Szolgáltatóként, tanácsadóként és vállalkozóként is érintheti az ügyvédeket a május 25-én hatályba lépő uniós Általános Adatvédelmi Rendelet, közismertebb nevén GDPR. Az Ügyvédekkel a Demokratikus Jogállamért Egyesület (ÜDE) által szervezett konferencián ügyvédek által feltett kérdésekre válaszolt Jóri András volt adatvédelmi biztos. Beszélgetőtársa az ÜDE alelnöke, Varga Péter ügyvéd volt.

Megnyitójában Réti László, a Budapesti Ügyvédi Kamara elnöke a Kamara GDPR-ral kapcsolatos felkészüléséről, illetve tennivalóiról beszélt. A rendelet – Réti László szerint – az ügyvédség sajátosságait figyelmen kívül hagyta, nemcsak Magyarországon, hanem Európában is. Egy éve a nagy ügyvédi fórumok, például a CCBE (Európai Ügyvédi Kamarák Tanácsa) szakbizottságokban értelmezte a GDPR preambulum 91. szakaszának főbb kérdéseit – mely esetekben kell adatvédelmi tisztviselőt alkalmazni, mi számít nagymértékű adatkezelésnek, fő tevékenységnek minősül-e az adatkezelés stb. A cél az volt, hogy egységes szakmai állásfoglalást készítsenek, amit az európai uniós szabályozási szinteken érvényesíteni lehet. Ez nem sikerült. “Jelenleg nincs olyan egységesen elfogadott szakmai álláspont, amely a hivatásrendekkel kapcsolatosan az állandó szabályozásra jó alapot adna” – hangsúlyozta a BÜK elnöke.

“Fontos kérdés, hogy kell-e új jogalapokat megfogalmazni és törvénybe iktatni ahhoz, hogy az ügyvédek megfelelően tudják végezni adatkezeléseiket. Fontos, hogy ezek a jogalapok ne kerüljenek konfliktusba más törvényi előírásokkal – például ügyvédi titok, védői titok” – emelte ki Réti László. A jogalap kérdésben a Kamara – amíg lehet – kitart amellett, hogy újabb jogalapok törvényi megfogalmazására ne legyen szükség. “A meglévő keretek között, az igazságszolgáltatásban betöltött ügyvédi funkció alapján, ésszerű módon, a hazai „infótörvény” (2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról) és egyéb ágazati szabályok segítségével kezeljük az adatokat” – mondta a kamarai elnök.

A konkrét szakmai előkészítés ott tart, hogy a GDPR-szakértők segítségével a Kamara megpróbált egységes szakmai platformot kialakítani az alábbi kérdésekben:

  • Kell-e önálló joglap?
  • Nagymértékűnek számít-e az az adatkezelés, amit egy ügyvéd általában végez – tekintettel a már említett 91. szakaszra?
  • Mi a helyzet a büntető ügyekben eljáró ügyvédekkel, ha nagymennyiségű különleges adatot kezelnek?
  • Mi a helyzet az egészségügyi ügyekben eljáró ügyvédekkel?

“Szeretnénk elérni, hogy ez a szakmai platform minden irányba – a majdani hatóság, a jogalkotó felé is – egységes álláspontot képviseljen” – mondta Réti László. Az egységes álláspont fókuszában az a kiemelt cél áll, hogy az adminisztratív terhek ne lehetetlenítsék el az ügyfélszolgálati munkát. “A Kamara az „extrém adatsoviniszta” terhelés ellen foglal állást, ami ellehetetlenítené az érdemi munkát. A kamara érdekvédelmi feladatának központjában az áll, hogy ne legyenek visszamenőleges számonkérések, az ügyvédi adatkezeléseknél az értelmezések az igazságszolgáltatásban betöltött szerepnek megfelelően történjenek. Elsődleges az ügyvédi titok, az ügyvéd és az ügyfél közötti bizalom megőrzése” – hongsúlyozta a BÜK elnöke.

Varga Péter ügyvéd a konferencia moderátoraként a következőkkel vezette fel a beszélgetést:

“A GDPR szolgáltatóként, tanácsadóként és vállalkozóként is érinti az ügyvédeket. A Kollégáktól beérkezett kérdések csaknem fele a praxissal kapcsolatos. A GDPR által szabályozott terület hatalmas, az adatvédelem minden területének áttekintésére csak a nagyon nagy irodák képesek. Van egy viszonylag merev szabályozás, és ha ez találkozik az élet abszurditásával, akkor a jogalkalmazó „lefagy”. Pedig a terület nagyon szép, józan ésszel közelítve sok kreativitásra ad lehetőséget. Ezzel a mai beszélgetéssel célunk, hogy a kérdéskör misztikumát feloldjuk.”

Az ügyvédek a beszélgetés keretében az alábbi kérdéseket tették fel, melyekre Jóri András ügyvéd, adatvédelmi szakértő, egykori adatvédelmi biztos az alábbi válaszokat adta:

1. Milyen GDPR előírások, feladatok vonatkoznak az ügyvédekre és mennyiben tehető különbség a társas- és az egyéni praxisok kötelezettségei között? Van-e különbség a polgári és a büntető ügyekkel foglalkozó ügyvédi irodák adatkezelései között?

Az ügyvédek jogalanyok, akik személyes adatot kezelnek. A GDPR-ban az adatfeldolgozás fogalma eltűnik. Korábban négy fogalmat használtunk, az adatkezelő, az adatfeldolgozó, adatkezelés, adatfeldolgozás. A továbbiakban két alany lesz: az adatkezelő és az adatfeldolgozó és van egy tevékenységünk, az adatkezelés, ami mindent felölel. Ezt a tevékenységet végzi az ügyvéd és az ügyvédi iroda is. Ezért aztán a GDPR hatálya kiterjed rá.

Mivel a jogalkotó az egyéni ügyvédekre koncentrált a kivételi kör megalkotásakor, lehetségesnek tartom, hogy egy komolyabb társas praxis, vagy különleges adatkörbe is tartozó adatokat is kezelő ügyvédi praxis kénytelen lesz adatvédelmi tisztviselőt kinevezni és adatvédelmi hatásvizsgálatot is végezni.

Ami a polgári és a büntető ügyekkel foglalkozó ügyvédi irodák adatkezelései közötti eltérést illeti: a korábbi különleges adatok körétől most elválasztja a GDPR a bűnügyi adatokat, de ezzel együtt is jóval több – hagyományosan különleges adatnak minősülő – adat merül fel a büntetőügyek esetében, mint egy polgári jogi praxisban.

2. A helyettes ügyvéd közös adatkezelőnek számít?

Az előbb említettem, hogy a négyes fogalomkörből – adatkezelő, adatfeldolgozó, adatkezelés, adatfeldolgozás – maradt három. Ebből az adatkezelő/adatfeldolgozó elhatárolása is változni fog Magyarországon. A hatóságok, testületek gyakorlata általában úgy különböztet kezelő és feldolgozó között, hogy aki eldönti a célt, és eldönti a módszereket az az adatkezelő. A kérdés tehát,  hogy valójában van-e autonómiája az adatkezelésnek az adott alanynál. Ha az alany utasításokat követ – nem nagyon dönt semmiben – akkor feldolgozó lesz. Ha – akár saját szakmai szabályai (mint például az ügyvédi törvény) – előírnak neki adatkezelési rendelkezéseket, akkor adatkezelő lesz.

A helyettes ügyvéd helyzete ezzel összhangban dönthető el. Ha vannak saját adatkezelési kötelezettségei, amik őt adatkezelővé teszik (szerintem vannak ilyenek) akkor adatkezelő, ha pedig kizárólag az ügyvéd nevében és javára jár el, akkor adatfeldolgozó. Mivel a helyettes ügyvéd is az ügyvédi törvény által szabályozott „alany” – saját kötelezettségekkel – ezért elsőre őt is adatkezelőnek minősíteném.

3. A társult ügyvédi irodáknál, vagy ha több egyéni ügyvéd rezsiközösségben egy adminisztrációt működtet szükséges, fontos, vagy kötelező-e köztük valamilyen megállapodásban rendezni az adatkezelést és az azért való felelősséget?

Ha osztott munkaviszonyt feltételezünk, akkor egy ilyen irodában több ügyvéd dolgozik, több adatkezelőként. Munkaviszony esetén beolvad az adatkezelők körébe az asszisztens – hiszen az ügyvéd adatkezelését végzi. (Több adatkezelő fog egymás mellett tevékenykedni akkor is, ha személyében az az asszisztens egy személy.) Megbízási viszony esetében egyes állásfoglalások szerint – kissé életidegenül – adatfeldolgozást végezne az adott személy. Szerintem ez nem követendő értelmezés.

4. Az eddigi ismeretek alapján egy olyan ügyben, amikor a cég a megbízó, de az ügyvéd a cég nagyszámú munkavállalóinak adatait kezeli (pl. csoportos felmondással megszüntetett munkaviszony, munkabaleset kapcsán előzetes jogvélemény készítése) akkor az adatkezelés GDPR szerinti jogalapja a jogos érdek. Ehhez érdekmérlegelési teszt végzése szükséges. Kérdésem, hogy elképzelhető e bármely más jogalap, ugyanis az érdekmérlegelési teszt indokolatlan adminisztrációs terhet ró az ügyvédi irodákra. Két megoldásra is gondolok. Egyrészt az ügyvéd a jogi tanácsadás során az Alaptörvény, a jogszabályok, az EU aktusok alapján kialakítja a véleményét, megfogalmazza a javaslatait. Az ezen szabályoknak való megfeleltethetőség nélkülözhetetlenné teszi, hogy bizonyos adatokat ismerjünk a munkavállalóval kapcsolatban. (Nem védett-e, mióta áll meg a jogviszonya, mennyi idős, milyen mértékű egészségkárosodást szenvedett stb.) Ilyenkor a GDPR jogalap nem a jogos érdek lenne, hanem a jogi kötelezettség teljesítése. De van egy másik ötletem is. Mi van abban az esetben, ha nagyszámú adat beérkezésekor ezeket anonim formában kérjük el az ügyfelektől? Hiszen számomra irreleváns a munkavállaló neve. Mi történik, ha nem tudom azonosítani a munkavállalót? Mondhatom-e azt, hogy nem történt személyes adat, vagy különleges adat kezelése?

Túl azon, hogy a kérdésben felmerült anonim adattovábbítás kitűnő ötlet, itt tényleg el lehet gondolkodni, hogy általában mi az ügyvédi adatkezelés jogalapja. A korábban alkalmazandó kötelező adatkezelés – az infótörvény 5.§ (1) b) – nem feletethető meg egyértelműen a GDPR katalógusában igazából egyik adatkezelésnek sem. Van az úgynevezett „e” pontos adatkezelés  – a GDPR 6. cikk e) alapján – ami alapvetően közhatalmi szervekre vonatkozik, de vonatkozik közérdekből végzett adatkezelésre is. Az ügyvéd véleményem szerint – mint az igazságszolgáltatási rendszer egy közérdekben eljáró kitüntetett csoportja – tevékenységét a rá vonatkozó törvényi rendelkezések és az említett „e” pont szerint végzi.

Az érdekmérlegeléssel kapcsolatban azt mondta a kérdező, hogy túl nagy bürokratikus terhet ró az érintettekre. Igazából ezt egyszer kell megcsinálni egy bizonyos adatkezelési típusra. A NAIH és a 29-es munkacsoport iránymutatása is elérhető a tárgykörben. Az eljárás a következő: azonosítjuk a jogos érdeket, azonosítjuk az érintettre leselkedő veszélyeket magánszférája tekintetében. Felállítunk egy egyensúlyt, és hogyha ez az egyensúly nem egyértelmű, akkor további garanciákat nyújtunk az érintettnek és ezt dokumentáljuk. Ez akár egy A4-es lapon is elférhet. A probléma tehát nem megoldhatatlan, bár valóban bürokratikus terhet jelent.

Az érdekmérlegelési teszt elkészítésénél segíthet még a 29-es munkacsoport egy korábbi állásfoglalása, ami a jogszerű érdekről szóló. Azért említem, mert a jogos érdeken kívül az összes jogalaphoz kommentárszerűen találhatók benne példák.

5. A következő egy igen rövid kérdés: Most akkor mi van a takarítónőkkel?

Nagyon komoly kérdés, én is a hetekben gondolkodtam róla. Vajon adatfeldolgozó a takarítónő? Szerintem gond van akkor, ha a takarító hozzáférhet adatokhoz. Ha igen akkor tényleg minősülhet adatfeldolgozónak, de akkor ez annak a jele, hogy a cég nem tesz eleget az adatbiztonságra vonatkozó technikai, szervezési intézkedéseknek. Jobb ha be van zárva a szekrény és nem fér hozzá illetéktelen. Nem túl szerencsés – pláne egy hivatali vizsgálat során – ha a takarító adatfeldolgozóvá válik. Túl ezen, dogmatikailag is beleütköznénk abba, hogy miben áll az ő adatfeldolgozási tevékenysége, és mi a célja. Érdemes a GDPR 25. cikk 2. bekezdését megnézni, melyben az alapértelmezett beépített adatvédelem követelményei találhatók. Ezt sértjük meg, ha a takarító adatfeldolgozóvá válik.

6. Ügyvéd lehet e DPO? Erre van állásfoglalás és jogszabályokban is rögzített. Én úgy tudom, hogy lehet, de nem ügyvédi minőségben. Illetve a saját ügyvédi irodájában nem lehet. Jól tudom?

Teljesen egyetértek, nem is ragoznám tovább. Annyit azért érdemes megemlíteni, hogy a DPO egy belső ellenőréhez hasonló független státusszal rendelkezik. Az ügyvéd a cég érdekeit képviseli – például egy adatvédelmi perben –, a DPO pedig az adatvédelem elvont érdekeit. Ebből fakadóan lehet összeférhetetlenség. Az az ügyvéd nyilvánvalóan nem lehet DPO, aki a céget képviseli.

7. Milyen esetben lehet egy adatvédelmi tisztviselője több szervezetnek, milyen esetben lehet azonos a szabályzatuk? Mikor van szükség szabályzatra és mikor van szükség tájékoztatóra?

Létezhet olyan szolgáltató aki DPO szolgáltatást nyújt – sok ügyfélnek. Ha esetleg van olyan jellegű kizárás, akkor nem lehet egyszerre „A” és „B” cég adatvédelmi tisztviselője.

Egy másik eset az adatvédelmi vállalkozáscsoport, mely új alany a GDPR-ban. Ha két vállalkozás közül az egyik a másikat – tulajdonosi részesedés, pénzügyi részesedés, vagy az adatvédelmi szabályokra vonatkozó befolyás kapcsán – ellenőrzése alatt tartja, akkor vállalkozáscsoportnak minősül a GDPR szerint is. Nekik lehet közös adatvédelmi tisztviselőjük, aki az egész vállalatcsoport tevékenységével kapcsolatban jár el ilyen minőségében.

A tájékoztató és a szabályzat két külön dolog. A NAIH a szabályzatról úgy foglal állást, hogy az a szabályokat normatívan, pontosan rögzítő dokumentum. A tájékoztató pedig tulajdonképpen ennek magyarázata. A kettőt érdemes párhuzamosan megcsinálni. Kell egy szabályzatot készíteni arról, hogy a folyamatok hogyan épülnek fel és ebből, ezekről sokféle tájékoztatás képezhető. A tájékoztatás terjedelme is kötött – például a jogalaphoz. A tájékoztatónak, közérthetőnek és viszonylag tömörnek kell lennie – ellentétben a szabályzattal.

8. Ha egy cég megbízási szerződésben megbíz egy másik céget, hogy a munkavállalóival pl. munkaképesség-fejlesztés körében személyes adatokat is tartalmazó felmérés-tesztet töltessen ki, az erre megbízott szolgáltató cégnek minden egyes munkavállalóval adatvédelmi tájékoztatást és nyilatkozatot kell aláíratni, vagy ilyenkor elég a két cég közötti megbízási szerződés, amely alapján a megbízott cég a személyes adatokat kezeli?

Az első feladat eldönteni, hogy a megbízott adatkezelő vagy adatfeldolgozó lesz-e. Itt is autonóm szabályok szerinti feladataellátásról van szó, a megbízott mégis inkább adatfeldolgozó. Szükséges vele egy adatfeldolgozási szerződést kötni, és a munkavállalókat tájékoztatnunk kell a címzettekről. Címzett pedig mindenki, aki hozzáférhet az adatokhoz – adatfeldolgozó, adatkezelő. (A feladatkörében eljáró hatóság nem címzett.)

Könnyítést jelent, hogy számos esetben a címzettek kategóriáiról is elég tájékoztatni. Kérdés, hogy a NAIH – melynek jelenlegi gyakorlata elég szigorú – mennyire lesz engedékeny.

9. Úgy tudom, a GDPR szerint a betekintés is adatkezelésnek minősül. Ez számomra új. Egyes cégek személyi igazolványt másolnak, vagy erkölcsi bizonyítványt kérnek a munkaviszony létesítéséhez. Ilyenkor azt szoktuk tanácsolni, hogy csak mutassák be az érintettek ezeket a dokumentumokat és ezek adattartalmát rögzítse csak a cég. Viszont ha a betekintést nyelvtani értelme szerint értelmezzük, akkor lényegében minden bemutatott okmány összes adatát „kezeli” a cég. Ez viszont nem lehet minden esetben célhoz rendelt. Mi erről a véleménye?

Valóban csak azt az adattartalmat kezeljük a hatósági igazolványból, ami szükséges számunkra. Talán úgy szabályozható ez, hogy csak ahhoz az adatkörhöz történjen meg a hozzáférés, amire a cég fel van hatalmazva. A hatósági igazolványokra vonatkozó szabályozásból ki lehetne indulni. Eszerint – nagyon leegyszerűsítve – a személyi igazolványnak van egy adattartalma, a célja pedig az, hogy „igazoljon”. A kérdező által említett adatkezelést is így lehetne valamiképpen megalapozni, bár nem gondolnám, hogy a NAIH idáig eljutna egy felülvizsgálat során. Mindenesetre dicséretes, hogy ennyire végiggondoljuk a lehetőségeket.

10. Az „infótörvény” 15. § (2)-ban megfogalmazott adattovábbításról a nyilvántartást a munkavállalókra vonatkozó kötelező adattovábbítás esetén is vezetni kell folyamatosan, havi szinten névszerinti bontásban? Ha ezt a külön cégként működő adatfeldolgozó teszi meg, akkor neki is kell vezetnie egy ilyen nyilvántartást?

Szerencsére ez már nem lesz a GDPR-ban. De az „infótörvény” maradék hatálya alatt igen. Tájékoztatást kell tudnunk adni arról, hogy kinek továbbítottuk az adatokat, illetőleg a nevünkben eljáró adatfeldolgozó segítségével továbbított adatokkal is ki kell egészíteni ezt a tájékoztatást, hiszen ő is a mi nevünkben továbbít.

11. Amennyiben egy szoftverfejlesztő cég rendszeresen távfelügyeleti rendszeren keresztül végez szoftverkarbantartást és a szoftver olyan adatbázist kezel, amely magánszemélyek adatait tartalmazza, akkor ő adatfeldolgozónak, vagy adatkezelőnek minősül-e? Kell-e emiatt a tevékenysége miatt adatvédelmi tisztviselőt választania?

Értelmezésem szerint feldolgozónak fog minősülni. Az, hogy tisztviselőt kell-e választania külön kérdés. Ehhez azt kell eldönteni, hogy a DPO választási feltételei közül bármelyik – például a nagymértékű adatkezelés – megáll-e. Sajnos a kérdésből ez nem eldönthető.

12. Az adattörlés tényének adatkezelő általi bizonyításával kapcsolatban azt kérdezném, hogy ha az „infótörvény” 17. § szerint törölni kell egy adatot, akkor mi számít helyreállíthatatlan törlésnek, és hogyan tudom ezt igazolni, bizonyítani?

Ez informatikai kérdés. Sokszor szalagos egységről kéri valaki, hogy töröljék az adatait. Mivel ez fizikailag lehetetlen, az informatikai megoldás az, hogy minden egyes ügyfélhez tartozó adatot egyedi kulccsal kell kódolni és a kulcs törlése már maga is törlésnek minősül. Egyébként pedig a fizikai törlés az, ami törlésnek minősül.

Varga Péter: Ha az informatikai szakértő azt mondja, hogy ez az adat véglegesen törlődött akkor ez elfogadható?

Ez informatikai szakkérdés, ezt cégként folyamatosan, demonstrálhatóan szabályoznunk kell. Ha esetleg egy NAIH vizsgálatról van szó, és később bírósági ügyről, akkor a NAIH is szakértőket vesz igénybe a kérdés eldöntéséhez.

13. Amennyiben egy vállalat úgy dönt, hogy a 300 felső vezető kompenzációs adatait egy olyan gépen tárolja, amelyet nem kapcsol rá a hálózatra, akkor az itt tárolt adatokhoz kapcsolódó adatvédelmi felelőssége eltérő lesz?

A felelőssége nem lesz eltérő. Az látható, hogy megtett egy fontos adatbiztonsági intézkedést – valószínűleg az internet felől nincs a továbbiakban támadásoknak kitéve ez a rendszer.

14. A dohánybolti eladó megfigyelése jogszerű-e arra hivatkozással, hogy élete és testi épsége veszélyben van? A munkahelyek közvetlen megfigyelése nem engedélyezett az új rendszerben, ezért kérdés, hogy a dohánybolt lehet-e az a kockázati kör ma Magyarországon, amire az élet és testi épség védelmére hivatkozás fennáll?

Az egész kamerázási téma nagyon érdekesen alakul. A NAIH gyakorlata a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló törvényt alkalmazza. (Például bírságot kiszabó határozat esetén a fenti jogszabályban szereplő határidőket követeli meg). A törvény hatálya kizárólag a személy és vagyonőr vállalkozásokra, valamint az őket igénybe vevőkre terjed ki, de a NAIH értelmezés azt mondja, hogy ha mi felteszünk egy kamerát, akkor is ezt kéne alkalmazni, ami szerintem vitatható.

A fenti esetben az érdekmérlegeléses jogalap felmerülhet majd, és ezzel lesz igazolható a kamerázás. Érdekmérlegeléses jogalapon végzett adatkezelés lesz egy átlagos gazdasági társaság esetében.

15. Amennyiben magánszemély marketing alapú e-mail megkeresése hozzájáruláshoz kötött és már maga a hozzájárulás kérése is megkeresésnek minősül, akkor milyen jogszerű lehetősége van az ügyfelemnek, mint cégnek az adott magánszemélyt – annak e-mail címe ismeretében – elérni?

Ilyen e-mail adatbázisokat úgy lehet építeni, hogy a honlapunkon hírlevelünkre aktívan bejelentkezők – előfizetők, feliratkozók –, címeit adott esetben másra is használjuk. Egy nulladik lépés ugyanis hiányzott a kérdésből. Honnan is szereztük az e-mail címet a megkereséshez? A névjegykártya egy jó megoldás lehet. GDPR alapon könnyebb lesz a helyzet, mert mindig ott van az érdekmérlegeléses jogalap. Ha mi meg tudjuk védeni az adatkezelésünket, akkor lehet, hogy az ilyen e-mail címek felhasználhatóak. Problematikus, ha vannak olyan szektorális szabályok, amik ezt tiltják – pl. reklámtörvény 6.§ –, mert akkor lehet, hogy kevés lesz az érdekmérlegeléses jogalap.

16. Az adatvédelmi hatásvizsgálatnak van-e bármiféle bevált forgatókönyve Ön szerint? Melyek azok a lépések, amiket nem érdemes kihagyni?

Bevált forgatókönyvem még nincs. A 29-es munkabizottság anyagát érdemes olvasni. Maga az adatvédelmi hatásvizsgálat az Egyesült Államokban már régóta működik, ott is meg lehet nézni, hogy a közszférán belül hogyan szokták a hatásvizsgálatot végezni. Ezen kívül a BCR-oknak (kötelező szervezeti szabályozás) – melyek egy nemzetközi vállalatcsoport adatforgalmát szabályozzák – szintén vannak olyan elemei, amik az adatvédelmi hatóságok által vizsgáltak és elfogadottak. Érdemes ezeket is tanulmányozni.

17. Ismer-e olyan felelősségbiztosítási konstrukciót Magyarországon, amely a DPO mögöttes felelősségét felvállalja? Köthető-e biztosítás az adatvédelmi szabályok be nem tartásából fakadó anyagi jogkövetkezmények miatt?

Először is azt kéne vizsgálni, hogy van-e a DPO-nak ilyen jellegű felelőssége – gyanús, hogy nincs. A DPO független személy az adatkezelőn belül, aki rendeletben meghatározott feladatokat végez. Anyagi felelőssége egyrészt korlátozott munkajogilag, másrészt egyáltalán nem áll fenn az adatkezelő tevékenységének a jogszerűségével kapcsolatban, hiszen az adatkezelő nem köteles elfogadni az ő tanácsait.

18. Az ügyfelem önkormányzati területet bérel közterületen teraszhelység céljára. Folytathat-e kamerás megfigyelést a GDPR 6. cikk f) pontja értelmében, tekintettel arra, hogy az adott területen és közvetlen közelében nincs önkormányzati vagy hatósági kamerás megfigyelés?

A 6. cikk f) pontja egy lehetséges jogalap. A NAIH-nak szép és széles gyakorlata van ezzel kapcsolatban. Ezt egyik pillanatról a másikra elfelejteni és nem létezőnek tekinteni nagy kockázatot jelent. Ennek áttanulmányozását javaslom előzetesen.

A konferencia zárásaként a jelenlévőknek is lehetőségük nyílt feltenni kérdéseiket.