Módosulnak az érintetti jogok gyakorlásának és a jogorvoslati lehetőségek igénybevételének szabályai

2020. május 5-én hatályba lépett a veszélyhelyzet idején az egyes adatvédelmi és adatigénylési rendelkezésektől való eltérésről szóló 179/2020. (V. 4.) Korm. rendelet(Rendelet), amely jelentősen módosítja az érintetteket az adatkezelés vonatkozásában megillető jogok gyakorlásának, a jogorvoslati lehetőségek igénybevételének, valamint a közérdekű és közérdekből nyilvános adatok megismerésének szabályait. A most következő két blogposztban az egyes információs jogok vonatkozásában bemutatjuk a Rendelet előírásait, valamint azok lehetséges hatásait az érintettekre és a gyakorlatra nézve. Elsőként következzenek az adatvédelmi vonatkozású rendelkezések értelmezésének és alkalmazásának kérdései.

A Rendelet hatálya

Általánosságban elmondható, hogy a Rendelet rendkívül széles körben teszi kötelezővé a benne foglalt rendelkezések alkalmazását. Egyrészt a jogszabály felölel minden „a koronavírusos megbetegedések megelőzése, megismerése, felderítése, valamint továbbterjedésének megakadályozása érdekében” végzett adatkezelést, ideértve az állami szervek összehangolt feladatellátásának megszervezését is [Rendelet 1. § (1) bekezdés]. A Rendelet tárgyi hatálya alá tartozik tehát minden olyan, a személyes adatokon végzett művelet, amelynek célja a jelenlegi járvány terjedésének korlátozása, következményeinek kezelése, hatásainak enyhítése.

Az említett adatkezelések elsődlegesen az állami szervek és hatóságok feladatköréhez kapcsolódnak, erre utal az „állami szervek feladatellátásának összehangolása” kitétel is. Ugyanakkor a vészhelyzetben kiemelt szerepet kapnak az önkormányzatok, illetve – korlátozottabb körben – a vállalkozások és a munkáltatók is. Utóbbi személyek is aktívan közreműködnek a járvány megelőzésében, kezelésében, például a megfelelő szűrővizsgálatok és más hasonló intézkedések meghozatalával. Vagyis, erre vonatkozó szűkítő rendelkezés hiányában úgy is értelmezhető, illetve alkalmazható, hogy az kiterjed minden – köz- és magánszektorbeli – adatkezelő minden olyan tevékenységére, amelynek célja a járvánnyal kapcsolatos teendők ellátása.

A Rendeletben foglaltakat a folyamatban lévő, illetve a hatályba lépést követően benyújtott érintetti jogok gyakorlása iránti, illetve jogorvoslati kérelmek esetében kell alkalmazni a veszélyhelyzet kihirdetéséről szóló 40/2020. (III. 11.) Korm. rendelettel kihirdetett veszélyhelyzet megszűnéséig. E jövőbeli időpont az Országgyűlés döntésétől függ, azaz az előírások előre meg nem határozott ideig hatályban maradnak.

Az érintetti jogok gyakorlásának és a jogorvoslati lehetőségek igénybevételének korlátozása

A Rendelet előírásai mindenekelőtt az általános adatvédelmi rendelet (GDPR) 15-22. cikkeiben, illetve az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) – az ún. bűnügyi irányelv átültetését megvalósító – 14. §-ában foglalt érintetti jogok gyakorlását érintik.

A jogszabály hatálya alá tartozó adatkezelések vonatkozásában ugyanis az említett jogosultságok – hozzáférés, helyesbítés, törlés (elfeledtetés), adathordozhatóság, tiltakozás, automatizált egyedi döntések tilalma – gyakorlása iránt kérelmekkel kapcsolatos intézkedéseket az adatkezelők kötelesek a veszélyhelyzet megszűnéséig felfüggeszteni. Az említett intézkedések megtételére – a kérelmek teljesítésére vagy a teljesítés megtagadására – vonatkozó határidők tehát megszakadnak és veszélyhelyzet megszűnésének napját követő napon újrakezdődnek. „Az adatalanyokat „erről a veszélyhelyzet megszűnését követően haladéktalanul, de legkésőbb a kérelem beérkezésétől számított kilencven napon belül tájékoztatni kell” [Rendelet 1. § (2) bekezdés].

A fentieken túl a Rendelet a GDPR 13-14. cikkei tekintetében is tartalmaz rendelkezést. A jogszabály ugyanis kimondja, hogy megfelelő tájékoztatásnak minősül a járvány megelőzésével, kezelésével kapcsolatos adatkezelések vonatkozásában az, ha az érintettek rendelkezésére áll egy elektronikus formában közzétett „az adatkezelés céljait, jogalapját és terjedelmét közérthető formában rögzítő általános tájékoztató” [Rendelet 1. § (3) bekezdés].

A Rendelet nemcsak az érintetti jogok, hanem a GDPR 77-79. cikkeiben, valamint az Infotv. 22-23. és 52. §-aiban foglalt – hatósági és bírósági – jogorvoslati lehetőségek vonatkozásában is jelentős rendelkezést tartalmaz. Eszerint az adatvédelmi hatósághoz benyújtott panasz, illetve a hatóság, az adatkezelő vagy adatfeldolgozó elleni kereset alapján induló eljárás „határidejének kezdő napja a veszélyhelyzet megszűnésének napját követő nap” lesz, amennyiben az adott jogorvoslati lehetőséget a járvány megelőzésével, kezelésével kapcsolatos adatkezelések vonatkozásában vették igénybe [Rendelet 1. § (4) bekezdés]. Lényegében ez azt jelenti, hogy az érintettek ugyan panaszt és bejelentést tehetnek a felügyeleti hatóságnál, illetve keresetet nyújthatnak be a személyes adatok védelméhez való joguk sérelme miatt, a kezdeményezett – vizsgálati vagy adatvédelmi hatósági – eljárás, valamint a bírósági per nem kezdődik meg mindaddig, amíg a veszélyhelyzet el nem múlt.

A Rendelet előírásainak hatásai

A koronavírus járvány miatti veszélyhelyzet mindenkitől komoly erőfeszítéseket igényel. A járvány megfékezése, szociális és gazdasági hatásainak mérséklése, valamint az egészségügyi ellátórendszerre nehezedő nyomás speciális, a „normális” hétköznapoktól eltérő intézkedések meghozatalát, illetve szabályok alkalmazását teszik szükségessé. Ez vonatkozik – adott esetben – a személyes adatok védelmére is. Ahogy azt az Európai Adatvédelmi Testület megfogalmazta: „Az adatvédelmi szabályok (például a GDPR) nem akadályozhatják a koronavírus világjárvány elleni küzdelemben hozott intézkedéseket. […] még ezekben az extrém időkben is az adatkezelőnek és az adatfeldolgozónak biztosítania kell az érintettek személyes adatainak védelmét. Ezért számos szempontot figyelembe kell venni a személyes adatok jogszerű kezelésének garantálása érdekében, és minden esetben emlékeztetni kell arra, hogy az ebben az összefüggésben hozott intézkedéseknek tiszteletben kell tartaniuk az általános elveket, azokkal nem lehetnek ellentétesek”.

A Rendelet beleértett, de nem kimondott célja a jelenlegi helyzetben közreműködő szervezetek és személyek GDPR-ból vagy az Infotv.-ből eredő adminisztratív és jogi kötelezettségeinek csökkentése, ezért az új előírások mögött alapvetően érthető és méltányolható jogalkotói szándék sejlik fel. Ugyanakkor a fent ismertetett előírások összhangja – az uniós és alkotmányos követelményekkel – több ponton is kétséges lehet. A megfelelő jogértelmezés és a joggyakorlás kereteinek kialakítása így a jogalkalmazókra, elsősorban a Nemzeti Adatvédelmi és Információszabadság Hatóságra (NAIH) hárul majd.

Az első nagyobb kérdéskör a Rendelet személyi hatályát érinti. Ahogy arra korábban utaltunk, az előírások címzettjei / kötelezettjei állami, önkormányzati és egyéb, személyek és szervezetek, ha tevékenységük olyan adatkezelést is felölel, amelynek célja a „a koronavírusos megbetegedések megelőzése, megismerése, felderítése, valamint továbbterjedésének megakadályozása”. Azonban semmi nem utal arra, hogy az adatalanyok a járványhelyzetben eljáró adatkezelők vonatkozásában olyan nagy számban éltek volna a GDPR vagy az Infotv. szerinti jogaikkal, amelynek teljesítése már a járványhelyzet kezelésének sikerességét veszélyeztetné. E közérdek az állami vagy önkormányzati hatóságok esetén még talán meg is állná helyét. A munkáltatók és más vállalkozások esetében ugyanakkor még ilyen érdekek sem azonosíthatók. Nem egyértelmű például, hogy ha egy munkáltató az Európai Adatvédelmi Testület és a NAIH iránymutatásai alapján végez a járvánnyal kapcsolatban adatkezelést, az érintettek tájékoztatáshoz vagy hozzáféréshez való jogának gyakorlása milyen módon veszélyezteti a megfelelő és biztonságos munkakörnyezet biztosítása érdekében tett intézkedések hatékonyságát. Mi a helyzet egy bolt tulajdonosával vagy egy étterem üzemeltetőjével? A Rendelet hatálya alá tartozó adatkezelők köre így adott esetben túl széles, amely nem feltétlenül biztosítja megfelelő módon az érintettek személyes adatok védelméhez fűződő jogának érvényesülését.

A második kérdéskör a Rendelettel érintett jogokat és azok gyakorlását érinti. Elöljáróban kiemelendő, hogy az említett jogok érvényesülését a jogalkotók már a vészhelyzetet megelőzően is korlátozhatták, amennyiben az (1) törvényes (jogszabályban meghatározott) és (2) egy demokratikus társadalomban szükséges és arányos intézkedés volt (3) bizonyos jogszerű érdekek védelme céljából, illetve ha (4) a jogalkotói intézkedés „tiszteletben tartja az alapvető jogok és szabadságok lényeges tartalmát” [GDPR 23. cikk (1) bekezdés]. A Rendeletben foglaltak az (1) és a (3) feltételnek mindenképpen megfelelnek, hiszen a kormányrendelet jogszabálynak minősül, a vizsgált előírások célja pedig lehet – többek között – a közbiztonság fenntartása, az Unió és a tagállamok fontos, általános közérdekű célkitűzéseinek érvényesítése, illetve érintettek vagy mások jogainak és szabadságainak védelme is.

Ugyanakkor a szükségesség és arányosság kérdésessé válik, amennyiben figyelembe vesszük, hogy az előírások minden, a GDPR-ban és az Infotv.-ben foglalt jogot érintenek. A jogszabály értelmében, ha az adatkezelés célja a járvány kezelése, az érintett a GDPR-ban és az Infotv.-ben foglalt jogainak gyakorlása iránt ugyan benyújthat kérelmet az adatkezelőhöz, utóbbi azonban a kérelmet csak a „vészhelyzet megszűnését követően köteles megvizsgálni és – annak megfelelően – teljesíteni vagy a teljesítést megtagadni. Az adatalanyok részére szóló tájékoztatást pedig csak minimális tartalmi követelményekkel kell megtölteni. Ezzel tehát az érintetti jogok érvényesülése, ha ideiglenesen is, de előre meg nem határozott ideig teljes mértékben korlátozódik.

Egyrészt az érintetti jogok szerepe nem más, mint az adatkezelő tevékenysége, az adatkezelés kontrolljának, illetve – bizonyos esetekben – korrekciójának lehetővé tétele. Az ellenőrzést teszi lehetővé például az előzetes tájékoztatás és a hozzáféréshez való jog gyakorlása, míg a helyesbítés és a törlés pedig egyfajta jogorvoslatként is funkcionál. A személyes adatok megismeréséhez (hozzáférés) és kijavításához (helyesbítés) fűződő jog jelentőségét mi sem bizonyítja jobban annál, hogy azokat az EU Alapjogi Chartájának 6. cikk (2) bekezdése expressis verbis ki is emeli. A jogalkotó a Rendeletben foglalt előírást az intézkedések felfüggesztéséről ugyanakkor korlátozás nélkül minden érintetti jogra kiterjeszti, azaz az adatalanyok az ellenőrzés és korrekció minimális lehetőségével sem rendelkeznek.

Másrészt maga az érintetti joggyakorlással kapcsolatos intézkedések felfüggesztése is kérdéseket vet fel. A Rendelet szerint a benne foglaltakat a már folyamatban lévő kérelmek teljesítésére is alkalmazni kell addig az időpontig, amikor az Országgyűlés megszünteti a vészhelyzetet. A vészhelyzet hatálya a jelenlegi helyzeteink szerint egyelőre nem előrelátható konkrét időpont. A Rendelet tehát az információs önrendelkezési jog alapvető elemeit alkotó jogosultságok érvényesülését egyelőre időbeli korlát nélkül függeszti fel, így fennállhat a veszélye az érintetti joggyakorlás kiüresedésének, ami már önmagában is sértheti a személyes adatok védelméhez fűződő jog lényeges tartalmát.

A fentiekre tekintettel mindenképpen szükséges lenne, hogy a jogalkotó pontosítsa, egészítse ki, bizonyos esetekben pedig szűkítse a Rendelet előírásainak hatályát. A hozzáféréshez és a helyesbítéshez való jog érvényesülését nem feltétlenül szükséges teljes mértékben kizárni, e két jog lényegének érintetlenül hagyása mellett a jogalkotó minden további nélkül előírhatna például hosszabb válaszadási határidőt (pl. 45 nap, amit meghosszabbítható további 45 nappal, ahogy az a közérdekű és közérdekből nyilvános adatok megismerése esetén meghatározásra került). E megoldás alkalmazható lehetne a többi jogosultság vonatkozásában is. Ezáltal garantálható lehetne az, hogy a jogszabály megfeleljen a (2) és (4) követelménynek is.

Kiemelnénk továbbá a tájékoztatáshoz való jogra vonatkozó rendelkezést is. Az előzetes tájékoztatás mint adatkezelőkre vonatkozó proaktív kötelezettség teljesítése adminisztratív szempontból valóban megterhelő lehet a járvánnyal szembeni védekezés idején. Azonban a Rendelet 1. § (3) bekezdésében használt „elektronikus úton közzétett módon az érintett rendelkezésére áll” kifejezés alkalmazása a gyakorlatban okozhat némi bizonytalanságot. A NAIH iránymutatása szerint a tájékoztatás elérhetősége azt jelenti, hogy „a személyes adatok felvételekor az érintettek számára rendelkezésre kell állnia, lehetőséget kell biztosítani annak megismerésére”. Az ún. 29. cikk szerinti Adatvédelmi Munkacsoport ezt pontosította azzal, hogy „az érintettnek nem kell keresnie a tájékoztatást; azonnal láthatónak kell lennie számára, hogy a tájékoztatást hol és miként érheti el”. Erre sor kerülhet például a tájékoztatás közvetlen biztosításával, az érintettek tájékoztatáshoz irányításával, a tájékoztatáshoz vezető út egyértelmű jelölésével vagy egy természetes nyelvű kérdésre adott válaszként is. Ennek megfelelően javasolnánk az Infotv. 30. § (2) bekezdésében foglalt rendelkezés alkalmazását a Rendelet 1. § (3) bekezdésével összefüggésben. Vagyis az említett előírást úgy kell értelmezni, hogy akkor áll az elektronikus formában közzétett tájékoztató az érintett rendelkezésére, amennyiben az adatkezelő legalább a vonatkozó információkat tartalmazó nyilvános forrást, vagyis a pontos URL-t megjelöli.

Végezetül több aggályt is felvet az érintettek számára biztosított jogorvoslati lehetőségek korlátozása. Azáltal ugyanis, hogy a panasz vagy kereset nyomán induló eljárás – a hozzáréshez és a helyesbítéshez való jog gyakorlásával egyetemben – szünetel a Rendeletben meghatározott ideig, az adatalanyok elveszítik az adatkezelés kontrollja feletti és korrekciójával kapcsolatos utolsó lehetőségüket is. A Rendelet hatálya alatt így kizárólag a NAIH – Infotv. 51/A. § (1) bekezdése és 60. § (1) bekezdése szerinti – ex officio eljárásai maradnak jogorvoslati lehetőségként. Az érintett által kezdeményezhető jogorvoslatok kiesésével ugyanakkor egy, az adatvédelem szempontjából is alapvető jogállami követelmény „szűnik meg” ideiglenesen. A vizsgálati és az adatvédelmi hatósági eljárás felfüggesztése ráadásul a NAIH Alaptörvényben, illetve más nemzetközi és szupranacionális instrumentumokban meghatározott feladatellátását érinti. Még ha ideiglenes is, de a személyes adatok védelméhez fűződő jog tiszteletben tartását, érvényesülését nem úgy ellenőrzi független hatóság, mint korábban. A jogorvoslati lehetőségek ilyetén befagyasztása ugyanakkor szintén sértheti a személyes adatok védelméhez fűződő jog lényeges tartalmát.

A fentiekre tekintettel a jogalkotónak érdemes lenne átgondolnia, hogy míg a személyes megjelenést is szükségessé tevő, kontradiktórius bírósági eljárásokat ténylegesen felfüggeszti a veszélyhelyzet megszűnéséig, addig legalább az érintett által kezdeményezett vizsgálati eljárások folytatását lehetővé teszi a NAIH számára. Utóbbiak ugyanis rendszerint dokumentumokon és az adatkezelőkkel, adatfeldolgozókkal, illetve az érintettekkel folytatott írásbeli kommunikáción alapulnak. Személyes közreműködésre vagy helyszíni ellenőrzésre csak a legritkább esetben kerül sor ilyenkor. Ezáltal viszont legalább egy minimális szintű külső ellenőrzés biztosított lenne az adatkezelések vonatkozásában.

A fenti javaslatok megfontolása, az esetleges módosítások átvezetése nagyban segítené az állam és az állampolgárok közötti információs egyensúly kialakítását. Ez különösen akkor fontos, amikor a hatóságok elektronikus eszközökkel is lehetővé kívánják tenni a járvánnyal kapcsolatos intézkedések betartását. Vajon mennyiben venné igénybe egy hatósági karantén alá vont személy az élet- és vagyonbiztonságot veszélyeztető tömeges megbetegedést okozó humánjárvány vonatkozásában elrendelt hatósági házi karantén elektronikus ellenőrzéséről szóló 181/2020. (V. 4.) Korm. rendelet szerinti elektronikus szoftvert akkor, ha az előírások megszegése súlyos következményekkel (pénzbírság vagy kiutasítás) járhatnak, de a szoftver esetleges hibái és pontatlanságai miatt nem élhet az érintetti jogaival vagy nem vehet igénybe jogorvoslati lehetőséget? A megfelelő garanciák nagyban hozzájárulnak az állam és a hatóságok járvány kezelésével kapcsolatos intézkedéseibe vetett bizalom fenntartásához. Az adatvédelmi követelmények megfelelő, mégis korlátozott érvényesülése és a járvány megelőzése, kezelése érdekében végzett adatkezelésekkel kapcsolatos adminisztrációs és egyéb követelmények közötti egyensúly így közvetve az említett intézkedések sikerét is biztosítja.

Forrás: www.magyarkozlony.hu