Akciós termékek

Ár 9 990 Ft
Ár 9 990 Ft
Ár 6 990 Ft

Kapcsolat

Dynamic Sport 2002 Kft.
Erkel Ferenc tér 1
2112 Veresegyház
Telefonszám: +36 30/555-0905
farkast70@gmail.com
Bolt tel.: 0628/384-342
Üzletünkben a terméket kipróbálhatja, átveheti.

 

 

Szervizünkben a kiválasztót-árut kérésére felszereljük kerékpárjára.

Üzletünkben személyes átvételkor elmondunk a termékről minden információt.

Nálunk minden termék, szervizszolgáltatás átadása garanciával történik!



Adatvédelmi tájékoztató

A Nemzeti Adatvédelmi és Információszabadság Hatóság
ajánlása
az elozetes tájékoztatás adatvédelmi követelményeirol
I.
Az ajánlás kibocsátásának indoka
Az Alkotmánybíróság állandó gyakorlata1 alapján Magyarország Alaptörvénye VI. cikk (2)
bekezdésében rögzített személyes adatok védelméhez való jog egyik legfontosabb alkotmányos
követelménye az, hogy „mindenki számára követhetové és ellenorizhetové kell tenni az
adatkezelés egész útját, vagyis mindenkinek joga van tudni, ki, hol, mikor, milyen célra használja
fel az o személyes adatát.” Ezen alkotmányos követelmény az adatkezelés megkezdése elott az
elozetes tájékoztatáson keresztül érvényesülhet.
Az érintett az elozetes, megfelelo tájékoztatás alapján képes felismerni azt, hogy az adott
adatkezelés milyen hatással van az információs önrendelkezési jogára és a magánszférájára. Az
érintettek a megfelelo tájékoztatáson keresztül ismerhetik meg a személyes adataikra vonatkozó
adatkezelést, illetve ezáltal érvényesülhet az információs önrendelkezési joguk. Megfelelo
tájékoztatás hiányában az adatkezelo oldalán olyan „információs erofölény” alakulhat ki, amelynek
felhasználásával az érintett jogai, érdekei sérülhetnek.
Az elozetes tájékoztatásra vonatkozó követelményeket a jogalkotó az információs önrendelkezési
jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 20. §-
ában fogalmazta meg. Az elozetes, megfelelo tájékoztatás kötelezettségének központi eleme az
Infotv. 20. § (2) bekezdése2, amely felsorolja azokat az alapveto adatkezelési körülményeket,
amelyekrol az adatkezelonek tájékoztatást kell nyújtania. Emellett az elozetes tájékoztatás
vonatkozásában is jelentos szerepe van az Infotv. 4. § (1) bekezdés második mondatában
megfogalmazott tisztességes adatkezelés alapelvének. Az adatok felvételének tisztességessége
az elozetes tájékoztatással összefüggésben az Infotv. 20. §-ában megfogalmazottakon túlmenoen
további követelmények érvényesülését jelenti.
Tekintettel kell lenni továbbá arra is, hogy az Infotv. 20. § (2) bekezdése alapvetoen egy
példálódzó felsorolást tartalmaz. A jogalkotó alapvetoen azt írja elo az adatkezeloknek, hogy az
adatok „kezelésével kapcsolatos minden tényrol” nyújtsanak tájékoztatást, majd az „így különösen”
fordulatot követoen kiemeli azokat a körülményeket, amelyeket a legfontosabbnak ítél meg. A
Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) szerint az
elozetes tájékoztatás elemeit az Infotv. 15. § (1) bekezdése alapján további követelményekkel kell
1 Az Alkotmánybíróság legeloször a 15/1991. (IV. 13.) AB határozatában mondta ki, legutóbb pedig a 32/2013. (XI. 22.) AB
határozatban.
2 Infotv. 20. § (2) bekezdés „az érintettet az adatkezelés megkezdése elott egyértelmuen és részletesen tájékoztatni kell
az adatai kezelésével kapcsolatos minden tényrol, így különösen az adatkezelés céljáról és jogalapjáról, az
adatkezelésre és az adatfeldolgozásra jogosult személyérol, az adatkezelés idotartamáról, arról, ha az érintett
személyes adatait az adatkezelo a 6. § (5) bekezdése alapján kezeli, illetve arról, hogy kik ismerhetik meg az adatokat.
A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetoségeire is”.
2
kiegészíteni. Az Infotv. 15. §-a az érintettnek azon jogát szabályozza, amikor az adatkezelés
megkezdését követoen szeretne tájékoztatást kérni a személyes adatainak kezelésérol.3 Az Infotv.
15. § (1) bekezdése és az Infotv. 20. § (2) bekezdése között bár átfedés van, azonban az Infotv.
15. § (1) bekezdése több olyan körülményt is felsorol, amely nem található meg az Infotv. 20. § (2)
bekezdésében: a kezelt adatok köre, az adatok forrása, az adatfeldolgozó neve, címe és az
adatkezeléssel összefüggo tevékenysége.
Ezen túlmenoen az Infotv. és más törvények speciális tájékoztatási kötelezettségeket írhatnak elo
az egyes adatkezelések vonatkozásában. Ilyennek tekintheto például az Infotv. 11. § (2)
bekezdése is, amelynek értelmében az érintettet kérelmére tájékoztatni kell az alkalmazott
automatizált módszerrol és annak lényegérol, valamint az érintettnek álláspontja kifejtésére
lehetoséget kell biztosítani. Habár az Infotv. az érintett kérelmére ír elo tájékoztatási
kötelezettséget, a Hatóság álláspontja szerint azonban a tájékoztatásnak már elozetesen meg kell
történnie, hiszen az Infotv. 20. § (2) bekezdése elsorendu kötelezettségként szabja meg, hogy az
adatok kezelésével kapcsolatos minden tényrol tájékoztatni kell az adatalanyt, és az adatkezelo
által alkalmazott automatizált döntéshozatal befolyásolhatja az érintettnek az adatkezeléssel
összefüggésben hozott döntését (hozzájárul-e az adatkezeléshez vagy sem).
Az adatkezeloknek tehát az Infotv. 20. § (2) bekezdésének alapul vételével – és az Infotv. 15. § (1)
bekezdésének és egyéb, speciális tájékoztatási kötelezettségek figyelembe vételével – egy olyan
elozetes tájékoztatást kell biztosítani, amelyen keresztül az adatalanyok felismerhetik azt, hogy az
adatkezelés milyen hatással járhat a magánszférájukra. A Hatóság állandó gyakorlata szerint
ennek legegyszerubb formája egy adatkezelési tájékoztató megalkotása, és annak biztosítása,
hogy az érintettek az adatkezelést megelozoen a tájékoztatót megismerhetik.
A Hatóság megítélése szerint az adatkezelok túlnyomó többsége tisztában van azzal a
kötelezettségével, hogy adatkezelési tájékoztatót kell alkotnia, amelyen keresztül felvilágosítást
nyújt az érintettek számára az általa végzett adatkezelésrol. A Hatóság elvétve találkozik olyan
esettel, hogy valamely adatkezelo ne ismerné ezt a kötelezettségét. A Hatóság azonban azt
tapasztalta, hogy az adatkezelési tájékoztatók sok esetben nem felnek meg a fent kifejtett alapveto
alkotmányos követelménynek, és a magánszemélyek annak alapján nem tudják felismerni azt,
hogy az adott adatkezelés milyen hatással van az információs önrendelkezési jogukra és a
magánszférájukra. A Hatóság álláspontja szerint ez arra vezetheto vissza, hogy az adatkezelok
nem rendelkeznek megfelelo ismeretekkel arról, hogy pontosan milyen követelményeket is
szükséges megtartani az adatkezelési tájékoztatóval kapcsolatban.
A Hatóság az elozetes tájékoztatásra vonatkozó alkotmányos eloírások érvényesülése érdekében
az Infotv. 38. § (4) bekezdés c) pontja alapján ajánlást bocsát ki az adatkezelok részére. Jelen
ajánlásban tisztázza azokat a követelményeket, amelyeket az adatkezeloknek az elozetes
tájékoztatásuk során meg kell tartaniuk, illetve amelyek alapul vételével módosítaniuk kell a
jelenlegi adatkezelési tájékoztatójukat.
3 Ezzel összefüggésben érdemes megjegyezni, hogy habár az Infotv. 15. § (1) bekezdése az érintettnek az Infotv. 14. § a)
pontjában nevesített jogát szabályozza (tájékoztatáshoz való jog), és az érintetti joggyakorlás során az érintettet a konkrét
adatkezelési körülményekrol kell tájékoztatni (így például az adatkezelo konkrétan meg kell neveznie, hogy az érintett mely
személyes adatát kezeli, illetve mi is volt ezen személyes adatok forrása), azonban egy elozetes tájékoztatás során lehetséges
ezeket az adatkezelési körülményeket összefoglalóan, általánosságban meghatározni.
3
A tájékoztatás megadása történhet írásban – különféle levelekben, nyomtatványokon,
szabályzatokban – és egyéb módokon, így szóban is. Az adatkezelonek igazolnia kell a
tájékoztatás megtörténtét, így – egyes kivételektol eltekintve - az írásbeli, dokumentált tájékoztatási
forma a foszabály. A fogyatékossággal élok tájékoztatására vonatkozó egyes speciális szabályokat
az ajánlás melléklete tartalmazza.
Minthogy a tájékoztatást mindig az adott adatkezelésre jellemzo sajátosságok szerint kell
kialakítani, így a szerteágazó célú és különbözo jogalapú adatkezelések esetében egy tipikus
formaszöveget nem lehet meghatározni. A Hatóság azonban az alább részletezendo jogszabályi
rendelkezések, illetve a gyakorlati tapasztalatok, jogesetek bemutatásán keresztül egy olyan
szempontrendszert ad, melyet figyelembe véve, az adott adatkezelésre vonatkoztatva az
adatkezelo kialakíthatja a megfelelo tartalmú és formájú tájékoztatást. Az ajánlás általános
adatkezelésekre vonatkozik, így nem tér ki részletesen az egyes ágazati törvényekben
megfogalmazott speciális követelményekre4.
II.
Az elozetes tájékoztatás minoségével és elérhetoségével összefüggo követelmények
Az ajánlás II. és III. pontjában kiemelt követelmények esetében a Hatóság nagyban támaszkodott
az Adatvédelmi Irányelv5 29. cikke szerint létrehozott Adatvédelmi Munkacsoportnak6 a
hozzájárulás fogalom-meghatározásáról szóló 15/2011. számú véleményében7 (a továbbiakban:
Vélemény) kifejtettekre. A Munkacsoport a Véleményében számos olyan megállapítást tett,
amelyek irányadóak lehetnek az Infotv. alkalmazása szempontjából is.
Az Adatvédelmi Munkacsoport a Véleményben többek között kimondta, hogy „különös
jelentoséggel bír a tájékoztatás módja (egyszeru, zsargon használata nélküli, értheto,
figyelemfelkelto szövegben) annak értékelésekor, hogy a hozzájárulás tájékozott-e. A tájékoztatás
módját a tartalomhoz kell igazítani: a rendszeres/átlag felhasználó számára érthetonek kell
lennie.”8 Emellett a Munkacsoport kiemelte, hogy fontos a tájékoztatás elérhetosége és
láthatósága: „az információt közvetlenül az egyénekhez kell eljuttatni. Az nem elég, ha az
információ elérheto valahol. […] A tájékoztatásnak jól láthatónak (betutípus és betuméret),
feltunonek és minden részletre kiterjedonek kell lennie.”9
A Hatóság álláspontja szerint az Adatvédelmi Munkacsoportnak a Véleményben megfogalmazott
követelményei levezethetoek az Infotv. 4. § (1) bekezdésében tisztességes adatkezelés
alapelvébol is. A megfelelo, elozetes tájékoztatás körében a tisztességes és törvényes
adatkezelés azt a kötelezettséget állítja az adatkezelovel szemben, hogy a tájékoztatás
4 Ilyen speciális követelmények lehetnek például a gazdasági reklámtevékenység alapveto feltételeirol és egyes korlátairól
szóló 2008. évi XLVIII. törvényben (a továbbiakban: Grt.) vagy a személy- és vagyonvédelmi, valamint a magánnyomozói
tevékenység szabályairól szóló 2005. évi CXXXIII. törvényben (a továbbiakban: Szvtv.).
5 A személyes adatok feldolgozása vonatkozásában az egyének védelmérol és az ilyen adatok szabad áramlásáról szóló
95/46/EK európai parlamenti és tanácsi irányelv.
6 Az Adatvédelmi Munkacsoport az adatvédelemmel, valamint a magánélet védelmével kapcsolatos kérdésekkel foglalkozó,
független európai tanácsadó szerv.
7 http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2011/wp187_hu.pdf
8 Vélemény, 21. oldal.
9 Vélemény, 21. oldal.
4
szakzsargon használata nélküli, bárki számára könnyen értheto szövegben történjen meg.
Emellett az adatkezelonek megfelelo intézkedéseket kell hozniuk az adatkezelési tájékoztató
megismerhetosége és elérhetosége érdekében.
Mindezek figyelembe vételével a Hatóság az alábbi követelményeket fogalmazza meg az
adatkezelési tájékoztató elérhetoségével és minoségével kapcsolatban:
1. A tájékoztatás közérthetoségének biztosítása
Nem fogadható el az a gyakorlat, amennyiben az adatkezelo pusztán szó szerint megismétli a
jogszabályok szövegét. Az adatkezelési tájékoztató lényege ugyanis az, hogy az adatkezelo
milyen módon tartja meg a jogszabályban foglalt követelményeket. A jogszabályi rendelkezések
puszta átvétele az adatkezelési tájékoztató szövegét számos esetben bonyolulttá és nehézkessé
teszik. Egy normaszöveg többnyire rövid, tömör, sallangmentes szöveg, amely értelmezéséhez az
egész jogszabály, illetve az adott jogterület alapelveinek az ismerete is szükséges.
Számos olyan adatkezelési tájékoztatóval lehet találkozni, amelyben szó szerint idézik az
Infotv. 3. §-ában szereplo értelmezo rendelkezéseket (vagy közül néhányat). A Hatóság
ezzel összefüggésben fontosnak tartja, hogy egy-egy fogalmat akkor érdemes definiálni, ha
annak a hétköznapi életben használt értelmétol eltéro jelentése lenne az adatkezelés során
vagy az adatkezelo olyan szakkifejezésnek tekinti, amelynek nincs közismert jelentése.
Ebben az esetben is mindennapi életben használt szavakkal kell körülírnia a fogalmat, és
nem az Infotv. 3. §-ában (vagy akár más jogszabályban) szereplo meghatározást kell a
tájékoztatóba átemelni.
Ehhez hasonlóan, ugyancsak sok esetben lehet találkozni azzal, hogy az adatkezelok az
Infotv. vagy más, adatvédelmi tárgyú törvény alapelveit szó szerint vagy kis módosítással
idézik. Az elozetes tájékoztatásra vonatkozó kötelezettség teljesítése szempontjából
azonban ezen alapelvek nem hordoznak olyan érdemi információt, amelyek az érintettek
számára hasznosak lehetnek. Egy adatkezelési tájékoztató megfogalmazása során nem
annak van jelentosége, hogy az adatkezelo ismeri-e az adatvédelem alapelveit, hanem arról
kell tájékoztatást nyújtania, hogy az adatkezelése során ténylegesen hogyan is
érvényesülnek az alapelvek.
Szintén gyakran lehet találkozni azzal is, hogy az adatkezelok felsorolják az adatkezelésre
vonatkozó jogszabályokat, köztük olyanokat is, amelyek elenyészo szereppel rendelkeznek
az adatkezelésükben. Alapvetoen segítheti az érintettek tájékoztatását az, ha az adatkezelo
megjelöli azt, hogy milyen jogszabályok vonatkoznak az adatkezelésre. Ebben az esetben
azonban érdemes súlyozni, mely jogszabályoknak is lehet fontos szerepe az adatkezelés
megértésében, és mely jogszabályok azok, amelyek csak áttételes szereppel rendelkeznek
az adatkezelésre. Így például több adatkezelési tájékoztatóban is feltüntetik az egyének
védelmérol a személyes adatok gépi feldolgozása során, Strasbourgban, 1981. január 28.
napján kelt Egyezmény kihirdetésérol szóló 1998. évi VI. törvényt, amelynek azonban a
hétköznapokban elenyészo hatása van bármely adatkezelo kötelezettségeire.
A tájékoztató megszövegezésénél – a jogszabályi szöveget kiindulópontként használva – célszeru
az egyes adatkezelési körülményeket rövid, a hétköznapi életben gyakran használt szavakkal
körülírni. Az adatkezeloknek kerülniük kell a többszörösen összetett tagmondatból álló, bonyolult,
hosszú mondatok használatát. Emellett egy összetettebb adatkezelés megértését jelentosen
elosegíti az, ha az adatkezelo példákon keresztül mutatja be az adatkezelést.
5
2. A tájékoztató olvashatósága, áttekinthetosége
A tájékoztatónak strukturáltnak, könnyen áttekinthetonek kell lenni, amelyet elsodlegesen a szöveg
megfelelo szintu tördelésével, felsorolással, pontokba szedéssel lehet elérni. A megfelelo tördelés
kiemelt jelentoségu, hiszen az érintett így könnyen megtalálhatja a szövegben a számára releváns
részeket. Emellett – megfelelo betuméret alkalmazásával – biztosítania kell a szöveg
olvashatóságát.
Példa: a Hatóság több, termékbemutató adatkezelését vizsgáló határozatában
megállapította, hogy a tájékoztató ezen formai szempontnak nem felel meg annak rendkívül
kis betuméretu megjelenítése miatt. Különös tekintettel arra, hogy a termékbemutatók
résztvevoi foleg az idosebb korosztályból kerülnek ki, számukra a tájékoztató
olvashatatlanul kicsi.10
JÓ GYAKORLAT: Bonyolultabb adatkezelések (például több adatkezelési cél, eltéro
jogalapú vagy idotartamú adatkezelések, egyes adatkezelési célok esetében más és más a
személyes adatok köre) esetében a tájékoztatót a könnyebb átláthatóság érdekében – a
szöveges leírás mellett – célszeru lehet táblázatos formában is közzétenni. Így például
ebben az esetben a táblázat oszlopai lehetnek: az adatkezelés megnevezése, az
adatkezelés célja, az adatkezelés jogalapja, a kezelt adatok köre, az adatkezelés
idotartama, de az oszlopok száma vagy elnevezése változhat a konkrét adatkezelési
körülmények ismeretében.
JÓ GYAKORLAT: Ha az adatkezelés jellege engedi, jó gyakorlat lehet egy kérdezz-felelek
mintájú közértheto tájékoztató, amely a leggyakrabban felmerült kérdésekrol ad rövid, tömör
és lényegre töro tájékoztatást.
Példa: KÉRDÉS – „Ha megadom a nevemet és e-mail címemet, akkor az azt jelenti, hogy
az XY adatkezelo korlátlan ideig megorzi személyes adataimat?” VÁLASZ – „Nem,
amennyiben kéred, a személyes adataidat töröljük”.
3. A tájékoztató igazodjon az érintettek köréhez
Amennyiben az adatkezelés során viszonylag nagy pontossággal meghatározható az érintettek
köre, akkor az elozetes tájékoztatásnak igazodnia kell e speciális csoport sajátosságaihoz.
Amennyiben az adatkezelo szándéka szerint az adatkezelés eleve kiterjed külföldi
állampolgárok személyes adataira (például egy hostel vendégkönyve, külföldieknek szóló
pályázat), az adatkezelonek biztosítania kell azt, hogy az adatkezelési tájékoztató legalább
angol nyelven elérheto legyen. Ha az adatkezelés fogyatékossággal élo személyek adataira
is kiterjed, akkor az adatkezelonek törekednie kell arra, hogy a megfogalmazott tájékoztató
akadálymentesen megismerheto legyen bármely fogyatékossággal élo számára. Ez utóbbi
esetben nagyban elosegíti az elozetes tájékoztatás követelményének érvényesülését az, ha
az írásbeli tájékoztató mellett az adatkezelo szóban is ismerteti az adatkezelés lényeges
ismérveit.
10 NAIH-4996/2012H., NAIH-826/2014/H., NAIH-827/2014/H., NAIH-99/2014/H. számú határozatok.
6
4. A tájékoztató nem jognyilatkozat.
A Hatóság tapasztalatai szerint egyes adatkezelok a hozzájáruláson alapuló adatkezelések
esetében az adatkezelési tájékoztatóra jognyilatkozatként tekintenek, amelyen keresztül az
érintettek a személyes adataik kezeléséhez hozzájárulnak. Vitathatatlan, hogy a tájékoztatóban
foglaltak alapvetoen meghatározzák az érintetti beleegyezés, mint jognyilatkozat tartalmát.
Azonban az Infotv. 3. § 7. pontjában definiált hozzájárulás fogalmában élesen elkülönül egymástól
a hozzájárulásról nyújtott elozetes tájékoztatás és az érintett akaratának a kinyilvánítása11. A
megfelelo tájékoztatás az alapja, az elso lépése a beleegyezésnek, amely egy attól különálló,
független követelményként jelenik meg, és az adatkezelo megfelelo tájékoztatása miatt lehet
érvényes az érintett jognyilatkozata.
Példa: egy adatkezelési tájékoztatóban az adatkezelo „A regisztrációhoz kapcsolódó
érintetti jognyilatkozat” cím alatt egyes szám elso személyben, konkrét jognyilatkozatot
fogalmazott meg. Ebben az esetben nem arról volt szó, hogy az adatkezelo tájékoztatta az
érintettet a regisztráció folyamatáról, lényeges sajátosságáról (milyen tartalmú
jognyilatkozatot fogad is el), hanem egy joghatás kiváltására irányuló nyilatkozat szerepelt a
tájékoztatón belül.
Amennyiben az adatkezelok jognyilatkozatként tekintenek az adatkezelési tájékoztatóra, akkor a
Hatóság tapasztalatai szerint ezáltal romlik a tájékoztató közérthetosége, átláthatósága: a túlzottan
pontos, aprólékos jogi megfogalmazás miatt egy átlagos felhasználó nem érti meg azt, hogy
milyen módon is kerül sor a személyes adatai kezelésére. Emellett a jognyilatkozat jellegu
megfogalmazására koncentráló adatkezelo nem feltétlenül teljesíti az Infotv. 20. § (2)
bekezdésében felsorolt követelményeket (például nem tájékoztatja az adatfeldolgozó
igénybevételérol, ami jognyilatkozat szempontjából mellékes kérdés lehet).
5. A tájékoztató ismertesse az adatkezelo egyedi adatkezelését
Ezen követelménynek alapvetoen a több szervezeti egységbol álló adatkezelok esetében van
szerepe, amikor a személyes adatokhoz a szervezetrendszeren belül többen is hozzáférnek. Az
adatkezelési tájékoztató akkor teljesíti az elozetes tájékoztató követelményeit, ha az tartalmazza
az adott szervezetre, cégre vonatkozó saját adatkezelési eloírásokat. Az érintettek ugyanis egy
adott cég, szervezet adatkezelési folyamatát, annak speciális adatkezelési rendjét az Infotv.-ben
rögzített általános adatvédelmi szabályokon túl nincs lehetoségük más forrásból megismerni. Ezek
ismerete nélkül azonban nem ítélhetik meg az adatkezelés hatását a jogaikra nézve, és nem
dönthetnek tájékozottan az adataik kezelésérol.
6. A tájékoztató rendelkezésre állása, elérhetosége
Az Infotv. rendelkezéseibol fakadó követelmény, hogy az adatkezelési tájékoztatónak a személyes
adatok felvételekor az érintettek számára rendelkezésre kell állnia, lehetoséget kell biztosítani
annak megismerésére. Ha például az adatok felvételére az érintett szóbeli közlése útján kerül sor,
az adatkezelonek gondoskodnia kell arról, hogy a tájékoztatót az érintett a helyszínen
elolvashassa. Egy telefonbeszélgetésen keresztül rögzített adatok esetében az adatkezelonek
11 Az Infotv. 3. § 7. pontja alapján hozzájárulás „az érintett akaratának önkéntes és határozott kinyilvánítása, amely
megfelelo tájékoztatáson alapul, és amellyel félreérthetetlen beleegyezését adja a rá vonatkozó személyes adok (…)
kezeléséhez.”
7
biztosítania kell azt, hogy a beszélgetés kezdetekor az adatkezelot képviselo személy egyértelmu
felvilágosítással szolgáljon az adatkezelés lényeges körülményeirol. Az információs társadalom
jelenlegi, technikailag magas szintu környezetében alapvetoen elvárható az is, hogy ezen
túlmenoen az adatkezelo biztosítsa az érintett számára annak lehetoségét, hogy a tájékoztató
folyamatosan elérheto és megtekintheto legyen (így például az érintett az adatkezelo honlapján
keresztül meg tudja tekinteni). A tájékoztatót a honlap nyitóoldalán szükséges elérhetové tenni.
Emellett a tájékoztatót a legfontosabb adatkezelési lépések mindegyikénél érdemes
megismerhetové tenni (például egy regisztráció esetében a regisztráció elott, a regisztráció
folyamatánál, stb.). Azokban az esetekben, ahol a tájékoztatás megjelenítésének technikai korlátja
van (például belépojegy mérete) az érintettek tájékoztatását legmagasabb szinten az a gyakorlat
biztosítja, ha legalább az adatkezelés és az adatkezelo megnevezésre kerül, valamint az adatkezelési
tájékoztató internetes elérhetosége megjelenik. Illetve amennyiben az adatkezelo az általános
szerzodési feltételeibe szeretné elhelyezni az adatvédelmi tájékoztatót, úgy azt a szövegben jól
elkülönülve jelenítse meg.
III.
Az elozetes tájékoztatás Infotv. 20. § (2) bekezdése szerinti követelményei
1. Az adatkezelo megnevezése
Az adatkezelo megnevezése körében alapvetoen az adatkezelo nevét és elérhetoségeit kell
megjelölni. Az adatkezelo amennyiben szükségesnek tartja, további azonosító adatokat is
feltüntethet (például cégjegyzékszám).
Az adatkezelo elérhetoségei körében mindenképpen szükséges mind postai címet (hivatalos
levelezési címet), mind elektronikus elérhetoséget (e-mail cím) megadni. Az adatkezelonek olyan
e-mail címet szükséges választania, amelynek levélforgalmát az adatkezelo munkavállalója
rendszeresen figyeli, ellenorzi és gondoskodik azok érdemben történo megválaszolásáról.
A tájékoztatóban továbbá fel kell tüntetni az adatkezelo honlapjának címét, mivel az adatkezelési
tájékoztató folyamatos elérhetoségét ezen keresztül lehet a legegyszerubben biztosítani, így az
érintettek bármikor könnyen és egyszeruen felvilágosítást kaphatnak, hogy személyes adataikat
milyen adatkezelési körülmények mellett kezelik.
Az adatkezeloknek bizonyos esetekben (például a telefonbeszélgetésen keresztül végzett
adatkezeléseknél) fokozottan ügyelniük kell arra, hogy az érintett egyértelmuen azonosítani tudja
az adatkezelot.
Példa: a termékbemutatót vizsgáló hatósági eljárásokban a call centerek muködésének rengeteg
hiányossága volt megállapítható. A vizsgálat feltárta, hogy a call script a bemutatkozásnál nem
követeli meg kifejezetten az adatkezelo nevének közlését, továbbá semmilyen iránymutatást nem
tartalmaz arról, hogy miképpen tájékoztassák az érintetteket az adatkezelés körülményeirol, így az
adatkezelo személyérol, az adatok forrásáról, az adatkezelés céljáról és az érintetti jogokról. Egy
másik call script ugyan tartalmaz bemutatkozási fordulatot is, azonban csak a telefonáló munkatárs
nevének közlését írja elo, az adatkezelo adatainak közlését nem. A beszélgetés adategyeztetéssel
ér véget, ahol elkérik az érintett mobiltelefonszámát és e-mail címét is, azonban ezen a ponton sem
8
található utasítás az adatkezelo személyérol, illetve az adatkezelés lényeges körülményeirol való
tájékoztatás megadására. Egyik call script sem tartalmazza az adatkezelo nevét.12
Az adatkezelési tájékoztatóban fel lehet tüntetni az adatkezelo telefonszámát is. Ezzel
kapcsolatban érdemes megjegyezni, hogy azon keresztül legfeljebb általános tájékoztatást lehet
adni az érintettek számára, de az érintett bármely jogának gyakorlásával kapcsolatos nyilatkozatát
(így például az adatairól való tájékoztatáskérést) alapvetoen írásban fogadhatja el az adatkezelo
(elektronikus úton vagy postai úton). Ezzel biztosítani lehet azt, hogy ha az adatkezelonek
kétségei vannak az érintett kilétét illetoen, hogy az adott kérelem valóban az adatalanytól
származik-e, akkor valamilyen azonosítási eljárás alapján az adatkezelo megbizonyosodhasson az
érintett személyének hitelességérol.
Többes adatkezelés, illetve adattovábbítás esetén minden adatkezelo nevesítése szükséges13, az
elozokben részletezett elérhetoségek megjelölésével.
2. Az adatkezelés célja
Az információs önrendelkezési jog egyik legfontosabb garanciája a célhoz kötött adatkezelés
követelménye. 14 Egy adatvédelmi tájékoztató minimális követelményének tekintheto tehát az,
hogy az adatkezelo pontosan megjelölje az adatkezelés célját.
Az adatkezelonek az adatkezelés célját úgy kell megfogalmazni, hogy az érintett egyértelmuen
meg tudja állapítani azt a tevékenységet, amelyhez a személyes adatai kezelése kapcsolódik. Az
adatkezelonek ügyelnie kell arra, hogy az adatkezelési cél kelloen konkrét és pontos legyen.
Például nem elegendo az, hogy a személyes adatokat marketing célból kezeli, mert ebbe az
értelmezésbe beletartozhat az érintettnek küldött reklámoktól kezdve a marketing más
megvalósulási formái is (például a személyes adatok felhasználása promóciós kiadványok
elkészítésére). Ebben az esetben szükséges úgy leszukíteni az adatkezelési célt, hogy az csak
egyféle értelmezést tegyen lehetové (a fenti példánál maradva a túl általános „marketing cél”
helyett az adatkezelo az adatkezelés céljaként például azt jelölje meg, hogy „reklámlevelek
küldése e-mailen keresztül”). E helyütt is fontos megemlíteni, hogy az adatkezelés céljának
12 pl. NAIH-4996/2012/H., NAIH-320/2014/H.
13 Az Adatvédelmi munkacsoport 1/2010. számú, az adatkezelo és az adatfeldolgozó fogalmáról szóló véleménye
szerint: „A lényeg annak a biztosítása kell, hogy legyen, hogy még az olyan összetett adatfeldolgozási környezetekben
is, ahol a személyes adatok feldolgozásában különbözo adatkezelok játszanak szerepet, egyértelmuen megállapítsák az
adatvédelmi szabályok betartásáért és az e szabályok esetleges megszegéséért való felelosséget, annak elkerülése
érdekében, hogy csökkenjen a személyes adatok védelme vagy a „negatív hatásköri összeütközés”, és joghézagok
merüljenek fel, mivel ennek eredményeként az irányelvbol eredo egyes kötelezettségeket vagy jogokat egyik fél sem
biztosítaná. Leginkább ezekben az esetekben fontos, hogy az érintettek egyértelmu tájékoztatást kapjanak, amely
ismerteti a feldolgozás különbözo szakaszait és kifejti, hogy ezeknek kik a szereploi. Meg kell határozni továbbá, hogy
minden adatkezelo minden érintett jogai tekintetében illetékes-e, illetve hogy melyik jogra vonatkozóan melyik
adatkezelo illetékes.”.
14
Az Infotv. 4. § (1) bekezdése szerint „személyes adat kizárólag meghatározott célból, jog gyakorlása és kötelezettség
teljesítése érdekében kezelheto. Az adatkezelésnek minden szakaszában meg kell felelnie az adatkezelés céljának, az
adatok felvételének és kezelésének tisztességesnek és törvényesnek kell lennie.(2) Csak olyan személyes adat
kezelheto, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas. A személyes
adat csak a cél megvalósulásához szükséges mértékben és ideig kezelheto.”
9
megjelölésekor is lényeges a közérthetoség, ezért kerülendo a szakzsargon, a speciális szakmai
kifejezések használata (pl. targetálás).
Nem elfogadható olyan adatkezelési cél megjelölése, amely elfedi az adatok felhasználásának
tényleges, valós indokát, célját.
Példa: A termékbemutatók adatkezelése ügyében született határozatok szinte mindegyike megállapítja,
hogy az adatkezelés valós céljáról nem tájékoztatták az érintetteket. A telefonon felhívott embereket
egészségnapra invitálják, és a helyszínen derül ki, hogy valójában termékbemutatóra érkeztek, tehát
adataikat is e célból kezelik, az adatkezelés valós célja nem egészségügyi, hanem gazdasági cél. A
tájékoztatónak ezért tartalmaznia kell azt is, hogy az adatkezelés a termékértékesítés céljából
szervezett rendezvény lebonyolítása érdekében történik.15
Bizonyos adatkezelések esetében az adatkezelés céljáról nyújtott tájékoztatással összefüggésben
többletkövetelmény állapítható meg.
Példa: a munkahelyi kamerás megfigyelorendszerrel kapcsolatos ajánlásában a Hatóság leszögezi,
hogy a munkáltatónak a tájékoztatóban minden egyes kamera vonatkozásában pontosan meg kell
jelölnie, hogy az adott kamerát milyen célból helyezte el az adott területen és milyen területre,
berendezésre irányul a kamera látószöge. A munkáltató ezzel igazolni tudja a munkavállaló számára
azt, hogy miért tekintheto szükségesnek az adott terület megfigyelése. Nem fogadható el az a
gyakorlat, amikor a munkáltató általánosságban tájékoztatja a munkavállalókat arról, hogy
elektronikus megfigyelorendszert alkalmaz a munkahely területén.16
A bonyolultabb, összetettebb adatkezelés esetén (például több adatkezelési cél esetén, amikor
egyes célokhoz más és más adatkört használ az adatkezelo) az adatkezelés céljával egyidejuleg a
kezelt adatok körérol is tájékoztatást kell nyújtani. Az adott személy akkor tudja felmérni azt, hogy
az adatkezelés milyen hatással jár a magánszférájára, ha a kezelt adatok körét is látja - ennek
alapján tudja megítélni azt, hogy az adatkezeléshez hozzájáruljon-e vagy sem. Emellett ezáltal az
adatkezelo biztosítja az adatalany számára annak lehetoségét, hogy ellenorizze az Infotv. 4. § (2)
bekezdésében rögzített alapelv teljesülését: valóban elengedhetetlenül szükséges adatokat kezelie
az adatkezelo, illetve a cél megvalósulásához szükséges mértéku-e az adatkezelés.
Az adatkezelés célja körében – de akár ettol függetlenül, egy különálló cím alatt – szükséges azt is
bemutatni, hogy milyen módon használja, vagy használhatja fel az adatkezelo a személyes
adatokat. Így például a vagyonvédelmi célú kamerás megfigyelés esetében az adatkezelési
tájékoztatóban rögzíteni kell, hogy az adatkezelo milyen esetben jogosult visszanézni a
felvételeket, illetve kiknek adhatja át a felvételeket.
3. Az adatkezelés jogalapja
a) Az Infotv. 20. § (1) szerint „az érintettel az adatkezelés megkezdése elott közölni kell, hogy
az adatkezelés hozzájáruláson alapul vagy kötelezo”. Önkéntes hozzájáruláson alapuló
adatkezelés esetén a hozzájárulást megalapozó tájékoztatónak tehát ezt egyértelmuen ki
15 NAIH-4996/2012H., NAIH-826/2014/H., NAIH-827/2014/H., NAIH-99/2014/H.
16 A Nemzeti Adatvédelmi és Információszabadság Hatóság ajánlása a munkahelyen alkalmazott elektronikus
megfigyelorendszer alapveto követelményeirol
10
kell mondania. A hozzájárulás esetén a jogalapról szóló tájékoztatásban a „hozzájárulás”
kifejezés használatán túlmenoen meg kell jelölni azt a jogszabályhelyet, amelyik a
hozzájárulásról rendelkezik17. Egyes adatkezelések estében röviden ki kell fejteni a
hozzájárulás tartalmát is.
Példa: az elektronikus megfigyelorendszer esetében a hozzájárulás ráutaló magatartással is
megadható. Ebben az esetben röviden ismertetni kell, hogy a ráutaló magatartás ekkor azt jelenti,
hogy az érintett az erre vonatkozó tájékoztatás ismeretében a kamerák által megfigyelt területre
bemegy.
b) A jogszabályi rendelkezésen alapuló adatkezelések esetében is röviden utalni kell ezen
jogalap sajátosságára is, vagyis arra, hogy ez az adatkezelés az érintett hozzájárulásától
független, mivel az adatkezelést a jogalkotó törvényben határozta meg. Ebben az esetben
nem elegendo pusztán a jogszabály nevét feltüntetni, hanem meg kell jelölni az
adatkezelési körülményeket tartalmazó jogszabályhelyet is.
c) Az Infotv. más jogalapjainál is természetesen szükséges a jogalap rövid bemutatása, hogy
az érintettek megértsék, az adatkezelo mely jogalapot miért is alkalmazza a személyes
adataik kezelésére.
4. A kezelt adatok köre
Az adatkezelési tájékoztatóban pontosan fel kell sorolni azokat a személyes adatokat, amelyekre
az adatkezelés kiterjed. Nem elégséges, ha az adatkezelok gyujtofogalommal határozzák meg a
kezelt személyes adatok körét (például személyazonosító adatok, elérhetoségi adatok).
Az Infotv. 3. § 2. pontja alapján személyes adatnak minosül az adatból levonható, az érintettre
vonatkozó következtetés is, így adott esetben az adatkezelési tájékoztató megfogalmazásakor
erre is ki kell térni.
Példa: az elektronikus megfigyelorendszer elsodlegesen az érintett képmását rögzíti, azonban a
megfigyeléssel összefüggésben további személyes adat kezelése is történhet. Az Infotv. 3. § 2.
pontja szerint ugyanis nem csak az érintettel kapcsolatba hozható adat minosül személyes adatnak,
hanem az adatból levonható, az érintettre vonatkozó következtetés is. Ennek alapján személyes
adatnak tekintheto az érintett magatartása is, amit a kamera rögzít. Erre a körülményre szintén utalni
kell a tájékoztatóban.
Mint már korábban szó volt róla, a bonyolultabb, összetettebb adatkezelés esetén a kezelt adatok
körét az adatkezelés céljával egy helyen szükséges meghatározni, például egy táblázatos
formában. A magánszemély ennek alapján tudja megítélni azt, hogy az adatkezeléshez
hozzájáruljon-e vagy sem. Emellett ezáltal az adatkezelo biztosítja az érintett számára annak
lehetoségét, hogy ellenorizze az Infotv. 4. § (2) bekezdésében szereplo alapelv teljesülését:
valóban elengedhetetlenül szükséges adatokat kezeli-e az adatkezelo, illetve a cél
megvalósulásához szükséges mértéku-e az adatkezelés.
17 Így például: az Infotv. 5. § (1) bekezdés a) pontja, Grt. 6. § (1)-(2) bekezdés, az Szvtv. 30. § (2) bekezdése.
11
5. Az adatkezelés idotartama
Az adatkezelés idotartamáról adatkezelési célokhoz kapcsolódóan kell tájékoztatni az érintetteket.
A Hatóság azt javasolja az adatkezeloknek, hogy az adatkezelési célhoz és a kezelt adatok
köréhez kapcsolódjon az idotartamról szóló tájékoztatás, ezáltal e tekintetben is elosegítve azt,
hogy az érintett ellenorizni tudja az Infotv. 4. § (2) bekezdésében foglalt alapelv teljesülését.
Amennyiben az adatkezelés idotartama tekintetében valamely jogszabály eloírást tartalmaz, úgy
azt a tájékozatóban fel kell tüntetni (például az Szvtv. meghatározza, mennyi ideig lehet tárolni az
Szvtv. szerinti célból készített felvételeket).
6. Adatfeldolgozó igénybevételérol szóló tájékoztatás
Az adatfeldolgozó megjelölésével kapcsolatban az 1. pontban írtak irányadóak: az errol szóló
tájékoztatásban legalább az adatfeldolgozó nevének és elérhetoségének kell szerepelnie (de az
adatkezelo döntése alapján más adatok is szerepelhetnek benne). Az adatfeldolgozó
igénybevételéhez nem kell az érintett elozetes beleegyezése, de szükséges a tájékoztatása. Az
információs önrendelkezési jog érvényesülése érdekében az adatkezelonek biztosítania kell, hogy
a magánszemély a személyes adatai útját a feldolgozásuk során követni, és a jogait érvényesíteni
tudja, ezért az adatkezelonek az adatkezelés megkezdése elott nem elegendo az adatkezelési
tájékoztatóban azt megjelölni, hogy az adatkezelés során adatfeldolgozót vesz igénybe, hanem az
adatátvevo személyét is pontosan meg kell jelölnie, ahogy azt az Infotv. 20. § (2) bekezdése is
eloírja. Nem elfogadható pl. az olyan megfogalmazás, hogy „az adatkezelo adatfeldolgozót vesz
igénybe” vagy „az adatkezelo személyes adatokat adatfeldolgozónak átadja”.
Emellett a Hatóság elvárja, hogy az adatkezelo a tájékoztatóban jelölje meg, hogy az
adatfeldolgozó pontosan milyen tevékenységet lát el az adatkezelo számára (például
tárhelyszolgáltató igénybevétele esetén az általa végzett muvelet a személyes adatok tárolása).
Az érintett számára ez teszi követhetové a személyes adatai áramlásának útját, illetve így tudja
felismerni azt, milyen szervezetek, milyen módon kapcsolódnak az adatkezeléshez. A
tájékoztatásnak arra is ki kell térnie, hogy az adatfeldolgozó milyen személyes adatokhoz, milyen
idotartamra fér hozzá, és azokon milyen adatkezelési muveleteket végez.
Ha az adatkezelo nem vesz igénybe adatfeldolgozót, akkor ezt a körülményt érdemes a
tájékoztatóban külön rögzíteni.
7. Az adatok megismerésére jogosult személyek köre
A tájékoztatóban szükséges annak részletezése, hogy az adatokhoz ki, milyen módon férhet
hozzá. Ennek alapvetoen a nagyobb szervezetrendszeren belül van jelentosége, ahol több
különbözo feladatokat ellátó szervezeti egység is kezelheti a személyes adatokat. Kiemelt
jelentosége van továbbá a munkahelyi adatkezelések esetében is, minthogy a munkahelyen egyegy
személyes vagy különleges adat jogosulatlan megismerése jelentos hatással lehet a
munkavállalók információs önrendelkezési jogára és magánszférájára.
Ezzel összefüggésben szükséges arra is kitérni, hogy az adatokhoz hozzáféro személyek és
szervezetek milyen adatkezelési muveleteket hajthatnak végre a személyes adatokkal
12
kapcsolatban (például a rögzített felvételekhez mely személyek férhetnek hozzá - de ez nem
jelenti a munkatársak név szerinti megnevezését, csupán munkakör alapján kell azonosítani oket).
8. Adatbiztonsági intézkedésekrol szóló tájékoztatás
Az Infotv. 20. § (2) bekezdés nem nevesíti az adatbiztonsági intézkedéseket, azonban a Hatóság
szerint elvárható, hogy az adatkezelok röviden és közérthetoen ismertessék, milyen adatbiztonsági
intézkedésekkel gondoskodnak a személyes adatok védelmérol.
Az adatbiztonsági intézkedésekrol szóló tájékoztatás esetében nem fogadható el az, hogy szó
szerint idézik az Infotv. 7. §-át. Az adatkezeloknek természetesen nem szükséges részletes
felvilágosítást nyújtani az egyes adatbiztonsági intézkedésekrol, hiszen ezzel veszélyeztethetik
azok hatékonyságát, azonban törekedniük kell arra, hogy az érintettek megismerhessék azokat a
fobb intézkedéseket és azok lényegét, amelyekkel az adatkezelok védik a személyes adataikat.
9. Az Infotv. 6. § (5) bekezdésén alapuló adatkezelésrol szóló tájékoztatás
Az adatkezeloknek a tájékoztatóban külön pontban (címben, alcímben, fejezetben), más
adatkezelési körülményektol elkülönítetten kell az érintetteket tájékoztatniuk az Infotv. 6. § (5)
bekezdésén alapuló adatkezelésrol. Ez ugyanis jelentosen korlátozza az érintettek információs
önrendelkezési jogát, hiszen az Infotv. 6. § (5) bekezdése épp az érintett hozzájárulásának hiánya
esetére teszi lehetové az adatkezelést (az érintett visszavonta a hozzájárulását vagy valamilyen
méltányolható indokból az adatkezelonek nem kell beszerezni az érintett külön hozzájárulását az
adatkezeléshez)18.
Ezen jogalap alkalmazáshoz az adatkezeloknek el kell végezniük az ún. érdekmérlegelési tesztet,
amelyre vonatkozóan irányadó megállapításokat tartalmaz az Adatvédelmi Munkacsoport 6/2014.
számú Véleménye19. Az érdekmérlegelési teszt voltaképp egy három lépcsos folyamat, melynek
során azonosítani kell az adatkezelo jogos érdekét, valamint a súlyozás ellenpontját képezo
adatalanyi érdeket és az érintett alapjogot, végül a súlyozás elvégzése alapján meg kell állapítani,
hogy kezelheto-e a személyes adat.
18 Infotv. 6. § (1) Személyes adat kezelheto akkor is, ha az érintett hozzájárulásának beszerzése lehetetlen vagy
aránytalan költséggel járna, és a személyes adat kezelése
a) az adatkezelore vonatkozó jogi kötelezettség teljesítése céljából szükséges, vagy
b) az adatkezelo vagy harmadik személy jogos érdekének érvényesítése céljából szükséges, és ezen érdek
érvényesítése a személyes adatok védelméhez fuzodo jog korlátozásával arányban áll.
(5) Ha a személyes adat felvételére az érintett hozzájárulásával került sor, az adatkezelo a felvett adatokat törvény eltéro
rendelkezésének hiányában
a) a rá vonatkozó jogi kötelezettség teljesítése céljából, vagy
b) az adatkezelo vagy harmadik személy jogos érdekének érvényesítése céljából, ha ezen érdek érvényesítése a
személyes adatok védelméhez fuzodo jog korlátozásával arányban áll
további külön hozzájárulás nélkül, valamint az érintett hozzájárulásának visszavonását követoen is kezelheti.
19 6/2014. számú vélemény az adatkezelo 95/46/EK irányelv 7. cikke szerinti jogszeru érdekeinek fogalmáról, WP217,
http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp217_hu.pdf#h2-2
13
A teszt eredményérol oly módon kell tájékoztatni az érintetteket, hogy annak alapján egyértelmuen
meg tudják állapítani, mely jogos érdek alapján miért is tekintheto arányos korlátozásnak az, hogy
az adatkezelo a beleegyezésük nélkül kezeljen személyes adatot.
10. Az érintettek jogai és jogérvényesítési lehetoségei
Az érintetteket az adatkezeléssel összefüggésben megilleto jogokról szóló tájékoztatásban az
adatkezeloknek ki kell térni arra, hogy milyen elérhetoségen keresztül tudja a személy a kérelmét
benyújtani, az adatkezelo mennyi idon belül tesz eleget az érintetti kérelemnek. Emellett célszeru
kifejteni az egyes érintetti jogok tartalmát is (akár egy példa bemutatásán keresztül), hiszen az
egyes jogokat a magánszemélyek az elnevezésük alapján nem biztos, hogy ismerik (például a
tiltakozás joga pontosan mire is terjed ki). Emellett az adatkezeloknek ki kell térniük az érintetti
joggyakorlás egyes sajátosságaira.
Példa: az elektronikus megfigyelorendszer üzemeltetésével együtt járó adatkezelés esetében
sajátságosan alakulhat az érintett helyesbítéshez való jog. Az érintett nyilvánvalóan nem kérheti a
felvétel tartalmának módosítását, azonban a felvétellel összefüggésben rögzített egyes adatok
módosítását (például a felvételen látható dátum helyesbítése), feltéve, ha tudja igazolni, hogy az
adat a valóságnak nem felel meg.
Az adatkezeloknek a jogérvényesítési lehetoségek körében mindenekelott érdemes kitérniük arra,
hogy az adatalanynak valamely eljárás kezdeményezése elott célszeru a panaszt az
adatkezelonek elküldenie. A Hatóság tapasztalatai alapján a vizsgálati eljárások túlnyomó
többségében az adatkezelok a Hatóság felszólításának eleget tesznek, sot sokszor maguk az
adatkezelok is belátják, hibát követtek el. A Hatóság ugyanakkor azt is megfigyelte, hogy a
magánszemélyek a panaszaikkal nem keresik meg az adatkezeloket, és ezáltal nincs lehetoség
arra, hogy az adatkezelo magától helyreállítsa a jogszeru állapotot, holott az adatkezelok az
esetek nagy részében a panaszossal együttmuködnének, ha konkrét kérelem érkezne a részükrol.
Az adatkezeloknek a jogérvényesítési lehetoségek között két eljárás kezdeményezésének
lehetoségérol kell tájékoztatást adniuk. Egyfelol fel kell az adatalany figyelmét hívni arra, hogy a
Hatóság eljárását kezdeményezheti. Az adatkezeloknek a tájékoztatóban fel kell tüntetniük a
Hatóság hivatalos elektronikus levezési címét, postai elérhetoségét, telefonszámát, illetve a
Hatóság honlapjának a címét. Másfelol az érintettet tájékoztatniuk kell a bírósághoz fordulás
lehetoségérol. Ebben az esetben az adatkezeloknek ki kell térniük arra a sajátosságra, hogy az
érintett dönthet úgy, hogy a pert a lakóhelye vagy tartózkodási helye szerinti törvényszék elott
indítja meg.20
20 Infotv. 22. § (3) bekezdés.
14
IV.
Az elozetes tájékoztatás és a jogalapok kapcsolata, a tájékoztatás elmaradásának
következményei
1. A hozzájáruláson alapuló adatkezelés és az elozetes tájékoztatás
Az Infotv. 3. § 7. pontja alapján a hozzájárulás kötelezo eleme az, hogy az érintett
akaratnyilvánítása, beleegyezése megfelelo tájékoztatáson alapuljon. A Hatóság az ajánlásban
korábban már kiemelte az elozetes, megfelelo tájékoztatás jelentoségét. A magánszemélyek a
megfelelo tájékoztatáson keresztül ismerhetik meg a személyes adataikra vonatkozó adatkezelést,
illetve ezáltal érvényesülhet az érintett információs önrendelkezési joga: az az adatkezelés lehet
jogszeru, amelynek körülményei az érintettek elott maradéktalanul ismertek. Az adatalany az
elozetes, megfelelo tájékoztatás alapján képes felismerni azt, hogy az adott adatkezelés milyen
hatással van az információs önrendelkezési jogára és a magánszférájára.
A hozzájárulásnak az adatvédelmi jogban három, egymáshoz konjunktív módon kapcsolódó
tartalmi eleme van: az önkéntesség, a határozottság, és a megfelelo tájékozottság. A hozzájárulás
kizárólag akkor tekintheto jogszerunek, ha mindhárom tartalmi követelményt teljesíti. A
hozzájárulás alapján az adatkezelés csak addig terjedhet, ami a tájékoztatás alapján indokolt.
Ezért nem tekintheto megadottnak a hozzájárulás olyan adatkezelési muveletekre nézve, melyrol
az érintetett elozetesen nem tájékoztatták.
Minél összetettebb az adatkezelés, annál nagyobb az elvárás az adatkezelovel szemben. Minél
nehezebbé válik az átlagpolgár számára átlátni és megérteni az adatkezelés valamennyi elemét,
annál nagyobb erofeszítéseket kell tennie az adatkezelonek annak bizonyítása érdekében, hogy a
hozzájárulás megszerzése konkrét és értheto tájékoztatáson alapult .21
Az elozetes, megfelelo tájékoztatás elmaradásának következményét objektív, a
magánszemélyekre jellemzo egyedi körülményektol függetlenül kell megítélni (így például nincs
jelentosége annak, hogy egy-egy személy milyen jogi ismeretekkel vagy milyen szövegértelmezési
képességgel rendelkezik). Amennyiben a tájékoztatás hiányosságai jelentosen befolyásolták a
személyeket akaratuk kinyilvánításában, és emiatt az adatkezelés hatásait jelentosen
korlátozottan ismerhették fel, akkor az adatkezelo nem rendelkezik megfelelo jogalappal az
adatkezeléshez és az adatkezelése jogellenes lesz. Az adatkezelés jogszeruségének megítélését
nem befolyásolja az a körülmény, hogy az adatkezelo a hozzájárulás 3. § 7. pontjában szereplo
további követelményeit adott esetben teljesítette (például az adatkezelo „checkbox”
alkalmazásával biztosította a hozzájárulás határozottságát és félreérthetetlenségét).
A Hatóság szerint nem önmagukban, egymástól elszigetelve kell vizsgálni a hozzájárulás egyes
törvényi ismérveit, hanem összességükben, az egymásra gyakorolt hatásukkal együttesen kell
megítélni, hogy az adatkezelo gyakorlata megfelelt-e az adatvédelmi követelményeknek. A
Hatóság álláspontja szerint adott esetben a megfelelo tájékoztatás elmaradása aláássa az akarat
kinyilvánításának tudatosságát, tájékozottságát, és emiatt nem érvényesülhet megfeleloen sem a
hozzájárulás határozottsága, sem pedig annak félreérthetetlensége, illetve az önkéntesség is
megkérdojelezheto.
21 Vélemény 22. oldal
15
Amennyiben azonban az adatkezelo teljesíti az Infotv. 3. § 7. pontjában szerepelo további
követelményeket, akkor az elozetes tájékoztatás hiányosságából fakadó jogellenességet azzal
lehet orvosolni, ha az adatkezelo módosítja az adatkezelési tájékoztatót, és az alapján újabb –
önkéntes, határozott és félreérthetetlen – hozzájárulást kér az érintettektol az adatkezeléshez.
Azon érintettek esetében, akik ezt a hozzájárulást elmulasztják, az adatkezelo nem rendelkezik
megfelelo jogalappal az adatkezeléshez, így esetükben a személyes adataikat törölniük kell.
2. A törvényen alapuló adatkezelés és az elozetes tájékoztatás
Az Infotv. a törvényi felhatalmazáson alapuló adatkezelés esetén is megköveteli az érintettek
tájékoztatását, mely egyrészt a pontos törvényhely megjelölését, másrészt a 20. § (4)
bekezdésében felsoroltak ismertetését jelenti22. Törvényen alapuló adatkezelés esetén gyakori,
hogy több tízezer, százezer személy személyes adatának kezelésére ad felhatalmazást a
jogszabály, ezért a Hatóság álláspontja szerint a tisztességes adatkezelés alapelvének
követelményébol levezethetoen, törvényen alapuló adatkezelés esetén is elvárható részletes
tájékoztatás.
Példa: felsooktatási intézmény több tízezer hallgató és több száz alkalmazott személyes adatait
kezeli az Nft23. felhatalmazása alapján. Az adatkezelés többek között kiterjed az érintettek
természetes személyazonosító adataira, lakcímére, azonosító jeleire (adóazonosító jel, TAJ-szám),
állampolgárságára, adott esetben szociális körülményeire, egészségügyi adataira, illetve az
alkalmazottak és a hallgatók részére történo kifizetésekre is. A Hatóság álláspontja szerint az adatok
ilyen széles körét érinto adatkezelés esetében nem fogadható el az a gyakorlat, hogy ha az
adatkezelo az érintett számára nyújtott elozetes tájékoztatóként pusztán valamely jogszabály
rendelkezéseire hivatkozik. Az ilyen gyakorlat sérti a tisztességes adatkezelés elvét, hiszen
aránytalanul korlátozza az érintett azon jogát, hogy az adatkezelés lényeges körülményeit még az
adatkezelés megkezdése elott megismerhesse.24
3. Az érdekmérlegelésen alapuló adatkezelés és az elozetes tájékoztatás
A Hatóság az érdekmérlegelésen alapuló jogalap körében az Infotv rendelkezésein túl az
Adatvédelmi Irányelv 7. cikkének f) pontját is figyelembe veszi. Erre tekintettel a Munkacsoportnak
az adatkezelo 95/46/EK irányelv 7. cikke szerinti jogszeru érdekeinek fogalmáról szóló 6/2014. számú
véleménye közvetlen iránymutatásként szolgál a magyarországi adatkezelok számára is.
22 Infotv. 20. § (3) Kötelezo adatkezelés esetén a tájékoztatás megtörténhet a (2) bekezdés szerinti információkat
tartalmazó jogszabályi rendelkezésekre való utalás nyilvánosságra hozatalával is.
(4) Ha az érintettek személyes tájékoztatása lehetetlen vagy aránytalan költséggel járna, a tájékoztatás megtörténhet az
alábbi információk nyilvánosságra hozatalával is:
a) az adatgyujtés ténye,
b) az érintettek köre,
c) az adatgyujtés célja,
d) az adatkezelés idotartama,
e) az adatok megismerésére jogosult lehetséges adatkezelok személye,
f) az érintettek adatkezeléssel kapcsolatos jogainak és jogorvoslati lehetoségeinek ismertetése, valamint
g) ha az adatkezelés adatvédelmi nyilvántartásba vételének van helye, az adatkezelés nyilvántartási száma, kivéve a 68.
§ (2) bekezdésében foglalt esetet.
23 2011. évi CCIV. törvény a nemzeti felsooktatásról
24 : NAIH-2332-4/2013/V
16
A Munkacsoport ajánlása ezen jogalap körében a tájékoztatással kapcsolatban, hogy az
adatkezelo az adatalanyi jogok gyakorlása, illetoleg az adatkezelés ellenorzése érdekében
közértheto és világos módon magyarázza meg az adatalanyok részére, miért tartja úgy, hogy az
adatkezeléshez fuzodo jogos érdeke felülmúlja az adatalany érdekeit és jogait, illetoleg
tájékoztassa az adatalanyokat a bevezetett garanciákról és a tiltakozási lehetoségérol.
Az érdekmérlegelési teszt elvégzése, és az errol való tájékoztatás tehát a jogszeru adatkezelés
feltétele ezen jogalap esetében. A Hatóság már hatósági határozatban is foglalkozott a jogalap
jogszeru alkalmazása esetén szükséges feltételek és garanciák hiánya és a nem megfelelo
tájékoztatás jogkövetkezményeivel.
Példa: Az adatbázis átruházója nem végezte el az érdekmérlegelési tesztet, így annak
eredményérol sem tájékoztathatta az adatalanyokat, valamint a megfelelo leiratkozási lehetoséget
sem biztosította a részükre. A Hatóság megállapította, hogy az adatbázisban szereplo személyes
adatok a megfelelo jogalap jogszeru alkalmazásához szükséges feltételek és garanciák biztosítása
nélkül, jogellenesen kerültek átruházásra. Mérlegelve azonban az adott jogeset összes körülményét,
különösen azt, hogy az adatbázis átruházásával az adatalanyok érdekeit és alapjogait érinto
hátrányos következmények az adatbázis eddigi fel nem használása miatt nem következtek be, a
Hatóság álláspontja szerint a megfelelo jogalap helyreállítható azáltal, hogy az adatbázis átruházója,
vagy a teljesedésbe ment szerzodés folytán az adatok tényleges kezeloje, az adatbázis
felhasználása elott nyújtott, az átruházásról és az érdekmérlegelési teszt eredményérol adott
megfelelo tájékoztatás mellett megadja az érdekek közötti egyensúly kiegyenlítése érdekében
biztosított tiltakozási lehetoséget az érintettek számára25.
V.
Összegzés
A Hatóság az Infotv. 38. § (4) bekezdés c) pontja alapján az alábbi ajánlást adja az adatkezelok
számára:
A kifejtett szempontok alapján tekintsék át meglévo adatkezelési tájékoztatójukat, vegyék
figyelembe az általuk végzett adatkezelés sajátosságait, és szükség szerint végezzék el azokat a
módosításokat, mellyel a tájékoztatási kötelezettségnek megfeleloen eleget tesznek.
Az ajánlás zárásaként a Hatóság kiemeli, hogy a jelen ajánlásnak megfeleloen megalkotott
adatkezelési tájékoztató önmagában nem teszi jogszeruvé az adatkezelést. Az egyes adatkezelési
körülményeknek (például az adatkezelés célja, idotartama, az adatkezelés jogalapja) az Infotv. és
más adatvédelmi tárgyú törvényeknek megfelelo kialakítása az elsodleges feladata az
adatkezeloknek. Az elozetes tájékoztatást nem lehet elválasztani attól, hogy az is egy folyamat
része, az adatkezelés tervezettségének, végiggondolásának a végeredménye. Mindaz, amit az
érintett megismerhet az adatkezelési tájékoztatón keresztül, az egy alapos, mélyreható
adatkezeloi elemzésnek, tervezésnek a szintézise. A Hatóság felhívja a figyelmet, hogy a
tájékoztató alapvetoen struktúrája lehet egy adatkezelés megtervezésének, azonban az egyes
adatkezelési körülmények részletekbe meno feltérképezése szükséges az adatkezelok részérol.
25 NAIH/2015/515/H. számú határozat
17
Ezzel összhangban az összetett, bonyolultabb adatkezelést végzo, vagy nagyobb
szervezetrendszerrel rendelkezo adatkezeloktol – az adatkezelési tájékoztató megalkotásán
túlmenoen – elvárható, hogy külön, belso adatkezelési szabályzattal rendelkezzenek, amely
kézikönyv jelleggel bemutatja az adatkezelést ténylegesen végzo munkatársak számára azt, hogy
milyen feladatok és kötelezettségek vannak az adatkezelés során.
A Hatóság végül hangsúlyozza azt is, hogy az egyes adatkezelési körülmények idorol idore
megváltozhatnak, illetve az adatkezelo dönthet arról, hogy a folyamatban levo adatkezeléséhez
kapcsolódóan új adatkezelési céllal egészíti ki. Ebben az esetben elkerülhetetlen a tájékoztató
módosítása. Az adatkezelonek kiemelt figyelmet kell fordítania arra, hogy az adatkezelési
körülményekben bekövetkezo változások megjelenjenek az adatkezelési tájékoztatóban is. Ettol
függetlenül is, a Hatóság azt javasolja, hogy évente egy alkalommal az adatkezelo vizsgálja felül
az adatkezelési tájékoztatóját, úgy formai, mint tartalmi szempontból.
Budapest, 2015. szeptember 29.
Dr. Péterfalvi Attila
elnök
c. egyetemi tanár
Melléklet
A „sajátos helyzetu” személyek tájékoztatását elosegíto egyéb kérdések
Az alábbi fejezetben a fent leírtakon túl olyan kérdésekrol is fontos szót ejteni, melyek bizonyos
csoportba tartozó személyek 26 adatkezelési tájékoztatóhoz történo egyenlo esélyu hozzáférését
érintik. A következokben leírtakkal a Hatóság igyekszik képet adni arról, hogy a fentieken
túlmenoen pl. a gyerekek, idos emberek, avagy éppen a fogyatékossággal élo személyek
tájékozódását személyes adataik védelmét illetoen mi könnyíti meg online, illetve a személyesen
történo ügyintézés során.
26 A W3C konzorcium csoportosítása alapján informatikai szempontból – a teljesség igénye nélkül - sajátos helyzetunek
számítanak:
„•Vizuális: vak-, gyengénlátó-, képernyos munkahelyen munkája során képernyot használó, színvak-, színtéveszto-,
epilepsziás-, monokróm eszközt, rossz kontrasztú képernyot vagy mobiltelefont használó emberek
•Auditív: hallássérült-, hangszóróval nem rendelkezo gépen, hangos helyen vagy egy légteru irodában dolgozó
felhasználók
•Mozgási: mozgássérült-, Alzheimer-kóros-, kézsérülés, ínhüvelygyulladás miatt átmenetileg korlátozott, csak billentyut
vagy csak egeret használó felhasználók
•Kognitív: értelmileg akadályozott-, informatika területén járatlan felhasználók, idosek, gyerekek, más kultúrkörbol
származó vagy a honlap nyelvét idegen nyelvként beszélo emberek
•Hardver: mobil eszközön dolgozók, régi elavult hardvert használók, különbözo régebbi verziójú, vagy nagyon új
böngészot használ”.
[forrás: http://www.w3c.hu/szolgaltatasok/miertkellakadalymentesiteni.html]
18
Minden felhasználó számára elengedhetetlen, hogy az egyes honlapokon az adatvédelmi
tájékoztatóhoz könnyen hozzáférhessen, azt minden nehézség nélkül meg tudja találni és el tudja
olvasni (például a látássérülteknek ne kelljen a .pdf vagy egyéb formátumban, képként közzétett
dokumentumot szöveggé konvertálniuk, nem is beszélve arról, hogy az informatikában járatlan
személyek nem képesek a számukra leginkább megfelelo változat létrehozására). Ehhez azonban
fontos, hogy a weboldal egésze (vagy legalább az adatvédelemmel kapcsolatos információkhoz
vezeto út és maga az adatvédelmi tájékoztató) akadálymentes legyen, azaz megfeleljen a World
Wide Web Consortium (a továbbiakban: W3C) által megalkotott Web Content Accessibility
Guidelines 2.0 (a továbbiakban: WCAG 2.0) 27 - kezdetben ajánlás, jelenleg már szabvány 28
követelményeinek.
A személyes ügyintézés során – különösen, amennyiben szerzodéskötésre kerül sor - nemcsak a
pénzügyi szervezetnek minosülo adatkezeloknek ajánlott betartani a Pénzügyi Szervezetek Állami
Felügyelete elnökének a fogyatékos ügyfelekkel kapcsolatos bánásmódról szóló 12/2012. (XI. 16.)
számú ajánlásának 29 III. és IV. r

 


FELHASZNÁLÓINK VÉLEMÉNYEI

 

OTI3MzB