Az adatvédelmi jog ugyanis széles körben kihat mindennapjainkra. Csak élő, természetes személyek (magánszemélyek) adatai minősülhetnek személyes adatnak, ebből adódóan a természetes személyek jogainak védelme adja az adatvédelmi jog fókuszát. A vállalatok, egyéb szervezetek szemszögéből pedig annak van kiemelkedő jelentősége, hogy ők a természetes személyek adatai kapcsán adatkezelőnek, vagyis olyannak, aki felelős az adatkezelésért, vagy adatfeldolgozónak, azaz olyannak, akinek a szerepe főleg az, hogy végrehajtsa az adatkezelő utasításait minősülnek – hívta fel a figyelmet dr. Szűcs Bálint, az RSM Hungary adótanácsadója legfrissebb blogbejegyzésében.

Cég, egyéb szervezet és magánszemély is lehet adatkezelő

Sok esetben találkozunk azzal a vélekedéssel, hogy az adatvédelmi jog vállalkozásokra, szervezetekre vonatkozóan jelent elsősorban kötelezettséget, mivel jellemzően ők állnak kapcsolatban nagyszámú ügyféllel; gyűjtenek és kezelnek adatokat, adatbázisokat. Egy átlagos felhasználó (természetes személy) hajlamos úgy gondolni, hogy az adatvédelemmel csak akkor találkozik, amikor – elolvasás nélkül – rákattint (aláhúzza, kipipálja stb.) a személyes adatainak kezelésére vonatkozóan megfogalmazott hozzájáruló nyilatkozatra, hogy hozzáférjen valamely szolgáltatói tartalomhoz. Ez a gondolat annak ellenére erősen tartja magát a köztudatban, hogy az adatvédelmi jogszabályok alkalmazásában természetes személy is minden további nélkül lehet adatkezelő. (Hamarosan pedig még tovább szigorodhat az uniós adatvédelmi szabályozás!)

Kép: Pixabay

Kamerás megfigyelés – az adatkezelés egy formája

Teljesen hétköznapi szituációkban is felmerülhet tehát természetes személyek magatartásának adatvédelmi jogi vonatkozása. Ezt szemlélteti a következő jogeset. Egy magánszemély kamerarendszert szerelt fel és működtetett a családja házán. A kamera rögzített helyzetben a ház bejáratáról, az utcáról és a szemközti ház bejáratáról készített videófelvételt, amelyet adatrögzítő eszközön – merevlemezen – tároltak végtelenített formában. Miután a merevlemez memóriája megtelt, a későbbi felvétel törölte a korábbi adatokat. Az adatrögzítő eszközhöz nem csatlakoztattak képernyőt, így nem volt lehetőség a kép valós időben történő megtekintésére, a rendszerhez és az adatokhoz kizárólag a magánszemély fért hozzá.

A megfigyelt ház ablakát csúzlival betörték, a kamerás megfigyelőrendszer segítségével két gyanúsítottat azonosítani tudtak. A ház tulajdonosa a rögzített felvételeket átadta a rendőrségnek, amelyeket ezt követően felhasználtak a megindult büntetőeljárásban. A legjobb védekezés a támadás elvét követve az elkövetők bepanaszolták a kamerarendszert működtető magánszemélyt, adatvédelmi jogi alapon. Arra hivatkoztak, hogy a magánszemély adatkezelőnek minősül, és ebben a minőségében az eljárása több vonatkozásban is jogsértő volt. A nemzeti hatóság meg is állapította a többszörös jogsértést. A határozattal szemben a magánszemély jogorvoslattal élt, a nemzeti bíróság felé előzetes döntéshozatali kérelmet terjesztett elő.

Kérdésének lényege az volt, hogy ügyében alkalmazható-e az a kivétel1, miszerint a „személyes adatkezelés” nem tartozik az adatvédelmi jog tárgyi hatálya alá. Az előzetes döntéshozatali eljárásban a következő lényegi megállapítások születtek:

• személyekről kamerával felvett kép a rendelkezések értelmében személyes adatnak minősül,
• videókamerás megfigyelés főszabály szerint az európai Irányelv hatálya alá tartozik, mivel automatizált módon történő adatkezelésnek minősül, amely csak abban az esetben nem tartozik az adatvédelmi jogszabály tárgyi hatálya alá – azaz minősül kivételnek – ha az adatkezelést „kizárólag” személyes, illetve otthoni tevékenységek gyakorlása céljából végzik,
• az olyan videókamerás megfigyelés, amely csak részben, de közterületre is kiterjed – a kamerás megfigyelőrendszerrel adatkezelést végző személy magánszféráján kívülre irányul –, nem tekinthető kizárólag „személyes, illetve otthoni” tevékenységnek.

A konklúzió az tehát, hogy a magánszemély fenti magatartása is az irányadó adatvédelmi jogszabály hatálya alá tartozik, annak alapján kell megítélni.  Az előzetes döntéshozatali eljárásban meghozott ítélet nem azt mondta ki, hogy a magatartás jogellenes, „csak” azt, hogy a magánszemély magatartására alkalmazni kell az irányadó adatvédelmi jogszabályt, mivel annak tárgyi hatálya alá tartozik. A jogosság, jogellenesség kérdését már az irányadó adatvédelmi jogszabály egyéb rendelkezései alapján kell elbírálni.

Az adatvédelmi tudatosság a GDPR életbe lépésével növekedni fog

Mindezzel arra kívánunk rámutatni, hogy egy hétköznapinak minősülő cselekmény vonatkozásában is felmerülhet az adatvédelmi jog alkalmazásának a kötelezettsége, akár magánszemélyek esetében is. Véleményünk szerint az adatvédelmi tudatosság és felelősség fokozottan kell, hogy érvényesüljön a vállalkozások részéről, mivel esetükben – jellemzően – már fel sem merül az a kérdés, hogy tevékenységük része, vagy egésze az adatvédelmi jog tárgyi hatálya alá tartozik, vagy sem. Esetükben jellemzően azonnal élesben indul a tanúsított magatartás adatvédelmi jogi megfelelőségének a vizsgálata.