Kifejezett hozzájárulás a NAV adatkezelés során

dr. Kovács-Petruska Rita Dátum Legutoljára frissítve: 2024.06.12

Olvasási idő: 7 perc


Az adatkezelés és az információs önrendelkezési jog témája különösen izgalmassá válik, ha a közigazgatási, államigazgatási oldalt is megvizsgáljuk. A közhatalmat gyakorló szervezet jellemzően olyan, törvényi szintű kötelezettségből fakadó feladatot lát el, amely során az ügyfelek, adózók, a hatósági eljáráshoz kapcsolódó más személyek adatait kell kezelnie. Hogyan érvényesülnek a GDPR szabályai az állami adóhatóság előtti eljárásokban?

Mi is a GDPR?

Kezdetben csak szivárgott, majd lassan hat éve robbant be a köztudatba az adatvédelem, a „GDPR” és a hozzá kapcsolódó kérdések rendezésének lehetőségei. Ennek oka az volt, hogy a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 számú rendelete, azaz az általános adatvédelmi rendelet, más néven GDPR  rendelet 2018. május 25-től kötelezően és közvetlenül alkalmazandó lett az Európai Unió valamennyi tagállamában, így Magyarországon is. A rendelet megalkotásának kimondott célja az volt, hogy a magánszemélyekre vonatkozó adatok, tranzakciók tárolása és feldolgozása biztonságos keretek között történjen.

Az általános adatvédelmi rendelet részletes követelményeket rögzít a vállalkozások és szervezetek részére a személyes adatok gyűjtése, tárolása és kezelése tekintetében. Ezek a szabályok az EU területén személyes adatokat kezelő európai uniós székhelyű szervezetekre, továbbá azokra az EU-n kívüli szervezetekre vonatkoznak, amelyek európai uniós lakosok személyes adatait kezelik.

Az érintetti jogok az állami adóhatóság adatkezelése során

Behatárolható, hogy mi a védendő adat, mi az adatkezelő, adatfeldolgozó pozíciója, kötelezettsége, azonban a GDPR rendelet az érintett jogait kiemelten kezeli. Kérdésként merül fel, hogy az adóhatóság és az adózó viszonylatában pontosan ki minősül érintettnek és mit tehet a kezelt adatokkal. Az érintett az a konkrét, egyéb személyektől egyértelműen megkülönböztethető természetes személy, akivel az adat, az adatból levonható következtetés kapcsolatba hozható. Egy nagyon széleskörű meghatározáson alapuló személyi kört értünk ez alatt, teljesen jogosan. Hiszen az adóeljárási és egyéb jogszabályi előírások nem csupán az adózókra vagy az ügyfelekre, hanem ennél sokkal tágabb körre fogalmaznak meg jogi normákat (gondoljunk itt a szakértőkre, a hatósági tanúkra vagy épp egy alkalmazottra egy operatív ellenőrzés során).

Főszabály szerint minden érintett kérelmezheti az adatkezelőnél, jelen esetben az állami adóhatóságnál:

  • személyes adataihoz való hozzáférését,
  • személyes adatainak helyesbítését,
  • személyes adatainak törlését,
  • az adott adatkezelés korlátozását,
  • személyes adatainak hordozhatóságát,
  • továbbá tiltakozhat személyes adatai kezelése ellen.

Az érintett tehát

  • NAV-tól tájékoztatást kérhet személyes adatainak kezeléséről,
  • a NAV-tól kérheti személyes adatainak helyesbítését, törlését vagy az adatkezelés korlátozását,
  • tiltakozhat a NAV által folytatott adatkezelés ellen, kivéve, ha az adatkezelést törvény írja elő.

Bármely érintetti jog gyakorlására irányuló kérelemről is legyen szó, az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül köteles tájékoztatni az érintettet a kérelem nyomán hozott intézkedéseiről. Szükség esetén – figyelembe véve a kérelem összetettségét és a kérelmek számát, azaz indokolt esetben – ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról azonban az adatkezelő köteles a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatni az érintettet.

Ha az adatkezelő nem tesz intézkedéseket a kérelem alapján, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül, akkor is köteles tájékoztatni az érintettet az intézkedés elmaradásának okairól, valamint tájékoztatást nyújtani a panasz lehetőségéről és bírósági jogorvoslati jog kereteiről. Így, ha az érintett úgy ítéli meg, hogy a NAV a személyes adatainak kezelése során megsértette a hatályos adatvédelmi követelményeket, akkor
• panaszt nyújthat be a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (1055 Budapest, Falk Miksa utca 9-11 postacím: 1374 Budapest, Pf. 603.; E-mail: ugyfelszolgalat@naih.hu, honlap: www.naih.hu), vagy
• lehetősége van adatainak védelme érdekében bírósághoz fordulni, amely az ügyben soron kívül jár el. Ebben az esetben szabadon eldöntheti, hogy a lakóhelye vagy a tartózkodási helye, illetve a NAV székhelye szerint illetékes törvényszéknél nyújtja-e be keresetét. A lakóhelye vagy tartózkodási helye szerinti törvényszéket megkeresheti a https://birosag.hu/birosag-kereso oldalon. A NAV székhelye szerint a perre a Fővárosi Törvényszék rendelkezik illetékességgel.

Fontos kiemelni, hogy ha a NAV eljáró adatvédelmi megbízottjának, tisztviselőjének megalapozott kétségei vannak a kérelem benyújtójának személyazonosságával kapcsolatban valamely érintetti jogának gyakorlására irányuló kérelme benyújtása során, az adatkezelő további, a személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti a kérelmezőtől. Amennyiben ugyanis az adatkezelő bizonyítja, hogy nem áll módjában a kérelmezőt azonosítani, megtagadhatja az érintetti jog gyakorlására irányuló kérelem teljesítését. Ez különösen lényeges például olyan pontok esetében, mint a NAVCC-ben rögzített, de nem ügyintézésre irányuló, azaz általános jogszabály-értelmezésre vonatkozó hívás tartalma esetében, ahol az ügyfél beszélgetése tartalmazhat olyan jellegű személyes adatokat, amelyek egyrészt szükségesek a kérdése megválaszolásához, másrészt adótitoknak minősülnek. Így az adatvédelem mellett az adótitok védelmét is szolgálja, hogy az általánosnál szigorúbb azonosítást kérnek az érintetti jogok gyakorlójától, hiszen manapság nem rendkívüli, hogy ismert lehet egy személy telefonszáma.

Az érintetti kérelmekre vonatkozó tájékoztatás és intézkedés főszabály szerint díjmentes. Ha azonban a kérelem egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre, észszerű összegű díjat számíthat fel, vagy megtagadhatja a kérelem alapján történő intézkedést. A kérelem egyértelműen megalapozatlan vagy túlzó jellegének bizonyítása azonban az adatkezelőt terheli.

Az alábbi érintetti jogok érvényesítése során a kérelmet a Nemzeti Adó- és Vámhivatalnak mint adatkezelőnek az alábbi elérhetőségeken lehet eljuttatni (kiegészítve azzal, hogy természetesen benyújtható e-papíron is a kérelem):
Postacím: 1373 Budapest, Pf. 561.
E-mail: nav_kozpont@nav.gov.hu
A NAV adatvédelmi tisztviselőjének elérhetősége: ki.sztf@nav.gov.hu.

Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is. Ha az érintett tiltakozik a személyes adatai közvetlen üzletszerzés érdekében történő kezelése ellen, akkor a személyes adatai a továbbiakban e célból nem kezelhetők.
A NAV az általa kezelt adatokat legfeljebb az adott eljárásra vonatkozó törvény által meghatározott ideig, az érintett hozzájárulása esetén a konkrét adatkezelésre vonatkozó adatkezelési tájékoztatóban rögzített ideig kezeli.

Kifejezett hozzájárulás

Nyilván a NAV közhatalmi jellegéből vagy jogszabályok általi kötelezettségéből fakadóan nagy mennyiségű adatot kezel, amelynek egy része minősül személyes adatnak. A jogalaphoz tartozik azonban az érintett kifejezett hozzájárulása is, amelynek megjelenése, azonosítása nem feltétlenül nyilvánvaló elsőre az adóhatósági eljárásokban, azonban több esetben találkozhatunk vele az ügyintézés során. A hozzájárulás kérése jellemzően a nem feltétlenül közhatalmi tevékenységekkel kapcsolatban merül fel. Gondoljunk itt a személyi jövedelemadó-bevalláson belül és önállóan is elérhető rendelkező nyilatkozatra, amely kitöltése során kifejezett hozzájárulást kell adnia az adózónak a személyes adatainak kedvezményezett szervezettel történő közléséhez.

A GDPR rendelet (32) preambulumbekezdése támpontot nyújt a szabályszerű hozzájárulás feltételeivel kapcsolatban. Ennek értelmében az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett – vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi (ezzel összefüggésben azonosítható, hogy pontosan milyen tájékoztatás alapján milyen terjedelmű adatkezeléshez járul hozzá). A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak.

A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik.

A példánál maradva, így a rendelkező nyilatkozaton tett jelölés kifejezett hozzájárulást jelent a meghatározott személyes adatok meghatározott személlyel történő közlésére. Amennyiben az adózó úgy dönt, hogy nem jelöl hozzájárulást, a személyes adat nem továbbítható. Ez a cselekmény tehát nem értelmezhető akként, hogy a rendelkező nyilatkozat érvényes kitöltésével, a kedvezményezettek pontos megjelölésével az adózó abba is beleegyezik, hogy a nyomtatványon megadott személyes adatait az adóhatóság mint adatkezelő közölje a kedvezményezettel.

Az „önkéntesség” követelménye a hozzájárulással kapcsolatban azt jelenti, hogy semmilyen hátrány elszenvedésének kilátásba helyezése, annak kockázata nem motiválhatja a döntést, amely követelményt a GDPR 7. cikke és a Munkacsoport 259. számú iránymutatása is rögzítenek. A hozzájárulás csak akkor érvényes, ha az tájékozott és szabad elhatározáson alapul, valódi választási lehetőség áll az érintett rendelkezésére, és nem áll fenn a becsapás, a megfélemlítés, a kényszerítés vagy más jelentős negatív következmény veszélye a hozzájárulás megtagadása esetén. Példánk esetében ez pontosan azt jelenti, hogy a rendelkező nyilatkozat alapján a jogszabályi előírásoknak megfelelően az adó 1%-ával kapcsolatos eljárás során az adóhivatal eljár, a hozzájárulás vagy annak hiánya nincs hatással a szakmai protokollra és a jogszerű eljárásra.

(Cikkünket teljes terjedelmében az Ellenőrzési Tanácsadó júniusi számában olvashatják)