Adatvédelem - egy gyakran elfelejtett személyiségi jog
Olvasási idő: 6 perc
Személyes adataink feletti rendelkezési jogunk az Alaptörvényben biztosított alkotmányos alapjog. A külön törvényben is szabályozott adatvédelem fontossága ugyanakkor mindennapi életünkben sokszor elsikkad, különösen az adataink megadását "eszköznek" vagy "feltételnek" tekintő hétköznapi tevékenységeink során. Adatvédelmi sorozatunk első részében az alapfogalmakat igyekszünk tisztázni. Ne feledkezzen el a mellékelt szabályzatmintánkról sem!
Az Alaptörvény VI. cikk (2) bekezdése rögzíti a személyes adatok védelméhez való jogot, és ugyanennek a cikknek a (3) bekezdése előírja, hogy adatvédelmi törvényt kell alkotni. Az általános szabályokat a Polgári törvénykönyv is megfogalmazza. Az Alaptörvény előírása alapján született meg az információs önrendelkezésről és az információszabadságról szóló 2011. évi CXII. törvény,(Infotv). A törvény célja adatok kezelésére vonatkozó alapvető szabályok meghatározása annak érdekében, hogy a természetes személyek magánszféráját az adatkezelők tiszteletben tartsák, valamint a közügyek átláthatósága a közérdekű és a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog érvényesítésével megvalósuljon.
A törvény Magyarország területén folytatott minden adatkezelésre és adatfeldolgozásra kiterjed – akár manuális, akár automatizált eszközzel történik, - amely természetes személy adataira, valamint közérdekű adatra vagy közérdekből nyilvános adatra vonatkozik.
A személyes adatok védelméhez való jog biztosítja, hogy az egyén maga rendelkezzen a személyével kapcsolatba hozható adatok nyilvántartásáról, felhasználásáról. Személyes adat minden olyan adat, mely az érintettel kapcsolatba hozható pl. érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés. A fent leírtakból megállapítható, hogy a személyes adat fogalma nagyon tág fogalom. Gyakorlatilag bármilyen adat, információ minősülhet személyes adatnak. (szemszín, vásárlási szokás, érdeklődési kör, utazási szokás stb…) amennyiben az adott információ egy személlyel összekapcsolható. Az anonim módon gyűjtött adatok, pl. ha statisztikai célból gyűjtenek adatokat, anélkül, hogy tudnánk, hogy az egyes információk ténylegesen mely személytől származnak, nem tartoznak a személyes adatok körébe.
A rendelkezési jog azt jelenti, hogy a személyes adatokat - csak az érintett beleegyezésével lehet rögzíteni, illetve továbbítani. Az adatvédelmet szabályozó törvény értelmében mindenkinek joga van megtudni, hogy milyen nyilvántartást vezetnek róla, és mindenki kérheti téves adatai törlését. A személyes adatokat az arra jogosult szervek is csak meghatározott célból és csak a feltétlenül szükséges mértékben és ideig kezelhetik. Az adatfelvétel előtt a kérdezett személlyel közölni kell, hogy az adat szolgáltatása önkéntes vagy kötelező. Amennyiben az adatszolgáltatás kötelező, meg kell jelölni az azt elrendelő jogszabályt is. Személyes adatot harmadik fél számára továbbítani csak az érintett beleegyezésével lehet. Kivételt e szabály alól - meghatározott indokból - csak törvény teremthet.
A személyes adatoknál is szigorúbban védettek az úgynevezett különleges adatok. Különleges adatnak minősül minden információ, amely faji eredetre, nemzeti és etnikai kisebbséghez tartozásra, politikai véleményre vagy pártállásra, vallásos vagy más világnézeti meggyőződésre, az érdek-képviseleti szervezeti tagságra vonatkozik. Szintén különleges adat az egészségi állapotra, a kóros szenvedélyre, a szexuális életre vonatkozó adat, valamint a bűnügyi személyes adat. Különleges adat kezeléséhez vagy az érintett írásbeli hozzájárulása szükséges, vagy törvény adhat rá felhatalmazást. Etnikai hovatartozásról az állam nem vezethet nyilvántartást és nem szólíthatja fel polgárait, hogy ilyen adataikról nyilatkozzanak. A magyar szabályozás összhangban van az Európai Unióban e tárgykörben megfogalmazott irányelvvel, amely az etnikai, faji hovatartozásra, politikai, vallási vagy világnézeti meggyőződésre, szakszervezeti tagságra, egészségügyi vagy szexuális életre vonatkozó adatok feldolgozásának kategorikus tiltását szorgalmazza, ez alól kizárólag az érintett kifejezett hozzájárulása vagy az ő érdekében történő eljárás esetében tesz kivételt.
Adatkezelő az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely önállóan vagy másokkal együtt az adat kezelésének célját meghatározza, az adatkezelésre (beleértve a felhasznált eszközt) vonatkozó döntéseket meghozza és végrehajtja, vagy az adatfeldolgozóval végrehajtatja. Az adatkezelés „az alkalmazott eljárástól függetlenül az adatokon végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adatok további felhasználásnak megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl.ujj- vagy tenyérnyomat, DNS minta) rögzítése.
Személyes adatkezelésről akkor is beszélhetünk, ha nem név alapján kerül azonosításra egy konkrét személy, hanem egyéb módon pl. számítógép IP címe alapján, vagy cookie-k és egyéb különböző nyomkövető információk alapján.
Adatfeldolgozónak az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi. Az adatfeldolgozó tipikusan meghatározott feladat, eredmény elérésére vállal kötelezettséget, feladata az, hogy végrehajtsa az adatkezelő által adott - az adatfeldolgozás célját és módjának alapvető elemeit illető – utasításokat. Az adatfeldolgozó adatfeldolgozási tevékenységének jogszerűségét az adatkezelőtől kapott megbízás határozza meg. Az adatkezelő és az adatfeldolgozó közötti viszonyokat szerződésben, vagy kötelező erejű jogi aktusban szükséges rendezni. Ezt írásba kell foglalni és tartalmaznia kell bizonyos minimális elemeket, különösen annak kijelentését, hogy az adatfeldolgozó kizárólag az adatkezelő utasítása alapján járhat el, és hogy megfelelő technikai és szervezési intézkedéseket kell végrehajtania a személyes adatok megfelelő védelme érdekében. A szerződésnek tartalmaznia kell az adatfeldolgozó megbízásának részletes leírását. (E törvényi rendelkezés alapján kötnek civil szervezetek is szerződést különböző Európai Uniós pályázathoz kapcsolódó adatszolgáltatási kötelezettség teljesítése érdekében).
Az adatkezelési hozzájárulás akkor tekinthető jogszerűnek, ha annak megadása előtt az érintett személy megfelelően tudott tájékozódni adatainak kezeléséről. Ezért az adatkezelő kötelezettsége, hogy tájékoztatást adjon arról, hogy milyen adatokat kezel, ki ismerheti meg az adatokat, ki az adatkezelő, aki az adatfeldolgozó, az adatok kezelésének mi a célja, időtartama és adattovábbításra sor kerül-e. E tájékoztatás módja rendszerint az adatvédelmi tájékoztató. Az adatkezelés során lehetőséget kell biztosítani az adatkezelőnek arra, hogy az érintettek tájékoztatást kérhessenek tőle az adataik kezeléséről. Az adatkezelő köteles a kérelem benyújtásától számított legrövidebb idő alatt, legfeljebb azonban 30 napon belül közérthető formában, írásban megadni a tájékoztatást.
A fentebb leírtak alapján a személyes adatok védelmére vonatkozóan az alábbi elveket fogalmazhatjuk meg:
• személyes adat csak az érintett beleegyezésével vagy törvény által meghatározott esetekben rögzíthető és használható;
• a felvett adatnak pontosnak és időszerűnek kell lennie;
• személyes adat csak az adott cél megvalósításához szükséges mértékben és ideig kezelhető, azután meg kell semmisíteni;
• személyes adat csak kivételes esetben továbbítható az érintett beleegyezése nélkül;
• kiemelt védelem illeti az etnikai hovatartozásra, a lelkiismereti és a politikai meggyőződésre, az egészségi állapotra vonatkozó személyes adatokat;
• kívánatos, hogy biztos (ombudsman) vagy testület felügyelje az adatkezelést;
• az adatvédelmi szabályok megszegését büntetőjogi rendelkezésnek kell szankcionálnia;
• az embereknek joguk van a róluk nyilvántartott adatok megismeréséhez;
az érintett személy kérheti a szükségtelenné vált adat törlését, valamint a téves adat kijavítását.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) az érintettek tájékozódásának elősegítése érdekében adatvédelmi nyilvántartást vezet az adatkezelő személyes adatokra vonatkozó adatkezeléseiről. A nyilvántartásba vételi eljárás nem engedélyezési eljárás, a Hatóság által kiadott adatvédelmi azonosító nem engedélyező szám. A nyilvántartási szám az adatkezelés azonosítására szolgál, és nem tanúsítja a nyilvántartásba vett adatkezelés jogszerűségét.
(Folytatjuk)