Az Országgyűlés április 1-én elfogadta az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról szóló törvényjavaslatot. A módosítás mintegy 86 ágazati törvény adatvédelmi rendelkezéseit módosítja a tavaly életbe lépett GDPR végrehajtásához szükséges jogrendszeri koherencia biztosítása érdekében. Az új szabályok – néhány kivétellel – a Magyar Közlönyben történő kihirdetést követő 15. napon lépnek hatályba.

A módosítás elfogadásával többek között törlésre kerülnek a GDPR fogalom-meghatározásával azonos definíciók, értelmező rendelkezések, valamint a jogalapok különös feltételei, amennyiben ilyenek megállapítására nincs lehetőség a GDPR alapján, továbbá az információs önrendelkezési jogról és az információszabadságról szóló törvényre (Infotv.) vonatkozó utalások. Fontos szabály, hogy a deregulációval a törölt kötelezettség nem szükségszerűen szűnik meg, hanem sok esetben csupán azt jelenti, hogy a kötelezettség a továbbiakban közvetlenül a GDPR-ból fakad.

A módosítás a munkaviszonyra vonatkozó szabályokat is érinti, melyek közül az alábbiakban számba vesszük a legfontosabbakat:

I. A munka törvénykönyvéről szóló 2012. évi I. törvény (Mt.) módosítása

A módosítás folytán a munkavállaló személyiségi jogai korlátozásának feltételei szigorodnak, mostantól a korlátozásról előzetes írásbeli tájékoztatást kell nyújtani, e tájékoztatásnak pedig ki kell terjednie a korlátozás szükségességét és arányosságát alátámasztó körülményekre is.

Az Mt. új rendelkezése egyértelműsíti, hogy a munkáltató a munkavállalótól az Mt-ből származó igény érvényesítése szempontjából lényeges nyilatkozat megtételét vagy adat közlését illetőleg okirat bemutatását is követelheti, továbbá feljogosítja a munkáltatót, az üzemi tanácsot és a szakszervezetet, hogy a munkaügyi kapcsolatokkal összefüggésben a jogok gyakorlása vagy kötelességek teljesítése céljából nyilatkozat megtételét vagy adat közlését illetőleg okirat bemutatását is követelhesse. Ezen adatkezelésekről, valamint az alkalmazott alkalmassági vizsgálatokról a munkáltató az érintetteket, azaz a munkavállalókat írásban köteles tájékoztatni.

A módosítás lehetővé teszi a munkáltató számára a munkavállaló biometrikus adatainak kezelését, mégpedig abban az esetben, ha valamely dologhoz vagy adathoz, elzárt területhez történő jogosulatlan hozzáférés megakadályozása érdekében szükséges, és a hozzáférés a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna. Jelentősen védett érdek a módosítás példálózó felsorolása szerint: a legalább “Bizalmas!” minősítési szintű minősített adatok védelméhez, a lőfegyver, lőszer, robbanóanyag őrzéséhez, a mérgező, vegyi vagy biológiai, illetőleg nukleáris anyagok őrzéséhez, továbbá az 50 millió forintot meghaladó érték védelméhez fűződő érdek.

Az új szabályozás rendelkezik az erkölcsi bizonyítvány kezelhetőségéről is. A munkavállaló bűnügyi személyes adata annak vizsgálata céljából kezelhető, hogy törvény vagy a munkáltató a betölteni kívánt vagy a betöltött munkakörben nem korlátozza vagy nem zárja-e ki a foglalkoztatást. A munkáltató akkor határozhat meg ilyen feltételt, ha az érintett személy foglalkoztatása – többek között – a munkáltató jelentős vagyoni érdeke, törvény által védett titok, vagy lőfegyver, lőszer, robbanóanyag őrzéséhez, a mérgező, vegyi vagy biológiai, illetőleg nukleáris anyagok őrzéséhez fűződő érdek sérelmének veszélyével járna. A munkáltató az említett feltételeket előzetesen írásban köteles meghatározni.

A munkáltató továbbra is jogosult a munkavállalót a munkaviszonnyal összefüggő magatartása körében technikai eszközzel ellenőrizni, erről előzetesen írásban tájékoztatni kell a munkavállalót. Alapesetben – amennyiben a felek másképp nem állapodnak meg – a munkavállaló a részére biztosított számítástechnikai eszközt kizárólag a munkaviszony teljesítése érdekében használhatja. A munkáltató az átadott számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba tekinthet be, azaz, egyezően az eddig kialakult gyakorlattal, az adatba az ellenőrzés során addig tekinthet be, ameddig el nem tudja dönteni, hogy az adat magáncélú adat-e. Amennyiben magáncélú az adat, azt tovább nem vizsgálhatja, viszont a megfelelő munkajogi következményeket alkalmazhatja, ha a magáncélú használat jogellenes volt.

II. A panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény (Pkbtv.) módosítása

A módosítással pontosodik a bejelentésben érintett személy fogalma, ennek megfelelően bejelentésben érintett a bejelentő, valamint az a személy, akinek a magatartása vagy mulasztása a bejelentésre okot adott, vagy aki a bejelentésben foglaltakról érdemi információval rendelkezhet.

A módosítás nem tartja fenn a különleges adatok kezelésére vonatkozó eddigi abszolút – és a gyakorlatban megvalósíthatatlan – tilalmat. Ezentúl – garanciák mellett – lehetővé válik a különleges adatok és a bűnügyi személyes adatok kezelése, ideértve ezen adatok bejelentővédelmi ügyvéd valamint a bejelentés kivizsgálásában közreműködő szervezet részére történő továbbítását is.

A módosítás eredményeként a bejelentő természetes személynek a továbbiakban nem kell megadnia a bejelentés megtételekor a nevét és lakcímét. Ezzel kapcsolatban a módosítás indoklása jelzi, hogy a névtelen bejelentéseket a jogalkotó nem támogatja, azonban az általános adatvédelmi elvek – különösen az anonimitásra törekvés – figyelembe vételével szükségtelennek tartja az anonim rendszerek működtetésének akadályozását.

A bejelentővédelmi rendszerek vonatkozásában módosulnak továbbá a személyes adatok külföldre történő továbbításának szabályai, miszerint más államba vagy nemzetközi szervezet részére történő továbbításra kizárólag a továbbítás címzettje által tett, a bejelentésre vonatkozó, a Pkbtv-ben foglalt szabályok betartására irányuló jogi kötelezettségvállalás esetén kerülhet sor.

III. A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (Szvmtv.) módosítása

A legfontosabb változások az adatkezelések jogalapját és a megőrzési időket érintik. Az eddigi speciális szabályok (pl. a személyes adatok megsemmisítése 6 hónap után, vagy elektronikus megfigyelőrendszerek esetén a 3 munkanapos, 30 napos illetőleg 60 napos őrzési idők, elektronikus beléptető rendszerek estén az azonnali, 24 órás illetőleg 6 hónapos törlési idők) törlésre kerülnek. Ez azonban nem jelenti azt, hogy ezentúl korlátlan ideig lehet ezen adatokat kezelni, hanem a GDPR általános rendelkezései alapján kell az adatmegőrzési határidőket megállapítani.

A módosítás egyéb rendelkezései: A vagyonőr a továbbiakban kizárólag magánterületen alkalmazhat elektronikus megfigyelőrendszert. Törlésre kerülnek a magánterület közönség számára nyilvános részére, valamint a ráutaló magatartással történő hozzájárulás szabályaira vonatkozó külön rendelkezések. Az elektronikus megfigyelőrendszer útján rögzített kép-, hang-, valamint kép- és hangfelvétel megismerésének okát és idejét, valamint a megismerő személyét jegyzőkönyvben kell rögzíteni.