Az adattörlés jogi háttere Magyarországon | Blancco minősített adattörlés
Az adattörlés kezelése a vállalatoknál
Az adattörlés kezelése a vállalatoknál
2014-12-11
Legjobb gyakorlatok az adattörlési rendszer bevezetéséhez
Legjobb gyakorlatok az adattörlési rendszer bevezetéséhez
2014-12-11
Összes bejegyzés

Az adattörlés jogi háttere Magyarországon

Az adattörlés jogi háttere Magyarországon

Az adattörlés jogi háttere Magyarországon

Bevezetés: az adattörlési kötelezettség jogi háttere

Az adatok törlésére való kötelezettség széles körben elő van írva a magyar jogszabályi környezetben, ezért az adatok törlésére való kötelezettség a legtöbb Magyarországon tevékenységet folytató vállalkozásra igaz. Fontos hangsúlyozni emellett, hogy az adattörléseket a magyar vállalkozások a jelenlegi szabályozás szerint az adott pillanatban rendelkezésre álló legbiztosabb technológiával kell, hogy elvégezzék. Adattörlési kötelezettséget leggyakrabban a személyes adatok védelmére vonatkozó jogszabályok állapítanak meg. Emellett azonban előfordulhat olyan helyzet is, hogy az adattörlésre azért van szükség, mert illegális tartalmak, szoftverek vannak a szervezet informatikai eszközein, melyet belső audit tárt fel vagy esetleg külső jelzés érkezett a törlési kötelezettségre vonatkozóan (pl. hatósági, bírósági kötelezés). Jelen anyagban az adatvédelmi alapú törlési kötelezettséggel foglalkozunk részletesen.

Törlési kötelezettségek

Az adatvédelmi törlési kötelezettség jogi alapja és tartalma

Az adatok törlésének kötelezettségét elsődlegesen az Információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. tv. (Info. tv.) határozza meg.

A személyes adatok törlésére vonatkozó kötelezettségről részletesen az Info. tv. 17. § (2) bekezdése rendelkezik. Eszerint a személyes adatot törölni kell, ha

  • kezelése jogellenes;
  • az érintett kéri;
  • az hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható –, feltéve, hogy a törlést törvény nem zárja ki;
  • az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;
  • azt a bíróság vagy a hatóság elrendelte.

Az Info. tv. értelmező rendelkezései megadják a törlés pontos fogalmát (Info. tv. 3. § 13.). Eszerint az adattörlés: az adatok felismerhetetlenné tétele oly módon, hogy a helyreállításuk többé nem lehetséges.

Az Info. tv. 18. § (1) bekezdése szerint a törlésről az érintettet, továbbá mindazokat értesíteni kell, akiknek korábban az adatot adatkezelés céljára továbbították. Az értesítés mellőzhető, ha ez az adatkezelés céljára való tekintettel az érintett jogos érdekét nem sérti.

Az Info. tv. 18. § (2) bek. szerint ha az adatkezelő az érintett törlés iránti kérelmét nem teljesíti, a kérelem kézhezvételét követő 30 napon belül írásban közli a törlés iránti kérelem elutasításának ténybeli és jogi indokait. A törlés iránti kérelem elutasítása esetén az adatkezelő tájékoztatja az érintettet a bírósági jogorvoslat, továbbá a hatósághoz fordulás lehetőségéről.

Kivételt képeznek az általános törlési kötelezettség alól a levéltári őrizetbe adandó anyagok. Az Info. tv. 17. § (3) bekezdése úgy rendelkezik, hogy ha a törlésre azért kerülne sor, mert a tárolás törvényben foglalt határideje lejárt, akkor a törlést nem kell elvégezni azon személyes adatra vonatkozóan, amelynek adathordozóját a levéltári anyag védelmére vonatkozó jogszabály értelmében levéltári őrizetbe kell adni.

Értelmezés

Ha a fenti szabályozást értelmezni kívánjuk, megállapítható, hogy amennyiben egy adathordozó leselejtezésre kerül, akkor feltételezhető, hogy a megszűnt az a cél, mely alapján az adott adathordozón kerültek tárolásra adatok. Ezért az adattörlésnek meg kell történnie, méghozzá olyan módon, hogy az adatokat úgy kell felismerhetetlenné tenni, hogy helyreállításuk többé ne legyen lehetséges.

Szektorális szabályok – szűkebb határidők

Számos olyan speciális adatkezeléssel járó tevékenység létezik, aminél az Info. tv. által meghatározott általános szabályokon túl egyes ágazatokra vagy tevékenység végzésére vonatkozó jogszabályok tételesen meghatározzák az adatok törlésének időpontját.

Ilyen szűkebb határidőt állapít meg többek közt a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (Szttv.) 31. § (2) bekezdés. E szakasz úgy rendelkezik, hogy a rögzített kép-, hang-, valamint kép- és hangfelvételt felhasználás hiányában legfeljebb a rögzítéstől számított három munkanap elteltével meg kell semmisíteni, illetve törölni kell.

Kapcsolódó jogesetek

NAIH-4991-9/2012/H (Pesterzsébet; temetési segélyhez kapcsolódó dokumentumok nyilvánosságra kerülése)

A hatóság megállapította, hogy Pesterzsébet Önkormányzatának a honlapján bárki számára hozzáférhetően elérhető határozatok találhatóak, amelyek az érintettek személyes adatait is tartalmazzák. Itt többek közt temetési segély igénylése tárgyában voltak elérhetőek olyan dokumentumok, amelyek tartalmazták az érintett nevét, születési adatait, a szociális ellátás igénylésének indokát, családi helyzetét, nyugdíjának összegét. A hatóság ezért kötelezte az adatkezelőt, hogy:

  • a határozatok személyes adattartalmát a jogellenesen nyilvánosságra került adatállományokból törölje, és az érintettek személyes adatait is tartalmazó adatállományokat olyan módon helyezze el a saját számítógépes szerverén, hogy a keresőprogramok azokat ne tudják indexelni;
  • a határozat kézhezvételétől számított 30 napon belül készítse el az adatvédelmi és adatbiztonsági szabályzatát;
  • fizessen meg 300 000 forint adatvédelmi bírságot.

NAIH-5951-16/2012/H. (Generál Média Publishing Kft. adatkezelése)

A hatóság panaszbejelentés alapján értesült az adatkezelő által végzett adatkezelésről. Eszerint az adatkezelő többszöri kérésre sem törölte a panaszos adatait és továbbra is küld hírlevelet. Ezt egy átfogó vizsgálat követte az adatkezelést végző (Generál Média cégcsoport) ellen, melynek során a hatóság a cégcsoport által üzemeltetett több mint 40 oldal tekintetében a következőket állapította meg:

  • több esetben nem egyértelmű a regisztrációs adatok továbbításának célja,
  • nem ad minden esetben lehetőséget a kötelezett a honlapokra regisztráló felhasználóknak arra, hogy külön jognyilatkozattal járulhassanak hozzá az elektronikus hirdetésküldéshez, az a regisztrációval automatikus,
  • hiányos az adatkezelési célok tekintetében adott tájékoztatás, illetve nincs minden esetben lehetőség a honlapok által küldött hírlevelekről való leiratkozásra,
  • 16 éven aluliak adatait törvényes képviselő hozzájárulása nélkül kezelik felnőtt-témákat is tartalmazó oldalakon (pl.: www.love.hu).

A hatóság emiatt kötelezte az adatkezelőt 3 000 000 forint adatvédelmi bírság megfizetésére, és a jogellenesen kezelt személyes adatok törlésére vagy a szükséges törvényes képviselői nyilatkozatok utólagos beszerzésére, illetve a honlapok adatkezelési gyakorlatának átalakítására.

Az adattörlés technikai megvalósításának szabályozása

Jogszabályi háttér

Az adatbiztonság követelményeiről különösen az Info tv. 7. §-a tartalmaz szabályokat. Az adatbiztonságnak a törlési kötelezettség teljesítésére vonatkozó legfontosabb szabályai a következők:

(2) Az adatkezelő, illetve tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

(3) Az adatokat megfelelő intézkedésekkel védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, továbbítás, nyilvánosságra hozatal, törlés vagy megsemmisítés, valamint a véletlen megsemmisülés és sérülés, továbbá az alkalmazott technika megváltozásából fakadó hozzáférhetetlenné válás ellen.

A fentiek értelmében minden szervezet esetében, mely adatokat kezel, el kell készíteni az adatbiztonsági/informatikai szabályzatot, és ebben ki kell térni az adattörlések megvalósításának módjára is.

Fontos megemlíteni, hogy az adatbiztonságot mindig az adatkezelés időpontjához igazodó technikai fejlettséghez igazodóan kell biztosítani. Ahogyan az Info tv. 7. § (6) fogalmaz:

(6) Az adatkezelőnek és az adatfeldolgozónak az adatok biztonságát szolgáló intézkedések meghatározásakor és alkalmazásakor tekintettel kell lenni a technika mindenkori fejlettségére. Több lehetséges adatkezelési megoldás közül azt kell választani, amely a személyes adatok magasabb szintű védelmét biztosítja, kivéve, ha az aránytalan nehézséget jelentene az adatkezelőnek.

Az adatbiztonság követelménye a személyes adatokhoz való jogosulatlan hozzáférést és felhasználást gátló intézményes biztosítékok egyike. Lehetőséget hagy az adatkezelőnek annak eldöntésére, hogy az adatkezelés helyszínére és eszközeire, valamint a lehetséges hagyományos és elektronikus hozzáférés módszereire tekintettel sajátos biztonsági intézkedéseket foganatosítson, ugyanakkor növeli a felelősségét is, mert ha az alkalmazott védelem nem bizonyul elegendőnek, polgári és büntetőjogi felelőssége akkor is fennáll. A törvény részletesen meghatározza a személyes adatok automatizált kezelése során a kötelező intézkedéseket. A magánszféra védelmét szolgáló intézkedések figyelembevétele az adatkezelés folyamatában az ún. privacy by design elvének magyar szabályozásba illeszté- sét célozza. Ennek megfelelően az adatkezelő, tipikusan automatizált adatfeldolgozás körében, köteles az adatkezelés folyamatát úgy megtervezni és a hozzáférés szabályait úgy meghatározni, hogy a személyes adatok jogellenes felhasználásának lehetőségét elkerülje. Az adatkezelő köteles a rendelkezésre álló legjobb technológiát az érintettek magánszférájának védelme érdekében alkalmazni. Több lehetséges megoldás közül a magasabb szintű védelmet nyújtó megoldást kell alkalmazni.

Felmérés a magyar vállalkozások informatikai szabályzatáról

Ügyvédi irodánk munkatársai felmérést készítettek azzal kapcsolatban, hogy a magyar vállalkozások rendelkeznek-e az adattörlések módjáról az adatbiztonsági szabályzatukban.

A felmérés nem reprezentatív a magyar vállalkozásokra, mivel eleve csak azok a szervezetek szerepelnek benne, melyek eleget tettek a szabályzat kialakítására vonatkozó kötelezettségüknek. A vizsgálat során a Google.com első tíz találati helyén szereplő adatvédelmi tájékoztató vizsgáltuk meg, és ennek során az alábbi eredményre jutottunk az adatok törlésének témájában:

  • Szabályozza-e az adatbiztonsági szabályzat az adatok törlésének módját?
    Igen: 2
    Nem: 8
  • Rendelkezik-e a szabályzat arról, hogy a megsemmisítést milyen technikai eszközzel vagy módszerrel kell elvégezni?
    Igen: 0
    Nem: 10

A legtöbben tehát nem írnak az adattörlés módjáról, és szinte egyik szervezet sem írja elő az adattörlés kötelező módszerét/folyamatát. Így a vizsgált szervezetek többsége csak hiányosan tesz eleget az adatvédelmi szabályzat kialakítására vonatkozó törlési kötelezettségének.

Felelősségi szabályok

Amennyiben egy gazdasági társaság fenti kötelezettségeinek nem tesz eleget, az ebből eredő szankciókat a vezető tisztségviselők és a munkavállalók is megszenvedhetik. Három pontban foglaltuk össze a legfontosabb fenyegetettségeket, melyek a jogszabályba ütköző adattörlési rendszer és gyakorlatok miatt jelenhetnek meg egy cégnél.

Vezető tisztségviselő felelőssége

Kevésbé ismert szabályozás, hogy nem csupán a gazdasági társaságok tulajdonosai tartoznak felelősséggel a társaság által okozott károkkal kapcsolatban, hanem azok vezető tisztségviselői is.

A Gt. 30. § (2) bek. alapján „A vezető tisztségviselők a gazdasági társaság ügyvezetését az ilyen tisztséget betöltő személyektől általában elvárható gondossággal – és ha e törvény kivételt nem tesz –, a gazdasági társaság érdekeinek elsődlegessége alapján kötelesek ellátni. A vezető tisztségviselők a polgári jog általános szabályai szerint felelnek a gazdasági társasággal szemben a jogszabályok… felróható megszegésével a társaságnak okozott károkért."

Munkavállalók felelőssége

Mt. 179. § (1) alapján a munkavállaló a munkaviszonyból származó kötelezettségének megszegésével okozott kárt köteles megtéríteni, ha nem úgy járt el, ahogy az adott helyzetben általában elvárható.

(3) A kártérítés mértéke nem haladhatja meg a munkavállaló négyhavi távolléti díjának összegét. Szándékos vagy súlyosan gondatlan károkozás esetén a teljes kárt kell megtéríteni.

Nem kell a munkavállalónak megtérítenie azt a kárt, amelynek bekövetkezése a károkozás idején nem volt előrelátható, vagy amelyet a munkáltató vétkes magatartása okozott, vagy amely abból származott, hogy a munkáltató kárenyhítési kötelezettségének nem tett eleget.

A munkavállaló felelősségének megállapításához szükséges, hogy a munkavállaló valamely munkaviszonyból eredő kötelezettségét megszegje (pl. munkaköri kötelezettségek, együttműködési kötelezettség). Ez megnyilvánulhat tevőleges magatartásban és mulasztásban is.

Külön kategóriaként jelenik meg a munkavállalók körében a vezető állású munkavállaló, akinek kiemelt jelentőségű, vagy fokozott bizalmi jellegű munkaköréhez kiemelt felelősség is társul. A vezető állású munkavállaló ugyanis gondatlan károkozás esetén a teljes kárért felel.

Közalkalmazottak felelőssége

A közalkalmazottakra főszabály szerint a munkavállalókra irányadó felelősségi szabályokat kell alkalmazni. A vonatkozó jogszabály szerint súlyosan gondatlannak minősül a közalkalmazott károkozása – vagyis a közalkalmazottnak a teljes kárt meg kell térítenie – különösen akkor, ha a közalkalmazott a munkáltató gazdálkodására vonatkozó szabály – szándékosnak nem minősülő – súlyos megsértésével, vagy az ellenőrzési kötelezettség elmulasztásával, illetve hiányos teljesítésével okozta a kárt, vagy a kár olyan – jogszabályba ütköző – utasítás teljesítéséből keletkezett, amelynek várható következményeire az utasított közalkalmazott előzőleg a figyelmet felhívta.

Hasonlóan a munkavállalókhoz, a közalkalmazottak körében is fokozott felelősség terheli a kiemelten fontos megbízatást betöltő, ún. magasabb vezetőket. A magasabb vezetők – a rájuk irányadó szabályok értelmében – a vezetői tevékenységük keretében gondatlanul okozott kárért teljes mértékben felelnek.

A közszférában dolgozók felelőssége

A közszférában dolgozók felelőssége a munkavállalókra érvényes szabályokhoz nagyon hasonlóan alakul. A kormánytisztviselő, ha nem úgy jár el, ahogyan az az adott helyzetben általában elvárható, a kormányzati szolgálati jogviszonyából eredő kötelezettség megszegésével okozott kárért kártérítési felelősséggel tartozik. Az érvényesíthető kártérítés mértéke nem haladhatja meg a kormánytisztviselő négyhavi illetményét vagy a tartósan külföldön foglalkoztatott kormánytisztviselő négyhavi ellátmányát. Hasonlóan a munkavállalókhoz, a szándékos és súlyosan gondatlan károkozás esetén a teljes kárt meg kell téríteniük.

Büntetőjogi következmények

Az adatkezelési – ezen belül a törlési – kötelezettségek teljesítését, valamint az adatbiztonság követelményének való megfelelést a büntetőjog rendszere is védi.

Az 1978. évi IV. tv. (Régi Btk.) 177/A. § rendelkezik a visszaélés személyes adattal bűncselekményéről. Az (1) bekezdés szerint aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével jogtalan haszonszerzési célból vagy jelentős érdeksérelmet okozva

a) jogosulatlanul vagy a céltól eltérően személyes adatot kezel,

b) az adatok biztonságát szolgáló intézkedést elmulasztja, vétséget követ el.

A (2) alapján az (1) bekezdés szerint büntetendő az is, aki a személyes adatok védelméről vagy kezeléséről szóló törvényi rendelkezések megszegésével az érintett tájékoztatására vonatkozó kötelezettségének nem tesz eleget, és ezzel más vagy mások érdekeit jelentősen sérti.

A (3) bekezdés szerint súlyosabban minősül, ha a személyes adattal visszaélést különleges személyes adatra követik el.

A (4) bek. alapján a cselekmény még súlyosabban minősül, ha személyes adattal visszaélést hivatalos személyként vagy közmegbízatás felhasználásával követik el.

A kapcsolódó joggyakorlat segít értelmezni az elkövetői körre vonatkozó rendelkezéseket. Az 1/2012. Büntető jogegységi határozat szerint a Btk. 177/A. § (1) a) pontjának első fordulatába („jogosulatlanul… adatot kezel”) ütköző személyes adattal visszaélés vétségének az elkövetője nemcsak az adatvédelmi jogszabályok szerinti adatkezelő, hanem bárki lehet.

A 2012. évi C. tv. (Új Btk.) 219. §-a tartalmazza a – szinte csak nevében módosult – bűncselekményre vonatkozó szabályokat. Az új nevén „Személyes adattal visszaélés” cselekményének a törvényi tényállásában a „jogtalan haszonszerzési célból” fordulatot felváltotta a„haszonszerzési célból”szókapcsolat. Ez – az indokolás szerint – a normaszöveg egyszerűsítése miatt került törlésre, így érdemi változást nem hoz.

Szerző: Ormós Ügyvédi Iroda

//]]>