Esetenként előfordul, hogy a GDPR előírásai mellett felmerül a magyar háttérnorma, vagyis az Info. tv. alkalmazásának lehetősége, szükségessége egy-egy adatkezelési tevékenység kapcsán. Mi ilyenkor a teendő? Hogyan dönthető el, hogy melyik norma alkalmazandó az adott személyes adat kezelés esetén?
A választ az Info. tv. (2011 évi CXII. tv. az információs önrendelkezési jogról és az információszabadságról) rendelkezései között találhatjuk meg.
Személyes adatok bűnüldözési, nemzetbiztonsági és honvédelmi célú kezelésére az Info. tv.-t törvényt kell alkalmazni, vagyis ilyen esetekben csak a magyar jogi előírások alapján kell az adatkezelőnek eljárnia (amik egyébként nagyrészt a GDPR előírásaival azonosak). Minden olyan eseteben, amikor a fenti céloktól eltérő az adatkezelés a GDPR előírásai alkalmazandók.
Természetesen az Info. tv. hatálya alá eső célú adatkezelések a gazdasági élet szereplőinek tevékenysége során elvétve fordulhatnak elő, ezért jellemzően nem is e tekintetben merül fel az alkalmazandó szabályozási rezsim kiválasztásának nehézsége. Sokkal gyakoribb, hogy pl. egy fő tevékenységként bűnüldözési célú hatásköröket gyakorló (és ezért ilyen célú adatkezeléseket végző) szervezet azon adatkezeléseinek meghatározása okoz problémát, amelyek nem az Info. tv. hatálya alá esnek. Ugyanakkor ezen esetekben is az általában javasolt lépések szerint célszerű az alkalmazandó norma kiválasztása:
- első lépés mindig az adatkezelés céljának meghatározása;
- az adatkezelés céljához képest annak eldöntése, hogy melyik norma GDPR/Info. tv.) szerint kell eljárnia az adatkezelőnek;
- az Info. tv., vagy a GDPR adatkezelési jogalapjai közül a konkrét eseteben alapul szolgáló rögzítése;
- a kiválasztott jogalaphoz képest az adatkezelőt terhelő specifikus kötelezettségek teljesítése (pl. hozzájárulás megfelelő rögzítése).
Egy fontos dologra szükséges felhívni a figyelmet a fentiek kapcsán: egy adott célból végzett személyes adat kezelés egyidejűleg nem tartozhat mind a GDPR, mind az Info. tv. hatálya alá! Az Info. tv. megfogalmazásából következően ugyanis ha egy adatkezelés célja az Info. tv.-ben rögzített bűnüldözési, nemzetbiztonsági vagy honvédelmi cél, akkor CSAK az Info. tv. 5. §-ban meghatározott valamely jogalapon nyugodhat (és ekkor az Info. tv. előírásai követendők), ha pedig nem ilyen célú az adatkezelés, akkor CSAK a GDPR 6. cikk (1) bek.-ben rögzített valamely jogalapja lehet (ezért ekkor a GDPR előírásai követendők).
Jellemző még egy kérdés felmerülése: vajon milyen szabályozás vonatkozik azokra az adatkezelésekre, amelyek semmilyen formában nem automatizáltak, illetve nem nyilvántartási célúak.
A problémát ilyen esetekben az szokta okozni, hogy a GDPR főszabályként csak a személyes adatok:
– részben vagy egészben automatizált módon történő kezelésére, valamint
– azoknak a személyes adatoknak a nem automatizált módon történő kezelésére vonatkozik, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni.
A választ ebben az esetben is az Info. tv.-ben kell keresni, mivel az Info. tv. 2. § (3) bekezdése kimondja, hogy azokban az esetekben, amikor a személyes adat kezelésére sem az Info. tv.-t (mert nem olyan célú) sem a GDPR-t (mert nem olyan jellegű, pl. nem automatizált) nem kellene alkalmazni, akkor a GDPR meghatározott előírásai alkalmazandóak. Ezzel a törvényi rendelkezéssel a magyar jogalkotó gyakorlatilag a GDPR-t tette generálisan követendő normává, a bűnüldözési, nemzetbiztonsági és honvédelmi célú adatkezeléseket kivéve.
Úgy tűnik a kör ezzel bezárul: ha nem bűnüldözési, nemzetbiztonsági vagy honvédelmi célú a személyes adtok kezelése, akkor a GDPR szabályait kell teljesíteni, akár automatizált, akár manuális az adatkezelés, valamint akkor is, ha semmiféle nyilvántartási elv, vagy cél nem mutatható ki az adatkezelés kapcsán.