A GDPR magyarázata by ORAC Kiadó

A GDPR magyarázata Szerkesztette: Jóri András Szerzők: Jóri András Soós Andrea Klára Bártfai Zsolt Hári Anita

Lap- és Könyvkiadó Kft.

A kötet szerzői: Jóri András: Előszó, Bevezetés, I–IX. fejezetek Soós Andrea Klára: X–XII. fejezetek, XIV. fejezet 1. pontja Bártfai Zsolt: XIII. fejezet, XIV. fejezet 2. pontja Hári Anita: a kötethez kapcsolódó gdpr.hvgorac.hu oldalon található nyilvántartás- és tájékoztatóminták

A kiadó számára minden jog fenntartva. Jelen könyvet, illetve annak részleteit tilos reprodukálni, adatrendszerben tárolni, bármely formában vagy eszközzel – elektronikus, fényképészeti úton vagy módon – a kiadó engedélye nélkül közölni.

ISBN 978 963 258 429 4 Budapest, 2018 A HVG-ORAC Lap- és Könyvkiadó Kft. kiadása Felelős kiadó: dr. Frank Ádám, a kft. ügyvezetője Internet: www.hvgorac.hu • E-mail: info@hvgorac.hu Felelős szerkesztő: dr. Gábor Zsolt Tipográfia és műszaki szerkesztés: Harkai Éva Szedés: HVG-ORAC Lap- és Könyvkiadó Kft.

TartaloM A leggyakrabban használt rövidítések, utalások . . . . . . . . . . . . . . . . . . . . . . . . . . . 11 Előszó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Hogyan használjuk ezt a könyvet? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 Bevezetés – az adatvédelem helyzete napjainkban Magánszféra és magánszféra-védelem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17 Az adatvédelem fogalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22 Az adatvédelmi szabályozás generációi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27 Az első generációs adatvédelmi törvények . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 30 A népszámlálás-ítélet és az adatvédelmi törvények második generációja . . . . . 31 Globalizáció: adatvédelmi tárgyú nemzetközi dokumentumok . . . . . . . . . . . . . 34 Válság? A második generációs adatvédelmi szabályozás kritikája . . . . . . . . . . . 41 A harmadik generációs adatvédelmi szabályozás . . . . . . . . . . . . . . . . . . . . . . . . . 44 Legújabb fejlemények: jogvédelem az európai joggyakorlatban, az adatvédelem technicizálódása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 A magyarországi fejlemények, az alkotmányos környezet átalakulása . . . . . . . 48 Az általános adatvédelmi rendelet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 I. a személyes adat 1. Az érintett: élő természetes személy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 1.1. Az érintett mint élő személy, elhunyt személyek adataival kapcsolatos speciális rendelkezések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54 1.2. Az érintett mint természetes személy (nem szervezet) . . . . . . . . . . . . . . . . . 58 1.3. Az egyéni vállalkozó . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 60 2. Az érintett „azonosított vagy azonosítható” személy . . . . . . . . . . . . . . . . . . . . . . 61 2.1. Az érintett elkülönült személy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 61 2.2. Azonosított vagy azonosítható személy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 62 2.3. A kódolt adatok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66 2.4. „Kapcsolatba hozható” – jogalkalmazói jogértelmezések . . . . . . . . . . . . . . 69 3. „Bármely információ”. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74 4. A személyes adatok „különleges kategóriái” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79 II. az adatkezelés 1. Jogalkalmazói gyakorlat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88 III. aDATKEZELŐ, KÖZÖS ADATKEZELŐK, ADATVÉDELMI VÁLLALATCSOPORT 1. Ki lehet adatkezelő? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91 2. A cél és eszközök meghatározása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 92 3. A szervezet nevében eljáró természetes személy problémája . . . . . . . . . . . . . . . . 93 4. Adatkezelő és közérdekű adatok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 5. Közös adatkezelés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 6. Adatvédelmi vállalkozáscsoport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Tartalom

IV. a RENDELET hatálya 1. Tárgyi hatály . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 1.1. A tárgyi hatályra vonatkozó fő szabályok . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 1.2. A tárgyi hatály alóli kivételek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 1.3. A Rendelet és az E-privacy irányelv . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 108 2. Területi hatály . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 109 2.1. Főszabály: a tevékenységi hely . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 110 2.2. Extraterritoriális hatály . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114 2.3. A tagállami adatvédelmi jog alkalmazása . . . . . . . . . . . . . . . . . . . . . . . . . . . . 116 3. A módosított Infotv. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 3.1. A nyitóklauzulák . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117 3.2. Nem automatizált módon, nem nyilvántartási rendszer részeként kezelt személyes adatok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 118 3.3. A z elhunyt érintett személyes adataival kapcsolatos jogérvényesítés . . . . . . . 119 V. az adatkezelés jogalapja 1. Egy vagy több jogalap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 124 2. A hozzájárulás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125 2.1. Önkéntesség . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 127 2.1.1. Hatalmi helyzet, közhatalmi szervek, munkáltatók . . . . . . . . . . . . . . . 128 2.1.2. Feltételes hozzájárulás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 131 2.1.3. A részletesség követelménye . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 2.1.4. A hozzájárulás megtagadása vagy visszavonása esetén jelentkező „kár” hiánya . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 133 2.2. „Konkrét” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 134 2.3. „Megfelelő tájékoztatáson alapuló” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135 2.4. „Egyértelmű kinyilvánítása” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138 2.5. A hozzájárulás időtartama . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 2.6. A hozzájárulás bizonyítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 140 2.7. A hozzájárulás visszavonása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141 2.8. Gyermekek által adott hozzájárulás a Rendelet 8. cikke szerint. . . . . . . . . . 142 3. A szerződés teljesítése mint jogalap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 145 4. A jogi kötelezettség teljesítése mint jogalap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 149 5. Létfontosságú érdek mint jogalap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 154 6. Az adatkezelőre ruházott közérdekű vagy közhatalmi jogosítvány mint jogalap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 156 7. Az adatkezelő vagy harmadik fél jogos érdekeinek érvényesítése mint jogalap („érdekmérlegeléses” jogalap) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 7.1. Előzmények . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 160 7.2. A z EU-bíróság gyakorlata és korábbi Irányelv közvetlen hatálya, a NAIH jogos érdekkel kapcsolatos korai gyakorlata . . . . . . . . . . . . . . . . . . 162 7.3. Mi az adatkezelő vagy harmadik fél jogos érdeke? . . . . . . . . . . . . . . . . . . . . . 168 7.4. A közhatalmi szervek által jogos érdek alapján végzett adatkezelés tilalma 172 7.5. Az érintett jogai és érdekei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 173 7.5.1. Az érdekmérlegelési teszt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 174 7.5.2. A 29. cikk szerinti munkacsoport az érdekmérlegelési tesztről . . . . . . 176 7.5.3. A NAIH az érdekmérlegelési tesztről . . . . . . . . . . . . . . . . . . . . . . . . . . . . 180 7.5.4. A tiltakozási joggal kapcsolatos kockázat . . . . . . . . . . . . . . . . . . . . . . . . 180

Tartalom

8. Sajátos követelmények különleges adatok kezelése során . . . . . . . . . . . . . . . . . . 181 8.1. A rendelet 9. cikk (1) bekezdésének és 6. cikk (1) bekezdésének viszonya . . . . 182 8.2. A 9. cikk (2) bekezdésében felsorolt kivételekről . . . . . . . . . . . . . . . . . . . . . . 184 9. Sajátos követelmények a bűnügyi és szabálysértési/polgári ügyekkel kapcsolatos nyilvántartások esetében . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 188 9.1. A „teljes körű” nyilvántartások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 189 9.2. A teljes körű nyilvántartásokon kívüli adatok . . . . . . . . . . . . . . . . . . . . . . . . 190 VI. az adatvédelem alapelvei 1. Jogszerűség, tisztességes eljárás és átláthatóság . . . . . . . . . . . . . . . . . . . . . . . . . . . 192 2. Célhoz kötöttség . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 194 2.1. A célhoz kötöttséghez kapcsolódó jogalkalmazói gyakorlat . . . . . . . . . . . . 198 2.2. Összeegyeztethető cél és a Rendelet 6. cikk (4) bekezdése . . . . . . . . . . . . . . 206 3. Adattakarékosság . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 207 3.1. Jogalkalmazói gyakorlat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 210 4. Pontosság . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 215 5. Az integritás és bizalmi jelleg elve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 216 VII. adatfeldolgozó – adatfeldolgozás 1. Előzmények – az adatfeldolgozás megszorító értelmezése . . . . . . . . . . . . . . . . . . 221 2. Az Infotv. és az adatfeldolgozás NAIH szerinti értelmezése . . . . . . . . . . . . . . . . 225 3. Az adatkezelő és adatfeldolgozó elhatárolása a Rendelet alkalmazásától . . . . . 227 4. Az adatfeldolgozó kiválasztása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229 5. Adatfeldolgozási szerződés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 230 6. További adatfeldolgozó (al-adatfeldolgozó) igénybevétele . . . . . . . . . . . . . . . . . . 234 7. Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés . . . . 236 VIII. a HARMADIK ORSZÁGBA irányuló adattovábbítás 1. Előzmények . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 238 2. Mi a harmadik országba irányuló adattovábbítás? . . . . . . . . . . . . . . . . . . . . . . . . 240 3. A megfelelőségi határozatok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 242 4. Adattovábbítás megfelelő garanciák mellett a felügyeleti hatóság engedélye nélkül . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246 4.1. Közhatalmi vagy egyéb, közfeladatot ellátó szervek közötti, jogilag kötelező erejű, kikényszeríthető jogi eszközök . . . . . . . . . . . . . . . . . . . . . . . 246 4.2. Kötelező erejű vállalati szabályok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247 4.3. Általános adatvédelmi kikötések (általános szerződési feltételek). . . . . . . . 251 4.4. Tanúsítási mechanizmusok és magatartási kódexek valamint a harmadik országbeli adatkezelő vagy adatfeldolgozó kötelezettségvállalása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252 5. Adattovábbítás megfelelő garanciák mellett a felügyeleti hatóság engedélyével . . . 252 6. A különös helyzetekben biztosított eltérések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 253 7. A harmadik országba történő továbbítással kapcsolatos érdekmérlegelés. . . . . 259 8. Az Unió által nem engedélyezett továbbítás és közlés . . . . . . . . . . . . . . . . . . . . . . 260 9. Az EGT-államokba történő adattovábbítás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 261

Tartalom

IX. az érintett jogainak biztosítása, NYILVÁNTARTÁSOK VEZETÉSE 1. Az érintetti jogok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 263 1.1. Általános szabályok, az átláthatóságról szóló rendelkezés . . . . . . . . . . . . . . 263 1.1.1. A tájékoztatás módja (tömör, átlátható, érthető és könnyen hozzáférhető, világos és közérthető tájékoztatás) . . . . . . . . . . . . . . . . . 265 1.1.2. A tájékoztatás formája (írásban, elektronikus úton és szóban) . . . . . . 267 1.2. A tájékoztatás és hozzáférés joga . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 269 1.2.1. A tájékoztatás tartalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 270 1.2.2. A tájékoztatás időpontja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 273 1.2.3. A módosításokkal kapcsolatos tájékoztatás kötelezettsége és időpontja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 1.2.4. A tájékoztatás módja . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 274 1.2.5. Kivételek a tájékoztatási kötelezettség alól . . . . . . . . . . . . . . . . . . . . . . . 275 1.2.6. A hozzáférés joga . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 279 1.3. A helyesbítés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281 1.4. A törléshez való jog („az elfeledtetéshez való jog”) . . . . . . . . . . . . . . . . . . . . . 283 1.5. Az adatkezelés korlátozásához való jog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 287 1.6. Az adathordozhatósághoz való jog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 289 1.7. A tiltakozáshoz való jog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294 1.8. A utomatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást . . . . 297 1.8.1. A tilalom tartalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 299 2. Kivételi körök . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 302 3. Az automatizált döntéshozatallal kapcsolatos érintetti jogok . . . . . . . . . . . . . . . 302 4. A különleges adatok és az automatizált döntéshozatal . . . . . . . . . . . . . . . . . . . . . 303 5. Az automatizált döntéshozatalról való tájékozatás . . . . . . . . . . . . . . . . . . . . . . . . 303 6. Korlátozások az érintetti jogokkal kapcsolatban . . . . . . . . . . . . . . . . . . . . . . . . . . 304 7. A 30. cikk szerinti nyilvántartások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 306 X. Az ADATVÉDELMI TISZTVISELŐ 1. Előzmények . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 310 2. A Rendelet általános szabályai . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 311 3. Az adatvédelmi tisztviselő kijelölésének kötelező esetei . . . . . . . . . . . . . . . . . . . . 312 3.1. Közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek . . . . . . . . . . . . 312 3.1.1. Közfeladatot ellátó szervek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 312 3.1.2. Közhatalmi jogosítványt ellátó szerv . . . . . . . . . . . . . . . . . . . . . . . . . . . . 313 3.2. Szisztematikus megfigyelés. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 314 3.3. Különleges adatok nagy számban történő kezelése . . . . . . . . . . . . . . . . . . . . 316 4. Az adatvédelmi tisztviselői feladatok ellátására megfelelő személy . . . . . . . . . . 317 5. A kiválasztott tisztviselő nevének és elérhetőségének nyilvánosságra hozatala 318 6. Az adatvédelmi tisztviselő státusza . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 318 7. Az adatvédelmi tisztviselő helyzete és szerepe a szervezeti rendszerben . . . . . 320 8. Az adatvédelmi tisztviselő felelőssége . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 323 9. A tisztviselő összeférhetetlensége . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 324 XI. Az adatvédelmi incidensek és kezelésük 1. Előzmények . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 326

Tartalom

2. Az adatvédelmi incidens jogi fogalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 327 2.1. Előzetes megjegyzések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 328 2.2. A „biztonság sérülése” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 329 3. Az incidensek fajtái . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 3.1. Megsemmisítés (megsemmisülés) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 3.2. A személyes adatok elvesztése . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 332 3.3. Megváltoztatás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 3.4. Jogosulatlan közlés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 3.5. Jogosulatlan hozzáférés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 4. Az adatvédelmi incidens következménye . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 333 5. Az incidensek nyilvántartása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 334 6. Bejelentés a hatósághoz és a bejelentések fajtái . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 6.1. Általános szabályok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 335 6.2. Szakaszos bejelentés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 336 6.3. Összevont bejelentések . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 6.4. Több tagállamot érintő incidensek . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 337 6.5. Unión kívüli tevékenységi helyen bekövetkező incidensek . . . . . . . . . . . . . 337 6.6. A bejelentés időpontja: „tudomásra jutás” . . . . . . . . . . . . . . . . . . . . . . . . . . . . 338 6.7. Együttműködés az adatfeldolgozóval . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 340 6.8. Együttműködés a közös adatkezelők között . . . . . . . . . . . . . . . . . . . . . . . . . . 341 7. A bejelentés tartalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 341 8. „Bagatell”, azaz nem bejelentésköteles incidensek . . . . . . . . . . . . . . . . . . . . . . . . . 342 9. Az érintettek tájékoztatása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 343 9.1. A közlendő információk köre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 345 XII. AZ ADATVÉDELMI HATÁSVIZSGÁLAT 1. A hatásvizsgálat fogalma és kötelező tartalma . . . . . . . . . . . . . . . . . . . . . . . . . . . . 347 2. A hatásvizsgálat megkülönböztetése az érdekmérlegelési teszttől . . . . . . . . . . . 350 3. A hatásvizsgálat elmaradásának szankciója . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 350 4. A hatásvizsgálat szükségessége . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 352 5. A hatásvizsgálat fogalmi elemei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 353 6. A hatásvizsgálatot elvégző személy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 359 7. A hatásvizsgálat módszertana . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 360 8. A hatásvizsgálat nyilvánosságra hozatala, megosztása az érintettel és a hatósággal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 361 9. Előzetes konzultáció a hatósággal . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 362 XIII. a NEMZETI ADATVÉDELMI éS INFORMÁCIÓSZABADSÁG HATÓSÁG ÉS A NAIH eljárása 1. A Nemzeti Adatvédelmi és Információszabadság Hatóság . . . . . . . . . . . . . . . . . 364 1.1. A magyar adatvédelmi felügyeleti szerv történetének rövid áttekintése . . 364 1.2. Az európai uniós jogharmonizációs kötelezettség . . . . . . . . . . . . . . . . . . . . . 366 1.3. Az adatvédelmi felügyeleti hatóság jogállása . . . . . . . . . . . . . . . . . . . . . . . . . . 367 1.3.1. Az adatvédelmi felügyeleti hatóság jogállásáról általában . . . . . . . . . 367 1.3.2. Az adatvédelmi felügyeleti hatóságokkal szembeni követelmények . . 369 1.3.3. Az adatvédelmi felügyeleti hatóság tagjával szembeni követelmények . . . 373 1.3.4. A magyar adatvédelmi felügyeleti hatóságra, illetve annak elnökére vonatkozó egyéb szabályok . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 381 1.3.5. A Hatóság elnökhelyettesére vonatkozó eltérő szabályok . . . . . . . . . . . 382

Tartalom

2. Az adatvédelmi felügyeleti hatóságok feladata és hatásköre . . . . . . . . . . . . . . . . 383 3. A Hatóság eljárásairól általában a Rendelet rendelkezéseinek tükrében . . . . . 391 4. A z adatvédelmi felügyeleti hatóság eljárásainak rendszere és típusai . . . . . . . 395 5. A z adatvédelmi felügyeleti hatóságok joghatósága . . . . . . . . . . . . . . . . . . . . . . . 399 6. A Hatóság eljárásainak megindítása . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 403 7. A Hatóság vizsgálata . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 406 8. Az adatvédelmi hatósági eljárás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 410 9. A titokfelügyeleti hatósági eljárás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 423 10. A Hatóság által információszabadság ügyekben indítható per . . . . . . . . . . . . . 425 11. Az adatkezelési engedélyezési eljárás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 426 12. Nemzetközi együttműködés . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 428 13. A tagállami adatvédelmi felügyeleti hatóságok együttműködésének és az egységeségi mechanizmus alkalmazásának egyéb kérdései eljárásjogi szempontból . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 431 14. Tanúsítás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 433 15. Büntető-, szabálysértési és fegyelmi eljárás kezdeményezése . . . . . . . . . . . . . . . 433 16. A Hatóság eljárásaira vonatkozó egyéb szabályok, adatkezelés és titoktartás . . . 434 XIV. a bíróságok eljárása, A BÍRÓSÁGI ADATKEZELÉSI MŰVELETEK ELLENŐRZÉSE 1. Bírósági eljárások . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437 1.1. A panaszos eljárása közigazgatási úton . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 437 1.2. Az érintett által indítható per: sérelemdíj és személyiségi jogi per . . . . . . . 438 1.3. Közigazgatási út . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 1.4. Panasztételi jog és jogorvoslat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 439 1.5. Az adatkezelő jogorvoslati lehetősége: a közigazgatási bírói út . . . . . . . . . . 440 1.5.1. A határozat megtámadása bírói úton . . . . . . . . . . . . . . . . . . . . . . . . . . . 440 1.5.2. A bíróság intézkedései . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 441 1.5.3. Azonnali jogvédelem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 444 1.5.4. A bíróság érdemi döntése. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 445 1.5.5. A hatóság határozat bírósági megváltoztatása . . . . . . . . . . . . . . . . . . . 446 1.5.6. Hivatalbóli semmisség esetkörei . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 446 1.5.7. Fellebbezés ítélet ellen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 447 1.5.8. Döntés a fellebbezés alapján . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 448 2. A bírósági adatkezelési műveletek ellenőrzése . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450 2.1. A szabályozás indoka . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450 2.2. Az Infotv. által választott megoldás . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 450

MELLÉKLETEK

Az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) – a helyesbítésekkel egységes szerkezetben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 453 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 553

A LEGGYAKRABBAN HASZNÁLT RÖVIDÍTÉSEK, UTALÁSOK Avtv.

a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény

Ákr.

Az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény

Eütv.

Az egészségügyről 1997. évi CLIV. törvény

Eüatv.

Az egészségügyi és a hozzájuk kapcsolódó személyes adatok kezeléséről és védelméről szóló 1997. évi XLVII. törvény

Infotv.

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény

Irányelv Az Európai Parlament és a Tanács 1995. október 24-i 95/46/EK Irányelve a személyes adatok feldolgozása vonatkozásában az egyének védelméről és az ilyen adatok szabad áramlásáról Kp.

A közigazgatási perrendtartásról szóló 2017. évi I. törvény

NAIH Nemzeti Adatvédelmi és Információszabadság hatóság Rendelet Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) Az adatvédelmi biztos beszámolóit az ABI rövidítéssel és megjelenés éve szerint idézzük; a beszámoló mindig a megjelenést megelőző tevékenység összefoglalását adja, pl.: ABI 2005. Az adatvédelmi biztos beszámolója 2004. Budapest, Adatvédelmi Biztos Irodája. A NAIH által kiadott állásfoglalásokat ügyszám, ügyiratszám vagy URL szerint idézzük.

Előszó Ez év májusától alkalmazandó az Európai Unió általános adatvédelmi rendelete (ahogy a magyar szakmai szóhasználatban is immár meghonosodott, a GDPR – a könyvben a továbbiakban: Rendelet), amely új világot teremt az európai adatvédelmi jogban. Célunk e könyvvel az, hogy felkészítsük az érdeklődő közönséget a Rendelet alkalmazására. E mű ambíciója az, hogy jogdogmatikai igényességgel mutasson iránymutatást mindazoknak, akik személyes adatok kezelésével bármilyen módon és szerepkörben (adatkezelőként, adatfeldolgozóként vagy adatalanyként) kapcsolatba kerülnek. A könyv előzménye a magyar adatvédelmi jog első, átfogó kommentárja, amely 2005-ben jelent meg, még az Avtv. magyarázatát adva. 2016-ban publikáltuk az „Adatvédelmi jog – magyar és európai szabályozás” c. kötetünket, amely párhuzamosan értelmezte az Infotv. és a Rendelet rendelkezéseit. E könyv újdonsága volt, hogy felépítése nem követte szorosan az Infotv. (illetőleg a Rendelet) szövegét, hanem azon fő jogi kérdések köré szerveztük, amelyekkel a magyar jogalkalmazó szembesülhet. Ezt a szerkezetet fenntartottuk a jelen kötetben is, azonban önálló fejezetet szenteltünk néhány olyan kérdésnek, amelyek a rendelet alkalmazása során hangsúlyosabban jelennek meg, mint korábban. A könyv megjelenését eredetileg 2018 májusára terveztük. Szembesülnünk kellett azonban azzal, hogy a határidőre nem született meg az a törvény, amely a Rendelet által lehetővé tett körben a tagállami jogalkotó által meghatározott eltéréseket, kiegészítéseket tartalmazza. E törvényt az Országgyűlés csak június második felében fogadta el1: tárgyalása alapvető fontosságú, mivel a magyar jogalkotó számos, a gyakorlatban fontos szabályt határozott meg (elhunytak adataival kapcsolatos jogérvényesítés, a bűnügyi adatok különleges adatok körébe vonása, a tárgyi hatály kiterjesztése stb.). Azonban ez nem minden: szükség van a korábbi Infotv. rendszeréhez illeszkedő szektorális törvények felülvizsgálatára is. E folyamat első lépése lesz az a GDPR-salátatörvény elfogadása, amelynek jelen sorok írásakor még csak a tervezete ismert, és várhatóan lényeges szabályokat módosít a Munka Törvénykönyvében, az egészségügyi adatkezelés terén, a biztosítási tevékenységről szóló törvényben és számos más jogszabályban. A könyv az Európai Unió Adatvédelmi Rendeletének magyarázata; a teljesség igényével dolgozza fel annak rendelkezéseit és a vonatkozó jogalkalmazási gyakorlatot. Mint ismeretes, a korábban a magyar adatvédelmi szabályozás keretét adó Infotv. immár kisebb jelentőséggel bír: a Rendelet szabályozási körében, az ott meghatározottak szerint részletszabályozást és eltéréseket tartalmaz, illetőleg a bűnügyi adatkezelési Irányelv átültetését végzi el. E könyv tárgya a GDPR, így az Infotv.-nek csak a Rendelet alkalmazása szempontjából releváns rendelkezéseit tárgyaljuk, 1 2018. évi XIII. törvény az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról.

Előszó

mindig az adott fejezet keretei között. Lényeges esetekben ismertetjük a GDPR-salátatörvény-tervezet rendelkezéseit is. Bár a Rendelet alkalmazása során várható majd az egyes tagállamok közötti jogértelmezési konzisztencia lassú kialakulása, nézetünk szerint indokolt, hogy egyes esetekben még kitérjünk a Rendelet alkalmazását megelőző magyar adatvédelmi gyakorlatra is. (A 29. cikk szerinti munkacsoport értelmezései kapcsán ez magától értetődő, hiszen azok a Rendelethez a magyar szabályozásnál közelebb álló Irányelv rendelkezéseit értelmezték, illetve a jogértelmező tevékenységet a munkacsoport utódjaként az Európai Adatvédelmi Testület folytatja.) A kötethez kapcsolódó gdpr.hvgorac.hu weboldalon többek között olvashatóak a 29. cikk szerinti munkacsoport és utódja, az Európai Adatvédelmi Testület releváns iránymutatásai, és egyes, a jogalkalmazást segítő mintákat is közlünk. Mint ahogy a korábbi könyv előszavát zártuk, az adatvédelem érdekes téma: aki ezzel foglalkozik, találkozhat az alkotmányjog elméleti kérdéseivel csakúgy, mint a közigazgatási jog részletes szabályaival, elmerülhet a polgári jogi személyiségvédelem rendszerében, tanulmányoznia kell a legújabb információs technológiák sajátosságait is. Ehhez a komplex rendszerhez adódik most az EU-jog számos kérdése is. Reméljük, kötetünk eligazítást ad az adatvédelmi jog legtöbb kérdésében, és gondolkodásra késztet ott, ahol e kérdések még nyitottak. Budapest, 2018. november 6. Dr. Jóri András

Hogyan használjuk ezt a könyvet? Első lépések: 1. Győződjünk meg arról, hogy adataink élő természetes személyre vonatkoznak, illetve olvassuk el az elhunytak adatainak kezelésére vonatkozó szabályokat. 2. Döntsük el, meghatározott személyekről van-e szó. 3. Győződjünk meg arról, hogy az érintett személy azonosított vagy azonosítható, azaz az adat ilyen személlyel „kapcsolatba hozható”. A további pontok (adat fogalma, különleges adat fogalma) további tudnivalókat tartalmaznak az adatvédelmi jog fogalomrendszeréről. Mindehhez segítséget nyújt az I. fejezet. Ezt követően a II. fejezet alapján határozzuk meg, hogy adatkezelést végzünk-e; ha igen, lépjünk tovább a következő fejezetre. Ez az egyik legegyszerűbb lépés: ha személyes adatok vannak a birtokunkban, illetve bármilyen műveletet hajtunk végre azokon, akkor szinte biztosan adatkezelést végzünk. Miután az első két fejezet nyomán eljutottunk idáig, eldöntendő, hogy szervezetünk adatkezelőnek minősül-e, vagyis mi viseljük-e az adatkezelésért a jogi felelősséget (III. fejezet). Mielőtt azonban rátérnénk arra, mi is e kötelezettségek tartalma, érdemes ellenőrizni, kiterjed-e adatkezelésünkre a Rendelet hatálya. Ebben segít a IV. fejezet. Kivételi körbe eshetünk, ha magánszemélyként, magáncélra kezelünk adatot. Lehetséges az is, hogy a Rendelet területi hatálya nem terjed ki adatkezelésünkre. E kérdések igen bő teret adnak az értelmezésnek, s e mű szerzői számos ponton nem is osztják az adatvédelmi hatóság álláspontját; végső soron e kivételek értelmezése a bíróságok feladata. Ha a törvény tárgyi és területi hatálya megállapítható, lépjünk tovább a következő fejezetre. Az V. fejezet az egyik legfontosabb kérdésről, a jogalap meghatározásáról szól. Érvényes adatkezelési jogalap fennállásának hiányában nem lehet szó jogszerű adatkezelésről. A jogalap megítélése nem egyszerű: 2018 májusától a Rendelet szabályozása és a korábbi magyar jogalaprendszer eltérése miatt az adatvédelmi jog ebben a körben igen nagy mértékben változott, a korábbi jogalapokat sokszor át kell sorolni a Rendelet rendszerébe. Miután megvizsgáltuk, rendelkezésre áll-e a megfelelő jogalap, a következő fel adat, hogy megbizonyosodjuk arról: adatkezelésünk során érvényesülnek az adatvédelmi jog alapelvei. Ehhez a VI. fejezet nyújt segítséget. A legfontosabbak: jogszerűség, a tisztességes eljárás és a Rendelet által a korábbiaknál részletesebben szabályozott átláthatóság; a célhoz kötöttség tehát az, hogy az adatkezelésnek meghatározott (jogszerű) célt kell szolgálnia; az adattakarékosság, a pontosság, az integritás és bizalmi jelleg elve. Az alapelvekből nagyon is gyakorlati követelmények adódnak, amelyeket szintén itt tárgyalunk (pl. az ún. „összeegyeztethető” célból végzett adatkezelések kérdései).

Hogyan használjuk ezt a könyvet?

A VII. fejezetben azt tárgyaljuk, hogyan vehetünk igénybe az adatkezelés során külső személyt (adatvédelmi terminológiával adatfeldolgozót). Az adatkezelés folyamatában az adatfeldolgozók igénybevételén túl a másik figyelemre érdemes kérdés a harmadik országba irányuló adattovábbítás. Mivel a jogalkotó el akarja kerülni, hogy az EU adatvédelmi jogát az adatkezelők egyszerűen úgy kerüljék meg, hogy adatbázisaikat harmadik országokba viszik, az ilyen államokba történő adattovábbítást a Rendelet részletesen szabályozza. Az erre vonatkozó rendelkezésekről szól a VIII. fejezet. A IX. fejezetben tárgyaljuk az érintettek jogait, amelyek biztosítása az adatkezelők egyik legfontosabb kötelezettsége. Itt tárgyaljuk, miben áll a tájékoztatás, helyesbítés, törlés joga, illetőleg olyan új, a Rendelet által bevezetett jogot is, mint az adathordozhatóság. E fejezet szól a 30. cikk alapján vezetendő nyilvántartásokról is. A X. fejezetet az adatvédelmi tisztviselő intézményének szenteltük. A tisztviselő kinevezése bizonyos esetekben kötelező, máskor éppen kockázatokkal jár az adatkezelő számára; kinevezés esetén ügyelni kell az összeférhetetlenségi szabályok követésére is. A XI. fejezet az újabban az adatvédelmi hatóságok fókuszába került, és a Rendelet által részletesen szabályozott adatvédelmi incidensek kezeléséről szól. Mi minősül adatvédelmi incidensnek, mely kötelezettsége van az adatkezelőnek (és adott esetben az adatfeldolgozónak) az incidensekkel kapcsolatban? A XII. fejezet az adatvédelmi hatásvizsgálatot tárgyalja; ezzel kapcsolatban az európai és magyar gyakorlat még csak most alakul: a tagállami testületek vonatkozó jegyzékeiről csak nemrég foglalt állást az Európai Adatvédelmi Testület. E fejezetben a megfelelést segítő, jelenleg ismert támpontokat ismertetjük. A XIII. fejezet képet ad a NAIH-ról és eljárásáról adatvédelmi ügyekben. Az adatvédelmi bírságok száma és összege egyre növekszik; a Rendelet értelmében 2018-tól pedig a bírságösszegek jelentős emelkedése várható. A korábbi fejezetek áttanulmányozása után az olvasó érzékelheti azt is, hogy az adatvédelmi jog alkalmazásának számos területén még sok a bizonytalanság, nagy tere nyílik a jogértelmezésnek. Bemutattuk azt is, hogy több esetben a NAIH értelmezése is aggályos, nem feltétlenül védhető az eljáró bíróság előtt. Adatkezelőként tehát javasoljuk, hogy már a hatósági eljárás során forduljunk ügyvédhez. Végezetül a XIV. fejezet a bíróságok adatvédelmi ügyekben követett eljárását tárgyalja, illetőleg a bírósági adatkezelés ellenőrzésének mechanizmusával foglalkozik. Fontos rögzíteni, hogy az adatvédelmi jog komplex jogterület, számos értelmezési kérdéssel. A szerzők nem mindenkor értenek egyet az adatvédelmi hatóság értelmezésével; eltérhet a hatóság és a bíróságok jogértelmezése is. A jogszabályoknak való megfelelés módja, az esetleges hatósági vagy bírósági eljárás során képviselt jogi álláspont mindenkor az adott tényállástól, az adatkezelés részleteitől függ. Ezért e könyv tartalma semmilyen körülmények között nem minősülhet jogi tanácsadásnak; az olvasónak azt javasoljuk, hogy a felmerülő adatvédelmi ügyekben mindenkor forduljon jogi tanácsadóhoz, adatvédelmi szakemberhez. Különösen igaz ez a kötethez kapcsolódó gdpr.hvgorac.hu oldalon közölt minták használatára: ezek kiindulópontként szolgálhatnak ahhoz, hogy szervezetünk adatkezelését szakember segítségével a Rendelethez igazítsuk, de ilyen támogatás nélkül önmagában a megfelelést nem biztosíthatják.

Bevezetés – az adatvédelem helyzete napjainkban Magánszféra és magánszféra-védelem Az adatvédelem a magánszféra-védelem sajátos jogi szabályozásban megnyilvánuló módja. Az adatvédelmi jog rendelkezési jogot biztosít az érintettnek minden, személyével összefüggésbe hozható adat felett. Ezzel azt szolgálja, hogy a magánszféra megőrzésének lehetősége fennmaradjon abban a világban, ahol az adatok tömeges felvételének, tárolásának, egyeztetésének lehetősége széles körben rendelkezésre áll. Ebben a helyzetben korábban a jogi szabályozás szempontjából irrelevánsnak (a magántitok körébe nem tartozónak) tekintett tények, adatok jelentősége megnő: míg ezeknek az adatoknak a nyilvánosságra kerülése, mások általi megismerése a fejlett adatfeldolgozási technológiák hiányában nem hordozott veszélyt, ma feldolgozásuk, egyeztetésük, társításuk, a felhasználásukkal új adatok előállítása nyomán a magánszféra sérülhet. Az adatvédelmi jog kodifikálása mögött az a megfontolás húzódik, hogy a titokvédelem már nem elegendő: az új közegben a védelemnek minden adatra ki kell terjednie: „az adatvédelmet […] el kell szakítani a »személyesség« intimitásként való értelmezésétől”2. A védelem tárgya tehát új – a személyes adat –, ám tulajdonképpeni célja ugyanaz, mint korábban a titokvédelemé vagy a magánszféra, az intimitás védelmét szolgáló bármely, jogon kívüli eszközé. Az adatvédelem mint sajátos jogvédelem tárgyalása előtt ezért meg kell fogalmazni azt, mi is ez a védendő cél, érdek: mit véd – az adatok kezelésére vonatkozó szabályok meghatározásán keresztül – az adatvédelmi jog? Az adatvédelmi jog célja a magánszféra védelme. A személyes adatok védelme az új körülmények között is megvalósíthatja a magánszféra védelmét. Ezek az állítások nézetünk szerint igazak, ám keveset mondanak arról, hogy mi is magánszféra, és miért kell védeni. A privacy (a továbbiakban – bár tudatában vagyok a magyar szó szűkebb jelentéstartományának – magánszféra) fogalmának számos meghatározási kísérlete létezik. Schoeman szerint a magánszféra fogalma megközelíthető úgy, mint – olyan igény (claim), jogcím (entitlement) vagy jog (right), amely arra irányul, hogy az egyén meghatározza: mely vele kapcsolatos információk jussanak mások tudomására; – az egyén személyes információi, személyisége intim vonatkozásai feletti ellen őrzés (control), illetve annak meghatározására való képesség, hogy az egyénhez ki fér hozzá (who has sensory access to him);3 Sólyom László: Adatvédelem és személyiségi jog, Világosság, 1988. január, 55. o. Vö. Sólyom László: A személyiségi jogok elmélete, Közgazdasági és Jogi Könyvkiadó, 1983, 315. o.: „A magánszféra különböző felfogásainak közös vonása, hogy azt a [fizikai és lelki] területet értik alatta, amelyet az egyén kontrollál, amely tehát mentes a külső beavatkozástól.” 2