Valamilyen formában szinte minden Magyarországon működő cég kezel személyes adatot, legyenek azok munkavállalók, üzletfelek vagy ügyfelek személyes adatai. Ennélfogva megkerülhetetlenné válik számukra az adatkezelés jogi szabályainak ismerete.
Eljárásjogi szempontból a legfontosabb azzal tisztában lenni, hogy az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) 65. § (3) bekezdése ismer ugyan kivételeket, mégis főszabályként az adatkezelés bejelentése a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) felé kötelező. A bejelentést az adatkezelés megkezdése előtt kell megtenni, az adatkezelés a NAIH általi nyilvántartásba vételt megelőzően nem is kezdhető meg [Infotv. 66. § (1) bek.].
Első pillantásra az adatkezelés nyilvántartásba vétele egyszerűnek tűnhet, a valóságban azonban sajnos a bejelentést tevő adatkezelő számos kihívással szembesülhet. Az elmúlt hónapokban általunk beadott kérelmekkel kapcsolatos tapasztalatainkra támaszkodva, az alábbiakban röviden összefoglaljuk a leglényegesebb tudnivalókat és a lehetséges problémákat.
Az adatkezelő a kérelmét kizárólag elektronikus úton, egy külön az e célra létrehozott NAIH_Avatár programban, egy formanyomtatványon készítheti el. A kérelem benyújtható mind közvetlenül a programon keresztül, mind a NAIH-nak címzett e-mailben. A formanyomtatvány az Infotv. 65. § (1) bekezdésének megfelelően kiterjed az adatkezelés céljára, jogalapjára, az érintettek körére, a kezelt személyes adatokra, az adatszerzés forrására, az adatkezelés időtartamára, az adattovábbításra és adatfeldolgozásra – ideértve az alkalmazott adatfeldolgozási technológia jellegét is –, valamint az adatkezelő(k) és adatfeldolgozó(k) személyére. A kérelem kitöltése viszonylag egyértelmű, a legtöbb kategória esetén maga a formanyomtatvány segítséget nyújt számunkra. Az adatkezelés célját egy példálózó felsorolásból választhatjuk ki, ha pedig a felsoroltak között mégsem találjuk az általunk bejelenteni kívánt adatkezelési célt, azt az „egyéb” megjelölése után mi magunk beírhatjuk.
Fontos tudni, hogy a NAIH felé minden adatkezelési célt külön kérelmen kell bejelenteni. Hiába kezeljük tehát ugyanazon érintettek ugyanazon adatait ugyanazon a módon, amennyiben az adatkezelés több cél érdekében történik, ezen adatkezelésekre nézve külön formanyomtatványt kell kitöltenünk, és a NAIH az egyes adatkezeléseinket is külön nyilvántartási szám alatt veszi nyilvántartásba. A NAIH_Avatár program egynél több adatkezelési cél megjelölését nem is teszi lehetővé, így az adatkezelő véletlenül sem tölthet ki tévesen egyazon kérelmen több adatkezelési célt. Ugyanakkor a több kérelem beadásának követelménye sok adatkezelési cél esetén ügyintézésünket óhatatlanul követhetetlenebbé teszi.
Nem ilyen egyértelmű a formanyomtatvány helyes kitöltése akkor, ha az adatkezelés nem több célra történik, hanem több adatkezelő vagy adatfeldolgozó igénybevételével. Külön kérelmet ekkor egy második adatkezelő vagy adatfeldolgozó miatt nem kell benyújtanunk, az egy formanyomtatványon való megadásuk azonban problémás, hiszen minden adatkezelő és adatfeldolgozó kapcsolattartójának és elérhetőségének kitöltésére összesen egy rubrika áll rendelkezésünkre.
A kérelmet az Infotv. 66. § (1) bekezdése alapján az adatkezelő nyújthatja be. Mivel azonban az Infotv. e rendelkezése a személyes eljárást nem írja elő, a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL. törvény („Ket.”) 40. § (1) bekezdése értelmében az adatkezelő helyett meghatalmazottja is eljárhat. Amennyiben az adatkezelés jogi követelményeinek megfelelése érdekében az adatkezelő ügyvéd segítségét kéri – ez a bonyolult szabályozás miatt nem ritka –, ezzel kapcsolatban legkésőbb az adatvédelmi nyilvántartásba vételi kérelem kitöltésekor számos problémával szembesül. Egyrészt a kérelmen egyáltalán nincs lehetőség képviselő megadására, másrészt amennyiben magát a kérelmet a NAIH_Avatár programon keresztül nyújtjuk be – ez a legegyszerűbb megoldás, hiszen mindössze két kattintást jelent, és kérelmünk is kisebb eséllyel keveredik el –, kiderül, hogy az ügyvédi meghatalmazás csatolására sincs lehetőségünk. A NAIH telefonon adott tájékoztatása szerint – ez ugyanis sem az Infotv-ből, sem a NAIH oldalán található „Gyakran Ismételt Kérdések” című tájékoztatóból nem derül ki – ilyenkor a benyújtott kérelemre hivatkozva e-mail útján utólag szükséges elküldenünk a meghatalmazásunkat. A probléma ezzel a nehézkessége mellett az, hogy a NAIH_Avatár program a kettő összekapcsolására nem képes, így a kérelmünkkel kapcsolatos határozat automatikusan az adatkezelő adataként megadott e-mailcímre fog kiérkezni. Így van ez még akkor is, ha az ügyvédi megbízásnak (részben) pont az lett volna a lényege, hogy az adatkezelő a NAIH-hal való kapcsolattartástól megkímélje magát. Telefonos tájékoztatáskérésünkre azt tudtuk meg a NAIH munkatársától, hogy valójában az ügyvédi meghatalmazás csatolása mindössze azt teszi lehetővé, hogy a meghatalmazott ügyvéd forduljon a NAIH felé – így például kérje a NAIH határozatának másolatként való kiküldését a saját maga részére –, azt nem, hogy a NAIH is az ügyvéddel vegye fel a kapcsolatot az adatvédelmi bejelentéssel kapcsolatban. Ez a háromirányú kommunikáció nemcsak hogy nehézkesebbé teszi az eljárást, de ellentétes a Ket. 40. § (7) bekezdésével is, amely szerint ha az ügyfél képviselővel jár el, az iratokat a hatóság a képviselő részére küldi meg.
Az Infotv. 68. § (1) bekezdése szerint a NAIH az adatkezelést az adatvédelmi nyilvántartásba vétel iránti kérelem benyújtásától számított nyolc napon belül nyilvántartásba veszi. Mintha azonban már maga a jogalkotó sem bízott volna abban, hogy ez a rövid határidőt a NAIH tartani tudja, rögtön a (2) bekezdés kimondja, hogy amennyiben a NAIH a kérelmet e határidőben nem bírálja el, az adatkezelő az adatkezelést a kérelemben foglaltaknak megfelelően megkezdheti. A NAIH jelentős túlterheltsége miatt tapasztalataink szerint az esetek többségében ezen határidő valóban tarthatatlannak bizonyult. Mi történik azonban akkor, ha a NAIH a nyolcnapos határidő lejártát követően mégsem bejegyző határozatot hoz, hanem hiánypótlásra hívja fel az adatkezelőt, vagy kérelmét elutasítja? A nyolcnapos határidő lejárta és a határozat meghozatala közt eltelt időben végzett adatkezelés vajon jogellenesnek minősül? Erre az Infotv. még csak homályos választ sem ad.
A fenti szabályozásbeli, illetve a gyakorlati megvalósításból eredő bizonytalanságok – amelyek szigorúan kizárólag a saját tapasztalatainkat és véleményünket tükrözik – azért is különösen aggályosak, mert a NAIH nemrégiben bevezetett gyakorlata értelmében az adatvédelmi nyilvántartásba vétellel és a kérelem kitöltésével kapcsolatban a hatóság telefonon már nem nyújt tájékoztatást. E-mailben természetesen továbbra is intézhető kérdés a NAIH-hoz, ilyenkor azonban számítanunk kell arra, hogy segítséget csak hetek elteltével kapunk (noha ezek a felmerült kérdésekre adott válaszok legalább többnyire alaposak).
A telefonos tájékoztatásnyújtás megszüntetése e körben nyilvánvalóan a NAIH adminisztratív terheit célozza csökkenteni, ugyanakkor kérdéses, hogy a helytelen kitöltések miatti hiánypótlások nem inkább növelik-e ezen terheket. Talán éppen ennek elkerülése miatt, de a NAIH munkatársai eddig viszonylag rugalmasnak bizonyultak a telefonos tájékoztatáskéréssel kapcsolatban – ezt ezúton is köszönjük –, egy hatóság eljárásának ügyfélközpontúsága azonban nem szabadna, hogy kizárólag a munkatársai jóindulatán múljon.
Lássuk be, hogy az adatkezelők célja általában nem maga az adatvédelmi nyilvántartásba vétel – ez inkább adminisztratív teher, amelynek teljesítése az adatkezelő cég szabályszerű működés előfeltétele. Ráadásul a cégeknek számos más hasonló, a gazdasági érdekeit közvetlenül nem szolgáló kötelezettséget is teljesíteniük kell (pl. bejelentések az adóhatóság és a cégbíróság felé). Ha a jogalkotó elvárja, hogy a hazai vállalkozások mindennek eleget tegyenek, akkor a fentiekhez hasonló bürokratikus terheket is ajánlott lenne csökkenteni, illetve azok elintézését minél gyorsabbá és ügyfélbarátabbá tenni. Sajnos – álláspontunk szerint – az adatvédelem terén ebben még van hová fejlődni.
