A Salátatörvény célja, hogy az egyes szektorális törvények személyes adatok védelmére vonatkozó rendelkezéseit összhangba hozza az általános adatvédelmi rendeletben (a „GDPR”) foglalt előírásokkal. Bár a teljes körű koherencia megteremtéséhez még jó néhány jogalkotói lépésre szükség van, a GDPR-Salátörvény bizonyos területeken mégis komoly és hasznos változást, valamint gyakorlati előrelépést jelent majd.
Az alábbiakban a Salátatörvény által érintett fontosabb jogszabályi változásokat foglaljuk össze röviden. Fontosnak tartjuk kiemelni, hogy az egyes rendelkezések hatályon kívül helyezése nem feltétlenül jelenti a hatályon kívül helyezett rendelkezésben megfogalmazott kötelezettség megszűnését. A Salátatörvény által végrehajtott dereguláció lényege ugyanis a párhuzamos jogszabályi rendelkezések (azaz az ugyanazon rendelkezés GDPR-ban, valamint az adott szektorális törvényben történő meghatározása) hatályon kívül helyezése, a duplikáció elkerülése volt. A szektorális törvények által érintett adatkezelések során az adatkezelőt azonban továbbra is terhelik a személyes adatok védelméhez való jog garantálásához kapcsolódó kötelezettségek, függetlenül attól, hogy az adott rendelkezést a továbbiakban már „csak” a GDPR határozza meg, ezért a szabályzatok, szerződések és a gyakorlat módosítása során körültekintően javasolt eljárni.
A GDPR-Salátatörvény módosítja a többek között a kamerás megfigyelésekről rendelkező jogszabályt, a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (az „Szvtv.”) rendelkezéseit is.
A leglényegesebb változás, hogy a kamerás megfigyelésekkel megvalósuló adatkezelések jogalapja a korábbi gyakorlattól eltérően már nem a megfigyelt területre belépő személyek ráutaló magatartással megadott hozzájárulása, hanem az adatkezelő ún. jogos érdeke lehet majd. Míg korábban a vélelmezett hozzájárulások megadását a gyakorlat megfelelő tájékoztatás esetén automatikusnak tekintette, a törvénymódosítás hatályba lépését követően ez már nem lesz így. A jogos érdek ugyanis némileg bizonytalanabb jogalap, és fennállását a kamerák üzemeltetőjének egy ún. eredményes érdekmérlegelési teszt elvégzésével kell tudnia alátámasztania, amely az eddiginél részletesebb dokumentáció elkészítését teszi szükségessé. A kamerák által megfigyelt területre történő belépést megelőző, a GDPR 13. cikkének is megfelelő tartalmú tájékoztatás, valamint piktogram elhelyezése továbbra is kötelező lesz.
Kamerás megfigyelést, szakszerűbben fogalmazva elektronikus megfigyelőrendszert kizárólag magánterületen lehet majd alkalmazni. A Salátatörvény hatályba lépését követően valamely jogviszony alapján magánterületként használt közterületi rész (pl. valamely étterem járdán elhelyezett asztalait felölelő rész, építkezések esetén az építési területen kívüli részek) nem figyelhető meg, ami mindenképpen kihívást jelent majd az adatkezelőknek.
Az Szvtv. új rendelkezéssel egészül ki, amely előírja a rögzített felvétel megismerése okának, idejének, valamint a megismerő személyének jegyzőkönyvben (elektronikus nyilvántartást is ideértve) történő rögzítését. Ez szintén további adminisztrációs kötelezettséget ró a kamerát üzemeltető cégekre.
További újdonság, hogy a korábbi szabályozással ellentétben – amely csak bizonyos, a törvény által definiált célok, pl. élet, testi épség, vagyonvédelem stb. esetén engedélyezte a megfigyelést – lehetővé válik a kamerarendszerek bármilyen jogszerű célból történő alkalmazása.
A gyakorlati alkalmazás szempontjából talán a leglényegesebb változás az lesz, hogy a törvény ezentúl nem határozza meg a felvételek megőrzésének kötelező időtartamát (a jelenleg alapesetben irányadó három napos határidő minden piaci szereplő, és a rendőrség által is bevallottan betarthatatlan és ésszerűtlen volt). Ezentúl az adatkezelő mérlegelésétől függ a felvételek megőrzésére vonatkozó időtartam megállapítása, amelyre célszerű a már fent említett érdekmérlegelési tesztben kitérni, ugyanis a felvételeket továbbra sem lehet szükségtelenül hosszú ideig megőrizni, hiszen az ellentétben állna a korlátozott tárolhatóság alapelvvel.
Az Mt. egy önálló, a munkavállalói adatok kezelésével foglalkozó fejezettel egészül ki (5/A.). Garanciális szabály, hogy a munkáltató a munkavállalótól bármilyen nyilatkozat megtételét vagy személyes adat közlését, illetve okirat bemutatását követelheti, ha az a munkaviszony létesítése, teljesítése, megszűnése, vagy az Mt.-ből eredő igény érvényesítése szempontjából lényeges. Ez alapján a munkáltatóknak meg kell győződniük arról, hogy a jelenleg alkalmazott nyomtatványaik, szabályzataik, adatkezelési gyakorlatuk teljesíti-e a fentiekben meghatározott tesztet.
Hatályon kívül helyezésre kerül az a gyakorlatban szintén betarthatatlan rendelkezés, miszerint munkavállalói adat – akár csak cégcsoporton belül is pl. HR célokból – csak hozzájárulással vagy törvényi elrendelés alapján továbbítható.
Biometrikus adat (mint pl. a munkavállaló ujjlenyomata, írisz- és retina azonosító, arcfelismerő) a munkavállaló azonosítása céljából, vagy olyan dologhoz, illetve adathoz való hozzáférés megakadályozása érdekében kezelhető, amely a munkavállaló vagy mások élete, testi épsége vagy egészsége; vagy törvényben védett jelentős érdek (pl.: minimum „Bizalmas!” minősítésű adat, lőfegyver, lőszer, robbanóanyag őrzése, 50 millió forintot meghaladó vagyoni érték védelme) súlyos vagy tömeges visszafordíthatatlan sérelmének veszélyével járna. Nem alkalmazható tehát ilyen azonosítás kötelező jelleggel olyan esetekben (pl. általános jelleggel használt irodai beléptető rendszer), amely a fenti feltételeknek nem felel meg. A munkáltatóknak továbbá szükséges lesz adatkezelési gyakorlatukat, szabályzataikat a fenti szabályokhoz igazítaniuk, pl. ellenőrizni, hogy rendszereik megfelelnek-e a fenti követelménynek, vagy azok módosítása (pl. a fentiekben említett adatkezelési célok meghatározása, adatkezeléssel kapcsolatos garanciális szabályok és eljárások kidolgozása) szükséges.
A GDPR-Salátatörvény elfogadásával rendezésre került a korábban szabályozatlan, és a GDPR beköszöntével nagy port felvert erkölcsi bizonyítvány kérdése is. Az új szabályozás szerint bizonyos feltételek teljesítése esetén a munkáltató jogosult lesz jelentkezőktől és munkavállalóktól erkölcsi bizonyítvány bemutatást kérni. Az okirat másolása, tárolása továbbra sem engedélyezett. Az erkölcsi bizonyítvány bekérésére munkaviszony előtt és alatt is lehetőség van annak vizsgálata céljából, hogy törvény vagy a munkáltató az adott munkakör szempontjából kizárja vagy korlátozza-e a foglalkoztatást. Munkáltató abban az esetben határozhat meg ilyen feltételt, ha a foglalkoztatás jelentős vagyoni érdeke, törvény által védett titok, vagy az előbbiekben felsorolt törvényben védett jelentős érdekek sérelmének veszélyével járna. E feltételeket azonban írásban, az adatkezelést megelőzően tipikusan egy munkáltatói szabályzatban meg kell határozni, valamint azokról a munkavállalót, illetve a jelentkezőt tájékoztatni szükséges, azaz a módosított szabályzatot a helyben szokásos módon ki kell majd hirdetni.
A munkavállalók ellenőrzésére vonatkozó rendelkezések lényegében nem változnak, de mindenképpen újdonság, hogy amennyiben a munkáltató nem engedélyezte kifejezetten a privát használatot vagy nem szabályozta ezt a kérdést, a munkavégzés céljából a munkavállalók rendelkezésére bocsátott IT-eszközöket (pl. céges laptop, telefon) a munkavállalók kizárólag munkacélból használhatják, és azon privát levelezést nem folytathatnak, privát fájlokat nem tárolhatnak.
Fontos garanciális szabály, hogy a munkavállalók ellenőrzése során a munkáltató továbbra is kizárólag a munkaviszonnyal összefüggő adatokba tekinthet be. Az ellenőrzések lefolytatásakor minden esetben ügyelni kell a fokozatosságra (pl. biztosítani javasolt az ellenőrzés alá vont munkavállaló részvételét, törekedni kell a minél kevesebb személyes adat megismerésére, stb.).
Adatvédelmi körökben gyakori téma volt, hogy a vásárlók könyvébe tett bejegyezések esetén hogyan kell biztosítani a bejegyzés bizalmasságát, és hogyan kerülhető el, hogy a vásárlók megismerhessék a más vásárlók által tett, személyes adatokat is tartalmazó bejegyzéseket. Ezt a kérdéskört szabályozza a kereskedelmi törvény módosítása, amely előírja, hogy a más vásárlók által a vásárlók könyvébe bejegyzett személyes adatok megismerése lehetőségének kizárása érdekében a kereskedő a bejegyzést követően eltávolítja – praktikusan kitépi – a panaszt vagy javaslatot tartalmazó oldalt.
Régi piaci igényt pótol a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény (a „DM Törvény”) módosítása is, amelynek következtében a törvény IV. fejezetének törlése eredményeképpen a jövőben az adatkezelő jogos érdekére hivatkozva bármilyen forrásból gyűjthet név,- és lakcímadatokat közvetlen üzletszerzés céljából. A tilalmi lista vezetésére vonatkozó kötelezettséget szintén eltörli a GDPR-Salátatörvény, azonban az érintettek részére jogszerűtlenül küldött reklámok elkerülése végett továbbra is javasolt a Robinson-listák alkalmazása.
A GDPR-Salátatörvény ugyan számos, itt fel nem tüntetett szektorális törvényt is módosít, a hazai jogrendszer GDPR-ral fennálló teljes körű összhangjának megteremtése azonban még várat magára, és további jogalkotást tesz szükségessé.
E körbe tartozik többek között a gazdasági reklámtevékenységekről szóló 2008. évi XLVIII. törvény („Grtv.”) elektronikus úton történő közvetlen üzletszerzésre vonatkozó rendelkezéseinek oly módon történő módosítása, amely a GDPR és a hazai jogba nem megfelelően átültetett e-Privacy Irányelv szabályainak megfelelően lehetővé tenné a reklámok, hírlevelek jogos érdek alapon történő kiküldését. A kockázatkerülő cégeknek az e-Privacy rendelet elfogadásáig – erre várhatóan az év végéig kerül sor –, egyelőre azt javasolnánk, hogy a közvetlen üzletszerzésre vonatkozó gyakorlatukat (hírlevelek, reklámok e-mailen, SMS-ben stb. történő kiküldése magánszemély címzettek számára) továbbra is a Grtv. rendelkezéseinek szem előtt tartásával végezzék.