A GDPR magyarázata (HVG-ORAC, 612 B/5 oldal, 2018)

Kiadással kapcsolatos információk

Szerkesztette:

Jóri András

Szerzők:

Jóri András

Soós Andrea Klára

Bártfai Zsolt

Hári Anita

© Jóri András, 2018

© Soós Andrea Klára, 2018

© Bártfai Zsolt, 2018

© Hári Anita, 2018

© HVG-ORAC Lap- és Könyvkiadó Kft. 2018

A kézirat lezárva:

2018. november 1.

A kötet szerzői:

Jóri András: Előszó, Bevezetés, I-IX. fejezetek

Soós Andrea Klára: X-XII. fejezetek, XIV. fejezet 1. pontja

Bártfai Zsolt: XIII. fejezet, XIV. fejezet 2. pontja

Hári Anita: a kötethez kapcsolódó gdpr.hvgorac.hu oldalon található nyilvántartás- és tájékoztatóminták

A kiadó számára minden jog fenntartva. Jelen könyvet, illetve annak részleteit tilos reprodukálni, adatrendszerben tárolni, bármely formában vagy eszközzel - elektronikus, fényképészeti úton vagy módon - a kiadó engedélye nélkül közölni.

ISBN 978 963 258 429 4

Budapest, 2018

A HVG-ORAC Lap- és Könyvkiadó Kft. kiadása

Felelős kiadó: dr. Frank Ádám, a kft. ügyvezetője

Internet: www.hvgorac.hu • E-mail: info@hvgorac.hu

Felelős szerkesztő: dr. Gábor Zsolt

Tipográfia és műszaki szerkesztés: Harkai Éva

Szedés: HVG-ORAC Lap- és Könyvkiadó Kft.

A leggyakrabban használt rövidítések, utalások

Avtv. - a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény

Ákr. - Az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény

Eütv. - Az egészségügyről 1997. évi CLIV. törvény

Eüatv. - Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény

Infotv. - Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény

Irányelv - Az Európai Parlament és a Tanács 1995. október 24-i 95/46/EK Irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról

Kp. - A közigazgatási perrendtartásról szóló 2017. évi I. törvény

NAIH - Nemzeti Adatvédelmi és Információszabadság hatóság

Rendelet - Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet)

Az adatvédelmi biztos beszámolóit az ABI rövidítéssel és megjelenés éve szerint idézzük; a beszámoló mindig a megjelenést megelőző tevékenység összefoglalását adja, pl.: ABI 2005. Az adatvédelmi biztos beszámolója 2004. Budapest, Adatvédelmi Biztos Irodája.

A NAIH által kiadott állásfoglalásokat ügyszám, ügyiratszám vagy URL szerint idézzük.

- 12/13 -

Előszó

Ez év májusától alkalmazandó az Európai Unió általános adatvédelmi rendelete (ahogy a magyar szakmai szóhasználatban is immár meghonosodott, a GDPR - a könyvben a továbbiakban: Rendelet), amely új világot teremt az európai adatvédelmi jogban. Célunk e könyvvel az, hogy felkészítsük az érdeklődő közönséget a Rendelet alkalmazására. E mű ambíciója az, hogy jogdogmatikai igényességgel mutasson iránymutatást mindazoknak, akik személyes adatok kezelésével bármilyen módon és szerepkörben (adatkezelőként, adatfeldolgozóként vagy adatalanyként) kapcsolatba kerülnek.

A könyv előzménye a magyar adatvédelmi jog első, átfogó kommentárja, amely 2005-ben jelent meg, még az Avtv. magyarázatát adva. 2016-ban publikáltuk az "Adatvédelmi jog - magyar és európai szabályozás" c. kötetünket, amely párhuzamosan értelmezte az Infotv. és a Rendelet rendelkezéseit. E könyv újdonsága volt, hogy felépítése nem követte szorosan az Infotv. (illetőleg a Rendelet) szövegét, hanem azon fő jogi kérdések köré szerveztük, amelyekkel a magyar jogalkalmazó szembesülhet. Ezt a szerkezetet fenntartottuk a jelen kötetben is, azonban önálló fejezetet szenteltünk néhány olyan kérdésnek, amelyek a rendelet alkalmazása során hangsúlyosabban jelennek meg, mint korábban.

A könyv megjelenését eredetileg 2018 májusára terveztük. Szembesülnünk kellett azonban azzal, hogy a határidőre nem született meg az a törvény, amely a Rendelet által lehetővé tett körben a tagállami jogalkotó által meghatározott eltéréseket, kiegészítéseket tartalmazza. E törvényt az Országgyűlés csak június második felében fogadta el: tárgyalása alapvető fontosságú, mivel a magyar jogalkotó számos, a gyakorlatban fontos szabályt határozott meg (elhunytak adataival kapcsolatos jogérvényesítés, a bűnügyi adatok különleges adatok körébe vonása, a tárgyi hatály kiterjesztése stb.). Azonban ez nem minden: szükség van a korábbi Infotv. rendszeréhez illeszkedő szektorális törvények felülvizsgálatára is. E folyamat első lépése lesz az a GDPR-salátatörvény elfogadása, amelynek jelen sorok írásakor még csak a tervezete ismert, és várhatóan lényeges szabályokat módosít a Munka Törvénykönyvében, az egészségügyi adatkezelés terén, a biztosítási tevékenységről szóló törvényben és számos más jogszabályban.

A könyv az Európai Unió Adatvédelmi Rendeletének magyarázata; a teljesség igényével dolgozza fel annak rendelkezéseit és a vonatkozó jogalkalmazási gyakorlatot. Mint ismeretes, a korábban a magyar adatvédelmi szabályozás keretét adó Infotv. immár kisebb jelentőséggel bír: a Rendelet szabályozási körében, az ott meghatározottak szerint részletszabályozást és eltéréseket tartalmaz, illetőleg a bűnügyi adatkezelési Irányelv átültetését végzi el. E könyv tárgya a GDPR, így az Infotv.-nek csak a Rendelet alkalmazása szempontjából releváns rendelkezéseit tárgyaljuk,

- 13/14 -

mindig az adott fejezet keretei között. Lényeges esetekben ismertetjük a GDPR-salátatörvény-tervezet rendelkezéseit is. Bár a Rendelet alkalmazása során várható majd az egyes tagállamok közötti jogértelmezési konzisztencia lassú kialakulása, nézetünk szerint indokolt, hogy egyes esetekben még kitérjünk a Rendelet alkalmazását megelőző magyar adatvédelmi gyakorlatra is. (A 29. cikk szerinti munkacsoport értelmezései kapcsán ez magától értetődő, hiszen azok a Rendelethez a magyar szabályozásnál közelebb álló Irányelv rendelkezéseit értelmezték, illetve a jogértelmező tevékenységet a munkacsoport utódjaként az Európai Adatvédelmi Testület folytatja.) A kötethez kapcsolódó https://gdpr.hvgorac.hu weboldalon többek között olvashatóak a 29. cikk szerinti munkacsoport és utódja, az Európai Adatvédelmi Testület releváns iránymutatásai, és egyes, a jogalkalmazást segítő mintákat is közlünk.

Mint ahogy a korábbi könyv előszavát zártuk, az adatvédelem érdekes téma: aki ezzel foglalkozik, találkozhat az alkotmányjog elméleti kérdéseivel csakúgy, mint a közigazgatási jog részletes szabályaival, elmerülhet a polgári jogi személyiségvédelem rendszerében, tanulmányoznia kell a legújabb információs technológiák sajátosságait is. Ehhez a komplex rendszerhez adódik most az EU-jog számos kérdése is. Reméljük, kötetünk eligazítást ad az adatvédelmi jog legtöbb kérdésében, és gondolkodásra késztet ott, ahol e kérdések még nyitottak.

Budapest, 2018. november 6.

Dr. Jóri András

- 14/15 -

Hogyan használjuk ezt a könyvet?

Első lépések:

1. Győződjünk meg arról, hogy adataink élő természetes személyre vonatkoznak, illetve olvassuk el az elhunytak adatainak kezelésére vonatkozó szabályokat.

2. Döntsük el, meghatározott személyekről van-e szó.

3. Győződjünk meg arról, hogy az érintett személy azonosított vagy azonosítható, azaz az adat ilyen személlyel "kapcsolatba hozható".

A további pontok (adat fogalma, különleges adat fogalma) további tudnivalókat tartalmaznak az adatvédelmi jog fogalomrendszeréről. Mindehhez segítséget nyújt az I. fejezet.

Ezt követően a II. fejezet alapján határozzuk meg, hogy adatkezelést végzünk-e; ha igen, lépjünk tovább a következő fejezetre. Ez az egyik legegyszerűbb lépés: ha személyes adatok vannak a birtokunkban, illetve bármilyen műveletet hajtunk végre azokon, akkor szinte biztosan adatkezelést végzünk.

Miután az első két fejezet nyomán eljutottunk idáig, eldöntendő, hogy szervezetünk adatkezelőnek minősül-e, vagyis mi viseljük-e az adatkezelésért a jogi felelősséget (III. fejezet). Mielőtt azonban rátérnénk arra, mi is e kötelezettségek tartalma, érdemes ellenőrizni, kiterjed-e adatkezelésünkre a Rendelet hatálya. Ebben segít a IV. fejezet. Kivételi körbe eshetünk, ha magánszemélyként, magáncélra kezelünk adatot. Lehetséges az is, hogy a Rendelet területi hatálya nem terjed ki adatkezelésünkre. E kérdések igen bő teret adnak az értelmezésnek, s e mű szerzői számos ponton nem is osztják az adatvédelmi hatóság álláspontját; végső soron e kivételek értelmezése a bíróságok feladata. Ha a törvény tárgyi és területi hatálya megállapítható, lépjünk tovább a következő fejezetre.

Az V. fejezet az egyik legfontosabb kérdésről, a jogalap meghatározásáról szól. Érvényes adatkezelési jogalap fennállásának hiányában nem lehet szó jogszerű adatkezelésről. A jogalap megítélése nem egyszerű: 2018 májusától a Rendelet szabályozása és a korábbi magyar jogalaprendszer eltérése miatt az adatvédelmi jog ebben a körben igen nagy mértékben változott, a korábbi jogalapokat sokszor át kell sorolni a Rendelet rendszerébe.

Miután megvizsgáltuk, rendelkezésre áll-e a megfelelő jogalap, a következő feladat, hogy megbizonyosodjuk arról: adatkezelésünk során érvényesülnek az adatvédelmi jog alapelvei. Ehhez a VI. fejezet nyújt segítséget. A legfontosabbak: jogszerűség, a tisztességes eljárás és a Rendelet által a korábbiaknál részletesebben szabályozott átláthatóság; a célhoz kötöttség tehát az, hogy az adatkezelésnek meghatározott (jogszerű) célt kell szolgálnia; az adattakarékosság, a pontosság, az integritás és bizalmi jelleg elve. Az alapelvekből nagyon is gyakorlati követelmények adódnak, amelyeket szintén itt tárgyalunk (pl. az ún. "összeegyeztethető" célból végzett adatkezelések kérdései).