hello@compactszolg.hu
+36 30 446 2562

A GDPR hatálya alá tartozó adatkezelések

13/04/2023

Első kérdésként nagyon fontos tisztázni adatkezelőként, hogy adatkezelésünk a GDPR hatálya alá tartozik-e.

Ennek megállapítása során figyelembe kell venni az adatkezelés módját, a nyilvántartásaink vezetésének jellemzőit.

A Magyarázat a GDPR-ról[1] az alábbiakat mondja erről.

GDPR kimondja, hogy a rendelkezéseit alkalmazni kell a személyes adatok részben vagy egészben automatizált módon történő kezelésére, valamint azoknak a személyes adatoknak a nem automatizált módon történő kezelésére, amelyek valamely nyilvántartási rendszer részét képezik, vagy amelyeket egy nyilvántartási rendszer részévé kívánnak tenni [GDPR 2. cikk (1) bekezdés].
  • A fenti rendelkezésnek az a célja, hogy ne tartozzon az uniós rendelet tárgyi hatálya alá a nem gépesített, manuális módon kezelt adatállományok kezelése abban az esetben, ha az nem strukturált módon történik.
  • A manuálisan kezelt adatok közül tehát csak a strukturált, vagyis rendezett, áttekinthető állományok tartoznak a GDPR hatálya alá.
  • Ennek oka, hogy az ilyen típusú adatkezelések esetén fokozottan fennáll a magánszféra sérelmének veszélye. Erre az automatizált adatkezelés szintjét el nem érő, de ahhoz hasonló rendezési, válogatási, hozzáférési lehetőségek miatt van szükség.
Az Európai Bíróság viszont egyik ítéletben kimondta, hogy a tagállamoknak lehetőségük van arra, hogy a saját belső jogszabályaikban az adatvédelmi szabályok tárgyi hatályát kiterjesszék a manuálisan és nem strukturált módon kezelt állományokra is, tehát azokra az állományokra, amelyekre alapesetben nem kellene a GDPR rendelkezéseit alkalmazni.

Magyarország élt ezzel a lehetőséggel.

  • A magyar adatvédelmi jogban a magyar adatvédelmi jog különös szabályait tartalmazó Infotv. hatálya a teljesen manuálisan végzett adatkezelésekre is kiterjed és úgy rendelkezik, hogy a GDPR meghatározott előírásait kell alkalmazni (GDPR 4. cikk, II-VI., és VIII-IX. fejezetek) az olyan adatkezelésekre, amelyek egyébként nem tartoznának alapból az uniós adatvédelmi jog hatálya alá.
  • Magyarországon tehát a GDPR bizonyos előírásait a manuálisan végzett és nem nyilvántartási rendszer részét képező (például tisztán papír alapú) adatkezelésekre is alkalmazni kell.
  • Ez a gyakorlatban annyit jelent, hogy amennyiben egy adatkezelésre a területi hatályra vonatkozó rendelkezések alapján kiterjed az Infotv. hatálya, úgy az adatkezelőnek meg kell felelnie ezen adatkezelései tekintetében is a GDPR bizonyos előírásainak, függetlenül attól, hogy azt automatikusan, vagy manuális (akár nem strukturált) módon végzi.
Magyarország területén tehát nem mentesülhet az adatkezelő az adatvédelmi jogi előírásoknak való megfelelés alól, pusztán arra hivatkozva, hogy adatkezelését tisztán papír alapon végzi [Infotv. 2. § (4) bekezdés].

Természetesen vannak olyan adatkezelések, amelyek esetén nem kell az uniós adatvédelmi jogot alkalmazni.

Ezek közül a legfontosabb az ún. magáncélú adatkezelés.

A GDPR egyik legfontosabb kivételszabálya, hogy az előírásait nem kell alkalmazni a személyes adatoknak a természetes személy által kizárólag személyes vagy otthoni tevékenység keretében végzett kezelésére, amely semmilyen szakmai vagy üzleti tevékenységgel nem hozható összefüggésbe (ún. magáncélú adatkezelések).

Személyes vagy otthoni tevékenységnek minősül például a levelezés (akár elektronikus, akár papír alapon történik), a címtárolás, valamint az említett személyes és otthoni tevékenységek keretében végzett, közösségi hálózatokon történő kapcsolattartás és más online tevékenységek is.

Nem alkalmazható ez a kivétel abban az esetben, ha az adatot meghatározhatatlan számú személy ismeri meg, vagy az nyilvánosságra kerül. Ilyen eset lehet, ha például a magánszemély egy nyilvánosan elérhető internetes fórumon nyilvánosságra hozza egy másik érintett nevét vagy fényképét abból a célból, hogy a közösség segítsen neki beazonosítani a pontos kilétét és elérhetőségeit. Ebben az esetben az adatkezelés nem felel meg a személyes, otthoni tevékenység keretében történő adatkezelés kritériumának, hanem az kilép a nyilvánosság elé, így arra a GDPR előírásait már alkalmazni kell.

  • A vonatkozó szakirodalomban hozott példa szerint nem esik továbbá a kizárólag személyes vagy otthoni tevékenység keretében folytatott adatkezelés hatálya alá, ha a magánszemély otthoni számítógépén munkájával kapcsolatos adatokat kezel (például otthonról dolgozik).

[1] Szerkesztette: Buzás Péter / Péterfalvi Attila / Révész Balázs – 2021.05.31.

Jelen ismeretanyag nem teljeskörű és nem minősül szakmai állásfoglalásnak vagy tanácsadásnak. Jelen ismeretanyag az adatkezelők/adatfeldolgozók alapvető tájékozódását szolgálja.