indokolt lehet például gyógyszeripari és más egészségügyi intézmények laboratóriumaiban vagy bankokban.
– A munkáltató bűnügyi személyes adatot (például erkölcsi bizonyítvány) munkaviszony létesítése előtt (munkáltatóval munkaviszonyt létesíteni szándékozó személy) és a munkaviszony alatt annak vizsgálata céljából kezelhet, hogy az adott munkakörben nem zárja-e ki a foglalkoztatást törvény, illetve kizáró vagy korlátozó feltételt előzetesen, írásban a munkáltató is meghatározhat.
Törvényben meghatározott okból jelenleg a gyerekek nevelését, felügyeletét, gondozását, gyógykezelését végző munkáltatók, illetve az állami szféra adatkezelői kérhetik az erkölcsi bizonyítvány bemutatását.
A munkáltatónak ahhoz, hogy az erkölcsi bizonyítványt ellenőrizhesse előzetesen kizáró vagy korlátozó feltételt kell meghatároznia és a meg kell határozni bűnügyi személyes adat kezelés feltételeit. Ezt akkor teheti meg, ha az adott munkakörben az érintett alkalmazása a munkáltató jelentős vagyoni érdeke, törvény által védett titok, vagy a lőfegyver, lőszer, robbanóanyag őrzéséhez, a mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez, a nukleáris anyagok őrzéséhez fűződő védett érdek sérelmének veszélyével járna.
Erkölcsi bizonyítvány bemutatásra elkérhető, másolni és tárolni nem lehet.
– Mt. 11/A.§- a munkavállalók ellenőrzésével kapcsolatban
A munkavállaló a munkaviszonnyal összefüggő magatartása körében ellenőrizhető, akár technikai eszköz alkalmazásával is. Ha a munkavállaló ellenőrzéséhez a munkáltató technikai eszközt (pl.: elektronikus megfigyelő és beléptető rendszer, nyomkövető rendszer bizonyos munkakörök esetén) is alkalmaz, erről a munkavállalót előzetesen írásban tájékoztatja. A munkáltatónak a tájékoztatást a GDPR 13. cikke alapján kell megtenni.
A munkavállaló a munkáltató által a munkavégzéshez biztosított számítástechnikai eszközt – eltérő megállapodás hiányában – kizárólag a munkaviszony teljesítése érdekében használhatja. Főszabály szerint tehát tilos a munkahelyi infrastruktúra privát használata, de a munkaadó ezt engedélyezheti.
A munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be. Olyan mélységben tekinthet be, amíg el nem tudja dönteni, hogy az adat magáncélú-e. Amennyiben igen, nem tekinthet be az adatokba. Ezt alkalmazni kell akkor is, ha a felek megállapodása alapján a munkavállaló a munkaviszony teljesítése érdekében saját számítástechnikai eszközt (Bring your own device – BYOD) használ. A munkavállaló magánszférája meg kell, hogy maradjon.
4. A kereskedelemről szóló 2005. évi CLXIV. törvénnyel kapcsolatos változás
– 5. § a következő (4a) bekezdéssel egészül ki a vásárlók könyvével kapcsolatosan: „(4a) Más vásárlók által a vásárlók könyvébe bejegyzett személyes adatok megismerése lehetőségének kizárása céljából a vásárlók könyvéből a kereskedő a bejegyzést követően haladéktalanul eltávolítja a (4) bekezdés szerint panaszt vagy javaslatot tartalmazó oldalt, azt elzártan – a folyamatos sorszámozás rendjének megfelelően – megőrzi és a hatóság felszólítására rendelkezésre bocsátja.”
Tehát amennyiben a vásárlók könyvébe bejegyzés kerül, azt haladéktalanul el kell távolítani és elzártan megőrizni, illetve a hatóság felszólítása esetén rendelkezésére bocsátani.
5. A közvetlen üzletszerzéssel kapcsolatos (direkt marketing) változások
– A kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvényben (Katv.) hatályon kívül kerülnek a közvetlen üzletszerzéssel (direkt marketing) kapcsolatos rendelkezések, valamint a Katv. teljes IV. Fejezete „A közvetlen üzletszerzési célú adatkezelés”. Így hatályon kívül kerülnek a név- és lakcím adatok forrásait tartalmazó rendelkezések (meglévő ügyfél, nyilvános adatbázis (pl. telefonkönyv), adatátvétel ugyanazon tevékenységet végzőtől, adatátvétel a lakcímnyilvántartásból), tehát direkt marketing tevékenység céljából nem használhatók fel ezen forrásból megszerzett adatok.
A tilalmi lista (Robinson lista) vezetési kötelezettség is megszűnik.
– A Grt. 6. §- a változatlan marad, direkt marketing tevékenységhez továbbra is főszabály szerint a reklám címzettjének előzetes egyértelműen és kifejezetten hozzájárulása szükséges. Postai direkt marketing esetén azonban opt-out módon, a törvényi feltételek betartása (azaz min. 500 db azonos tartalommal postai úton feladott dm levél) esetén a címzett előzetes és kifejezett hozzájárulásának hiányában is küldhető, tiltakozás lehetősége mellett (+ első alkalommal válaszboríték) reklám. A Katv. módosítása értelmében a közvetlen üzletszerző szerv címzett reklámküldemény küldéséhez adatbázisokat a továbbiakban jogos érdekét érdekmérlegelési teszttel igazolva használhat fel, nem a Katv.-ben és a polgárok személyi adatainak és lakcímének nyilvántartásáról 1992. évi LXVI. törvényben meghatározottak szerint.
A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.
Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.
Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.
[mailerlite_form form_id=1]