DR. VÖLNER PÁL
DR. VÖLNER PÁL
DR. VÖLNER PÁL igazságügyi minisztériumi államtitkár, a napirendi pont előadója: Köszönöm a szót, elnök úr. Tisztelt Elnök Úr! Tisztelt Országgyűlés! Magyarország a személyes adatok védelmére már a rendszerváltástól kiemelt hangsúlyt fordított. A személyes adatok védelmének európai összehasonlításban is magas szintjét biztosította a korábbi alkotmány, a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló törvény, illetve az ezek nyomán kialakult alkotmánybírósági gyakorlat.
A személyes adatok védelmének magas szintű védelmét az Alaptörvény és az információs önrendelkezési jogról és információszabadságról szóló törvény nemcsak fenntartotta, hanem a személyes adatok védelméhez fűződő jog érvényesülésének ellenőrzésére és elősegítésére létrehozta autonóm államigazgatási szervként a Nemzeti Adatvédelmi és Információszabadság Hatóságot is. A szabályozási javaslat vizsgálata során külön kell választanunk az adatvédelemre vonatkozó alkotmányossági és európai uniós jogi követelményeket.
(13.00)
Az alkotmányossági aspektust vizsgálva elmondható, hogy a személyes adatok védelme az Alaptörvény VI. cikkében nevesített alapvető jog, amely korlátozására az Alaptörvény I. cikk (3) bekezdése alkalmazható. Az Alkotmánybíróság gyakorlatában többször is foglalkozott az információs önrendelkezési joggal, mind a régi alkotmány, mind az azzal lényegében megegyező alaptörvényi normaszöveg esetében.
Az első ilyen alkotmánybírósági döntés, a személyes adatok védelme területén alapvető jelentőségű alkotmánybírósági határozat a 15/1991-es AB-határozat volt, amely határozatban az Alkotmánybíróság kimondta, hogy a korlátozás nélkül használható általános és egységes személyazonosító kód alkotmányellenes, valamint meghatározta a személyes adatok védelméhez való jog alkotmányos tartalmát, illetve az alapjog legfontosabb garanciájának, a célhoz kötöttség elvének a tartalmát is. A személyes adatok védelméhez való jog ugyanakkor nem korlátozhatatlan, a szükségességi-arányossági teszttel összeegyeztethető módon ezen alapjog is korlátozható, vagyis amennyiben azt más alapvető jog vagy valamilyen alkotmányos érték védelme indokolttá teszi, a szükséges mértékű és célarányos korlátozás megalapozott lehet.
Az Alkotmánybíróság 2/2014. számú határozatában ugyanakkor azt is kimondta, hogy bármilyen jogszabálynak, amely személyes adat kezeléséről rendelkezik, garanciákat kell tartalmaznia arra nézve, hogy az érintett személy az adat útját követni és jogait érvényesíteni tudja. E garanciális jogintézményeknek - az ellenőrizhetőség érdekében is - korlátok közé kell szorítaniuk az adat útját. Az általános szintű, az adatvédelem kereteit megállapító törvény mellett is szükségesek a meghatározott adatfajtákra vagy egyes állami, illetve gazdasági ágazatok adatkezelésére vonatkozó speciális szabályok.
Tisztelt Ház! Az európai uniós jogi környezetre rátérve, az Európai Bizottság 2012-ben terjesztette elő a személyes adatok védelmét érintő uniós joganyag reformját célzó javaslatcsomagját, amelynek eredményeként 2016-ban a Tanács és az Európai Parlament mint társjogalkotók két jogalkotási aktus, egyrészről az általános adatvédelmi rendelet, másrészről a bűnüldözési célú adatkezeléseket szabályozó irányelv elfogadásáról döntöttek.
A jogalkotási folyamat eredményeként az általános adatvédelmi rendelet 2018. május 25-e óta az Európai Unió tagállamaiban kötelezően alkalmazandó, és szintén 2018 májusa óta az irányelv is jogharmonizációra, azaz az irányelv szabályainak a tagállami jogba történő átültetésére kötelezi az uniós tagállamokat. Mint ahogyan az önök előtt is ismeretes, az általános adatvédelmi rendelet horizontális szintű végrehajtására, valamint a bűnüldözési irányelv átültetésére már - éppen e Ház falai között - a tavalyi év során, a 2018. évi XIII. törvény, valamint a 2018. évi XXXVIII. törvény elfogadásával került sor.
A 2018. évi XIII. törvény a Nemzeti Adatvédelmi és Információszabadság Hatóságot az általános adatvédelmi rendelet szerinti felügyeleti hatóságként jelölte ki. Ezen túlmenően a 2018. évi XXXVIII. törvény a bűnüldözési célú adatkezelésekről szóló irányelv átültetéséről is gondoskodott, továbbá az általános adatvédelmi rendelet végrehajtásához szükséges további rendelkezéseket is megállapított. E törvény a Nemzeti Adatvédelmi és Információszabadság Hatóságnak az általános adatvédelmi rendelettel összefüggő eljárásának működési feltételeit, eljárási rendjét is meghatározta, valamint az információs önrendelkezési jogról és információszabadságról szóló törvény, azaz az infotörvény hatályának teljes körű felülvizsgálatával egyértelmű helyzetet teremtett a jogalkalmazók számára is.
Tekintettel az infotörvény keretjellegű, horizontális szintű szabályozására, szükségessé vált az egyes ágazati törvényekben szereplő adatkezelési szabályok felülvizsgálata is. Az előttünk fekvő törvényjavaslat célja tehát, hogy az általános adatvédelmi rendelet végrehajtása érdekében az egyes ágazati törvényeket érintő módosító törvényi rendelkezéseket megalkossa.
Nem tarthatók fenn a hatályos ágazati törvényekben a rendelet által meghatározott fogalmakkal akár azonos, akár eltérő tartalommal meghatározó definíciók, értelmező rendelkezések. Szükségessé vált az egyes ágazati törvényekben az infotörvényre mutató hivatkozások pontosítása, valamint az esetlegesen már nem hatályos jogintézményekre történő merev vagy rugalmas hivatkozások módosítása is.
Az előttünk fekvő törvényjavaslat összesen 86 ágazati törvény módosítását végezné el. 2017 tavaszán kezdődött meg az Igazságügyi Minisztérium koordinálásával az egyes minisztériumok feladat- és hatáskörébe tartozó ágazati törvények adatvédelmi szempontú felülvizsgálata, amelynek eredményeként az egyes minisztériumok által előkészített javaslatok összegzéseként 2018 őszén elkészült törvényjavaslatot az Igazságügyi Minisztérium társadalmi egyeztetésre bocsátotta. A társadalmi egyeztetést nagyfokú érdeklődés és együttműködés jellemezte, amelynek keretében a javaslatot széles körben véleményezték az állampolgárok, valamint a jogalkalmazók is. Szintén kiemelkedő és köszönet illeti a Nemzeti Adatvédelmi és Információszabadság Hatóság igen aktív, tevékeny közreműködését a törvényjavaslat előkésztésében, amelynek során a hatóság folyamatosan figyelemmel kísérte a javaslat alakulását, kifejtette a véleményét a minisztériumok által előkészített módosító javaslatokkal kapcsolatban.
Tisztelt Országgyűlés! Amennyiben az általános adatvédelmi rendelet 6. cikke a hozzájáruláson, a szerződésen vagy éppen a jogos érdeken alapulóan már lehetőséget ad a személyes adatok kezelésének meghatározására, valamint ha az adott adatkezelési jogviszony tekintetében a rendelet a tagállami jog számára eltérést vagy kiegészítő szabályok megállapítását lehetővé teszi, az adatkezelőknek az adatkezeléseiket közvetlenül az általános adatvédelmi rendelet jogalapjaira szükséges alapítaniuk. Ezen adatkezelések esetében a jogalkotó a továbbiakban már nem írhat elő különös feltételeket, ugyanakkor hangsúlyozandó, hogy ezen előírások deregulációja nem az abban foglalt kötelezettségek megszűnését jelenti, hanem csupán azt, hogy az adott kötelezettség a továbbiakban közvetlenül alkalmazandó módon az uniós jogból, azaz az általános adatvédelmi rendelet előírásaiból fakad.
Az általános adatvédelmi rendeletnek a magyar jogban már korábban is ismert alapelvei - úgymint a jogszerűség, a célhoz kötöttség, az adattakarékosság, a pontosság vagy éppen a korlátozott tárolhatóság - az adatkezelési jogviszonyokat teljeskörűen áthatják, az adatkezelőknek pedig képesnek kell lenniük annak bizonyítására, hogy e feltételeknek maradéktalanul meg is feleltek.
A törvényjavaslattal érintett törvénymódosítások között számos olyan módosítás található, amelyek az uniós jognak elsőbbséget adva hatályon kívül helyezik vagy módosítják a magyar jogrendszerben jelenleg szabályozott különös adatkezelési szabályokat. A törvényjavaslat így például az általános adatvédelmi rendelet 6. cikk (1) bekezdés f) pontjára, azaz az úgynevezett jogos érdekre alapítandó adatkezelések esetén elvégzi a magyar törvényi szabályok módosítását, esetleges hatályon kívül helyezését.
Ismételten hangsúlyozom ugyanakkor, hogy a törvényjavaslatban szereplő hatályon kívül helyezések nem hoznak változást a hazai szabályozási környezetben, hiszen a rendelet alkalmazandóvá válásával a hatóságnak már most is a javaslatban foglalt szabályokat kell alkalmazni az uniós jog elsőbbsége okán, tehát a törvényjavaslat e tekintetben nem tesz mást, mint egyértelműen meghatározza az alkalmazható, illetve az alkalmazandó jogot.
További számos helyen egyértelműsíti a javaslat, hogy a törvénnyel elrendelt kötelező adatkezelés hiányában az adatkezelési jogviszonyokban az általános adatvédelmi rendelet szabályai és jogalapjai alkalmazandóak. Ugyancsak e logika mentén haladva, azon jogviszonyok tekintetében, amelyekben az adatok kezelése szerződésen alapul, és amelyekben a kötelező adatkezelés fenntartása a továbbiakban már nem indokolt, a javaslat elvégzi a szükséges módosításokat. Ezekben az esetekben - így például a szolgáltatók és az ügyfeleik közötti viszonylatban - nem csupán törvény szabályozza majd a szerződéses adatkezelések tartalmát, e polgári jogi jogviszonyokban az adatkezelő mérlegelése alapján - a rendelet alapelveinek szigorú figyelembevételével - lesznek kezelhetőek.
Tisztelt Ház! A javaslat a fentieken túl azonban számos, a jogalkalmazók által üdvözölt újítást is tartalmaz. Ezek között említhető az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló törvény módosítása is. A javaslat e törvényben az egészségügyi adatok kezelését megfelelő tájékoztatáson alapuló, önkéntes, egyértelműen kifejezett akaratot tartalmazó és a szabályszerű nyilatkozat megtételét hitelt érdemlően bizonyító módon tett hozzájárulás esetén is lehetővé teszi.
Ahogyan a korábbiakban már utaltam rá, a magyar adatvédelmi szabályozás Európa egyik legszigorúbb szabályozásaként igen magas szinten biztosította az állampolgárok személyes adatok védelméhez való jogát. A javaslat több helyen e hagyományt folytatva, az általános adatvédelmi rendelet előírásait erősítve szigorítja az érintetteket védő garanciákat, így például a kereskedelemről szóló törvény rendelkezései a vásárlók könyve kapcsán is tovább szigorodnak. A módosítás arra kötelezi a kereskedőt, hogy a panaszt tartalmazó bejegyzést - az abban foglalt személyes adatok védelme érdekében - haladéktalanul eltávolítsa, elkülönítetten tárolja a későbbi hatósági felhasználás érdekében.
Tisztelt Országgyűlés! Az általános adatvédelmi rendelet a fentiekben bemutatottak mellett eltérő vagy pontosító szabályok elfogadására is lehetőséget ad a tagállamok számára. Ezen az úgynevezett rugalmassági vagy nyitott klauzulák útján kívánta az európai jogalkotó biztosítani a rendelet kellő rugalmasságát, elismerve, hogy bizonyos jogviszonyokban a fennálló tagállami szabályok oly eltérőek lehetnek, hogy indokolt lehet e helyzetekben szabályozási mozgásteret biztosítani.
Ezek között említhető az általános adatvédelmi rendelet 88. cikke, amely kifejezetten a foglalkoztatás tekintetében ad lehetőséget arra, hogy a tagállamok pontosabban meghatározott szabályokat állapíthassanak meg annak érdekében, hogy biztosítsák a jogok és szabadságok védelmét a munkavállalók személyes adatainak a foglalkoztatással összefüggő kezelése tekintetében.
(13.10)
A törvényjavaslat ezen, úgynevezett nyitott klauzulákban biztosított lehetőséggel élve módosítja a munka törvénykönyvéről szóló 2012. évi I. törvényt is, amelyet egy új, a munkaviszonnyal összefüggő adatkezelésekről szóló alcímmel is kiegészít. E helyen szabályozza majd a munka törvénykönyve a munkáltatónak a személyes adatok, valamint a különleges adatok kezelésével összefüggő jogait és kötelezettségeit is, pontosítva ezzel az általános adatvédelmi rendelet szabályait.
A javaslat alapján az Mt., összhangban a biometrikus adatok fokozott védelmének igényével, meghatározza azokat a kivételes esetköröket és különös feltételeket, amelyek fennállása esetén a munkáltató a munkavállaló biometrikus adatait kezelheti. Erre az Mt. alapján valamely dologhoz vagy adathoz, elzárt területhez történő jogosulatlan hozzáférés megakadályozása érdekében kerülhet sor, amennyiben a jogosulatlan hozzáférés a munkavállaló vagy mások élete, testi épsége, egészsége vagy valamely más, törvényben védett érdek súlyos vagy tömeges sérelmének veszélyével járna.
Az Mt. példálózó felsorolást is ad arra nézve, hogy mely törvényben védett érdek esetén lehet jogszerű a biometrikus adatok kezelése. Az elszámolhatóság elvével összhangban azonban a munkáltatónak az általános adatvédelmi szabályoknak való megfelelésen túl azt is igazolnia kell, hogy a biometrikus adatok kezelésére vonatkozó feltételek fennállnak, ekként a rendelet és az Mt. előírásai együttesen érvényesülnek majd.
Ugyancsak az Mt. módosítása körében rendelkezik a javaslat arról is, hogy a munkavállaló bűnügyi személyes adata mely esetekben kezelhető. Ezen adatfajta szabályozását az európai jogalkotó a tagállami jogalkotóra bízta, és amelynek kapcsán épp e Ház döntött arról, hogy ezen adatok magas védelmi szintjét fenntartva továbbra is a különleges adatokra vonatkozó szigorú feltételeket kell alkalmazni. A tervezett szabályok szerint a munkavállaló bűnügyi személyes adata, így például a munkavállaló erkölcsi bizonyítványa csak annak vizsgálata céljából kezelhető, hogy a törvény vagy a munkáltató a betölteni kívánt vagy a betöltött munkakörben nem korlátozza-e vagy nem zárja-e ki a foglalkoztatást.
Tisztelt Ház! Tisztelt Képviselőtársaim! Összegezve tehát a törvényjavaslatot, az általános adatvédelmi rendelet mint közvetlenül hatályosuló és alkalmazandó uniós jogi aktus végrehajtását szolgálja, amely a személyes adatok kezelését érintő uniós adatvédelmi reform végrehajtásának utolsó állomását jelenti. Kérem tisztelt képviselőtársaimat, hogy támogassák a törvényjavaslatot.
Köszönöm megtisztelő figyelmüket. (Taps a kormánypárti padsorokban.)
