Közigazgatás
Péterfalvi Attila a személyes adatok védelmének aktuális kérdéseiről
OPH Kép: OPH
2020. július 17.

A személyes adatok védelmének aktuális kérdéseiről beszélt csütörtökön az OrientPress Hírügynökség stúdiójában Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke, érintve a konzultációs kérdőíveket, a COVID-19 járványt és a home office kérdéskörét is.

A NAIH a sajtóból értesült arról, hogy az interneten több személy különböző weboldalakon és bejegyzésekben arra szólítja fel az érintetteket, hogy a nemzeti konzultációs kérdőíveket ne a kormány részére, hanem egy harmadik személynek küldjék el postán, illetve adják át személyesen.

Péterfalvi Attila felidézte: a nemzeti konzultáció intézményét a 2010 után felállt kormány hozta létre jogszabályi háttérrel. Mint hangsúlyozta,

a nemzeti konzultáció a kormány munkáját segítő legitim eszköz,

melynek célja, hogy a kormány kikérje az állampolgárok véleményét különböző döntések előtt. A postai úton eljuttatott kérdőíveket megszemélyesítve kapják meg az állampolgárok, illetve online felületen is válaszolni lehet, és mindkét módhoz külön adatkezelési tájékoztató társul.

Péterfalvi Attila emlékeztetett: lehetőség van arra, hogy aki kifejezi szándékát, az kapcsolattartási célból maga is folyamatosan rendelkezésre állhat konzultációs célból. Ennek jogszabályi alapja magyar nemzeti jogszabály, az adatkezelésre vonatkozó háttérjogszabálya viszont az Európai Unió adatvédelmi rendelete, a GDPR. Kiemelte: a legitim kormányzási eszközhöz társuló GDPR-nak megfelelő adatkezelési cél és az ennek megfelelő tájékoztató az állampolgárok véleményének a kikérésére irányul. Minden más adatkezelés, amely ezeknek az adatoknak a felhasználásával történik, az az eredetitől céltól eltérő. Fontos hangsúlyozni, hogy ha valaki a konzultációs ívek kitöltése helyett – különböző megfontolásokból, például politikaiból – olyan akciót indít, hogy ne a kormánynak küldjék vissza a kérdőíveket, és ez az akció személyes adatok kezelésével jár együtt, akkor ezt egy önálló adatkezelésnek kell minősíteni. Ennek az önálló adatkezelésnek nem kell és nincs is nemzeti jogszabályon alapuló jogalap-lába, ennél az adatkezelésnél kizárólag az Európai Unió adatvédelmi rendelete az a szabályrendszer, amelyet alkalmazni kell. Egy adatkezelésnél nagyon fontos, hogy

legyen egy legitim cél, kell hozzá megfelelő adatkezelési jogalap és természetesen szükséges az az adatkezelési tájékoztató,

amelyet a GDPR előír abban az esetben, amikor az adatokat az állampolgártól kapják meg, vagyis értelemszerűen ennek az adatkezelésnek a jogalapja az érintett egyértelmű kifejezett hozzájárulása lehet. Ehhez képest kell megítélni azt, hogy milyen tájékoztatónak kell szerepelni.

Forrás: OPH

Az is fontos, hogy ki az adatkezelője ennek az adatkezelésnek: országgyűlés képviselő, országgyűlési képviselő által vagy bárki által létrehozott alapítvány, párt, s ha ezek között együttműködés van, akkor mi az együttműködés. Közös adatkezelőnek minősülnek-e vagy adatfeldolgozó viszony van közöttük, s ezeket mind írásbeli szerződéssel kellett rögzíteni. A nyomtatott kérdőívek ilyenfajta összegyűjtésekor például valaki átadhatja a személyes adatát magával a kapott borítékkal, de a postai úton feladott borítékon is szerepelhetnek adatok, vagy a feladónál, vagy a címzettnél. Ezek mind adatkezelésnek minősülnek, mégpedig olyannak, amelyek az eredeti céltól eltérnek. Ennek az adatkezelésnek a szabályai önállóan, a GDPR-ból következnek: legitim cél, célhoz kötöttség, adatminimalizálás, adatkezelési tájékoztató,

az egész adatkezelésnek átláthatónak kell lennie,

és ebbe az is beletartozik, hogy külön adatkezelőkről van szó vagy többes adatkezelésről, de szó van az adatkezelő és az adatfeldolgozó viszonyáról is. Ha ezek zavarosak, akkor az állampolgár nem tud dönteni, nem kapja meg a megfelelő tájékoztatást, nem is érvényes akkora hozzájárulása, és ebből a szempontból az egész adatkezelés nem is tisztességes. „Ez egy tisztességtelen adatkezelés lesz.” – tette hozzá.

Felidézte: Hadházy Ákos országgyűlési képviselőt azért marasztalta el hatóság, és szabott ki egymillió forint pénzbírságot, valamint kötelezte a szimpatizánsok adatainak törlésére, mert nem volt az adatkezelési tájékoztató megfelelő.

Hozzátette: a probléma az, hogy a sajtóban, interneten számtalan felhívás található, és ezekhez a felhívásokhoz általában – nem minden esetben – nincs adatkezelési tájékoztató. Rámutatott: nem történik olyan határozott felszólítás, hogy ne szerepeljen személyes adat a borítékon, nem hívják fel a figyelmet arra, hogy „mi csak és kizárólag anonim módon gyűjtjük be a kérdőíveket”. További probléma lehet – és a hatóság közleménye erre utal –, hogy ha szerepelnek személyes adatok az ívek begyűjtése kapcsán, akkor fennáll a veszélye annak, hogy ezeket az adatokat esetlegesen szimpatizáns adatbázis építésére használják fel, ami teljes egészében illegális ebben a formában.

Lehet szimpatizáns adatbázist építeni, viszont annak külön feltételei vannak. Az, hogy valaki szimpatizál egy politikai mozgalommal, párttal vagy egy országgyűlési képviselővel, már különleges, szenzitív adatnak minősül és ennek külön adatkezelési szabályai vannak. „Ez egy külön cél, külön tájékoztató külön jogalappal, és politikai véleménynél még szigorúbb hozzájárulási és tájékoztatási követelményekkel kell ennek érvényesülnie.” Erről szólt az adatvédelmi hatóságnak a közleménye. Az említett mozgalom esetében felveti a kérdést, hogy egy demokratikus, legitim kormányzási eszköz érvényesülésének a nem teljesítésére való felhívás mennyiben legitim és jogszerű, és mennyiben tisztességes az ilyen adatkezelési cél, függetlenül attól, hogy értelemszerűen a politikának megvan a maga mozgástere. Viszont azt fontos hangsúlyozni, hogy

a kormány nemzeti konzultációs technikája nem politikai, hanem egy kormányzati munkát segítő adatkezelés. Ez a kormány adatkezelésre, nem pedig a kormánypártoké,

és nem lehet a kettőt egyben mosni, és értelemszerűen ennek az adatbázisnak a kezelésére a kormány van feljogosító, nem pedig a kormányt adó politikai párt. Ezért is fontos hangsúlyozni, hogy ez egy legitim kormányzati eszköz, kormányzási technika és ezért kell kiemelni, hogy az adatkezelés követelményeinek nem érvényesülése, a szabályok be nem tartása, a jogellenes adatkezelés az adatvédelmi hatóság hatásköréhez kapcsolódóan közigazgatási eljárás. Hogy egy jogellenes adatkezelés megvalósít-e más tényállást, annak vizsgálata nem a hatóság feladata. Ilyen lehet például, ha kiveszik jogosulatlanul a kérdőíveket vagy a borítékot a postaládából vagy ha további feltételek is megvalósulnak, például haszonszerzési cél vagy jelentős érdeksérelem okozása. A joggyakorlata ennek hiányzik, viszont egy elméleti megközelítésből, egy büntetőjoggal foglalkozó egyetemi kiadványban az is szerepel, hogy a jelentős érdeksérelem megvalósulhat társadalmi érdek sérelemében is.

Péterfalvi Attila megjegyezte: ha valaki kiveszi a postaládából ezeket a borítékokat és kidobja, akkor is jogellenes adatkezelést követett el, mert gyakorlatilag megsemmisítette a személyes adatot, egy olyan adatkezelésbe avatkozott bele, amelynek a legitim konzultáció az adatkezelési célja. Rámutatott: hogy milyen más tényállást valósít meg, milyen hatóság kerülhet még képbe ezzel kapcsolatban, az nem az adatvédelmi hatóság kompetenciája.

Péterfalvi Attila beszélt a koronavírus-járvánnyal kapcsolatos személyes adatokat érintő kérdésekről is. Felidézte, a COVID-19-cel kapcsolatban a felhatalmazási törvény alapján született azon kormányrendelet, amely Magyarországon érintette mind adatvédelem, mind információszabadság oldaláról azt, hogy az érintettek az érintetti jogaikat hogyan tudják gyakorolni. Ez a rendelet a határidőt eltolta a veszélyhelyzet megszűnését követő kezdő napra, ami kiváltotta – magyar civil szervezetek bejelentése alapján – a bizottság érdeklődését is, illetőleg ezek a magyar civil szervezetek az Európai Unió adatvédelmi testületéhez, a testület elnökéhez is fordultak. Megkeresésükre született egy válaszlevél, illetve ez apropója volt annak, hogy a testület egy iránymutatást adjon ki, minthogy eddig erre nem volt példa. Megjegyezte: a GDPR ad arra felhatalmazást, hogy bizonyos esetekben – és a veszélyhelyzet ilyen eset – az érintetti jogok korlátozását milyen szempontok szerint lehet elrendelni, tehát ez nem a magyar ügyről való döntés, de annak kapcsán született egy ilyen általános iránymutatás.

Péterfalvi Attila emlékeztetett, hogy a COVID-19 mindenkit váratlanul ért, és a korlátozások bevezetése világított rá arra, hogy nem mindenhol és nincs egységesen felkészülve se a közigazgatás, se a közszolgálat – például az iskolák esetében –, de felhívta a figyelmet a home office működésével kapcsolatos kérdésekre vagy akár az online konferenciák kapcsán az adatvédelmi, illetve adatbiztonsági követelményeivel kapcsolatos problémákra. Mindkettő nagyon fontos és hangsúlyos – húzta alá –, de talán az adatbiztonsági követelmények érvényesülése a különböző platformokon a nehezebb kérdés. sok olyan felület van, amelyik adatbiztonság szempontjából nem megfelelő, ugyanakkor nem tudunk mást használni.

Fotó: Pixabay

Mint mondta, olyan amerikai techcégek adatfeldolgozását vesszük igénybe, amelyeknél az adatbiztonság kevésbé garantálható. Az adatvédelmi hatóságnak mindig is kétségei voltak az „adatvédelmi pajzzsal”, a Privacy Shield mechanizmussal kapcsolatban – mondta a NAIH elnöke, aki arra hívta fel a figyelmet, amikor személyes adat kezelése kapcsán olyan adatfeldolgozót vesznek igénybe, amelyik szerepel a Privacy Shield listán, az még egyáltalán nem jelent megfelelő garanciát. Itt most változás történt – fűzte hozzá. (A kifejezetten az USA-ba való adattovábbításra vonatkozó „adatvédelmi pajzs” határozatot viszont megsemmisítette az Európai Bíróság.) Az adatvédelmi hatóságokat tömörítő testületnek egyébként sokkal sarkosan és határozottabb véleménye volt ebben a kérdésben, mint az Európai Bizottságnak – tette hozzá.

Az adatvédelem önmagában nem nyújt garanciát semmire, az igazi védelemhez szükség van az adatbiztonság érvényesülésére,

ami legalább olyan fontos – ha nem fontosabb bizonyos szempontból, mint az adatvédelem. Az elmúlt időszak éppen arra világított rá, hogy ez nem garantált számos esetben, és nem is várható ebben gyors változás. Ugyanakkor – folytatta – fontos lenne egységes iránymutatás például az oktatás kapcsán: hogyan lehet védeni az online oktatáskor a privát szférát, megóvni saját személyes terünket, milyen magatartás tanácsos. Van feladata az iskolának – mondta az elnök –, de a diáknak és a szülőnek is van felelőssége, hogy például mit és hogyan tesz közzé. Sokszor a józan belátásnak elegendőnek kellene lennie egy-egy kérdéses helyzetben – jegyezte meg.

A NAIH elnöke a téma kapcsán ismét hangsúlyozta: egy felmérés szerint a 15 év alatti internetezők közel fele mindennap ellátogat a világhálóra, ezért nagyon fontos az a kérdés, hogy „Te vigyázol az adataidra? Használod az adatvédelmi beállításokat?” Nagyon lényeges az az elv, hogy

„gondold végig, hogy mit osztasz meg, mit teszel fel az internetre”.

És ez a figyelmeztetés a szülőkre is vonatkozik, hiszen végiggondolják-e a következményeket, amikor gyerekeik fotóit teszik fel vagy közölnek róluk információkat. Az adatvédelem elve, az adatbiztonság hiánya, korlátozottsága vagy az ellenőrizhetőség hiánya éppen arra kellene ösztönöznie mindenkit, hogy százszor gondolja meg, mielőtt cselekszik, mert csak egy pontig van ráhatása a dolgokra. Ha már megtette, csak nézheti, hogy mi történik – emelte ki.

A NAIH elnöke kitért az Európai Unió adatvédelmi testületének szerepére is. Mint elmondta, a Board egy jogi személyiséggel rendelkező döntéshozó szerv, melynek bizonyos esetekben véleménynyilvánítás joga, bizonyos esetekben döntési jogosultsága van. Példaként említette, hogy ha a Facebookkal szemben panasz érkezik, akkor azok az úgynevezett egyablakos ügyintézési mechanizmus keretében kerülnek elbírálásra, vagyis miután a Facebook európai központja Írországban található, az ír adatvédelmi hatóság dönt ezekben a kérdésekben. Ugyanakkor vannak az úgynevezett közreműködő hatóságok. Magyarország például minden egyablakos panasz esetben közreműködőként jelentkezik, „mert szeretnénk befolyást gyakorolni a meghozott határozatba”. Hozzátette: ha itt nincs konszenzus, akkora Boardon szavazással dől el, hogy mi lesz a határozat tartalma.

Most adásban
Téma: A koronavírus járvány hatása a gazdasági életre - a hazai mikro- kis- és középvállalkozások helyzete - szakmai szimpózium 1. rész – Marjay Gyula elnökségi tag, VOSZ Budapesti és Pest Megyei Regionális Szervezete
Ezt követő adásaink