Dataprotection.eu Kft.
1029 Budapest, Gyöngyvér u. 37.

nandor.patkai@im.gov.hu peter.laszlo.salgo@im.gov.hu

Igazságügyi Minisztérium

Tárgy: vélemény az információs önrendelkezési jogról és az információszabadságról szóló törvény („Infotv.”) tervezett módosításával kapcsolatban, a minisztérium honlapján 2017. augusztus 29-én közzétett tervezettel („Javaslat”) kapcsolatban

Tisztelt Helyettes Államtitkár Úr!

A minisztérium honlapján közzétett társadalmi egyeztetés keretében, volt adatvédelmi biztosként és társaságunk ügyvezetőjeként a következő észrevételeket küldöm Önöknek megfontolás céljából.

1. Általános észrevételek

A Javaslat előterjesztésének indokolása a normatakarékosság jogalkotói elvére hivatkozik. Ennek jegyében a javaslat (legalább) négy különböző szabályozási területet mos össze, az Infotv. módosított 2. § (2)-(4) bekezdések szerinti megkülönböztetéssel. Ez a normaszerkezet nagyon nehezen követhetővé teszi a jogszabályt, mind az adatkezelők, mind az érintettek számára.

A 2018. május 25. napjától alkalmazandó a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 európa parlamenti és tanácsi rendelet (a továbbiakban: „Rendelet” vagy „GDPR”) (amelynek megjelenése a Javaslat alapját képezi) alapelvei között tartalmazza a tisztességes és átlátható adatkezelés elvét. A Javaslat fenti szerkezete ugyanakkor épp az átláthatóság alapelvével ellentétes: az adatkezelők tevékenységét nehezíti az, hogy nem tudják egyértelműen azonosítani, hogy milyen kötelezettségek terhelik őket. Különösen a jelen időszakban, amikor minden adatkezelő a GDPR által elvárt, határidőn belül kötelezendően végrehajtandó módosítások elvégzésre törekszik, hatványozottan megnehezíti az adatkezelők számára a jogértelmezést, hogy a Javaslat alapján nem lehet egyértelműen elkülöníteni: (i) a GDPR rendelkezéseit milyen eltérésekkel kell alkalmazni (ezek forrása nem, vagy nehezen ellenőrizhető1); (ii) az ágazati jogszabályok hatálya alá tartozó adatkezelők esetében különösen nehéz annak megállapítása, hogy milyen egymáshoz képest a GDPR, a módosított Infotv és az ágazati jogszabály viszonya.

Nem tartjuk tehát megfelelőnek azt a szerkezetet, hogy a Javaslat az állítólagosan megengedett tagállami eltéréseket (Javaslat 1.§ (2) bekezdés), a Rendelet végrehajtását (Javaslat 104.§ (2). bekezdés), a bűnüldözési, nemzetbiztonsági és honvédelmi célú adatkezeléseket (amelyeket a 216. április 27-i (EU) 2016/680 irányelv („Irányelv”) átültetése tesz szükségessé), a titokvédelem, továbbá az információszabadság érvényesüléséhez szükséges jogszabályokat egyszerre szabályozza.

A GDPR egyik elsődleges célja a tagállami adatvédelmi jogok és a jogalkalmazási gyakorlat egységesítése volt, ezzel szemben a magyar Javaslat olyan különleges szerkezetet vezet be

1 Példaként hivatkozunk az elhunyt személyek adatainak szabályozására, amelynek tagállami szabályozására a GDPR normaszövege nem biztosít lehetőséget, csupán a Preambulum említi a tagálami egyes szabályok lehetőségét fenntartva a magyar jog egyes régi, más tagállamokétól eltérő beidegződéseit –, amely magyar eltérések komoly veszélyt jelentenek a személyes adatok tagállamok közötti szabad áramlására, illetőleg Magyarország területén az adatkezelők számára olyan magas piaci belépési korlátokat teremtenek, amelyek versenyhátrányba sodorhatják a magyar vállalkozásokat más tagállami vállalkozásokkal szemben.

A GDPR kizárólag az alábbi esetekben enged meg eltéréseket a tagállami jogalkotó számára:

  1. 6. cikk (1) bekezdés esetén (Jogalapok): „e rendeletben foglalt, adatkezelésre vonatkozó szabályok alkalmazásának kiigazítása érdekében, a tagállamok az (1) bekezdés c) és e) pontjának való megfelelés céljából fenntarthatnak vagy bevezethetnek konkrétabb rendelkezéseket, amelyekben pontosabban meghatározzák az adatkezelésre vonatkozó konkrét követelményeket, és amelyekben további intézkedéseket tesznek az adatkezelés jogszerűségének és tisztességességének biztosítására, ideértve a IX. fejezetben meghatározott egyéb konkrét adatkezelési helyzeteket is”. A Javaslat e lehetőséggel nem él, annak ellenére, hogy a magyar ágazati adatkezelésekre vonatkozó szabályozás ezt indokolná, különös tekintettel arra, hogy a jogalapok korábbi kizárólagos dualitása miatt a magyar jogalkotó éveken át azzal a módszerrel élt, hogy az ágazati jogszabályokban jogi kötelezettségként jelenítette meg az ágazati adatkezelések egyes jogalapjait;
  2. gyermekek információs önrendelkezési cselekvőképességének korhatára 13 éves korig csökkenthető lenne, a Javaslat e lehetőséggel nem él;
  3. különleges adatok esetén bizonyos korlátozások bevezethetők;
  4. eltéréseket vezethetnek be közegészségügyi (a hivatalos magyar fordítás a „népegészségügy” kifejezést használhat), közérdekű levéltárak (a hivatalos magyar fordítás a közérdekű archiválás kifejezést használja) illetőleg statisztikai célokból.
  5. a GDPR 9. cikk (4) bekezdése szerint a tagállam feltételeket és korlátozásokat alkalmazhat kizárólag (!) az alábbi adatok esetén: genetikai adat, biometrikus adat, egészségügyi adat;
  6. az adatok törlésére vonatkozóan ágazati jogszabály eltéréseket állapíthat meg a GDPR-hoz képest (többletkötelezettséget írhat elő vagy további kivételeket állapíthat meg) a tagállam;
  7. az automatizált egyedi döntést lehetővé teheti a tagállami jog (GDPR 22. cikk), a Javaslat e lehetőséggel nem él;
  8. a GDPR 23. cikk szerint az érintett jogainak további korlátait határozhat meg a tagállam;
  9. a GDPR 35. cikk szerint a hatásvizsgálatra vonatkozóan az ágazati jogszabályokra is tekintettel külön feladatokat határozhat meg a tagállam, illetőleg a GDPR 36. cikk szerinti, a hatásvizsgálathoz kapcsolódó konzultációs kötelezettséget írhat elő;
  10. további adatkezelő-típusokat kötelezhet adatvédelmi tisztviselő kijelölésére (GDPR 37. cikk);
  11. a GDPR 40. cikk szerint magatartási kódex létrehozását bátoríthatja;
  12.  a GDPR 42. cikk szerinti tanúsítási mechanizmust ösztönözhetik;
  13. a tagállam korlátozhatja személyes adatok harmadik országba történő továbbítását (GDPR 49. cikk);
  14. a GDPR 51. cikk szerinti egy vagy több a felügyeleti hatóságra vonatkozó rendelkezéseket biztosítja (Magyarországon sarkalatos rendelkezésekkel), továbbá ezek függetlenségét garantálja;
  15. a GDPR 54 (1) bekezdés szerinti taxatív felsorolásban meghatározottak szerint szabályozzák a felügyeleti hatóságok működését;
  16. a tagállam szabályozhatja az adatvédelmi felügyeleti hatóság konzultációs feladatát a nemzeti parlamenten és a kormányon túli szervezetek számára is (GDPR 57. cikk (1) bek. c) pont), a Javaslat e lehetőséggel nem él;
  17. a tagállami adatvédelmi felügyeleti hatóság egyes további hatáskörei (GDPR 58. cikk)
  18. az adatvédelmi felügyeleti hatóságok együttműködésének egyes szabályait illetően (GDPR 62. cikk), a Javaslat e lehetőséggel nem él
  19. a GDPR 80. cikk szerinti külön érintetti garanciákat vezethetné be, a Javaslat e lehetőséggel sem él;
  20. amennyiben korábban nem volt adatvédelmi bírság, annak körében külön rendelkezéseket hozhat a tagállam (Magyarország esetében ez a rendelkezés a 2011. évi jogszabálymódosításra tekintettel nem releváns);
  21. a 84. cikk szerint különleges bírságszabályokat hozhatnának, pontosíthatnák a bírságkiszabási rendelkezéseket. A Javaslat e lehetőséggel nem él, annak ellenére, hogy a többi tagállamban alkalmazott bírságszínvonaltól a magyar gyakorlat sokkal alacsonyabb bírságokat alkalmazott korábban. Ez különösen sérti a magyar adatkezelők érdekeit, hiszen, különösen a kisebb adatkezelők esetében (KKV szektor) indokolt lenne bírságplafonokat bevezetni, ahogyan erre a jogalkalmazás során a Kúria is felhívta több alkalommal a hatóság figyelmét
  22. a 85. cikk szerint a véleménynyilvánítás szabadságának érvényesítése érdekében a tagállamoknak szabályokat kell alkotniuk. Ebben az esetben a tagállamnak nem csak joga, hanem kötelezettsége is a jogalkotás: a hatályos magyar szabályok e körben viszont nem ellentmondásmentesek, vagyis a jogalkotási kötelezettség mindenképpen fennáll, azonban a Javaslat nem tesz eleget a GDPR előírásainak;
  23. a 88. cikk szerint a munkajogi adatkezelést szabályozhatja, illetve a szabályozás lehetőségét átengedhetné a kollektív szerződéseknek, de a a Javaslat e lehetőséggel nem él;
  24. a levéltárak működését szabályozhatja (közérdekű archiválás), tudományos statisztikai cél, továbbá történelmi kutatási célú adatkezelés garanciáit kiépítheti, továbbá
  25. a tagállam a speciális szakmai titoktartás alá tartozó szervezetek adatkezelésére különleges szabályokat alkothat.

A Javaslat, azon túl, hogy nem él a fentiekben részletezett lehetőségekkel, elmulasztja a szektoriális adatvédelmi szabályozás felülvizsgálatát és a GDPR logikájához illesztését. Ez azzal a veszéllyel jár, hogy kedvezőtlen jogalkalmazói jogértelmezés esetén (amely pl. ezek szabályokat a „jogi kötelezettség” körében értékeli és változatlanul érvényesíti) adatkezelők széles köre elesik a GDPR új jogalapjainak alkalmazási lehetőségétől. Ez egyben az EU egységes belső piacán történő szabad adatáramlást is akadályozza, illetve indokolatlan hátrányt jelent a magyar vállalkozásoknak.

Bízom benne, hogy a fentieket megfontolás tárgyává téve a jogalkotó él a magyar adatkezelők számára a GDPR által nyújtott lehetőségek bevezetésével, amelyek egyben hatékonyabban szolgálják az adatvédelem célját is.

Budapest, 2017. szeptember 7.

Dr. Jóri András
volt adatvédelmi biztos Dataprotection.eu Kft.

Dr. Soós Andrea Klára ügyvéd