A társasházi adatkezelések hatályos adatvédelmi előírásokkal való összhangjának a megteremtése a mai napig komoly nehézségekbe ütközik, ami elsősorban arra vezethető vissza, hogy a társasház sajátos jogi konstrukcióként jelenik meg a magyar jogrendszerben. De miben is gyökezedznek pontosan ezek a nehézségek? Melyek a társasházak adatkezelésének legfőbb buktatói illetve legfontosabb gyakorlati kérdései?
A társasház a társaság és a tulajdonközösség határán álló olyan mesterséges konstrukció, mely csupán korlátozott (relatív) jogképességgel rendelkezik. (Vékás Lajos – Gárdos Péter (szerk.): Nagykommentár a Polgári Törvénykönyvhöz. Wolters Kluwer Kft., Budapest, 2018., 979.) Ez azt jelenti, hogy a magyar jogalkotó a társasházat, mint a tulajdonostársak közösségét felruházta a közös ügyekben jogok szerzésére, kötelezettségek vállalására, valamint az önálló perlés és perelhetőség képességével, azonban a társasház a személyiségi jogok körében nem rendelkezik jogképességgel, és a személyiségi jogok megsértésének sem a sértetti, sem pedig a jogsértő oldalán nem lehet alanya.
A társasházak ilyen minőségére tekintettel az adatkezelési szabályozás is meglehetősen összetett, ugyanis a társasházra vonatkozó speciális szabályok nehezen illeszthetők be a GDPR fogalomrendszerébe.
A társasházi adatkezeléseknél a GDPR előírásai mellett a társasházakról szóló 2003. évi CXXXIII. törvény (Thtv.) adatvédelemmel kapcsolatos rendelkezéseit is szem előtt kell tartani, mely igencsak megnehezíti a jogalkalmazást a hétköznapokban. A Thtv. ugyanis nem általános jelleggel, hanem csupán a vagyonvédelmi kamerarendszerek kapcsán határoz meg adatvédelmi előírásokat. Ráadásul mindezt úgy teszi, hogy sok esetben megismétli vagy kiegészíti, specifikálja a GDPR előírásait, erre azonban a magyar jogalkotó a GDPR jogforrási jellegére tekintettel nem minden esetben jogosult. Ennek oka, hogy a rendelet alkalmazandóvá válása a tagállamokra – a GDPR rendelkezéseit ismétlő szabályok vonatkozásában – ún. deregulációs kötelezettséget telepített, míg tagállami kiegészítő, specifikáló rendelkezés csak a GDPR előírásaiba épített ún. rugalmassági klauzula fennállása esetén – tehát amikor a rendelet maga enged eltérést a szabályaitól – eszközölhető.
További nehézséget jelent a társasházi gyakorlatban az adatkezelői minőség megállapítása, pedig a hatályos adatvédelmi előírások egyik legfontosabb eleme az adatkezelésért fennálló felelősség elosztása az adatkezelési jogviszony alanyai (adatkezelő, érintett) között. A kérdés tisztázásához az adatvédelmi hatóság (NAIH) egy 2021. évben kelt határozatából kell kiindulni, mely megállapította, hogy a társasház relatív jogképessége alapvetően polgári jogi kérdés, ennek az adatkezelői minőség szempontjából nincs relevanciája. Mivel a GDPR fogalommeghatározása alapján adatkezelő ,,bármely szerv” lehet, így ebbe a kategóriába beletartozhat a társasház (tulajdonostársak közössége) is, mint önálló jogalany. Ez természetesen nem jelenti azt, hogy minden társasházzal kapcsolatos adatkezelés vonatkozásában a társasház lesz az adatkezelő, hiszen eljárhat ilyen minőségben a társasház szervezetébe tartozó más szereplő is, például a társasház képviseletét ellátó közös képviselő, intézőbizottság elnöke, vagy a közös képviseletet ellátó jogi személy (annak vezető tisztségviselője). Az adatkezelői minőség megállapításánál tehát mindig egyedileg kell mérlegelni, hogy az egyes adatkezelési célok vonatkozásában kit terhel az adatkezelésért való felelősség, azaz ki dönt az adatkezelés céljáról, eszközeiről. A GDPR előírásai alapján az adatkezelői minőség jellemzően az adatkezelő saját elhatározásán alapul, akkor jön létre, amikor egy adatkezelő úgy határoz, hogy a tevékenységéhez kapcsolódóan személyes adatokat kezel, azonban a Thtv. 25. § (1) bekezdése társasházi kamerarendszerrel kapcsolatos adatkezelések vonatkozásában a tulajdonostársak közösségét jelöli ki adatkezelőként (Vö.: rugalmassági klauzulák).
A technológiai fejlődés a társasházak vonatkozásában is számos új típusú adatkezelési tevékenységet hívott életre. Ilyen újabb fajta adatkezelés lehet többek között a szoftveres társasházkezelő platformok és az önálló (okosotthon funkcióval is rendelkező) mobilapplikációk alkalmazása. Hazánkban az egyik legelterjedtebb ilyen rendszer az eHáz felhőalapú társasházkezelő szoftver, mely számos funkciójával (pl.: számlázórendszer, hátralékok kezelése, stb.) kényelmesebbé és egyszerűbbé teszi a társasházakkal kapcsolatos teendők ellátását. A rendszer adatvédelmi jogi előírásokkal való összhangjának megteremtése érdekében azonban számos körülményt kell mérlegelni a bevezetést megelőzően. Az adatkezelő meghatározását követően – többek között – fel kell mérni az adatfeldolgozók körét, akik jellemzően a rendszer üzemeltetői lesznek, és velük a GDPR 28. cikk (3) bekezdése szerinti adatfeldolgozói megállapodást kell kötni. A felhőalapú rendszereknél fokozott figyelmet kell fordítani a személyes adatok kezelésének a helyére is, ugyanis ilyen típusú szoftvereknél – az adatfeldolgozók (al-adatfeldolgozók) tevékenysége révén – gyakran megvalósulhat a személyes adatok Európai Gazdasági Térség területén kívüli harmadik országba való továbbítása, melyre főszabály szerint a GDPR 45. cikke szerinti megfelelőségi határozat megléte esetén van lehetőség, annak hiányában pedig az adatkezelő köteles a GDPR 46-49. cikkei szerinti garanciák egyikét alkalmazni.
A lakókkal történő e-mailes kapcsolattartás is rejthet adatvédelmi kockázatot, hiszen a megfelelő technikai és szervezési intézkedések kialakításának a hiányában gyakori eset, hogy pl. tulajdonosváltáskor – tévedésből – a korábbi tulajdonos számára kerülnek megküldésre olyan, az új lakóra vonatkozó értesítések, melyek megismerésére a korábbi tulajdonos már nem jogosult, ez pedig a GDPR 4. cikk 12. pont szerinti adatvédelmi incidens bekövetkezését eredményezheti.
Szintén gyakran felmerülő kérdés, hogy a tulajdonostársak közössége megismerheti-e a másik tulajdonos könyvelésben nyilvántartott közös költség hátralékát. A NAIH még egy Infotv. hatálya alatt született konzultációs beadványra adott válaszában elismerte a tulajdonosok ahhoz fűződő jogos érdekét, hogy megismerjék melyik tulajdonosnak milyen mértékű hátraléka áll fenn. Az érdekmérlegelési tesztben a tulajdonosok ehhez fűződő érdekének a jogszerűségét alátámasztó szempont lehet az a Thtv. 28. § (1) bekezdés e) pontja, mely értelmében az elszámolás elfogadása a közgyűlés kizárólagos hatáskörébe tartozó kérdés, tehát szükségszerű, hogy megismerjék a tulajdonosok az elszámolásban szereplő adatokat. Fontos azonban, hogy szem előtt kell tartani a GDPR 5. cikk (1)-(2) bekezdéseiben szereplő további adatvédelmi alapelveket is, tehát a személyes adatokat kizárólag az arra jogosultak ismerhetik meg a cél eléréséhez feltétlenül szükséges mértékben. Ezzel összefüggésben az adatvédelmi hatóság hangsúlyozta, hogy aggályos gyakorlat lehet a költséghátralékkal rendelkező személyek nevének lépcsőházban vagy más nyilvános helyen történő közzététele, ezek helyett célszerű a betekintés biztosítása vagy a zárt borítékban való továbbítás az arra jogosultak számára. A társasházkezelő platformok és mobilapplikáció felületek kialakításakor is biztosítani kell a megfelelő technikai és szervezési intézkedésekkel, hogy a személyes adatokat csak az arra jogosult érintettek ismerhessék meg, hiszen teljesen más tartalmú értesítéshez jogosult hozzáférni a lakás tulajdonosa, haszonélvezője és a bérlője, a jogosulatlan közlés pedig adatvédelmi incidenshez vagy – a biztonság sérülése hiányában, tehát az eleve helytelenül kialakított gyakorlat esetén – jogszerűtlen adatkezeléshez vezethet.
A társasházi vagyonvédelmi kamerarendszer üzemeltetése is sok kérdést vet fel a hétköznapokban, ezzel összefüggésben a NAIH a leggyakrabban az adatvédelmi szabályzat és az adatkezelési tájékoztató megfelelőségével kapcsolatban emelt kifogást. Noha mind a két dokumentum megalkotásának a kötelezettsége a GDPR 5. cikk (2) bekezdése szerinti elszámoltathatóság alapelvéből vezethető le, továbbá a Thtv. speciális előírásai is kötelezővé teszik a két dokumentum megalkotását (igaz utóbbi csak a vagyonvédelmi kamerarendszerre vonatkozóan), azonban két eltérő funkciójú dokumentumról van szó. Az adatkezelési szabályzat az adatkezelés körülményeit és az eljárási szabályokat magában foglaló belső dokumentum, címzetti köre az adatkezelő és az azzal foglalkoztatási jogviszonyban álló személyek (társasházak esetében társasház és a tulajdonosok). A Thtv. 25. § (1) bekezdése alapján a kamerarendszerrel kapcsolatos szabályzatot a társasház szervezeti-működési szabályzata kell, hogy tartalmazza. Az adatkezelési tájékoztató ezzel szemben minden adatkezelés érintettje (pl.: tulajdonos, bérlő, ingatlanba belépő postás, ételfutár, stb.) számára szóló közérthető dokumentum, mely lényegében az adatkezelési szabályzat egyszerűsített kivonata azzal, hogy a GDPR 13. cikk (1)-(2) bekezdése szerinti információkat szükséges tartalmaznia.
Összességében tehát megállapítható, hogy a társasházak az adatkezelési szabályozás rendkívül színes és összetett területe, jól mutatja ezt, hogy a GDPR alkalmazandóvá válása óta az adatvédelmi hatóság több alkalommal foglalkozott a témakörrel és számos társasház gyakorlatát marasztalta el hatósági eljárás keretében, így érdemes ezen a területen is törekedni az adatvédelmi előírásoknak való minél teljesebb megfelelésre.