A május 4-én kihirdetett 179/2020. (V. 4.) kormányrendelet korlátozza az adatkezeléssel érintetteknek az EU Általános Adatvédelmi Rendelete (GDPR), valamint az információs önrendelkezési jogról és információszabadságról szóló törvény (Infotv.) által biztosított adatvédelmi jogait és jogorvoslati lehetőségeit azon személyes adataik vonatkozásában, amelyeket az adatkezelők a koronavírushoz kötődő intézkedésekkel kapcsolatban kezelnek. Emellett az új kormányrendelet az Infotv. által meghatározott, a közérdekű adatok megismeréséhez fűződő jogot is korlátozza a koronavírussal kapcsolatos intézkedések vonatkozásában. (A Kormány március 11-én hirdetett ki veszélyhelyzetet 15 napra, amely március 31-én határozatlan időre meghosszabbításra került. A veszélyhelyzet tartama alatt a Kormány jogosult kormányrendeletek útján kormányozni.)
A veszélyhelyzet ideje alatt a koronavírussal összefüggő adatkezeléseknél az adatvédelmi jogok gyakorlása és azok érvényesítése szünetel
A kormányrendelet kimondja, hogy az érintettnek a koronavírusos megbetegedések megelőzése, megismerése, felderítése, valamint továbbterjedésének megakadályozása érdekében kezelt személyes adatai tekintetében az adatkezelőhöz a GDPR 15-22. cikke szerinti jogok gyakorlása érdekében benyújtott kérelme alapján teendő minden intézkedést a veszélyhelyzet megszűnéséig fel kell függeszteni. A GDPR szerinti 30 napos, a koronavírushoz kapcsolódó érintetti kérelmek teljesítésére rendelkezésre álló határidők csupán a veszélyhelyzet megszűnését követő első napon kezdődnek el. A gyakorlatban ez azt jelenti, hogy amennyiben az érintett a koronavírushoz kapcsolódó személyes adata tekintetében hozzáférés, törlés, helyesbítés vagy az adatkezelés korlátozása iránti kérelmet terjeszt elő, vagy tiltakozik a koronavírussal összefüggő intézkedésekhez kapcsolódó személyes adatának kezelése ellen, az adatkezelő (például kórház, közigazgatási szerv, a veszélyhelyzetért felelős szerv) semmilyen intézkedést nem tehet, vagyis nem törölheti vagy helyesbítheti az adatot, illetve nem korlátozhatja az adatkezelést, amíg a koronavírus miatt fennálló – határozatlan ideig meghosszabbított – veszélyhelyzet meg nem szűnik. Emellett az új kormányrendelet azt sem határozza meg, hogy hatálya a személyes adatok pontosan mely kategóriáira, valamint az adatkezelők pontosan mely típusaira terjed ki, így gyakorlatilag minden, a koronavírus elleni védekezésben résztvevő vagy a koronavírushoz kapcsolódó személyes adatokat kezelő adatkezelő szervezet tágan értelmezheti az új rendelkezéseket, és ezáltal a lehető legtöbb személyes adatra kiterjesztheti a korlátozásokat.
A fentiek mellett a kormányrendelet további korlátozásokat is tartalmaz az érintettek hozzáférési jogai vonatkozásában: az új kormányrendelet hatálya alá tartozó fent említett adatkezelők nem kötelesek személyre szabott módon az érintettek rendelkezésére bocsátani a GDPR 13. és 14. cikke által megkövetelt információkat (mint például a kezelt adatok típusa, az adatkezelés célja és jogalapja, az adatkezelő neve, a harmadik felek számára vagy harmadik országokba történő adattovábbítás ténye és az adattovábbítással kapcsolatos garanciák, az adatok megőrzésének időtartama, az érintett adatvédelmi jogairól és jogorvoslati lehetőségeiről való tájékoztatás), ha az adatkezelő adatkezelési tájékoztatója már tartalmazza az adatkezelés célját és jogalapját, elektronikusan közzétételre került és az érintettek számára elérhető. Ennek következtében az érintettek hozzáférési jogai korlátozottak, a veszélyhelyzet ideje alatt a koronavírushoz kapcsolódó személyes adataik tekintetében nem kérhetnek teljes körű és személyre szabott információkat ezen adataik kezeléséről.
Ezen túlmenően a kormányrendelet az érintetteknek az adatvédelmi hatósághoz (NAIH) benyújtható bejelentésekkel, valamint az adatkezelő/adatfeldolgozó, illetve a NAIH döntésével szemben történő hatékony bírósági felülvizsgálattal kapcsolatos jogait is korlátozza annak kimondásával, hogy a bíróság és a NAIH a bejelentések, kérelmek, illetve keresetlevelek alapján meginduló bírósági, illetve hatósági eljárások lefolytatását csak a koronavírus miatti veszélyhelyzet megszűnését követő első napon jogosult megkezdeni, akkor is, ha a keresetlevél vagy a bejelentés most kerül benyújtásra. Ismét hangsúlyozni kell, hogy a koronavírus miatti veszélyhelyzet időtartama jelenleg nem ismert, vagyis ezek az eljárások határozatlan időre elhalasztásra kerülnek.
Korlátozások és halasztások a közérdekű adatok megismerése iránti igények teljesítésével kapcsolatban
A koronavírus miatti veszélyhelyzet megszűnéséig az Infotv. szerinti, a közérdekű adatok megismerésére irányuló igényekre vonatkozó rendelkezéseket a következő eltérésekkel kell alkalmazni:
- Közfeladatot ellátó szerveknek közérdekű adat megismerése iránti igényt nem lehet személyesen vagy szóban benyújtani.
- A közfeladatot ellátó szervek 15 nap helyett 45 nap alatt kötelesek eleget tenni a közérdekű adat megismerése iránti igénynek, amely határidő egy alkalommal 45 nappal meghosszabbítható.
Az új kormányrendelet rendelkezései nem csak a jövőben induló, hanem a kormányrendelet hatályba lépésekor már folyamatban lévő kérelmekre és eljárásokra is alkalmazandók.
Engedi-e a GDPR/Alaptörvény az eltérést az érintetti jogok gyakorlására vonatkozó rendelkezésektől veszélyhelyzetben?
A GDPR 2. cikk (2) bekezdése szerint a GDPR-t nem kell alkalmazni a közbiztonságot fenyegető veszélyekkel szembeni védelem körében történő adatkezelésre – kérdés, hogy az egészségügyi járványveszély ebbe a kategóriába besorolható-e.
Ezen túlmenően a GDPR több helyen enged eltérést a tagállamok számára, így a véleménynyilvánítás szabadságával kapcsolatos adatkezelések esetében, a foglalkoztatással összefüggő adatkezeléseknél, közérdekű archiválás, történelmi kutatás és statisztikai célú adatgyűjtéseknél, a nemzeti azonosító számok kezelésénél, hivatalos dokumentumokhoz való nyilvános hozzáférés esetén, valamint egyházak, vallási szervezetek adatkezelésével összefüggésben. Egészségügyi járványhelyzet és az azzal kapcsolatban kihirdetett veszélyhelyzet azonban szintén nem szerepel a GDPR-ban olyan esetkörként, amikor a GDPR szabályaitól a tagállam eltérhetne.
A GDPR 23. cikke alapján továbbá a tagállamok jogszabállyal korlátozhatják a GDPR szerinti érintetti jogokat többek között népegészségügyi közérdekű célkitűzés érdekében, amelybe a koronavírus járványhelyzet is beletartozhat. A GDPR azonban szükségességi-arányossági tesztet ír elő, a korlátozás pedig nem érintheti az alapvető jogok és szabadságok lényeges tartalmát. A GDPR azt is meghatározza, hogy a korlátozó tagállami jogszabálynak milyen kötelező rendelkezéseket kell tartalmaznia, beleértve a rendelkezés hatálya alá tartozó adatkezelők, kezelt adatkörök, a korlátozás időbeli hatályának a meghatározását, az adatkezelésre, korlátozásra vonatkozó garanciákat, az érintettek jogait és szabadságait érintő kockázatokat és az érintettek tájékoztatását ezen korlátozásokról. A GDPR tehát megengedi az eltérést bizonyos feltételek betartásával. A kormányrendelet azonban nem hivatkozik a GDPR ezen rendelkezésére, csak az Alaptörvényt valamint egyéb magyar jogszabályokat jelöl meg a korlátozás alapjaként. Adódik tehát a kérdés, hogy a kormányrendelet vajon a GDPR ezen kritériumainak teljes mértékben megfelel-e.
A GDPR fenti eltérést engedő szabályán kívül az Alaptörvény sem tiltja a személyes adatok védelméhez fűződő információs önrendelkezési és információszabadság alapjog korlátozását veszélyhelyzet esetén, hiszen ez a jog nem került felsorolásra az Alaptörvényben a nem korlátozható jogok között (mint például az emberi méltósághoz, emberi élethez való jog). Azonban az Alaptörvény szerint minden más alapjog, így az információs önrendelkezési jog, valamint az információszabadság is csak akkor korlátozható a rendes jogrendhez képest, ha az a veszély elhárítását szolgálja, és a korlátozás ésszerű, szükséges és a járványveszély elhárításával arányos. A megfelelőség kérdésében sok jogi érvet lehet felhozni, de egy biztos, hogy a gyakorlatban dől majd el, a tényleges válaszadási idők változnak-e.