Az adatvédelmi biztos észrevételei az új Avtv. tervezetéhez

2011.06.20. Jogi Fórum/ Adatvédelmi Biztos

Az új törvény sok esetben az 1992-ben elfogadott, más informatikai környezetet tükröző, mára elavult törvényi szabályozásra alapoz.

Ügyszám: ABI-1788-2/2011/J

Hiv. szám: XX-AJFO/1187/ /2011.

 

Navracsics Tibor úr számára

miniszter

Közigazgatási és Igazságügyi Minisztérium

B u d a p e s t

 

Tisztelt Miniszter Úr!

Soron kívül áttekintettem az információs önrendelkezési jogról és információszabadságról szóló törvény 2011. június 7-én kézbesített, 2011. június 8-án 14.00 határidővel véleményezésre megküldött tervezetét. Előrebocsátom, hogy az egyeztetésre biztosított időtartam nem felel meg a jogszabály-előkészítésre vonatkozó szabályoknak és nem teszi lehetővé a tervezetben foglaltak elmélyült, a szabályozás összefüggéseire is figyelemmel történő vizsgálatát és a teljeskörű véleményezését.

A tervezetről megállapítható, hogy az adatvédelmet és információszabadságot érintő lényegi rendelkezések tekintetében sok esetben az 1992-ben elfogadott, más informatikai környezetet tükröző, mára elavult törvényi szabályozásra alapoz, nem veszi figyelembe az adatvédelmi jog fejlődésének irányait, illetőleg egyes rendelkezései sértik az Európai Parlament és a Tanács a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelvét.

Ezt előrebocsátva legfontosabb észrevételeim a következők:

1. A tervezet címe az információs önrendelkezési jogra és az információszabadságra utal, azonban ezt követően nem említi azt, hogy személyes adataival főszabályként mindenki maga rendelkezhessék. Az információs önrendelkezési jog e szabályának rögzítése törvényi szinten is indokolt.

2. Az 1. § a törvény céljaként többek között azt jelöli meg, hogy a közügyek átláthatósága a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez fűződő jog érvényesítésével megvalósuljon. A közérdekből nyilvános adatok nyilvánosságának célja, rendeltetése azonban nem szűkíthető le kizárólagosan a közügyek átláthatóságának elősegítésére.

3. A tervezet 3. § 5. pontja alapján a közfeladatot ellátó szervek esetében csak a tevékenységükre vonatkozó adatok minősülnek közérdekű adatnak. Álláspontom szerint ez nem elégséges, mert kizár a közérdekű adatok köréből olyan adatokat, amelyek a közfeladatot ellátó szervre, de nem annak tevékenységére vonatkoznak. A meghatározás indokolatlanul szűkíti az információszabadság körét, amennyiben nem minősít minden közfeladatot ellátó szerv birtokában lévő adatot közérdekű adatnak.

4. Az 5. § (1) bekezdés b) pontban a „közérdeken alapuló célból” a jelenlegihez képest túlzóan megengedő szabály, és az AB adatvédelmi gyakorlatával ellentétes.

5. Az 5. §-nál szükséges lenne a kontroll-adatszolgáltatás lehetővé tétele az állami nyilvántartások esetében.

6. 6. § (2) bekezdés: nem tisztázott, hogy a korlátozottan cselekvőképesek mely körét érinti a szabály.

7. A 6. § (4) bekezdése az érintett előzetes hozzájárulása esetén meghatározott feltételek mellett további adatkezelésekre teremt jogalapot, még akkor is, ha az érintett utólag hozzájárulását visszavonta. Bár a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról szóló 95/46/EK irányelv 7. cikk tartalmazza az említett eseteket, az adatkezelés jogszerűségét nem köti korábbi hozzájáruláshoz. Nem tisztázott, hogy miképpen viszonyul a szabály az AB adatkezelési jogalapokat illető gyakorlatához.

8. Az adatbiztonság követelményrendszere kiegészítendő azzal, hogy az adatkezelőnek az adathordozó olvashatóságának folyamatosságát az alkalmazott technika elavulása esetén is biztosítania kell.

9. A tervezet nem tartalmazza az egységes és univerzális azonosító tilalmát. Indokoltnak tartom a törvényt e szabállyal kiegészíteni, azonban úgy vélem, a szabály esetleges elhagyása nem érinti a tilalom érvényességét, amely az Alaptörvényben foglaltak és a korábban kimunkált alkotmánybírósági joggyakorlat alapján tételes törvényi megfogalmazás nélkül továbbra is fennáll.

10. A tervezet nem tartalmazza az adatkezelő és adatfeldolgozó viszonyát, a köztük lévő szerződéses kapcsolat alapvető szabályait (jelenlegi Avtv. 4/A. §), amelynek a 95/46/EK irányelv értelmében is szabályozási tárgynak kell lennie.

11. A 8. §-a szabályozza a külföldre történő adattovábbítást. A megfelelő adatvédelmi szint biztosítása szűkebb körű, mint a jelenleg hatályos adatvédelmi törvényben, aminek nem látom indokoltságát. A tervezet értelmében nem lehetséges ugyanis az, hogy a harmadik országbeli adatkezelő vagy adatfeldolgozó az adatkezelés vagy adatfeldolgozás szabályainak ismertetésével igazolja, hogy az adatkezelés vagy adatfeldolgozás során megfelelő szinten biztosítja a személyes adatok védelmét, az érintettek jogait és azok érvényesítését, különösen, ha az adatkezelést vagy az adatfeldolgozást az Európai Unió Bizottsága külön törvényben meghatározott jogi aktusának megfelelően végzi. Emellett a Bizottság nem titkolt célja az, hogy a BCR-ek (binding corporate rules - kötelező erejű vállalati szabályok) alkalmazását, illetve kölcsönös elismerését ösztönözze.

12. 8. § (3) bekezdés: a jelenlegi szabályok olyan módosítása, amely túl tág teret enged az alapvető jogok érvényesítésének korlátozására azáltal, hogy mintegy az adatvédelmi garanciák ignorálására ösztökél ("- a (2) bekezdésben meghatározott feltételek hiányában is -"), aggályosnak tekintendő. Ezért ennek a szövegrésznek az elhagyását javasolom a tervezetből, ugyanakkor a következő szövegjavaslatot javasolom megfontolni:: "- az adatvédelmi alapelvek betartására törekedve -".

13. A tervezet a hatályos Avtv.-hez hasonlóan azt tartalmazza, hogy automatizált adatfeldolgozással hozott döntés esetén az érintettet - kérelmére - tájékoztatni kell az alkalmazott matematikai módszerről és annak lényegéről. Ez a szabály a 95/46/EK irányelv 12. cikk a) pont második francia bekezdésének helytelen átültetése, ugyanis az "az adatok automatizált feldolgozása során alkalmazott logikát" illetően biztosít hozzáférési jogot az érintett számára. Ehhez képest a tervezett törvényszöveg csak részleges és kevésbé közérthető tájékoztatást kíván előírni, hiszen egyáltalán nem biztos, hogy az automatizált döntés során matematikai módszert alkalmaznak, amint az sem, hogy a matematikai módszer lényegének ismertetése megérthető és releváns az érintett számára.

14. A tudományos kutatás szabályai: lehetővé kellene tenni a kurrens kutatásokat, a tervezet, amint a jelenlegi szabályozás is, csak a „történeti” kutatásokra vonatkozik.

15. Kétséges, hogy szükséges-e a személyes adatok statisztikai felhasználását továbbra is külön szabályozni az adatvédelmi törvényben. Az Avtv. megalkotásakor kétségtelenül szükség volt rá, azonban időközben, mint az közismert, megalkották a statisztikáról szóló törvényt.

16. A 22. § (2) bekezdésénél a károsult „súlyos gondatlansága”, mint mentesülési ok nem egyértelmű, hiszen esetleg a közösségi oldalak adataikat meggondolatlanul nyilvánosságra hozó felhasználóira is vonatkoztatható.

17. A 24. § (1) bekezdésében a közérdekű adatokra hivatkozás szükségtelen az adatvédelmi felelősök esetében.

18. Sajnálatos, hogy a tervezet közérdekű adatok megismerésére vonatkozó része nem határoz meg olyan szabályokat, amelyek bárki számára lehetőséget biztosítanak az indokolatlannak tartott minősítés elleni hatékony fellépésre.

19. A III. fejezet következetlenül alkalmazza a közérdekű adat, a közérdekből nyilvános adat, illetve a közfeladatot ellátó szerv és az adatkezelő fogalmakat, különösen a 27-30. §-ok és a 32. §. Ennélfogva kérdéses, hogy egy közérdekből nyilvános adatra vonatkozó igény nem teljesítése esetén pl. lehet-e bírósághoz fordulni.

20. A 28. § (1) bekezdése szerinti 15 napos határidőt a 27. § (3) bekezdés szerinti esetben az igény pontosításától kellene számítani.

21. A 28. § (2) bekezdésben a 15 napos határidő meghosszabbításának lehetőségét az idegen nyelvű igények esetén is lehetővé kellene tenni, hiszen nem várható el minden adatkezelőtől, hogy néhány nap alatt tetszőleges nyelvről fordíttasson. Általában sem alátámasztott az, hogy szükséges lenne a határidő meghosszabbítására lehetőséget adni, s így az információszabadság szintjét csökkenteni.

22. A 28. § (4) bekezdése: az adatszolgáltatás teljesítésének díjfizetéstől függővé tételével nem értek egyet. Véleményem szerint a közérdekű adatot kezelő szervnek külön eljárásban kellene díjigényét érvényesítenie.

23. A 28. § (5) bekezdése értelmében a költségelemek megállapítása jogi szabályozást igényel, azonban erre vonatkozóan végrehajtási jogalkotási felhatalmazás a tervezetben nem szerepel.

24. A 37. § (3) bekezdés g) és h) pontjainál két, egymással összeférhetetlen feladat jelenik meg. Ha a Hatóság állapítja meg az adatvédelmi auditálás szempontjait, akkor nem vehet részt az auditálásban és viszont.

25. A 37. § (2) bekezdésnek a közérdekből nyilvános adatok megismeréséhez fűződő jog érvényesülésére is utalni kellene.

26. A 37. § (2) bekezdésében a feladat összegzéseként kizárólag az „ellenőrzése” megfogalmazás fogyatékos és ellentmondásos, ha az egyes nem hatósági részjogosítványait szemléljük, tehát a kifogásolt rész kiegészítendő azzal, hogy „érvényesülésének elősegítése”.

27. A 37.§ (2) bekezdés j) pont pontosítása szükséges: az elnök a beszámolót nem beterjeszti, hanem benyújtja az Országgyűléshez.

28. Az 50. § szerint a Hatóság elnöke a Hatóság köztisztviselői létszámának legfeljebb húsz százalékáig vizsgálót nevezhet ki. A tervezetből nem derül ki azonban, hogy a vizsgálók milyen hatáskörben járnak el, milyen vizsgálati jogosultsággal rendelkeznek.

29. A félreértések elkerülése érdekében egyértelművé kell tenni, hogy a tervezet 51. § (2) bekezdésében a "vizsgálat" szó a tervezet 51-58. § szerinti eljárást jelenti csak.

30. Az 51. § (1) bekezdésének megfogalmazásból a „személyes adatok kezelésével” szerint mintegy a közérdekű bejelentésekhez hasonló jogérvényesítés következne, holott itt az információs önrendelkezési joga érvényesülése érdekében a saját adatai kezelésével kapcsolatos jogsérelmet jelenthetné be; pontosítás szükséges: „személyes adatai kezelésével”.

31. Az 53. § (1)-(2) bekezdése pontosításra szorul: külön kell választani a helyszíni ellenőrzés során alkalmazható vizsgálati eszközöket és a vizsgált szervtől kért adatokat. A jelenlegi szövegezés lehetősége ad ugyanis arra, hogy a vizsgált szerv helyiségeibe való belépésre, iratokba való betekintésre, stb. vonatkozó eljárási cselekményt a vizsgált szerv csak 15 napos határidő elteltével teszi lehetővé.

32. Aggályosnak tartom, hogy az 57. § (4) bekezdése a Hatóság közigazgatási hatósági eljárásnak nem minősülő vizsgálata keretében kíván lehetőséget biztosítani arra, hogy ha közérdekű, közérdekből nyilvános adattal kapcsolatban sérelmet állapít meg, az adatot a bejelentővel maga közölje. Az adat közlése az azt kezelő szerv, vagy harmadik személy jogát, jogos érdekét érintheti, továbbá fennáll a lehetősége, hogy a Hatóság helytelenül állapítja meg azt, hogy az adatok nyilvánosak-e, ezért úgy vélem, az adatok közlése csakis hatósági aktusként, halasztó hatályú jogorvoslati lehetőség biztosításával szabályozható a törvényben. E rendelkezés egyben azt a veszélyt is hordozza, hogy az igénylők a Hatósággal szereztetik be a közérdekű adatot, ami nagy terhet róna a Hatóságra.

33. Az 59. § kiegészítendő az alábbi szabályokkal:

a) a Hatóság vizsgálata (51-58. §) során beszerzett adatok, információk, iratok az adatvédelmi hatósági eljárásban akkor is felhasználhatók, ha beszerzésük, rögzítésük nem a Ket. szabályai, formai előírásai szerint történt. (E szabály elmaradása esetén ugyanis minden esetben felmerülhet vagy az egyes eljárási cselekmények megismétlésének szükségessége, vagy az egyes bizonyítékok nem szabályszerű beszerzéséből, rögzítéséből eredő következmények, és esetlegesen a súlyos eljárási szabálysértés terhe.

b) az adatvédelmi hatósági eljárás megindításának napja az 57. § (1)-(2) bekezdése szerinti döntés napja.

c) az ügyintézési határidő 2 hónap.

34. A 60. § szerint a Nemzeti Adatvédelmi és Információszabadság Hatóság bírságot szabhat ki, ha jogsértést állapít meg. A bírság mértéke százezertől tízmillió forintig terjedhet. Álláspontom szerint szankció akkor lehet hatékony, ha olyan mértékű hátrányt helyez kilátásba, melynek elkerülése érdekében az adatkezelőnek érdekében áll a jogszerű adatkezelés feltételeinek biztosítása. Nem vitás, hogy a nagy adatbázisokat kezelő multinacionális vállalatok számára a tervezet szerinti bírság felső határa nem jelent különösebb visszatartó erőt. Így a bírság felső határát javaslom egy nagyságrenddel nagyobb összegben (100 millió forint) megállapítani (lásd Csehország, Szlovákia adatvédelmi törvényének hasonló rendelkezéseit). Kifogásolom, hogy a tervezet nem állapítja meg részletesen, milyen szempontok szerint állapítja meg a Hatóság a bírság mértéket.

35. A 64. § (1) bekezdés h) pontjánál indokolatlan az adatvédelmi nyilvántartás adattartalmaként nevesíteni az alkalmazott adatfeldolgozási technológia leírását. Sem jogharmonizációs kötelezettség, sem az ésszerűség nem követeli meg, hogy az adatkezelő minden esetben technológiai leírást mellékeljen a bejelentéshez. Ez egyrészt indokolatlan adminisztratív terhet róna rá, másrészt a technológia részleteinek nyilvánosságra hozatala szellemi tulajdonhoz fűződő jogot sérthet.

36. A tervezet számos olyan hatósági jellegű feladatot állapít meg, amelyek biztosítására jelentős erőforrás bővítés szükséges. Az adatvédelmi nyilvántartás vezetését a Hatóság feladataként (64. §), a bejelentkezést pedig az adatkezelő kötelezettségeként határozza meg (65. §). Tekintettel arra, hogy az Európai Unió Bizottságában az irányelv felülvizsgálata keretében folyamatban van az adatvédelmi nyilvántartások létjogosultságáról szóló vita, nem támogatom ezen intézményre vonatkozó szabályok szigorítását. Nem támogatom a tervezet azon részét, hogy a nyilvántartásba vételért az adatkezelő igazgatási szolgáltatási díjat fizessen.

37. A tervezet nem támasztja alá megfelelően az adatvédelmi audit bevezetésének szükségességét. Az intézmény a 90-es években divatos (TDDSG, 1997), mára zsákutcába jutott kezdeményezés. Az elhibázott koncepció szerint ráadásul az a hatóság végzi az auditot, amely ellenőrzi az adatkezelés jogszerűségét: e két funkció összeférhetetlen (lásd 24. pont).

38. A 70. §-ból törlésre javasoltak az "és ideig" szavak: az eljárás során szükséges és megismert személyes és egyéb adatok tárolására az iratkezelési szabályok kell vonatkozzanak, az iratok nem csonkíthatók meg az eljárás befejezését követően.

39. Az átmeneti rendelkezések között biztosítani kell a jelenlegi adatvédelmi nyilvántartás és a Hatóság által vezetendő nyilvántartás közötti jogfolytonosságot, mert egyébként csak ismételt adatfelvétellel biztosítható az adatállomány teljessége és naprakészsége. Ez indokolatlan költséggel és adminisztratív teherrel járna a nyilvántartásba vételre kötelezettek számára.

40. A 95/46/EK Irányelv szerinti független adatvédelmi hatóság jelenleg Magyarországon az adatvédelmi biztos, akit az Országgyűlés 2/3-os többséggel, 2014. szeptember 29-ig terjedő mandátummal választott. Tájékoztatom, hogy a NAIH 2012. január 1-ével történő felállítása sérti az adatvédelmi biztos mint az idézett irányelv általi adatvédelmi felügyelő szerv függetlenségét.

41. A tervezet nem határozza meg a munkajogi jogutódlásra vonatkozó szabályokat, így alkalmas arra, hogy az adatvédelmi biztos irodájában dolgozó köztisztviselőkben bizonytalanságot keltsen jogviszonyuk folytonosságát illetően. Elfogadhatatlan azon törvényi rendelkezés hiánya, amely e jogutódlást kimondja; ez a helyzet olyan nyomásgyakorlásként értékelhető, amely sérti az adatvédelmi biztos mint az idézett irányelv általi adatvédelmi felügyelő szerv függetlenségét.

Budapest, 2011. június 10.

Üdvözlettel:

Dr. Jóri András
 

  • kapcsolódó anyagok
ADATVÉDELEM
ADATVÉDELMI BIZTOS
JOGALKOTÁS
KORMÁNYZAT
TÖRVÉNYHOZÁS