Időpont: 2022. október 13. csütörtök 15:00 - 17:00
2022. szeptember 14., szerda
AdatSzalon Kollégium - BÜK - 2022. október 13. - KREDITES ELŐADÁS
2022. szeptember 10., szombat
AdatSzalon előadás: dr. Zárai Eszter - A Be. és a GDPR találkozási pontja
dr. Zárai Eszter
A Be. és a GDPR találkozási pontja:
A „Magánvádló” adatkezelési és adattovábbítási tevékenysége és annak adatvédelmi aspektusai egy konkrét jogeset kapcsán
Előadás: 2022. szeptember 08.
Témám: Be.
és a GDPR találkozási pontja: A „Magánvádló” adatkezelési és adattovábbítási
tevékenysége és annak adatvédelmi aspektusai egy konkrét jogeset kapcsán
Ügyszám:
NAIH-2868 – 23/2021.
Készítette: dr. Zárai Eszter ügyvéd
***
Tartalom:
I. Jogeset leírása, tényállás
II. Alkalmazott jogszabályok
III. Találkozási pontok
IV. A NAIH döntése
V. Konklúzió/átvezetés
***
I. Jogeset leírása, tényállás
1.2. Később világossá vált, hogy az email cím, ahova a levél érkezett egy központi email
cím, amihez 142 fő fér hozzá.
1.3. A Kérelmezett – már az adatvédelmi
hatósági eljárás iránti eljárásban - védekezésül előadta:
- a Kérelmező nevén és email címén kívül
más személyes adatát nem küldte meg az email címre,
- az adattovábbítás célja az volt, hogy
a Kérelmező biztosan megjelenjen a tárgyaláson,
- panaszként is szolgált ez az email a
társaság felé (kvázi ez egy panasz levél is volt).
1.4. A Kérelmezett kérte:
- az eljárás megszüntetését, mert hogy
nem lépett túl a személyes célon, az adatkezelésére, mint magánvádló az
Infotv. szabályai vonatkoznak, hiszen büntetőügyben, mint magánvádló jár el
(megjegyezve azt is, hogy a NAIH jelen eljárással az Infotv-be ütközően
tisztességtelenül avatkozik bele a büntetőeljárásokba),
- az eljárás megszüntetését, abból az
okból is, hogy levele nem tartalmazott a néven kívül személyes
adatokat,
- az eljárás megszüntetését, arra
hivatkozással, hogy ő magánszemély, nem adatkezelő, alapvetően még az
Infotv. sem vonatkozik rá (nemhogy a GDPR), egyebekben ő, mint személyes és
otthoni tevékenysége keretében küldte meg az emailt.
1.5. A Kérelmező kérte:
A Adatvédelmi bírság kiszabását, a
jogellenes adattovábbítás tárgyában, mert a Kérelmezett megsértette a
-
GDPR 5. cikk (1) bekezdés a) pontja
szerinti jogszerű és tisztességes adatkezelés elvét,
-
GDPR 5. cikk (1) bekezdés b) pontja
szerinti célhoz kötött adatkezelés elvét,
-
GDRP 6. cikk (1) bekezdését és a 9. cikk
(1) bekezdését.
II. Alkalmazott jogszabályok ( a teljesség igénye nélkül, lásd NAIH határozat)
2.
GDPR (18) preambulumbekezdés: ez a rendelet nem alkalmazandó a személyes adatoknak a természetes személy által kizárólag személyes vagy otthoni tevékenység keretében végzett kezelésére, amely így semmilyen szakmai vagy üzleti tevékenységgel nem hozható összefüggésbe.
GDPR 2. cikk (2) bekezdés: E
rendelet nem alkalmazandó:
c) természetes személyek kizárólag
személyes vagy otthoni tevékenységük keretében végzik,
d) az illetékes hatóságok bűncselekmények
megelőzése, nyomozása, felderítése, vádeljárás lefolytatása vagy büntetőtjogi
szankciók végrehajtása céljából végzik, ideértve a közbiztonságot fenyegető
veszélyekkel szembeni védelmet és a veszélyek megelőzését.
GDPR 5. cikk (1) bekezdés a-b) pont
GDPR 6. cikk (1) bekezdés
GDPR 9. cikk (1)-(2) bekezdés
Infotv. 2. § (3) bekezdés: személyes adatok bűnüldözési, nemzetbiztonsági és honvédelmi célú kezelésére e törvényt kell alkalmazni.
Be. 37. §
Be. 53. § (1) bekezdés a) pont: A magánvádló az a sértett…….
Be. 98. § (3) bekezdés: ha az érintett adatkörre vonatkozó jogszabály másként nem rendelkezik a büntetőeljárásban részt vevő személyek az e törvény rendelkezései alapján megismert személyes adatot és védett adatot e törvény szerinti jogaik gyakorlásához vagy kötelezettségük teljesítéséhez szükséges mértékben és ideig kezelhetik.
III. Találkozási pontok/Eldöntendő kérdések
3.1. Kérelmezett adatkezelő-e és a kezelt adat személyes
adat-e?
3.2. Mint magánszemély a GDPR hatálya alá tartozhat-e?
3.3. GDPR vagy az Infottv. hatálya alá tartozik-e az
ügy? (hiszen magánvádló)
3.4. A kifogásolt adatkezelés személyes vagy otthoni
tevékenység keretében végzett adatkezelés-e?
3.5. Adatkezelés jogszerű volt-e, volt-e jogalapja és alapelvek sérültek-e?
IV. A NAIH döntése
A Kérelmezett adatkezelő (hiszen adatot
továbbított) és az Infotv. 3. § 4. pontja szerinti bűnügyi, személyes adatokat kezel,
mivel a GDPR hatálya kiterjed a természetes személyekre is, ezért minőségét nem
érinti az, hogy mint természetes személy jár el. Bár valóban a Kérelmezett magánvádló,
de az ügybéli adattovábbítása nem esett a GDPR 2. cikk (2) bekezdés d) pontja
szerinti kivételszabály alá, így egyértelmű volt a GDPR hatálya alá tartozik az
ügy, ami tekintettel a központi emailre történő megküldésre, nem volt tekinthető
személyes vagy otthoni tevékenység keretében végzett tevékenységnek. A Kérelmezett
túlterjeszkedett továbbá magánvádlói minőségén is, mivel szinte a bíróság
helyett kézbesített idézést a Kérelmezőnek, így az adatkezelés célhoz
kötöttsége sérült, mivel a Be. 98. § (3) bekezdése alapján személyes adatok
csak a szükséges mértékig és ideig kezelhetők. Konkrét ügyben a jogalap egyedül
a GDPR 6. cikk (1) bekezdés f) pontja lehetne, így a jogos érdek, de az a jogos
érdek túl terjeszkedik a Be. 98. § (3) bekezdésén, az adatkezelés tisztesség
volta pedig egyértelműen sérült, mivel a Kérelmezett megsértette az érintett
információs önrendelkezési jogát és ezen belül a magánszféráját, hiszen az e-mailek
megküldése egyértelműen alkalmasak voltak arra, hogy a Kérelmező megítélését hátrányosan
befolyásolják munkatársai előtt.
V. Konklúzió/átvezetés
„Nem minden az, aminek látszik I.”. Bár a Kérelmezett, magánvádlói minőségben „dőlt hátra” és mosta kezeit, az Infotv. mögé burkolózva, egyes adatkezelési tevékenységét nem átgondolván, azt gondolta, hogy a magánvádlói minősége megvédi a GDPR-tól, azonban nem számolt azzal, hogy a magánvádló, bár bizonyos értelemben a vádat képviseli, de hatósági jogkörökkel nem rendelkezik, így nem volt lehetősége olyan hatósági döntéseket hozni, sőt alkalmazni, hogy egy idéző végzést kézbesítsen.
„Nem minden az, aminek látszik II.”. A
fenti okfejtésnek viszont az „Inverse” is igaz, mely szerint vannak a hatóságok
és bíróságok működödésében is olyan adatkezelés, melyek ugyan az Infotv. égisze
alatt kerülnek kezelésre, mégis túl terjeszkednek azon. Álláspontom szerint,
konkrét példát is mondva, pl az ügyvédek személyes adatainak továbbítása az
egyes ügyekben és ügycsoportokban (csak azért mert az ügyvéd személyes adata az
e-papíron a rendszer természeténél fogva látszik) túl mutat az Infotv.-en és
sok esetben inkább a GDPR hatálya tartoznának. Ezen esetek kimunkálása még
folyamatban, de a fenti jogeset kapcsán is fel kell hívni a figyelmet arra,
hogy adatok kezelése, továbbítása kapcsán minden esetben, mindenkinek végig
kell gondolni, hogy az adott adatkezelés hogyan illeszkedik az adott tevékenységhez
és a szükséges mértékhez.
***
dr. Zárai Eszter
ügyvéd
Zárai Ügyvédi Iroda
2022. szeptember 8., csütörtök
Ez történt - 2022. szeptemberi AdatSzalon
A nyári szünet végeztével ismét körbe ültük azt a bizonyos asztalt a kamarában. A mai beszélgetés témái két téma köré csoportosultak.
Először Adél tartott előadást a Forbes határozatból. Részletesen bemutatta mind a hatóság előtti eljárást, mind a bírósági határozatot, kiemelve, hogy az eljáró jogi képviselők milyen remek szakmai munkát végeztek az ügyben. A Forbes határozat nagyon sok olyan megállapítást tesz, mely az adatkezelés alapjaira vonatkozik, ezért nem kizárólag a sajtó általi adatkezelés terén lehet hasznos olvasmány. A határozat főbb kérdéskörei: a sajtó adatkezelésének jogalapja (e/f/a pontok), melyek a valid adatkezelési célok, közfeladatnak minősül-e a média által ellátott szerep, a tájékoztatás helyes tartalma, stb. Számomra a legérdekesebb kérdés, amit boncolgat, hogy személyes adatnak minősül-e a vélemény. Ezzel kapcsolatban pedig felmerült a beszélgetés során, hogy a tény és vélemény között hol húzható meg a határ, különös tekintettel a GDPR személyes adat fogalmára. Azt hiszem, ezt a témát még elő fogjuk venni későbbi szeánszok alkalmával.
A határozat az alábbi linken érhető el:
A NAIH 2021-es beszámolója, melyből szintén idézett Adél:
https://www.naih.hu/eves-beszamolok
Ezt követően Dóra tartott rövid gondolatébresztő előadást a hatóság általi adatkezelésről. A téma aktualitását egy kolléganő felvetése adta, mely szerint a hatóságok számos, teljesen felesleges adatot küldenek szét eljárásuk során, mely sértheti érintettek érdekeit. Erre kifejezetten példának hozta a közjegyző hagyatékátadó végzését, melyben az összes örökös összes adata utazik minden címzetthez - teljesen szükségtelenül. Ebben a körben megállapítottuk, hogy a bíróságokra és hatóságokra - amennyiben nem bűnüldözési, bűnmegelőzési adatkezelésről van szó - a GDPR hatálya vonatkozik. Így bár a hatóságok rendelkeznek jogalappal ezen adatok kezelésére, az adattovábbítást külön adatkezelési műveletként kell vizsgálni. Megállapítottuk, hogy az adattovábbítás során általában nem tárható fel olyan adatkezelési cél, mely jogszerűvé teszi az ilyen határozatok teljes terjedelemben történő továbbítását. Szorgalmazzuk, hogy a kollégák az eljárásaik során hívják fel erre a tényre a hatóság figyelmét annak érdekében, hogy a jogszerűtlen adatkezelést megakadályozzuk, mely esetleg az ügyfél érdekeinek sérelmével is járhat. Célszerű javasolni a hatóság számára, hogy az általa meghozott határozatnak csupán a kivonatát továbbítsa. A figyelemfelhívásra közzé fogunk tenni szövegjavaslatot, ami tetszőlegesen bevágható a beadványokba.
Ezt követően Eszter tartott előadást a magánvádlói adatkezelésről. Az általa hozott hatósági határozat szintén nagyon érdekes kérdéseket vet fel, melyet azonban nem részleteznék, mivel az előadás vázlatát Eszter meg fogja osztani velünk itt, a blogon. Ehhez egy kicsi türelmet kérünk.
Nagyon köszönjük azoknak, akik ma is velünk tartottak. Szerintem megint inspiráló beszélgetéseket folytattunk, és örömömre új embereket is megismerhettünk.