Az adatvédelmi nyilvántartás intézménye a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (a továbbiakban: Avtv.) hatályba lépése óta létezik és működik. A munkavállalók adatainak kezelése kivétel alá esik a bejelentési kötelezettség alól mind a jelenlegi, mind az új törvény alapján; azaz: ezt az adatkezelést nem kell bejelenteni az adatvédelmi nyilvántartásba. Az állandó biztosi gyakorlat szerint azonban be kell jelenteni az olyan munkáltatói adatkezeléseket, amelyek nem a munkaviszony létrejöttéhez vagy megszűnéséhez kapcsolódtak.
Vitára adhat okot és számtalan kérdést vet fel az új törvény 65.§-nak megfogalmazása, amely szerint „nem vezet a hatóság nyilvántartást” az olyan adatkezelésről, amely az adatkezelővel munkaviszonyban álló személyek adatainak kezelésére vonatkozik.
A munkavállalók adatainak kezelése
A kialakult adatvédelmi gyakorlat értelmében a bejelentési kötelezettség alóli kivétel kizárólag azokra az adatkezelésekre vonatkozik, melyek a munkaviszony létesítése és fennállása szempontjából elengedhetetlenek, így például a személyügyi nyilvántartás kezelésére. Ugyanakkor az ettől eltérő adatkezelés, például a belső visszaélés-jelentési rendszer (whistleblowing) a munkaviszony fennállásához nem elengedhetetlenül szükséges speciális eljárási forma, mellyel kapcsolatosan az állandó gyakorlat szerint „érvényesülnie kell annak a követelménynek, hogy az érintett nem csak az adatkezelőtől, hanem az adatvédelmi nyilvántartásban szereplő adatokból is tájékoztatást kérhessen”. A törvényben szereplő kivétel hatálya nem terjed ki a belső visszaélés-jelentési rendszerekre, mellyel kapcsolatos adatokat az adatvédelmi nyilvántartásba be kell jelenteni. A korábbi gyakorlat szerint ugyanez vonatkozott a különböző megfigyelési szabályzatokra és internet használati szabályzatokra. A korábbi szabály szerint bejelentés-köteles adatkezelés lehet továbbá az álláspályázatot benyújtók adatainak kezelése, vagy akár a vállalati reklámkiadványokon szereplő adatok tára (például: fényképes internetes telefonjegyzék).
Egyértelműen bejelentés-köteles viszont az új törvény szerint is a szakszervezetek, üzemi tanácsok adatkezelése, továbbá ha a munkáltató a családtagok adatait tartja nyilván, akár kapcsolatfelvétel, akár családi rendezvények céljából.
Tekintettel arra, hogy a nyilvántartásba vételre vonatkozó szabályok rendszere azonos a korábbi törvény rendszerével, a munkavállalókra vonatkozó kivétel pedig szó szerint azonos a jelenlegi törvény megfogalmazásával, az adatvédelmi biztosok által kialakított gyakorlatot feltehetően a NAIH is követni fogja, de analógiaként a bíróságok egészen biztosan figyelembe veszik majd ítélkezési gyakorlatuk során azt a közel 10 éves gyakorlatot, amelyet azonos tartalmú jogszabályhelyre vonatkozóan egy szakértői „kvázi hatóság” alakított ki.
Az új hatósági nyilvántartási rendszer
Az adatvédelmi nyilvántartás 2012. január 1-jétől a Ket. szerinti hatósági nyilvántartásnak minősül, azaz a nem megfelelő adat bejelentése (akár gondatlanul is) komoly jogkövetkezményeket vonhat maga után.
A korábbi rendszerben a nyilvántartásba vétel nem érintette az adatkezelés időpontját, az új szabályok alapján nem kezdhető meg az adatkezelés, amíg a nyilvántartásba vétel meg nem történik. Ennek következtében automatikusan jogellenes (jogszabályba ütköző) az olyan adatkezelés, amelyet az adatkezelő a nyilvántartásba vétel előtt megkezd. E szabály alól két kivétel van: a jogszabályon alapuló adatkezelés (ilyen a munkavállalóknak munkaviszonnyal összefügg adatainak kezelése), és az az eset, amikor a hatóság „hallgatott”, azaz a jogszabályi határidőn belül nem hozott határozatot.
További jogi kérdés, hogy elutasíthatja-e az új hatóság a bejelentésre irányuló kérelmet (a Ket. szerint: igen); illetőleg, amennyiben azért utasította el, mert az adatkezelés nem bejelentés-köteles, abban az esetben jogszerű-e az adatkezelés. Az új törvény záró rendelkezése szerint ugyanis: „nem folytatható az adatkezelés […] ha a nyilvántartásba vételére irányuló, 2011. december 31-ét követően benyújtott kérelem alapján a hatóság a nyilvántartásba vételt elutasította”.
Miközben tehát bizonytalanság érződik abban a kérdésben, hogy általános-e a kivétel a munkavállalókra vonatkozóan, amennyiben a hatóság arra az álláspontra helyezkedik, hogy követi a korábbi gyakorlatot, azaz csak a munkaviszony létesítéséhez és megszűnéséhez kapcsolódó adatkezelésre vonatkozik a kivétel, mindazok, akik nem jelentik be 2011. december 31-ig (a jelenlegi szabályok alapján kétségtelenül bejelentésköteles) munkavállalói adatkezelést, 2012. január 1-jét követően jogellenesen kezelik a munkavállalóik adatait.
A fenti problémákhoz képest már csak másodlagos kérdés, hogy a bejelentés 2012. január elsejétől díjköteles, és a nem (vagy késedelmesen) teljesítők bírságot is kaphatnak. Mivel a nyilvántartásba vételből származó bevétel a hatóság költségvetését gyarapítja, a nyilvántartásba vétel elmaradásának szankcionálásában az új hatóság nyilvánvalóan érdekelt lesz.
A nyilvántartásba vétel módja
A nyilvántartásba vétel kérelmezése űrlapon történik, adatkezelésenként külön űrlapot kell kitölteni. A 2012. január 1-jét megelőzően megkezdett, de az adatvédelmi nyilvántartásba 2012. január 1-jét megelőzően be nem jelentett, az új törvény szerinti adatvédelmi nyilvántartás hatálya alá eső adatkezelés nyilvántartásba vételét a törvény szabályai szerint 2012. június 30-ig kérelmezni kell a Hatóságnál, ennek hiányában az adatkezelés 2012. június 30-át követően nem folytatható.
A 2011. december 31-ig benyújtott kérelmek még nem díjkötelesek.
