Hogy ennek a fele sem tréfa, azt jól mutatja, hogy 100 ezer forinttól 10 millió forintig terjedő adatvédelmi bírságot szabhat ki az ez év januárjával létrejött Nemzeti Adatvédelmi és Információszabadság Hatóság, amely az adatvédelmi biztosi intézményt váltotta fel a személyes adatok védelmét január 1-je óta szabályozó új törvény értelmében.
Az új szabályozás természetes személyek adatainak bármilyen formában történő kezelésére és feldolgozására vonatkozik, kivéve, ha magánszemély a saját személyes céljaira kezel adatokat. Az adatkezelést bizonyos esetekben be kell jelenteni a hatóságnak, bár kivétel is van ez alól.

Ami változott
A Magyar Utazásszervezők és Utazásközvetítők Szövetsége még tavaly kért tájékoztatást az új jogszabályról.
Eddig a múlt év december 31-ig érvényben lévő, mára sok tekintetben elavult 1992. évi LXIII. törvény 28–30. §-a szabályozta az adatvédelmi nyilvántartást, mostantól az információs önrendelkezési jogról és az információszabadságról szóló, 2012. január 1-jén hatályba lépett 2011. évi CXII. törvény 65–68. §-a rendelkezik az adatvédelmi nyilvántartásról. A szabályozás nem változott abban, hogy az adatvédelmi nyilvántartás az adatkezelő szervek vagy személyek adatkezeléseit tartja nyilván az érintettek tájékoztatása céljából. Az adatvédelmi nyilvántartásba az adatkezelő által bejelentendő adatok köre sem változott, valamint jelentősen azon adatkezelések köre sem, amelyeket az adatvédelmi nyilvántartásba nem kell bejelenteni. A kivételek között pusztán annyi a változás, hogy a pénzügyi szervezetek, közüzemi szolgáltatók, elektronikus hírközlési szolgáltatók nem mentesülnek ügyfélkapcsolat okán a bejelentési kötelezettség alól.

Ügyfélkapcsolati adatkezelést nem kell jelenteni…
Az adatkezelőnek tehát – a fentiek kivételével – nem kell bejelentkeznie az adatvédelmi nyilvántartásba, ha az adatkezelés pl. vele ügyfélkapcsolatban vagy munkaviszonyban álló személyekre vonatkozik. Erről a Magyar Szállodák és Éttermek Szövetsége a hatóságtól kapott állásfoglalással is rendelkezik. Eszerint az Info tv. „65. §-ának (3) bekezdésének a) pontja értemében nem vezet adatvédelmi nyilvántartást a Hatóság arról az adatkezelésről, amely az adatkezelővel munkaviszonyban, tagsági viszonyban, óvodai nevelésben való részvételre irányuló, tanulói vagy tanulószerződéses jogviszonyban, kollégiumi tagsági viszonyban vagy – a pénzügyi szervezetek, közüzemi szolgáltatók, elektronikus hírközlési szolgáltatók ügyfelei kivételével – ügyfélkapcsolatban álló személyek adataira vonatkozik. A fentiek értelmében, tehát mivel a szállóvendégek és a hotelek között ügyfélkapcsolat áll fenn, valamint mert a hotelek nem tartoznak a pénzügyi szervezetek, a közüzemi szolgáltatók, illetőleg az elektronikus hírközlési szolgáltatók körébe, így az adatvédelmi nyilvántartásba az Info tv. 65. § (3) a) pontja alapján nem kell bejelentkezniük.”

…amit viszont igen
Az állásfoglalás azonban csak az alaptevékenység végzésével kapcsolatban született – figyelmeztet lapunk kérdésére a hatóság munkatársa.
Ezzel szemben az már bejelentendő adatkezelésnek minősül, ha a törvényileg előírtakon felül más adatokat is bekérnek (az utazási szerződéshez például az utas nevén, címén és elektronikusan kötött szerződés esetén e-mail címén kívül más adatot is), ha az adatokat más célra is felhasználják, mint az alaptevékenység elvégzése (pl. közvélemény-kutatás, marketingakciók), azokat a tevékenységhez nem szükséges formában csoportosítják (pl. a vendégek/utasok adataiból életkor vagy nem szerinti listát készítenek), vagy továbbítják azokat harmadik fél részére. Így, ha a szálloda nyereményjátékhoz használja fel a vendég adatait, az adatkezelésnek minősül, ha a játék lezárul, és a nyertes igénybe veszi a megnyert szállodai hétvégét, akkor az adatainak újbóli felvétele a bejelentkezésnél ismét nem tartozik az adatkezelés kategóriába.
A MUISZ-nak adott tájékoztatás felhívja a figyelmet arra is, hogy a hírlevél­küldést mint adatkezelési célt kifejezetten, közérthetően meg kell jelölni az ügyfelekkel kötött szerződésben vagy az adatkezelés jogalapjául szolgáló hozzájárulást megelőző tájékoztatás során.

Pontatlanságtól sújtva
A törvény hatálya alá eső adatkezelés esetén be kell regisztrálni a hatósághoz, és minden egyes adatkezelést díjfizetés mellett be kell jelenteni, amíg ez nem történik meg, az eddigiektől eltérően nem kezdhető meg az adatkezelői tevékenység.
A hatóság persze attól függetlenül kezdeményezhet gyakorlatilag bárhol, bármikor vizsgálatot, hogy az adatkezelést be kell jelenteni vagy sem, az adatkezelés alapelveinek pedig minden esetben teljesülniük kell (lásd keretes írásunkat Személyes adatok és kezelésük címmel – a szerk.). Jogi szakértőnk, dr. Salamon András szerint a törvény megfogalmazásai meglehetősen pontatlanok, ami akár visszaélésekre is alkalmat adhat. Célszerű lenne konkrétan meghatározni például a szerződő fél és az ügyfél fogalmak közötti különbséget, mivel a jogi szakértő szerint nem mindegy, melyiket használjuk.
Wagner Zsuzsa


Ügyfélkapcsolatnak minősül
A törvény értelmében akkor beszélünk ügyfélkapcsolatról, ha az megfelel a következő kritériumoknak: az adatokat közvetlenül az érintettektől veszik fel; az adatkezelés célja az érintett számára ismert; a kezelendő adatok fajtája, az adatkezelés időtartama (adattörlés) előre meghatározott; az adatokat csak az előre meghatározott céllal összefüggésben használják fel; az adatok nem kerülnek ki az adatkezelő kezeléséből; az érintetteket minderről megfelelően tájékoztatják.

Személyes adatok és kezelésük
Személyes adat bármi lehet, amivel a személy kapcsolatba hozható (beazonosítható), adatkezelés alatt pedig az adatokon végzett bármely műveletet érti a törvény, azok gyűjtésétől, felvételétől – ilyen a fényképfelvétel is! – a megsemmisítésig. Adatkezelés alapvetően jogszabályi felhatalmazással vagy az érintett hozzájárulásával történhet, kivéve, ha az adatra a rá vonatkozó jogi kötelezettség teljesítése céljából van szüksége az adatkezelőnek. Az érintettet tájékoztatni kell az adatkezelésről, ennek részletei a törvényben megtalálhatók (pl. adatkezelés céljának, érintett jogainak közlése, adatfeldolgozó megjelölése).
Csakis olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, és alkalmas is a cél elérésére. A szükségesnél több vagy a célt nem (jól) szolgáló adatokat tehát nem kezelhetünk, és a kritériumoknak megfelelő személyes adat is csak a cél megvalósulásához szükséges mértékben és ideig kezelhető. Az adatkezelés során biztosítani kell az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint azt, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani.
Szigorú szabályok érvényesek az ún. különleges adatokra, ezek pl. a személy vallási vagy politikai meggyőződésére, szexuális életére vonatkoznak.