Szakjogász: A személyes adatainkat védeni kell!

Modern korunk egyik fontos jogi vívmánya, hogy ma már minden ember születésénél fogva rendelkezik személyiségi jogokkal. Ez azt is jelenti, hogy személyes, szenzitív adatai is védelmet élveznek, azok felhasználását, publikálását, adatvédelmi rendelkezések szabályozzák. Ebben a sokak számára kissé átláthatatlan jogi dzsungelben Dr. Tóth Judit Lenke adatvédelmi szakjogász segít minket érdekes, gyakorlati példákon keresztül eligazodni.

– Kezdjük egy olyan betűszó jelentésének a tisztázásával, mely gyakran előfordul az adatvédelem területén. Mi is az a GDPR?

– A GDPR egy angol rövidítés – General Data Protection Regulation – melynek magyar megfelelője általános adatvédelmi rendelet. Ez egy olyan rendelkezés, amely az egész Európai Unióra nézve kötelező és hatályos, így külön jogszabállyal nem is kellett beültetni a magyar jogrendbe. A rendelet közvetlenül alkalmazandó az összes európai uniós állampolgárra, és olyan cégre is, ami itt működik.

Ebben a személyes adatvédelmi rendelkezésben a személyes adatokat kiemelte a jogalkotó, és azt mondta, hogy mostantól fogva ezeket őrizzük, mert a magánélet védelme szent, és sérthetetlen. Megjegyzem, ezzel párhuzamosan érdemes azt is megnézni, hogy mi történik Amerikában, Kínában, vagy Oroszországban ezen a területen.

Régen tehát ezen a területen az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infótv.) volt hatályban Magyarországon, de most már ezt az egységes európai szabályozást alkalmazzuk mi is.

– A jog rendszerébe ezt a helyzetet hogyan lehet beilleszteni?

– Ha alapjogi szinten kellene elhelyezni a dolgokat, akkor vannak az első generációs alapjogok, és a második generációs alapjogok. Ezek a magánélet védelme, és az ahhoz fűződő alapjogok, amelynek része az is, hogy a személyes adataimat védjem. Ebbe beletartozik még például a magántitok is, ezek olyan alaptörvény adta jogok, amelyek minden embert megilletnek.

– Egy egyszerű állampolgár a mindennapokban hogyan találkozik mindezekkel?

– Nem is gondolnánk talán, hogy az élet hány területén. Például akkor, mikor szerződéseket kötünk, közüzemi számlát kapunk, magánemberként vásárolunk az online térben, vagy mikor akár ügyeinket intézzük a kormányablaknál. De ilyen az, amikor bankkártyával fizetünk valahol, sőt amikor mobiltelefont használunk, még az is összefügg a személyes adatainkkal. Nem is beszélve a Meta vagy a Facebook használatáról! Mindezekből látszik, hogy mindenhol, mindenki, mindig, adatot kezel rólunk.

– Ezek szerint mindenki tudhat rólunk mindent?

– Tulajdonképpen igen. A bankkártyaadatainkkal például a vásárlási szokásainkat, költéseinket is tudják monitorozni. Vannak olyan fejlesztések, amelyek a GDPR-hoz hozzákapcsolják az Európai Unió mesterséges intelligenciáról szóló rendeletét. Az uniós jogalkotás abszolút abba az irányba megy el, hogy mindent egységesítsen. Ugyanaz legyen a bírság Németországban, vagy Máltán, tehát ne lehessen fórumshoppingolni (magyarul ez a kifejezés nagyjából annyit jelent: joghatóságot választani).

De már olyan fejlesztések is vannak – pedig az én arcképem is személyes adat – amelyek nagyobb áruházakban összekapcsolhatják a kamerafelvételeket a vásárlói profilokkal. Nézik a mozgásomat az üzletben, és mondjuk, ha kisbabám van, akkor feldobja nekem azt a lehetőséget – akár a pénztárnál –, hogy nem akarok-e pelenkát venni, mert ilyenkor azt is szoktam.

– Ez meglehetősen félelmetesen hangzik, de ezek nem vetnek fel aggályokat is?

– Dehogynem. Sőt érthetően tartunk is ezektől a dolgoktól. Mindenki azt gondolja, hogy adatot kezelni nem lehet, de a probléma az, hogy személyes adatot kezelni igenis lehet, csak annak módja kérdéses, mert az alapozza meg a jogosult adatkezelést.

Például fontos, hogy egy internetes webáruház milyen tájékoztatót nyújt ügyfelei részére online vásárláskor. Tudjuk, hogy ilyenkor mindig ki kell pipálnunk, hogy elfogadjuk az adatkezelést, s azt szinte automatikusan meg is tesszük. Pedig lehet, hogy a webáruháznak valójában nincs is számunkra hozzáférhető adatkezelési tájékoztatója, vagy annak a tartalmi elemei nem megfelelőek.

– A cégek tehát adatokat gyűjtenek rólunk, de ezt más számára is átadhatják?

Alapesetben nem. Ennek az lenne a feltétele, hogy velem – mint vásárlóval – az adatkezelési tájékoztatójában már előre közli ezt a szándékot. Egyébként ezt úgy hívják, hogy adatfeldolgozó, vagy közös adatkezelés. Tehát ez egy szűk körben lehetséges, de ennek nagyon-nagyon szűk körben van jogosultsága.

– Az adatkezelés módja ezek szerint egy fontos szempont.

– Igen, mindenképpen. Az információs önrendelkezési jogról és az információszabadságról szóló törvény hatálya alapján csak két jogalapon lehetett adatot kezelni.

Az egyik az volt, hogy a hozzájárulását kérték be mindig a felhasználónak, a vásárlónak, a szerződőnek, és ennek a hozzájárulásnak megvannak a nagyon szigorú szabályai. Az nem lehet önkényes, tehát nem lehet a jelölő négyzetet előre bepipálni, az tényleges választáson kell, hogy alapuljon. S az nem tényleges választási lehetőség, hogy ha nem járul hozzá, akkor ne jöjjön be hozzánk, és ne vásároljon nálunk.

A másik jogszabályi kötelezettség volt, de azt egy törvénynek kellett rögzítenie. S nagyon-nagyon érdekes kérdés, hogy rengeteg helyen, nem tettek hozzá az adott törvényhez, az adatkezelési rendelkezést.

– Mondana erre gyakorlati példát?

– Igen, mondjuk, az egészségügyi törvény mellett, ott van az egészségügyi adatkezelési törvény, ami arról szól, hogy az egészségügyi adatokat hogyan kell kezelni. Tehát párban vannak, kiegészítik egymást.

De van olyan terület – például a vallás kérdése –, ahol a jogalkotó ezt vagy mulasztotta, vagy úgy gondolta, jobb, ha nem is avatkozik bele. Olyanok, hogy vallási adatok gyakorlatilag nincsenek, mert ez szenzitív, különleges adatnak minősülne. Ide tartozik még a faji, a politikai hovatartozás, a világnézeti meggyőződést, a szexuális irányultság, a párttagság, ezeknek a főszabály szerint – ezt mondja ki a GDPR – a nyilvántartása és a kezelése tilos.

Visszaugorva, azt tudjuk, hogy a vallási adatok rögzítése, kezelése tilos. Arról viszont sem az egyházi törvény nem beszél, sem a jogalkotó nem hozott arról törvényt, hogy mi számít vallási adatnak. Pedig, már az is az, hogyha tudjuk valakiről, hogy megkeresztelték. A népszámlálásoknál viszont – igaz anonim módon – a vallásukra vonatkozóan meg szokták kérdezni az embereket. A keleti kultúrákban pedig – akárcsak nálunk a háború előtt – a személy vallását hivatalosan nyilvántartják.

– Köztudomású, hogyha valaki Budapest egyik főútvonalán néhány sarkot sétál, az alatt felvételek százai készülnek róla. Ezt hogyan ítéli meg a törvény?

– Igen, most visszaugrottunk oda, hogy régen hozzájárulás volt és jogszabályi kötelezettség, most ez kibővült. A GDPR ad rá lehetőséget, hogy egyéb indokból – jogos érdek alapján, például banktitok, biztonsági okok – mégiscsak valamilyen úton-módon olyan jogalapot hozzanak létre, hogy tudják monitorozni az utcát és tudják figyelni az ott közlekedő embereket. De ehhez az kell, hogy egy hosszú, jogos érdekmérlegelési tesztben mérlegeljék, hogy mi a banknak az érdeke, tehát, hogy milyen esetben lehet szüksége a felvételekre. Itt a bank látogatóinak a személyes adatai, a magánélethez fűződő jogai, gyakorlatilag sérülnek. Itt ütköznek jogok, de itt a bank egésze, annak biztonsága – hiszen rengeteg betétes pénzét kezeli – elsőbbséget élvez, a magánszemélyek egy kis csoportjának a személyiségi jogaival szemben.

– Ezeken a helyeken – de ez lehet egy társasház lépcsőháza is – kint van egy figyelmeztetés, hogy kamerával megfigyelt terület. Ez elég jogalap a kamera használatára?

– Régebben még elég volt, ma már nem az, mint ahogy az sem, hogyha például egy koncertjegyre rá van nyomtatva, hogy megvásárlásával hozzájárul ehhez és ehhez, mondjuk, beleegyezik, hogy felvétel készüljön Önről.  A hatóság kimondta, hogy most már ezek nem elegendőek, mert teljes mértékben megváltozott a jogalap. Kell, hogy legyen a kamera környékén egy adatkezelési tájékoztató, amelyből kitűnik, hogy ki az adatkezelő, mi az adatkezelésnek a célja, miért készül a felvétel, meddig őrzik meg – ez normál esetben néhány nap –, hogyha valakinek panasza van, kihez fordulhat panasszal, vagy kéréssel? Ha ez a tájékoztatás hiányzik, akkor megsértik az átláthatóság, a jogos adatkezelés elvét.

– Mi a helyzet az egyre gyakrabban használt autós útvonalrögzítő kamerákkal, vagy a magánszemélyek nyakában lógó testkamerákkal?

– Ez egy nagyon érdekes kérdés, ebben az esetben nem mindegy, hogy valamit magánemberként vagy céges érdekből használnak.

A magánfelhasználást, a magán-adatkezelést, kivették a GDPR hatálya alól. Ami egyébként nem jelenti azt, hogy mondjuk, bíróságon ne lehetne megtámadni, hogy az is jogosulatlan adatkezelés. Mert erre is van már lehetőség, például az olaszoknál, németeknél, vagy Svájcban, már arra is bírságol az adatvédelmi hatóság, hogyha a kamerámat – akár csak egy icipicit is – a szomszéd kertje felé fordítom. Már az is több száz eurós bírságot jelenthet. De nálunk ilyen nincs még, tehát a magánembereket még nem kezdték el vegzálni, de várhatóan majd annak is elérkezik az ideje.

– Ha kamerák, akkor az autósoknak rögtön beugranak a rendőrségi sebességmérő kamerák, azokkal mi a helyzet?

– A rendőrség dolga a bűnmegelőzés, a szabálysértők kiszűrése, nagyon sok olyan jogszabály van, ami ezeket kifejezetten lehetővé teszi, sőt elvárja. Ilyenkor az egyes törvényalkotásokkal gyakorlatilag a jogalkotó végzi el az érdekmérlegelési tesztet, és mondja azt, hogy a társadalomnak érdeke a bűnözők elfogása, a törvény ellen vétők megbüntetése. Ez az elsődleges érdek, s ez a magánemberek érdeke fölött áll. 

De itt megint van egy nagyon érdekes kérdés, ha egy bűnözőt – mondjuk egy tolvajt – elfognak és elítélik, még akkor sem rakhatom ki a képét a boltomba, hogy ő ott ezzel a múltjával, egy nemkívánatos személy lett. Ezt azért nem lehet megtenni, mert a bűnözőket is megilleti a személyes adatvédelem, igazából a magánélet védelme.

Egyébként pedig az, hogy a bűnelkövetőket minél gyorsabban elfogjuk, és be tudjuk terelni őket a büntetőeljárásba, az egyértelműen társadalmi érdek.

– Ezt segítheti a sajtó is oly módon, hogy közreadja azok fotóját, akik fent vannak a rendőrség honlapján, mint körözött személyek?

– Persze, ezt megteheti, de a sajtóterméknek meg kell, hogy legyen az az adatkezelési tájékoztatója, amelyben feltünteti, hogy a körözött bűnözők arcképének a nyilvántartása ebben a rovatban, ilyen jogos érdek alapján, vagy pedig erre a törvényre való hivatkozással történik. S hogyha jogos érdek a jogalap, akkor meg kell, hogy csinálja ehhez a jogos érdekmérlegelési tesztet is.

– Vegyünk egy másik gyakorlati példát, nagyon sok társasház lépcsőháza biztonsági okokból be van kamerázva, ez szabályos, vagy nem szabályos?

– Ezt is szigorúan kell kezelni. Először is a tulajdonosi többségnek döntést kell hoznia arról, hogy ezt engedélyezi, s ehhez a társasház szervezeti és működési szabályzatának módosítása szükséges. Azután megfelelően kell tájékoztatni a lakókat, hatásvizsgálatot és egy jogos érdekmérlegelési tesztet kell készíteni, s még törvény is kimondja, hogy mennyi lehet a maximális megőrzési idő a kamerafelvételeknél.

De nemcsak a lakókat, hanem mindenkit, aki belép a házba – a postástól kezdve a pizzafutárig – figyelmeztetni kell, hogy itt kamerát használnak, illetve ki kell függeszteni egy adatkezelési tájékoztatót is. Ezt egyébként egy QR-kód megadásával szokták megoldani, akit érdekel, az egy mögöttes oldalon megtalál minden információt. Azt például, hogy ki az adatkezelő, mi célból készül a felvétel, mi a használat jogalapja, mennyi ideig őrzik a felvételeket, ki juthat hozzájuk. Aki akarja, elolvashatja ott ezt a hosszú tájékoztatót, utána eldöntheti, hogy bemegy-e a házba – s ezzel vállalja, hogy felvételt készítenek róla –, vagy visszafordul.

– Térjünk vissza az utcabeli történésekhez, ha valaki az okostelefonjával felvételt készít egy tüntető tömegről, az szabályos, vagy sem?

– Ez ismét attól függ, hogy magánemberként, vagy céges érdekből teszi ezt.

Ha cégként – mondjuk egy tévécsatorna – készít felvételt, akkor, az úgy szabályos, hogyha előzőleg hatásvizsgálatot és jogos érdekmérlegelési tesztet készít, illetve hozzáférhetővé teszi az adatkezelési tájékoztatót.

De akkor is csak úgy forgathat, fotózhat, hogy a tömeget veszi, és nincs zoomolás, nincs egy-egy ember kiragadása. Mert ha ez történik, az már adatkezelés, s az embereknek a hozzájárulását be kellene kérni, mivel a Polgári törvénykönyv csak egyetlen egy esetben adott ez alól kivételt: hogyha tömegfelvétel készül, és azon senki nem beazonosítható. Ha már be tudja valaki magát azonosítani, akkor az illető személyiségi jogi pert tud indítani, mert ez már jogtalan felhasználás.

– Mi történik akkor, ha egy sportközvetítésen kiemelnek egy-egy szurkolót, mondjuk, ahogy örül egy gólnak?

– A régi rendszerből átlépve a GDPR-ba, ez már lehetőséget ad arra, hogy jogos érdekmérlegelés alapján azt lehessen mondani, hogy a futball népszerűsítése előbbre való, mint az illető személyiségi joga. De jogos érdek alapján lehet, hogy ez benne is van a focijegy vásárlásnak az adatkezelési tájékoztatójában, amit akkor fogadok el, amikor megveszem online a jegyet.

De az nem elegendő, hogy rajta van például a koncertjegyen, hogy ott bárkiről felvétel készülhet. Erre megint jó megoldás lehet egy QR-kód a jegyen – ez most kezd divatba jönni –, amely segítségével mindenki elolvashatja az adatvédelmi tájékoztatót, s ennek alapján dönthet, hogy elmegy-e a koncertre, vagy sem.

Magánszemélyekre, magánfelhasználásra nem vonatkozik a GDPR, így felvételt bárki bárhol készíthet. Tehát ha magánemberként vagyok jelen egy eseményen, ott fotózhatok, videózhatok a telefonommal, viszont a felvételeket, otthon csak én nézegethetem. Sokan nincsenek azzal tisztában, hogyha ezt a felvételt mondjuk, feltöltik a Facebook-oldalukra, akkor az a közzététel, adatkezelésnek minősül.

Vegyük azt a példát, hogyha valaki odaáll egy színész, vagy politikus mellé és készít vele egy szelfit. Ezt a közös képet nézegetheti otthon, de a híresség hallgatólagosan csak ahhoz járult hozzá, hogy megörökítse ezt a találkozásukat. Ahhoz már nem, hogy ezt a képet megkapják a barátok, szülök, vagy kikerüljön a közösségi oldalakra.

Itt kell megemlíteni, hogy borzasztó nehéz összhangot találni a különböző platformok adatkezelése között, hiszen mondjuk, a Facebook adatkezelési tájékoztatója arra predesztinál, hogy a kapott, olvasott anyagokat, osszák tovább az emberek.

– Az előbb szó volt a sajtó munkájáról, mi történik, ha az utcán véletlenszerűen megszólítanak embereket, s pár szavas interjúkat kérnek tőlük. Ha a megszólított ad interjút, az azt is jelenti, hogy ő hozzájárult ennek a közléséhez?

– Egyáltalán nem, ő a felvétel elkészítéséhez járul hozzá. Korábban elmondtuk, hogy mik a jogszerűség feltételei, így ekkor el kellene mondanunk neki az összes fontos dolgot, amit az adatkezelési tájékoztatónk tartalmaz. De az nyilván nem életszerű, hogy ott felolvassuk neki a negyven oldalt. Ezért ezt máshogy is kezeljük, tehát ezt nem hozzájárulás alapján, hanem jogos érdek alapján.

Ugyanis a riporternek a jogos érdeke – a munkája – az, hogy ő ott interjúkat készítsen. De valahol meg kell lennie, a lehetőleg jogász által készített adatkezelési tájékoztatónak is, mert ha az interjúalany meg szeretné azt nézni – mondjuk a weben –, akkor arra lehetőséget kell adni számára. Ebben a tájékoztatóban benne kell lennie annak is, miért jogos érdek az interjúk elkészítése, de ezt könnyű megindokolni, hiszen a közösség érdeke, a tájékoztatás fontossága, előbbre való, mint a magánérdek. Viszont aki nem akar interjút adni, annak lehetőséget kell adni arra, hogy elzárkózzon ettől, és nemet mondjon a riporternek, vagy hogyha nem akar szerepelni ezen a videón, akkor lekerülhessen róla.

– Létezik egy Bűnvadászok nevű szerveződés, amely – egyebek mellett – jogosulatlan lakásbitorlók kiköltöztetésére szakosodott. Ezekben az esetekben a fellépésükről videó is készül, melyen – tiltakozása ellenére – sokszor szerepel a lakásbitorló is. Ez a felvételkészítés jogszerű, vagy jogszerűtlen? 

– Jogszerű, mert ilyenkor nincs szükség a bitorló hozzájárulására, hiszen nem hozzájárulás alapján kezdik forgatni ezeket a videókat, hanem jogos érdek alapján. Felajánlhatják neki, hogy itt az érdekmérlegelési teszt, nézze meg, s tiltakozzon náluk, ha úgy gondolja. Majd, akik forgatnak, azoknak ennek elbírálására van harminc napjuk – amit további hatvan nappal még meg is hosszabbíthatnak – és utána dönthetnek. Ha a felvétel készítői úgy gondolják, az a fontosabb, hogy azok az emberek, akiknek hasonlóképpen elfoglalták a lakásukat, megtudják, mit lehet egy ilyen helyzettel kezdeni, azt hogyan lehet megoldani, akkor minden marad a régiben a videón.

Itt is egyébként két alapjog – a magánélethez való jog és az információhoz való jog – kerül szembe egymással, de mióta létezik újságírás, ez korántsem új keletű dolog.

Ez volt a jogos érdek alapján készült anyag háttere, más a helyzet, amikor hozzájárulás alapján készül egy anyag, amit aztán nehezményez valaki. Ilyen esetben nagyon szigorúan veszi a hatóság a tájékoztatást, bekérheti azt, hogy mihez járult hozzá az interjúalany, s ha hozzájárult valamihez, akkor az, pontosan micsoda, és ezt mivel lehet bizonyítani. Ilyenkor egy összetett eljárás kezdődik, még azt is megvizsgálják, hogy az adatkezelési tájékoztató mennyire tér ki minden szükséges dologra.