Adatkezelés alatt az adaton történő minden egyes eljárás, folyamat vagy művelet (pl. rögzítés, felhasználás, törlés) értendő.
Az Alaptörvény VI. cikk (3) bekezdése alapján mindenkinek joga van a személyes adatai védelméhez és a közérdekű adatok, illetve a közérdekből nyilvános adatok megismeréséhez és terjesztéséhez is. Az adatok védelmét elsődlegesen a megfelelő kezelésük biztosítja, amelynek részletszabályait az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény előírásai, valamint az Európai Parlament és a Tanács (EU) 2016/679 rendelete biztosítják.
A személyes adatok kezelése során a következő elveket be kell tartani:
(1) Az adatkezelés jogalapja
A személyes adatok kezelése az érintett hozzájárulásán vagy jogszabály, önkormányzati rendelet közérdekű cél teljesítéséből történő előírásán alapulhat. Az érintett hozzájárulása szóbeli, írásbeli vagy ráutaló magatartással kifejtett lehet, de minden esetben megfelelő tájékoztatás kell megelőzze. A jogszabályon alapuló, kötelező adatkezeléshez nem szükséges az érintett hozzájárulása, sőt, kifejezett tiltakozása ellenére is kezelhetőek az adatai. Az Infotv. két új, másodlagos jogalapot is nevesít, mégpedig, ha az adatkezelőre jogi kötelezettség teljesítése írja elő a személyes adatok kezelését, illetve, ha harmadik személy olyan érdeke fűződik az adatok megismeréséhez, amely arányos az adatok védelmének korlátozásával, szintén megteremti a jogalapot. A jogi kötelezettség teljesítése során történő adatkezelés, az érintett hozzájárulása vagy törvényi felhatalmazás nélkül is jogszerű.
(2) Célhoz kötött adatkezelés elve
A célhoz kötött adatkezelés elve két főbb elemből épül fel: ezek a cél meghatározottsága és az adatnak a céllal való összeegyeztethető felhasználása. A cél meghatározottsága azt jelenti, hogy személyes adatok az adatkezelés minden szakaszában csak egyértelmű, meghatározott és törvényes célból gyűjthetőek, jog gyakorlása vagy kötelezettség teljesítése érdekében.
(3) Szükségesség és arányosság követelménye
A szükségesség, vagy más néven az adatminimalizálás elve alatt az értendő, hogy csak olyan és annyi személyes adat kezelhető, amelyek beszerzése az előre rögzített cél eléréséhez nem mellőzhető, nélkülözhetetlen, és ezen felül alkalmas is a feladat teljesítéséhez. A célhoz kötött adatkezelés a szükségesség előfeltétele, hiszen a cél határozza meg a beszerzendő adatok mértékét. Az adatkezelés alapjogsértő, ha eleve alkalmatlan a cél elérésére, vagy ha kevesebb adattal is elérhető a kitűzött cél, így ebben az esetben a többlet adatkezelés mértéke lesz az alkotmánysértő. Jogszerűtlen az olyan adatok kezelése, amelyek nem alkalmasak, vagy nem elengedhetetlenek az adatkezelés céljának eléréséhez.
Az arányosság fogalmi elemei az adatkezelés céljának és a személyes adatok védelmében bekövetkezett sérelem mértékének arányossága, valamint a cél érdekében, a legenyhébb sérelemmel járó és alkalmas eszköznek az igénybevétele.
(4) A készletező adatkezelés tilalma
A célhoz kötött adatkezelés elvéből következik a készletező adatkezelés tilalma is, ami alapján a személyes adatok gyűjtése és kezelése csak „a cél megvalósulásához szükséges mértékben és ideig kezelhető”. Tehát a meghatározott cél megvalósítása után, vagy az azt meghaladó mérték esetén, a személyes adatok kezelése, még az érintett hozzájárulása mellett sem tekinthetőek jogszerűnek, az ilyen adatot minden adatkezelő köteles törölni a rendszeréből.
(5) Adatbiztonság követelménye
Az adatbiztonság az elektronikus rendszerekben tárolt adatokkal kapcsolatos olyan előírás, amely alapján az adatkezelés teljes tartama alatt biztosítani kell az adatok sértetlenségét, rendelkezésre állását és bizalmas kezelését. Ezeket a feltételeket nem csak a kezelt adatok kapcsán, hanem az adatkezelő rendszerrel összefüggésben is fennállnak.
(6) Osztott információs rendszerek követelménye
A személyes adatok kezelőjével szembeni követelmény, amely alapján az adatkezelő ugyanattól az érintettől, csak a számára szükséges, minimális mennyiségű személyes adatokhoz férhet hozzá. Az információs rendszerek osztottságának a célja, hogy az adatkezelő ne legyen képes az érintett személyiségi profiljának a felállítására azáltal, hogy több, eltérő típusú személyes adat is koncentrálódik a kezelési körében.
Az 2011. évi CXII. törvény a személyes adatok általános kezelési előírásai mellett nevesíti a bűnüldözési, a nemzetbiztonsági és a honvédelmi célú adatkezelést. Közös jellemzőjük, hogy az adott szerv jogszabályban meghatározott feladat- és hatáskörében eljárva, a tevékenységi körükben történő adatkezelésre vonatkoznak, de az általános adatvédelmi előírásoknak is maradéktalanul meg kell felelniük.
A személyes adatok védelmének érvényesülését sarkalatos törvénnyel létrehozott, független hatóság ellenőrzi, amely a 2012. január 1-vel létrehozott Nemzeti Adatvédelmi és Információszabadság Hatóság. Az adatvédelmi biztos intézményét felváltó nemzeti adatvédelmi hatóság feladata a magyarországi adatkezelések törvényességének felügyelete.
FORRÁSOK
Magyarország Alaptörvénye
2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról, 3. §, 4.§ (2), 5. §,
2013. évi L. törvény 1. §
2015. évi CLXXXVIII. törvény az arcképelemzési nyilvántartásról és az arcképelemző rendszerről, 2. § (1)
Európai Parlament és a Tanács (EU) 2016/679 rendelete
2/1990 (II. 18.) AB határozat
15/1991. (IV. 13.) AB határozat
A 29. cikk szerinti munkacsoport 03/2013. számú, a célhoz kötöttségről szóló véleménye
Jóri András, Soós Andrea Klára: Adatvédelmi jog, HVG-ORAC Lap- és Könyvkiadó Kft, Bp., 2016, 152.