GDPR saláta törvényjavaslat

Már elérhető a Parlament honlapján az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról szóló T/4479. számú törvényjavaslat. A javaslat elfogadása esetén számos jogszabály fog módosulni.

A módosítani kívánt törvények között van többek között:

  • az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.)
  • a munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.)
  • a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (Szvmt.)
  • a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény (Kksztv.)
  • a társasházakról szóló 2003. évi CXXXIII. törvény (Tht.)
  • a lakásszövetkezetekről szóló 2004. évi CXV. törvény (Lszt.). 

Infotörvény

Az Infotv.-ben a javaslat értelmében módosulnak a NAIH vizsgálatával kapcsolatos rendelkezések. A bejelentések érdemi vizsgálat nélkül történő elutasításnak esetei kiegészülnek a következő ponttal: „a bejelentés tárgya nem tartozik a hatáskörébe és a rendelkezésre álló adatok alapján a bejelentés tárgya tekintetében hatáskörrel rendelkező szerv kiléte nem állapítható meg.”

Új rendelkezés lenne az Infotv.-ben, hogy a NAIH megkeresésére a települési önkormányzat jegyzője ellenőrzi az illetékességi területén folytatott, a NAIH által a megkeresésben megjelölt adatkezelés tényleges körülményeit, így különösen a kezelt személyes adatok körét, a személyes adatokkal végzett műveleteket és e műveletek eszközeit, továbbá az adatkezelő által alkalmazott technikai és szervezési intézkedéseket. Ez megkönnyíti a NAIH munkáját, így valószínűleg a hatóság élni fog a lehetőséggel például kamerarendszerek esetén. 

Változna az adatvédelmi hatósági eljárásban az ügyintézési határidő százhúsz napról százötven napra.

Munka törvénykönyve

A javaslat szerint változna az Mt.-ben a munkavállalók személyiségi jogainak védelmével kapcsolatos rendelkezés. A munkavállalót írásban kell tájékoztatni a személyiségi jog korlátozásának módjáról, feltételeiről és várható tartamáról, továbbá szükségességét és arányosságát alátámasztó körülményekről. A korábbiaktól eltérően a javaslat kimondja az írásbeli tájékoztatási kötelezettséget.

Az Mt. „5/A. Adatkezelés” alcímmel egészülne ki, és módosulnának az adatkezelésre vonatkozó rendelkezések. A munkáltató a munkavállalótól olyan nyilatkozat megtételét vagy személyes adat közlését követelheti, amely a munkaviszony létesítése, teljesítése, megszűnése (megszüntetése) vagy e törvényből származó igény érvényesítése szempontjából lényeges. A javaslat alapján tehát a személyes adat közlése fordulattal egészülne ki a rendelkezés.

A fentiek alapján a munkavállalótól okirat bemutatása követelhető. Így a munkavállaló okiratainak tárolására, fénymásolására a fenti okokból nem lehet szükség, elegendő azok bemutatása és a szükséges adatok feljegyzése. Ilyen okirat például egyes munkakörök esetén az egészségügyi kiskönyv vagy a targonca jogosítvány, amelynek adatait a munkáltató feljegyezheti, de azt a munkavállalónak kell magánál tartania. Az, hogy a munkavállaló valóban magánál is tartsa ezeket a dokumentumokat a munkáltató érdekében is áll, ugyanis egy esetleges munkaügyi ellenőrzés során a munkáltatót büntetik meg, ha nem tudja bemutatni a szükséges papírokat a munkavállaló.

A biometrikus azonosítókkal, így például az ujjlenyomat-olvasó, írisz- és retina azonosító, arcfelismerő, vénaszkenner alkalmazásával kapcsolatos újdonság, hogy a munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely

  1. a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy
  2. törvényben védett jelentős érdek  súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.

A javaslat értelmében ilyen védett jelentős érdek például lőfegyver, lőszer, robbanóanyag őrzéséhez, mérgező vagy veszélyes vegyi vagy biológiai anyagok őrzéséhez, nukleáris anyagok őrzéséhez, vagy a Btk. szerint legalább különösen nagy vagyoni érték (ötvenmillió forintot meghaladó) védelméhez fűződő érdek.

A fentieknek megfelelően tehát a munkavállalók biometrikus adatai csak a törvényi feltételeknek megfelelően kezelhetőek. A biometrikus azonosítás így indokolt lehet például gyógyszeripari és más egészségügyi intézmények laboratóriumaiban vagy bankokban.

A munkáltató bűnügyi személyes adatot (például erkölcsi bizonyítvány) annak vizsgálata céljából kezelhet, hogy az adott munkakörben nem zárja-e ki a foglalkoztatást törvény, illetve kizáró vagy korlátozó feltételt előzetesen, írásban a munkáltató is meghatározhat az Mt.-ben meghatározott okból (például az érintett foglalkoztatása a munkáltató jelentős vagyoni érdeke sérelmének veszélyével járna).

Ha a munkavállaló ellenőrzéséhez a munkáltató technikai eszközt (például elektronikus megfigyelő és beléptető rendszer, nyomkövető rendszer bizonyos munkakörök esetén) is alkalmaz, erről a munkavállalót előzetesen írásban tájékoztatja. A munkáltatónak a tájékoztatást a GDPR 13. cikke alapján kell megtenni.

A munkavállaló a munkáltató által a munkavégzéshez biztosított számítástechnikai eszközt – eltérő megállapodás hiányában – kizárólag a munkaviszony teljesítése érdekében használhatja. Főszabály szerint tehát tilos a munkahelyi infrastruktúra privát használata, de a munkaadó ezt engedélyezheti.

A munkáltató ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be. Ezt alkalmazni kell akkor is, ha a felek megállapodása alapján a munkavállaló a munkaviszony teljesítése érdekében saját számítástechnikai eszközt használ. A munkavállaló magánszférája tehát megmarad. 

Személy- és vagyonvédelmi törvény 

Legfontosabb változás, hogy ezzel a módosítással hatályon kívül kerülnek azok az Szvmt. azon rendelkezései, amelyek elektronikus megfigyelőrendszerek esetén az adatkezelés időtartamát határozzák meg. A jelenleg hatályos törvényben ez főszabály szerint felhasználás hiányában legfeljebb 3 nap. A konkrét adatkezelési idő helyett tehát ezentúl az adatkezelő jogos érdeke alapján maga határozhatná meg az adatkezelési cél eléréséhez szükséges adatkezelési időt, figyelembe véve az adatkezelésre vonatkozó alapelveket mint az adattakarékosság és a korlátozott tárolhatóság.

Az elektronikus beléptető rendszerre vonatkozó 32. § szintén lerövidülne, és hatályon kívül kerülnének az adatkezelés időtartamát meghatározó rendelkezések, így ebben az esetben is az adatkezelő jogos érdekét figyelembe véve lehetne meghatározni az adatkezelési időt. A 32. § a jelenlegi részletesebb szabályozással ellentétben csak ennyit tartalmazna: „Elektronikus beléptető rendszer az erre vonatkozó megbízási szerződés alapján és akkor alkalmazható, ha jogszabály vagy a terület használatára jogosult rendelkezése szerint a védett területre csak az arra jogosultak léphetnek be.” 

A kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló törvény

közvetlen üzletszerzés (direkt marketing) kikerülne a törvényjavaslat értelmében a Kksztv. hatálya alól, és hatályukat vesztenék a közvetlen üzletszerzéshez kapcsolódó rendelkezések a törvényben, valamint a Kksztv. teljes IV. Fejezete „A közvetlen üzletszerzési célú adatkezelés”.

Jelenleg a közvetlen üzletszerző szerv kapcsolatfelvételi és üzletszerzési lista összeállítása céljából gyűjthet és használhat fel név- és lakcímadatokat a törvényben meghatározott forrásokból (például ügyfél és támogató adatai, más ugyanazon tevékenységet végző személytől vagy szervtől átvett adat, telefonkönyvben, szaknévsorban, statisztikai jegyzékben szereplő adat). A törvénymódosítással azonban csak a tudományos kutató, a közvélemény-kutató és a piackutató szervek esetében maradna meg ez a lehetőség.

Postai direkt marketing esetén opt-out rendszer érvényesül, és a törvényi feltételek betartása (például legalább 500 dm küldemény kiküldése egyszerre) mellett hozzájárulás nélkül küldhető reklám a fenti forrásokból gyűjtött címzetteknek. A törvénymódosítás értelmében azonban a közvetlen üzletszerző szerv a továbbiakban nem gyűjthet és használhat fel név – és lakcímadatokat a Kksztv.-ben nevezett forrásokból kapcsolatfelvételi és üzletszerzési lista összeállítása céljából. 

Társasházi törvény és Lakásszövetkezeti törvény

A törvénymódosítással hatályát vesztené a Tht. és az Lszt. több rendelkezése, így például az, hogy a kamerarendszer által rögzített felvételekhez kizárólag a rendszer üzemeltetője férhet hozzá, és azokat csak a bíróság, a szabálysértési vagy más hatóság részére továbbíthatja. A közös képviselő továbbra sem üzemeltetheti a kamerarendszert, vagyonvédelmi cég bevonása szükség.

Szintén hatályon kívül kerülne az a rendelkezés mely szerint az, akinek jogát vagy jogos érdekét a kamerarendszer által rögzített felvétel érinti, a felvétel rögzítésétől számított tizenöt napon belül jogának vagy jogos érdekének igazolásával kérheti, hogy a felvételt annak üzemeltetője ne semmisítse meg, illetve ne törölje. A továbbiakban az érintettek a GDPR-ból származó jogaikat érvényesíthetik.

dr. Szkok Helga

A fentiekről bővebben hallhat a 2019. március 25-i rendezvényünkön: https://infoszfera.hu/Rendezvenyek/gdpr-salatatorveny-2019/

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Név:*
E-mail:*

Havonta legfeljebb 2 hírlevelet küldök, a hírlevélről egy kattintással bármikor le lehet iratkozni.

A bejegyzés kategóriája: Adatvédelmi rendelet
Kiemelt szavak: , , , , .
Közvetlen link.

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük