Adatvédelem – európai és magyar fejlemények

A közelmúltban számos, az adatvédelem területét érintő érdekes fejlemény történt. Az Európai Unió Bírósága egyrészt megállapította, hogy Magyarország megsértette az uniós jogot azzal, hogy idő előtt szüntette meg az adatvédelmi biztos megbízatását, másrészt azt is kimondta, hogy érvénytelen az az uniós irányelv, amely elektronikus hírközlési szolgáltatók számára írja elő bizonyos olyan forgalmi adatok megőrzését, amelyek bűncselekmények felderítéséhez és üldözéséhez lehetnek szükségesek. Emellett magyar adatvédelmi hatóság közzétette a 2013. évre szóló beszámolóját, valamint a 2014. évre vonatkozó ellenőrzési tervét.

Az Európai Unió Bírósága a magyar adatvédelmi biztos idő előtti elmozdításáról

A Bizottság 2012-ben indított kötelezettségszegés megállapítása iránti keresetet a Bíróság előtt a Magyarország ellen, amiatt, hogy a magyar Országgyűlés az adatvédelmi felügyelet rendszerének átalakításával idő előtt elmozdította pozíciójából az adatvédelmi biztost. 2012-ig ugyanis az adatvédelmi biztos látta el azokat a feladatokat, amelyeket az uniós adatvédelmi irányelv határoz meg a tagállamok részére. A korábbi adatvédelmi biztost, Jóri Andrást 2008. szeptember 29-én választották meg, megbízatása hat évre szólt. A magyar országgyűlés azonban 2012. január 1-jei hatállyal átalakította az adatvédelem rendszerét, és a biztosi tisztség helyett létrehozta a Nemzeti Adatvédelmi és Információszabadság Hatóságot, Jóri András mint adatvédelmi biztos megbízása így 2011. december 31-én, két évvel a megbízatása lejárta előtt megszűnt.

A Bizottság szerint a volt adatvédelmi biztos megbízatásának idő előtti megszüntetése sérti az uniós adatvédelmi irányelvet, utóbbi ugyanis megköveteli a személyes adatok védelmét felügyelő hatóságok függetlenségének tiszteletben tartását. A Bíróság szerint a felügyelő hatóság függetlensége szükségképpen magában foglalja azt a kötelezettséget is, hogy e hatóság megbízatásának időtartamát tiszteletben kell tartani, és a megbízatást csak az alkalmazandó jogszabályok tiszteletben tartása mellett lehet megszüntetni. A Bíróság szerint Magyarországon nem ez történt.

A Bíróság közleménye ezen a linken olvasható magyarul. A Bíróság honlapján az ítélet teljes szövegét még nem tették közzé. Az ítélet (C-288/12. sz. ügy) teljes szövege magyarul már olvasható a Bíróság honlapján.

Az Európai Unió Bírósága az adatmegőrzési irányelv érvénytelenségéről

Az adatok megőrzéséről szóló uniós irányelv (2006/24/EK) egységesen azt írta elő, hogy a tagállamok bizonyos elektronikus hírközlési forgalmi adatokat megőrizzenek azért, hogy ezek olyan súlyos bűncselekmények megelőzése, kivizsgálása, felderítése és üldözése céljából rendelkezésre álljanak, mint például a szervezett bűnözéssel és a terrorizmussal kapcsolatos bűncselekmények. Az irányelv előírja, hogy a fent említett szolgáltatók kötelesek megőrizni a forgalomra vonatkozó adatokat, a helymeghatározó adatokat, valamint az előfizető vagy a nyilvántartott felhasználó azonosításához szükséges kapcsolódó adatokat. Nem teszi lehetővé viszont a közlések tartalmának és a lehívott információknak a megőrzését.

A Bírósághoz előzetes döntéshozatali ügyekben jutott el az kérdés, hogy az adatmegőrzési irányelv rendelkezései összeegyeztethetőek-e az Európai Unió Alapjogi Chartájával. A bíróság szerint nem, ugyanis az irányelv különösen súlyosan beavatkozott a magánélet tiszteletben tartásához és a személyes adatok védelméhez való alapvető jogba. Az továbbá, hogy az adatok megőrzésére és későbbi felhasználására az előfizető vagy a nyilvántartott felhasználó erről való tájékoztatása nélkül kerül sor, azt az érzést keltheti az érintett személyekben, hogy a magánéletük folyamatos felügyelet alatt áll. A Bíróság megítélése szerint az adatok megőrzéséről szóló irányelv elfogadásával az uniós jogalkotó túllépte az arányosság elvének tiszteletben tartása által megkövetelt korlátokat, mert az irányelv széles és különösen súlyos beavatkozása a szóban forgó alapvető jogokba nem kellőképpen körülhatárolt annak biztosításához, hogy az említett beavatkozás valóban a szigorúan szükséges mértékre korlátozódjon.

A Bíróság közleménye ezen a linken olvasható magyarul. A Bíróság honlapján az ítélet teljes szövegét még nem tették közzé. Az ítélet (C-293/12. és C-594/12. sz. egyesített ügyek) teljes szövege angolul már olvasható a Bíróság honlapján.

A NAIH 2013. éves beszámolója

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) honlapján közzétette a tavalyi évre szóló beszámolóját. A kb. 150 oldalas dokumentum a hatóságra vonatkozó információkon túl részletes statisztikákat is tartalmaz, valamint bemutatja a hatóság által egyes kérdésekben követett gyakorlatot. Így például olvasni lehet azokról az ügyekről is, amelyben a vizsgált cégek bírósági felülvizsgálatot kezdeményeztek a NAIH döntésével szemben, vagy például arról, hogy mely esetekben kell vagy éppen nem kell bejelentkezni az adatvédelmi nyilvántartásba.

A NAIH 2014. évre vonatkozó ellenőrzési terve

A NAIH honlapján szintén közzétette a 2014. évre vonatkozó ellenőrzési tervét. E szerint a hatóság idén elsősorban két területre fog koncentrálni ellenőrzései soán: az egyik a kintlévőség-kezeléssel, követelés-kezeléssel, adósság-behajtással foglalkozó cégek lesznek, a másik pedig a termékbemutatókat szervezők adatkezelésének vizsgálata. Érdekes, hogy az előbbi téma, azaz a követelés-kezelés 2013-ban is az ellenőrzések egyik fő területe volt. Ebből úgy látszik, hogy az itt feltárt problémák jelentősége és mennyisége indokolja, hogy a hatóság továbbra is kiemelten foglalkozzon a követelés-kezeléssel foglalkozó cégek adatkezeléseivel. Ez betudható annak is, hogy a válság miatt jelentősen megnőtt a tartozást felhalmozó ügyfelek száma, akiket a hitelezők és a követeléskezelő cégek egyre kreatívabb módszerekkel próbálnak megtalálni. Ezt mi sem mutatja jobban, mint hogy a hatóság 2013. évi beszámolójában is részletesen foglalkozik a feltárt problémákkal, valamint hogy szintén nemrég tett közzé a hatóság a honlapján azt a határozatot, amelyben egy követelés-kezeléssel foglalkozó vállalkozást 2 millió forintos bírsággal nyújtott jogellenes adatkezelés miatt. Utóbbi határozat szerint azzal, hogy a követeléskezelő az adósok szomszédjait, hozzátartozóit hívta fel telefonon és hagyott üzeneteket, jogellenesen járt el, még akkor is, ha ezek a telefonszámok a nyilvános telefonkönyvben hozzáférhetőek voltak. A hatóság szerint a követelés behajtása önmagában nem indokolja a hitelezővel jogviszonyban nem álló személyek adatainak kezelését. Emellett az adatkezelésnek tisztességesnek is kell lennie, amely a NAIH szerint a törvényességnél, a formális jogalap megléténél tágabb követelmény, ezért nem lehet például az adós egészségi állapotával, kórházi kezelésének okával kapcsolatos kérdéseket sem feltenni a hozzátartozóknak. A NAIH ugyanakkor megerősíti, hogy faktoring esetén az adós adatainak a követeléskezelő cég által történő megszerzése és további kezelése nem kifogásolható, hiszen a tartozással együtt az adatok is jogszerűen kerülnek átadásra. A továbbiakban azonban figyelemmel kell lenni az adatvédelmi előírásokra, így például biztosítani kell a célhoz kötöttség és az adatminimalizálás elveinek való megfelelést, azaz hogy adatot ne tároljanak csak azért, mert majd jó lesz valamire, valamint, hogy csak olyan adatot gyűjtsenek és kezeljenek, amely feltétlenül szükséges a követelés behajtása érdekében.

A Bird & Bird és a DIMSZ

Végül egy hír saját házunk tájáról: a Bird & Bird budapesti irodája kérte felvételét a Direkt és Interaktív Marketing Szövetségbe (DIMSZ), amelyen belül reményeink szerint az adatvédelmi és adatbiztonsági tagozat keretében igyekszünk majd segíteni a tagságot és a tágabb nyilvánosságot adatvédelmi és adatbiztonsági kérdésekben.

Categories: Adatvédelem

Tags: adatvédelem, Data Protection, EU jog, Európai Unió Bírósága, ISP, NAIH, Privacy, személyes adatok