::adatvédelmi portál::
Az érintettet - egyértelműen és részletesen - tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről [Avtv. 6.§ (2)]
 
::menü::
 
::bejelentkezés::
Felhasználónév:

Jelszó:
SúgóSúgó
Regisztráció
Elfelejtettem a jelszót
 
::hirdetőtábla::
Rövidebb megjegyzések itt helyezhetők el. Hosszabb irományokat a fórumba várunk.
Név:

Üzenet:
:)) :) :@ :? :(( :o :D ;) 8o 8p 8) 8| :( :'( ;D :$
 
Az érintettel az adat felvétele előtt közölni kell, hogy az adatszolgáltatás önkéntes vagy kötelező. [Avtv. 6. § (1)]
::adatvédelmi hírek::
::adatvédelmi hírek:: : Az adatvédelmi biztos értelmezi az adatvédelmi törvény új rendelkezéseit

Az adatvédelmi biztos értelmezi az adatvédelmi törvény új rendelkezéseit

szm  2004.03.01. 20:08

2004. január 1-jén hatályba lépett az adatvédelmi törvény eddigi legátfogóbb módosítása. Sok rendelkezése még nem is került alkalmazásra. A törvény rendelkezéseinek értelmezése a jövő feladata, ám a közelmúltban az adatvédelmi biztos a Magyar Bankszövetség indítványa alapján olyan állásfoglalást adott ki, amelyben számos új adatvédelmi törvénybeli szabályt értelmez, iránymutatást adva így a jogalanyoknak és a jogalkalmazóknak. Mivel az Adatvédelmi Portál elsődleges feladata az ilyen információk nyilvánosság felé közvetítése, az alábbiakban közzétesszük az állásfoglalást, megnyitva így a lehetőséget a vitára is.

Az állásfoglalás számozott kérdésekre ad választ. Bár a beadványt nem láttuk, nagyjából kitalálható, mely kérdésekre adnak választ a számozott bekezdések. Az állásfoglalás az alábbi témákat öleli fel:

 

  1. Adatvédelmi biztos előzetes ellenőrző hatásköre
  2. Belső adatvédelmi felelős pozíciója
  3. A pénzügyi szervezetek fogalmának értelmezése (tekintettel a szabályzatírási kötelezettségükre és a belső adatvédelmi felelős kinevezésének kötelezettségére)
  4. A belső adatvédelmi szabályzat tartalma
  5. A személyes adat és az adatkezelés fogalmának értelmezése
  6. Az ügyfél által adott olyan általános felhatalmazás jogi megítélése, amely szerint hozzájárul mindazon személyes adata kezeléséhez és továbbításához, amely egy bankkal fennálló üzleti kapcsolatának körébe tartozó szerződések teljesítéséhez szükséges
  7. Adatállomány fogalmának meghatározása
  8. Adatkezelések összekapcsolása egy adatkezelő szervezetén belül
  9. Ügyfélazonosító jogi megítélése
  10. Az adatfeldolgozásra irányuló szerződéskötés szabályainak értelmezése
  11. Automatizált egyedi döntés értelmezése
  12. A harmadik országba történő adattovábbítás szabályainak értelmezése
  13. Az érintett tiltakozási jogának értelmezése
  14. A BAR-ba történő adattovábbítás feltételei

 

Az esetleges félreértések elkerülésére közöljük, hogy az állásfoglalást nem az adatvédelmi biztos vagy munkatársa juttatta el részünkre, hanem a bankszektorban dolgozó olyan adatvédők egyike, aki támogatni kívánja a portál tartalmi fejlesztését, és gyakorolni kívánja az Alkotmány 61. §-ában foglalt jogát a közérdekű adatok terjesztésére.

 

A szöveget szkennelve kaptuk meg, az esetleges karakterfelismerési hibákért elnézést kérünk. Az adatvédelmi fórum nyitva áll az állásfoglalással kapcsolatos észrevételek megtételére.

 

Szabó Máté

 

Ügyiratszám: 1245/K/2003-3.

Hiv. szám: 99/1/2003.

 

Magyar Bankszövetség

Budapest

 

 

Tisztelt Főtitkár Úr!

 

A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvényt (továbbiakban: Avtv.) módosító 2003. évi XLVIII. törvény rendelkezéseinek értelmezésével kapcsolatban fordult hivatalomhoz. 2003. október 20-án kelt levelére válaszolva - a hivatalomban folytatott személyes konzultációra figyelemmel - az alábbiakról tájékoztatom:

1. Az Avtv. 31. §-a szerint az adatvédelmi biztos az adatvédelmi nyilvántartásba vételt megelőzően, illetve - egyes nevesített nagy adatkezelő szervezeteknél - az új adatállományok feldolgozásakor, vagy új adatkezelési technológia alkalmazásakor előzetes ellenőrzést végezhet. Az előzetes ellenőrzés lehetőségét tehát egyrészt az adatvédelmi nyilvántartásba vételt megelőzően, másrészt új adatállományok feldolgozásának vagy új technológia alkalmazásának esetén írja elő a törvény. Ez utóbbi esetben azonban csak olyan adatkezelő szervezeteknél teszi lehetővé a törvény az előzetes ellenőrzést, amelyek nagy mennyiségben kezelnek személyes, különleges, vagy bűnügyi adatokat. Az adatvédelmi nyilvántartásba való bejelentési kötelezettség alól továbbra is mentesül az ügyfélkapcsolatban álló személyekkel kapcsolatos adatkezelés, ez azonban nem zárja ki azt, hogy a biztos az Avtv. 31. § (2) bekezdése alapján a pénzügyi szolgáltató szervezetnél előzetes ellenőrzést végezzen (természetesen csak új adatállomány feldolgozását, vagy új adatfeldolgozási technológia alkalmazását megelőzően). A 31. § (3) bekezdésben szabályozott bejelentési kötelezettség is ez utóbbi esetre vonatkozik és jellegében teljes eltér a törvény 30. §-ában szabályozott adatvédelmi nyilvántartásba való bejelentési kötelezettségtől.

Az adatállomány fogalmát az Avtv. az egy nyilvántartó rendszerben kezelt adatok összességeként határozza meg. A nyilvántartó rendszer a törvény hatályából - és értelmező rendelkezéseiből - következően személyesadat-nyilvántartó rendszer, tehát a pénzügyi szolgáltatók esetében a lakossági ügyfélkört érintő adatkezeléseket öleli fel. Azt az értelmezést miszerint egy bank egy adat-nyilvántartó rendszer - a célhozkötött adatkezelés elvéből következően - nem tartom elfogadhatónak. Az ügyfél az információs önrendelkezési jogát az Avtv. 3. § (7) bekezdése szerint is mindig az adott szerződés teljesítése érdekében gyakorolja, a különböző adatkezelési célok érdekében megadott személyes adatok korlátlan összekapcsolása, vagyis egy adatállományként való kezelése már új adatkezelési célokat eredményezhet. A hitelintézetekről és a pénzügyi vállalkozásokról szóló 1996. évi CXII. törvény (továbbiakban: Hpt.) 69/A. §-a is ebbe az irányba mutat, vagyis meghatározott szervezeti egységek közötti információs határvonalak (kínai fal) kiépítését szorgalmazza. Levelében Ön is utalt arra, hogy a bankok jelenleg is termékenként külön számlavezető rendszereket működtetnek, így számlavezető rendszerenként eltérő nyilvántartott adatkörrel külön adatállományok keletkeznek.

2. Az Avtv. 31/A. § (1) bek. b) pontja alapján a pénzügyi szervezetnek belső adatvédelmi felelőst kell megbíznia, vagy kineveznie. A 31/A. § (3) bekezdés alapján a pénzügyi szervezetnek adatvédelmi és adatbiztonsági szabályzatot kell készítenie. A kivételt, melyre Önök is hivatkoznak levelükben (az adatvédelmi nyilvántartásba bejelentési kötelezettség alá nem eső adatkezelők), az egyéb állami és önkormányzati adatkezelők vonatkozásában fogalmazta meg a jogalkotó.

A belső adatvédelmi felelős álláspontom szerint megbízási szerződés keretében is elláthatja feladatát, nem szükséges, hogy az adatkezelővel munkaviszonyban álljon. Az adatvédelmi felelősi tisztség ellátása mellett az adott szervezetben más munkakört is betölthet.

3. Az Avtv. a pénzügyi szervezetek fogalmát valóban nem definiálja. Véleményem szerint ebben a jogértelmezési kérdésben a pénzügyi szervezetek állami felügyeletét ellátó szervezet jogállását, feladat- és hatáskörét szabályozó 1999. évi CXXIV. törvény rendelkezéseit lehet alapul venni.

E törvény 2. § (1) bekezdése szerint a Pénzügyi Szervezetek Állami Felügyelete tevékenységének célja (...) a pénzügyi szolgáltatási, a kiegészítő pénzügyi szolgáltatási, a befektetési szolgáltatási, a kiegészítő befektetési szolgáltatási, az elszámolóházi, a befektetés-kezelési, árutőzsdei szolgáltatási, a biztosítási, biztosításközvetítői, a biztosítási szaktanácsadói tevékenységet szervező szervezet, illetve személy, az önkéntes kölcsönös biztosító pénztárak, a magánnyugdíjpénztárak, közraktárak, kockázati tőketársaságok, kockázati tőkealapok, kockázati tőkealap kezelők, valamint a tőzsdék és tagjaik (a továbbiakban együtt: pénzügyi szervezetek) prudens és hatékony működésének, tulajdonosaik gondos joggyakorlásának elősegítése és folyamatos felügyelete. A felügyelt intézményi kör pontos meghatározását adja a törvény 3. §-a; eszerint mindazon szolgáltatók, melyek

"a) a hitelintézetekről és a pénzügyi vállalkozásokról szóló 1996. évi CXII. törvény (a továbbiakban: Hpt.),

b) a tőkepiacról szóló 2001. évi CXX. törvény (a továbbiakban: Tpt.),

c)-d)

e) a biztosítóintézetekról és a biztosítási tevékenységről szóló 1995. évi XCVI. törvény (a továbbiakban: Bit.),

f) az Önkéntes Kölcsönös Biztosító Pénztárakról szóló 1993. évi XCVI. törvény,

g) a magánnyugdíjról és a magánnyugdíjpénztárakról szóló 1997. évi LXXXII. törvény,

 h) a közraktározásról szóló 1996. évi XLVIII. törvény,

i) az egyes szakosított hitelintézetekről szóló törvények,

j) a kockázati tőkebefektetésekról, a kockázati tőkealapokról szóló 1998. évi XXXIV. törvény" hatálya alá tartoznak, pénzügyi szervezeteknek minősülnek.

4. Az adatvédelmi szabályzat egy belső, az adatkezelő szervezetén belül kötelező erejű norma, amely az adatkezelés részleteit határozza meg, és elősegíti a jogszabályok rendelkezéseinek végrehajtását, valamint az érintettek jogainak érvényesítését. Az adatvédelmi és adatbiztonsági szabályzat célja

-        a törvény általános rendelkezéseinek egyéniesítése

-        hozzáférési jogok meghatározása

-        ellenőrzési mechanizmusok meghatározása

-        felelősségi viszonyok tisztázása

-        az egyes adatkezelési műveletek részletezése (pl. törlési határidők)

-        az adatkezelő szervezetén belül az adatbiztonsági követelmények érvényesítése.

Az adatvédelmi szabályzat hatálya kiterjedhet a pénzügyi szervezet egészére, de annak sem látom akadályát, hogy üzletáganként külön-külön kerüljön megalkotásra. A fentiekre tekintettel mintaszabályzatot nem áll módomban az Önök rendelkezésére bocsátani.

5. A személyes adat és az adatkezelés fogalma álláspontom szerint nem tér el a 95/46/EK irányelvben szereplő meghatározástól. Annak a kérdésnek az eldöntése, hogy mi minősül személyes adatnak, mindig az adott adatkezelési helyzet, valamint az adatkezelési technológia ismeretében lehetséges.

Az Avtv. 3. § (3) bekezdése szerint kötelező adatkezelés esetén az adatkezelés célját és feltételeit, a kezelendő adatok körét és megismerhetőségét, az adatkezelés időtartamát, valamint az adatkezelő személyét az adatkezelést elrendelő törvény vagy önkormányzati rendelet határozza meg. Ha alacsonyabb szintű jogszabály rendelkezik személyes adatok kezeléséről, akkor a szabályozás az Alkotmányba ütközik. Az adatvédelmi biztos minden olyan esetben, amikor ezt észlelte, az Avtv. 25. § (1) bekezdés alapján kezdeményezte a megfelelő jogforrási szintű jogszabály megalkotását.

Az Avtv. 3. § (7) bek. értelmezésével kapcsolatban valóban a tájékozott beleegyezésen van a hangsúly. A tájékoztatási kötelezettség az Ön által megjelölt esetben - a pénzmosás megelőzéséről és megakadályozásáról szóló 2003. évi XV. törvényen alapuló adatkezelés - is fennáll, ilyen esetben a tájékoztatásnak egyrészt ki kell terjednie arra, hogy az adatszolgáltatás kötelező, másrészt meg kell jelölni az adatkezelést elrendelő jogszabályt is.

A telefonos ügyfélszolgálatok működtetése során logikusan nem szükséges az írásbeli hozzájárulás, az érintett ilyenkor ráutaló magatartással adja beleegyezését személyes adatai kezeléséhez. Az érintettet feltétlenül tájékoztatni kell - akár hangbemondással is - az adatkezelés körülményeiről, oly módon, hogy megalapozottan dönthessen személyes adatai sorsáról. Hozzájárulás hiányában biztosítani kell a személyes ügyintézés lehetőségét.

6. Az ügyfél által adott olyan általános felhatalmazás, miszerint hozzájárul mindazon személyes adata kezeléséhez és továbbításához, amely a bankkal fennálló üzleti kapcsolatának körébe tartozó szerződések teljesítéséhez szükséges, véleményem szerint nem felel meg az Avtv. 3. § (7) pontjának.

7. Az adatállomány fogalmánál az 1. pontban kifejtettek értelemszerűen irányadóak.

Annak eldöntése, hogy egy adatkezelési módszer vagy technológia újszerú-e, mindig az adott esetben dönthető el.

8. A célhozkötöttség követelménye az adatkezelések összekapcsolását egyetlen szervezeten belül is korlátozza. Az Avtv. hiányossága, hogy az adatkezelések összekapcsolását az értelmező rendelkezések között nem definiálja. Az adatkezelések összekapcsolása lehetővé teszi az adatok kölcsönös átvételét, illetve ellenőrizhetóségét. Véleményem szerint az adatállományok összekapcsolásának nem lényegi eleme, hogy ezáltal új információt tartalmazó személyes adat keletkezzen. Ha a hitelintézeten belül - mint ahogyan azt Ön is írja levelében - az egyik nyilvántartó rendszerben szereplő adatokat egy másik nyilvántartó rendszerbe kívánja felvenni a bank, ez az adatkezelések összekapcsolásának minősül.

9. Az Avtv. 7. § (2) bekezdése a korábbi személyi szám, mint egységes, korlátozás nélkül használható személyazonosító kód használatát tiltja meg. Ez a rendelkezés nem vonatkozik a pénzügyi szolgáltatók által használt ügyfél azonosítóra.

10. Az Avtv. 4/A. § (4) bek-ben meghatározott korlátozás álláspontom szerint a konkurens vállalatokat zárja ki, illetve azt a lehetőséget, hogy a megbízott adatfeldolgozó saját üzleti tevékenységéhez használja fel a tudomására jutott személyes adatokat.

11. Az alkalmazott matematikai módszerről, illetve annak lényegéről való tájékoztatás akkor felel meg a jogalkotói szándéknak, ha az valóban érdemi tájékoztatás, vagyis az ügyfél számára közérthető.

Automatizált egyedi döntésről akkor beszélünk, ha a döntési folyamatban való emberi részvétel kizárt, az adatbevitel módja ebből a szempontból irreleváns.

12. A harmadik országba történő adattovábbítás szabályai lényegében megegyeznek a Hpt. 1998. január 1-jétól hatályos rendelkezéseivel, mely szerint a pénzügyi intézmény külföldi pénzügyi intézmény számára abban az esetben továbbíthat banktitoknak minősülő adatokat, ha a pénzügyi intézmény ügyfele ahhoz írásban hozzájárult és a külföldi pénzügyi intézménynél (adatkezelőnél) a magyar jogszabályok által támasztott követelményeket kielégítő adatkezelés feltételei minden egyes adatra nézve teljesülnek, valamint a külföldi pénzügyi intézmény székhelye szerinti állam rendelkezik a magyar jogszabályok által támasztott követelményeket kielégítő adatvédelmi jogszabállyal. E rendelkezés is hasonlóan az Avtv. 9. § (1) bekezdéséhez megköveteli, hogy a megfelelő védelmi szintet a célország joga biztosítsa. Kétségtelen, hogy a megfelelő védelmi szint hiányában az érintett hozzájárulása sem elegendő az adatok harmadik országba való jogszerű továbbításához. Az Avtv. valóban nem tartalmazza azt a kisegítő szabályt, melyet a 95/46/EK irányelv 26. cikkelye is kimond, eszerint a "tagállam felhatalmazást adhat személyes adatok olyan harmadik országba való irányuló átvitelére vagy átviteli fajtáira, amely a 25. cikk (2) bekezdés értelmének megfelelő szintű védelmet nem nyújt, ha az adatkezelő igazolja, hogy az egyén magánéletének, valamint alapvető jogainak és szabadságainak védelmére, továbbá a megfelelő jogok gyakorlására kielégítő biztosítékok szolgálnak, ilyen biztosítékokat különösen megfelelő szerződéses rendelkezések nyújthatnak."

Az adatvédelmi törvény valóban szigorúbb feltételekhez köti a harmadik országba történő adattovábbítást, mint a 95/46/EK irányelv. Az adatvédelmi biztos feladat- és hatáskörét leíró jogszabályok nem teszik számomra lehetővé, hogy jogi állásfoglalás kiadásával - a jelenleg hatályos adatvédelmi törvénnyel szembe helyezkedve - a direktívából a magyar jogrendszerbe át nem emelt rendelkezéseket, mint az adatkezelés törvényes jogalapját fogadjam el. Az Avtv., a Hpt., valamint a direktíva közötti összhang álláspontom szerint csak törvénymódosítással teremthető meg.

13. Az érintett tiltakozási joga nem terjed ki az olyan adatkezelésekre, amelyeket törvény rendel el.

Az Avtv. 31. § (4) bekezdése alapján az adatvédelmi biztos az előzetes ellenőrzés során a kezelendő adatok körének, illetőleg az adatfeldolgozás módszerének megváltoztatására hívhatja fel az adatkezelőt. Ez a felhívás álláspontom szerint csak ajánlásnak tekinthető. A törvény ugyanis az adatkezelés megkezdésének legkorábbi időpontját az előzetes ellenőrzés befejezéséhez köti, nem pedig a biztos jóváhagyásához. Ha az adatkezelő nem tesz eleget a biztosi felhívásban foglaltaknak, és az adatkezelést a bejelentésben foglaltak szerint megkezdi a biztos élve az Avtv. 25. § (2) bekezdésében foglalt jogosítványával az adatkezelőt a jogellenes adatkezelés megszüntetésére szólítja fel.

14. A Hpt. 53. § (3) bekezdés alapján történő adatszolgáltatás feltételeinek értelmezésekor korábbi állásfoglalásom valószínűleg félreérthető volt. A fenti szakasz szerint a BAR-ba akkor továbbítható adat, "ha az adós a szerződésben vállalt kötelezettségeinek kilencven napot meghaladóan, összegszerűségében pedig a minimálbért meghaladóan nem tesz eleget." Álláspontom szerint az első feltétel akkor is teljesül, ha az adós nem a minimálbért meghaladóan esik tartozásával 90 napon túl késedelembe. Az első lépésben a tartozás folyamatos fennállást kell figyelni (összeghatártól függetlenül), majd a 91. naptól azt, hogy ez a folyamatos tartozás mikor éri el a minimálbér összegét ("első egyidejű fennállás elve").

A pénzügyi szolgáltató szervezetek képviselőivel folytatott decemberi találkozót nagyon hasznosnak ítéltem. Remélem, hogy a pénzügyi szektor adatkezelését érintő kérdésekben a szakmai konzultáció a jövőben is folytatódik. Együttműködésüket előre is köszönöm.

 

Budapest, 2004. február 19.

                                              

 
::tematizált hírek::
 
::hírlevél::
E-mail cím:

Feliratkozás
Leiratkozás
SúgóSúgó
 
::adatvédelmi alapvetés::

Tekintettel arra, hogy a személyes adatok védelméhez való jog mibenléte nem feltétlenül tiszta minden látogató előtt, az alábbiakban összefoglaló olvasható a legfontosabb tudnivalókról. Tovább>>

 

Adatvédelmi plakát

 
::linkek::
 
Adatkezelésnek számít a fénykép-, hang- vagy képfelvétel készítése (...) is. [Avtv. 2. § 9. pont]

Az adatvédelmi portál hiánypótló céllal közérdekű adatokat és adatvédelmi témájú híreket jelentet meg. A hírek mellett igyekszünk hasznos segítségetl nyújtani adatalanyok és adatkezelők számára is. További célunk, hogy helyt adjunk a személyes adatok védelével kapcsolatos kérdések megvitatásának, teret biztosítsunk az álláspontok nyilvános ütköztetésének.


Az oldalt szerkeszti: Szabó Máté Dániel. A portálon megjelent írások bármilyen formában reprodukálhatók az Adatvédelmi Portál, mint forrás megjelölésével. E-mail: adatvedelem@szabomat.hu

A portál ADATVÉDELMI TÁJÉKOZTATÓJA itt olvasható.
 
Hozzájárulás: az érintett kívánságának önkéntes és határozott kinyilvánítása, amely megfelelő tájékoztatáson alapul. [2. § 6.]
Számláló
Indulás: 2003-08-07
 

Data Protection Logo

 

Szeretnél egy jó receptet? Látogass el oldalamra, szeretettel várlak!    *****    Minõségi Homlokzati Hõszigetelés. Vállaljuk családi házak, lakások, nyaralók és egyéb épületek homlokzati szigetelését.    *****    Amway termék elérhetõ áron!Tudta, hogy az általános tisztítószer akár 333 felmosásra is alkalmas?Több info a weboldalon    *****    Florence Pugh magyar rajongói oldal. Ismerd meg és kövesd az angol színésznõ karrierjèt!    *****    Fele királyságomat nektek adom, hisz csak rátok vár ez a mesebirodalom! - Új menüpont a Mesetárban! Nézz be te is!    *****    DMT Trip napló, versek, történetek, absztrakt agymenés:)    *****    Elindult a Játék határok nélkül blog! Részletes információ az összes adásról, melyben a magyarok játszottak + egyéb infó    *****    Florence Pugh Hungary - Ismerd meg az Oppenheimer és a Dûne 2. sztárját.    *****    Megnyílt az F-Zero Hungary! Ismerd meg a Nintendo legdinamikusabb versenyjáték-sorozatát! Folyamatosan bõvülõ tartalom.    *****    A Cheer Danshi!! nem futott nagyot, mégis érdemes egy esélyt adni neki. Olvass róla az Anime Odyssey blogban!    *****    A 1080° Avalanche egy méltatlanul figyelmen kívül hagyott játék, pedig a Nintendo egyik remekmûve. Olvass róla!    *****    Gundel Takács Gábor egy különleges könyvet adott ki, ahol kiváló sportolókkal a sport mélységébe nyerhetünk betekintést.    *****    21 napos életmódváltás program csatlakozz hozzánk még!Január 28-ig 10% kedvezménnyel plusz ajándékkal tudod megvásárolni    *****    Szeretne egy olyan általános tisztítószert ami 333 felmosásra is elegendõ? Szeretne ha csíkmentes lenne? Részletek itt!!    *****    Új játék érkezett a Mesetárba! Elõ a papírral, ollóval, és gyertek barkácsolni!    *****    Tisztítószerek a legjobb áron! Hatékonyság felsõfoka! 333 felmosásra elengedõ általános tisztítószer! Vásároljon még ma!    *****    Hayashibara Megumi és Okui Masami rajongói oldal! Albumok, dalszövegek, és sok más. Folyamatosan frissülõ tartalom.    *****    A legfrissebb hírek a Super Mario világából és a legteljesebb adatbázis a Mario játékokról.Folyamatosan bõvülõ tartalom.    *****    333 Felmosásra elegendõ! Szeretne gazdaságosan felmosni? Szeretne kiváló általános tisztítószert? Kiváló tisztítószerek!    *****    Ha tél, akkor téli sportok! De akár videojáték formájában is játszhatjuk õket. A 1080°Snowboarding egy kiváló példa erre