Mint azt az iroda munkatársai a személyes konzultációk során hangsúlyozzák, ez az adatbázis a “nyilvántartók és nyilvántartások nyilvántartása”, az informatika szakkifejezését kölcsönvéve: metanyilvántartás. A bejelentési kötelezettség nem azt jelenti, hogy az adatvédelmi biztos számára az egyes adatkezelések konkrét adattartalmát kellene elküldeni, hogy ebből egy hatalmas központi adatbázis keletkezzen. Valójában a személyes adatkezelések ismérvei azok, amelyeket összegezve egy átfogó, a Magyarországon létező összes nyilvántartást modellező rendszer jön létre, az adatvédelmi törvénynek (Avtv.) és az európai adatvédelmi előírásoknak megfelelően.
Az 1992. évi LXIII. törvény 29. §-ának (2) bekezdése, mely szerint “...(az) adatok megváltozását 8 napon belül be kell jelenteni az adatvédelmi biztosnak...”, sem arról szól, hogy napról napra jelezni kell például az egyes nyilvántartásokban szereplő adatok pontos számát, felsorolva a törölt és újonnan felvett neveket, címeket, stb. Ez nyilvánvalóan kivitelezhetetlen lenne. Az idézett szakasz szerint az adott adatkezelések jogszabályban, illetve tartalmában bekövetkező változásairól kell tájékoztatást nyújtaniuk az érintetteknek. (Például a kezelt adatok köre szűkül vagy tágul, új szervezeti egység létrejötte kapcsán hatáskörök keletkeznek vagy szűnnek meg, stb.) Ezek lehetnek akár új jogszabályi előírásokkal kapcsolatosak is.
Mindebből az is következik, hogy ha az állampolgárok információs önrendelkezési jogukkal élve be kívánnak tekinteni az egyébként nyilvános Adatvédelmi Nyilvántartásba, sem nevüket, sem saját konkrét adataikat nem fogják abban megtalálni, hanem állampolgárok csoportjaival és a róluk nyilvántartott adatfajtákkal találkoznak. A rendszer arra szolgál, hogy a közvetlen adatszolgáltatás után nyomon követhető legyen az adatok áramlása. A cél az, hogy jogszabályok ismerete nélkül is megismerhető legyen, hogy “mi történik az ablak mögött”.
A fenti ismérvek alapján a bejelentési kötelezettség tehát egy “egyszerű” regisztrációs aktus. Az Adatvédelmi Nyilvántartás haszna azonban nemcsak az adatvédelmi biztos munkájának és az állampolgárok információs önrendelkezési joga közvetett érvényesítésének megkönynyítésében rejlik.
Általánosan elmondható, hogy számos esetben egymással párhuzamosan létező, azonos vagy közel azonos adattartalommal bíró nyilvántartásokat több, különböző állami hivatal vezet. Az Avtv. alapelvei kimondják, hogy bár egy adatkezelő természetesen több adatkezeléssel is rendelkezhet, egy adatkezelésnek csak egy felelős adatkezelője lehet. (Az Adatvédelmi Nyilvántartási Rendszerben használt adatkezelési nyilvántartási azonosító is ez utóbbi elv alapján jött létre.) Ezek szerint a bejelentkezési kötelezettség teljesítése racionalizáló hatású: az érintett szervek egymás közötti, illetve a saját szervezetükön belüli feladat- és hatásköri átfedések megszüntetését, a vezetett nyilvántartások egységesítését segítheti elő. Ennek gyakorlati haszna nem elhanyagolható.
Természetesen ez az adatkezelői magatartás csak az Avtv. korszerűsítését célzó törekvéssel együtt említhető. Az Adatvédelmi Nyilvántartás létrehozása során az Adatvédelmi Biztos Irodája először alkalmazta hivatalosan az adatfeldolgozó – másként: megbízott vagy másodlagos adatkezelő – fogalmát melyet több szektorális törvényünk már alkalmaz. Az egyébként kimondottan modern adatvédelmi törvény adós a definíció meghatározásával. A gyakorlat és az elméleti háttér összhangba hozása a jogalkotó feladata.
Az Adatvédelmi Nyilvántartás nem konstitutív, illetőleg engedélyező hatályú, tehát ha a bejelentett adatkezelés jogellenes, a bejelentkezés nem legalizálja azt, de alapja lehet adatvédelmi vizsgálatnak. Az Adatvédelmi Nyilvántartás ellenőrző funkciójáról a későbbiekben még szó esik.
Az Adatvédelmi Nyilvántartásba történt bejelentkezések tapasztalatai
Az adatvédelmi biztos még 1997 végén levélben hívta fel a szaktárcák vezetőinek és az országos hatáskörű szervek illetékeseinek figyelmét arra, hogy jelöljék meg, mely adatkezelések tartoznak a szabályozás tárgya szerint saját illetékességükbe, és ezeket jelentsék be az adatvédelmi nyilvántartásba. A beérkezett bejelentkezések űrlapjainak értelmezése és feldolgozása során megállapítottuk, hogy több minisztérium nem tett eleget az adatvédelmi biztos felkérésének. A bejelentkezett szaktárcák közül is többen nemlegesen válaszoltak a személyes adatok kezelésének bejelentési kötelezettségére.
Az adatvédelmi nyilvántartásba történő bejelentkezés után a további pontosításoknak és konzultációknak köszönhetően példamutató együttműködés alakult ki a Belügyminisztériummal, és ezen belül is az informatikai és adatvédelmi főosztállyal.
Az együttműködésnek köszönhetően jól áttekinthetővé vált a Belügyminisztérium felügyelete alá tartozó szervek és szervezetek adatkezelői tevékenysége. (E szervek és szervezetek adatkezelésének megoszlását külön ábrán is bemutatjuk.)
A helyi önkormányzatoknál – saját hatáskörükben kiadott rendeleteik végrehajtásával kapcsolatban – személyes adatokat tartalmazó adathalmazok jönnek létre. Ilyen ek lehetnek például a lakásépítésre és vásárlásra folyósított visszatérítendő önkormányzati kölcsönök, a háziorvosi megállapodások, a helyi építményadók, a földbérleti díjak, a helyi iparűzési adók és a helyi idegenforgalmi adók nyilvántartása. Ezen adathalmazok – függetlenül az alkalmazott kézi-, vagy automatizált információ-feldolgozó technológiától – bejelentkezési kötelezettség alá esnek. A helyi önkormányzatok azonban – néhány esettől eltekintve – nem jelentik be ezeket a személyes adat kezeléseket.
A kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény 6. § (3) bekezdése előírja a direkt marketing tevékenységet folytató cégeknek, hogy adatkezeléseiket tevékenységük megkezdése előtt az Avtv. 28. § (1) bekezdése alapján kötelesek az adatvédelmi biztosnak bejelenteni. Ennek ellenére az országban közvetlen üzletszerzés alapján működő kereskedő cégek csak kis hányada jelentett be – összesen 38 – adatkezelést az adatvédelmi nyilvántartásba.
A mezőgazdasági minősítő intézmények által a különféle növényi terményeket és állati termékeket előállító gazdálkodókról vezetett nyilvántartások esetében egyetlen bejelentkezés sem történt. Ugyanez vonatkozik a különböző szolgáltatást nyújtó vállalatok megbízásából díjbeszedést végző cégekre.
Az utóbbi idők törvénymódosításai magánszemélyek részére is engedélyezik a munkaerő-közvetítést. Az e szakma gyakorlása iránt megnövekedett érdeklődés ellenére is mindössze egy bejelentkezés történt. Igen kis számban jelentkeztek be a megbízásból bérszámfejtést és könyvelést végző kisvállalkozók. Egyáltalán nem jelentették be személyes adat kezeléseiket a kötelező biztosítást nyújtó biztosítótársaságok. A földhivatalok szintén adósai az adatvédelmi nyilvántartásnak az ingatlan-nyilvántartások bejelentésével.
A választásokat követően az új kormány a minisztériumi struktúrát átalakította. Az Adatvédelmi Biztos Irodájának nyilvántartási főosztályára ismét személyes konzultációk sora várt, hiszen egyes szaktárcák megszűntek, mások szétváltak, vagy egészen újak jöttek létre. Mivel így a feladat- és hatáskörök egészen máshogy csoportosultak, mint azt megelőzően, tisztázni kellett, hogy az általában már bejelentett adatkezelések vezetésére az új felállásban ki jogosult. Ez a már említett “egy adatkezelésnek egy kezelője legyen” elv miatt volt szükséges.
A tárcák még jelenleg is adósak az önkormányzatok által vezetett, de szakigazgatási szempontból nem a Belügyminisztérium alá tartozó adatkezelések bejelentésével. Időközben ugyanis a BM Informatikai és adatvédelmi főosztálya eljuttatta az ombudsmanhoz az általa előzőleg bejelentett nyilvántartások kezelőinek listáját. (Az Adatvédelmi Nyilvántartás működéséhez szükséges ugyanis az érintett szervek kapcsolattartóinak megjelölése.) Ez egyértelműen megerősíti, hogy a belügyi tárca álláspontja továbbra is az, hogy a fent említett egyéb önkormányzati adatkezelések bejelentése nem az ő illetékességi körébe tartozik. Ha a tárcák között ilyen jellegű vita van, azt az adatvédelmi biztosnak nincs joga eldönteni.
A BM kötelezettségének teljesítése több szempontból előremozdította a nyilvántartási főosztály munkáját. Ez a kérdés számszaki megközelítésben sem elhanyagolható, hiszen ma a legtöbb magyar közigazgatási szerv – gondoljunk csupán a helyi önkormányzatokra vagy a rendőrség szervezetére – adatkezeléseinek bejelentése a belügyminiszter kötelessége.
A törvény indokolása szerint az Adatvédelmi Nyilvántartás deklaratív hatályú, adatai az adatkezelőt kötelezik. Az adatvédelmi biztos már a bejelentéssel egy időben felléphet, ha a bejelentett adatkezelés nem felel meg a törvényes előírásoknak. Felmerül viszont a kérdés, hogy az Avtv. 28. § (2) pontja által említett esetekben (“A jogszabályban elrendelt adatkezelést a szabályozás tárgya szerint illetékes miniszter, országos hatáskörű szerv vezetője, illetőleg a polgármester, főpolgármester, a megyei közgyűlés elnöke köteles bejelenteni”) kivel szemben teheti ezt meg.
Az adatvédelmi biztos álláspontja szerint az állami vagy helyi önkormányzati feladatot ellátó, államigazgatási tevékenységet végző adatkezelők esetében, mivel a bejelentő személye legtöbbször nem esik egybe az elsődleges adatkezelővel, a jogi felelősség nem kizárólagosan a bejelentésre kötelezettet terheli.
1997-ben már tisztázódott a helyi önkormányzatok bejelentése/bejelentkezése kapcsán, hogy a közfeladatot ellátó szerv jogszabályban számára kötelezően elő nem írt feladatok ellátása során létrejövő nyilvántartások bejelentési kötelezettsége az érintett szervre hárul. Ezt az elvet alkalmazva jutott el az iroda az alábbi, általánosnak mondható modell megalkotásához.
Az Adatvédelmi Nyilvántartással összefüggésben a jogi felelősség
Az állami szféra területén jelentkező főbb értelmezési problémákat az iroda munkatársai 1998 folyamán megoldották. Egy-két olyan kérdés van még, amely tisztázásra szorul, s ebben a minisztériumi struktúra változása is közrejátszik. Lássunk két hangsúlyosabb példát:
Az Egészségügyi Minisztériummal, valamint a Szociális és Családügyi Minisztériummal jelenleg is folyik az egyeztetés az általuk bejelentendő nyilvántartásokról. Az Avtv. 30. §-a ugyanis a kivételek közé sorolja azokat az adatkezeléseket, amelyek az érintett anyagi és egyéb szociális támogatását célzó és nyilvántartó adatokat tartalmaznak. Az adatvédelmi biztos álláspontja szerint a gyámügyi igazgatás területén a kiskorúak személyes adatait tartalmazó nyilvántartások olyan mélységben érintik a szenzitív adatok körét, hogy emiatt és a kiskorúak fokozottabb védelmére tekintettel ezeket be kell jelenteni az Adatvédelmi Nyilvántartásba.
Hasonló a helyzet a szolgálati jogviszonyban állók személyügyi nyilvántartásaival is. Az Avtv. azon kitétele, amely szerint az adatkezelővel munkaviszonyban álló személyek adatait tartalmazó nyilvántartások bejelentési mentességet élveznek, kiterjesztő értelemben a munkavégzésre irányuló egyéb (közalkalmazotti, közszolgálati) jogviszonyokra is alkalmazható. A szabályt azonban indokolt szűkítően értelmezni a szolgálati jogviszonyban dolgozók esetében, hiszen a róluk vezetett nyilvántartások a különleges adatok sokféle fajtáját felölelik. Tehát az adatvédelmi biztos álláspontja szerint bejelentés-kötelesek.
A Honvédelmi Minisztérium képviselői a NATO-csatlakozás okán kérték az adatvédelmi biztos türelmét a bejelentkezés eddigi elmulasztása miatt. Nem ez az egyetlen nemzetközi vonatkozású kérdés, amely az Adatvédelmi Nyilvántartást is érinti. Az Európai Unió információs rendszereihez történő csatlakozási folyamat lezárása után létrejövő úgynevezett Nemzeti Egység, és az azt ellenőrző hivatal által kezelt nyilvántartások bejelentkezési problémáinak tisztázása a jövő feladata.
Az Adatvédelmi Nyilvántartás feltöltése a beérkező anyagokkal csak egy feladat a sok közül, hiszen ahhoz, hogy a tényleges állapotokat tükrözze, folyamatosan vezetni kell. Gyakorlati funkcióit az elmúlt rövid időszak alatt is sikeresen betöltötte: az adatvédelmi biztos legutóbbi, Veszprém megyei vizsgálatára készülve a meglátogatott szervekről előzetesen szerezhető információk összegyűjtését segítette.
Ahhoz azonban, hogy a panaszügyek kivizsgálásánál is kellő hangsúlyt kaphasson, a további bejelentkezést siettető, az adatkezelői felelősség kialakulását célzó intézkedésekre van szükség. A magánszféra fokozott figyelemmel kísérése lehet az iroda következő feladata, mert sajnos az e területről beérkezett bejelentések mennyisége elhanyagolható a nyilvántartásban szereplő összes adathoz képest. A magán adatkezelők hajlamosak elfeledkezni arról, hogy a bejelentkezés elmulasztása miatt büntetőjogilag felelősségre vonhatóak.
Az Adatvédelmi Nyilvántartás adatkezelőnkénti és adatkezelésenkénti elemzése
Az 1998. december 31-ig beérkezett űrlapokat az iroda munkatársai átvizsgálták, nem megfelelő kitöltés esetén az űrlapoknak a nyilvántartási rendszerbe történő beviteléhez elengedhetetlenül szükséges konzultációkat lefolytatták. Ezek után az összes értelmezhető adathordozó interaktív adatrögzítésre került, és az adatbázisba bevitelt nyert.
Az Adatvédelmi Nyilvántartási Rendszer adatbázisának főbb mutatói :
összes adatkezelő : 2 700, ebből önkormányzat 2 268;
összes adatkezelés
: 19 226, ebből önkormányzati 18 182;
Az Adatvédelmi Nyilvántartás Rendszeréből az állampolgároknak nyújtható tájékoztatás
A rendszerből felvilágosítást lehet adni az ezt igénylő állampolgárok számára az őket érinthető, lehetséges adatkezelésekről. Ide tartozik az alkalmazott kézi vagy gépi eljárástól függetlenül a természetes személyek adataiból képződő összetartozó, meghatározott célú adatállomány bármely módon történő gyűjtése, tárolása vagy felhasználása. Ez jellemzi az adatkezelőt, azt a természetes vagy jogi személyt, aki vagy amely a fenti adatkezelést végzi, vagy mással végezteti és a jogi felelősséget viseli. Így tartalmazhatja az adatkezelő intézményi megnevezését, címét, az adatkezelés adatkezelő által használt megnevezését, céljának rövid megfogalmazását, tényleges helyének pontos meghatározását.
Abban az esetben, ha bármilyen adatkezelési műveletet nem az adatkezelő végez el, hanem az általa megbízott közreműködő (adatfeldolgozó), információ nyerhető az adatfeldolgozó intézményi megnevezéséről, címéről.
Az adatok származásával kapcsolatban meg lehet tudni az adatforrások megnevezését, az adatfelvétel jogalapját (jogszabályhely vagy más jogalap, jogszabály címe), az adatfelvétel vagy adatátvétel módját és az adatok törlésének határidejét.
A rendszer felvilágosítást nyújt az adatkezelőknél tárolt személyes adatok fajtáinak megnevezéséről, így az azonosító adatokról (családi és utónév, nők leánykori családi és utóneve, nem, születési hely és idő, anyja leánykori neve, állampolgárság, tartózkodási státus, lakóhely, tartózkodási hely, személyazonosító jel, személyi igazolvány száma, útlevél száma, adóazonosító jel, taj-szám, fénykép, ujjlenyomat, aláírásminta, elhalálozás helye és ideje, egyéb azonosító adat), az adatkezelés céljából nyilvántartott adatokról (például életkor, jövedelem, vásárlói szokások, hitelminősítés stb.), különleges adatokról (származásra, nemzeti, nemzetiségi, etnikai hovatartozásra, politikai véleményre, irányultságra, pártállásra, vallásos vagy más meggyőződésre, egészségi állapotra, kóros szenvedélyre, szexuális életre vagy irányultságra, büntetett előéletre vonatkozó személyes adatok), más személyekre vonatkozó adatok (családot, családtagokat és ismerősöket érintő személyes adatok).
Bejelentés-köteles az adatkezelő olyan tevékenysége is, amikor más szervezetek vagy személyek részére adatátadást, adattovábbítást végez. A nyilvántartási rendszer tájékoztatást tud adni arról, hogy kinek továbbítják az adatot, milyen adatfajtát továbbítanak, mi az adattovábbítás jogalapja, milyen informatikai módszerrel (egyedi adatkérések teljesítése, címlista átadás, rendszeres adatfrissítés, online kapcsolat), és milyen időponttal (határnap, határidő, vagy feltétel bekövetkezése) történik.
A pontosan kitöltve beküldött kérdőívek esetében (ez természetesen vonatkozik a fentiekben felsorolt tájékoztatásokra) információhoz lehet jutni az adatkezelések által érintett személyek csoportjairól is.
A beérkezett űrlapok feldolgozása megtörtént. Azonban a már bejelentkezett adatkezelők nagy részével is további konzultációk szükségesek, hogy az űrlapok minden rovata helyesen legyen kitöltve. Ez a hiánypótló munka jelenleg is folyik. Az iroda munkatársai a feltöltöttségnek megfelelően tudnak választ adni a megkeresésekre.
Az Adatvédelmi Nyilvántartási Rendszer – a hivatal szűkös elhelyezési körülményei miatt – jelenleg az illetékes főosztály területén működő terminál munkahelyekről érhető el. Az iroda végleges helyre történő átköltözése után egy, külön erre a célra szolgáló, nyilvános felhasználói terminál kialakítását tervezzük.
