GDPR: elhunyt személyek adatainak kezelése
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A személyes adatokkal kapcsolatos hatályos adatvédelmi szabályozás (Infotörvény) kizárólag élő természetes személyek személyes adataira terjed ki. Azonban mindenki meghal egyszer, legalább is a tudomány jelenlegi állása szerint a halált senki sem kerülheti el. Ez felveti azt a kérdést, hogy mi lesz a sorsa az elhunyt személy személyes adatainak adatvédelmi jogi szempontból, illetve az egyes adatkezelőknek a szabályozási rendszerük kialakítása körében miként kell tekintettel lenniük erre a problémakörre.
Az általános adatvédelmi rendelet (GDPR) kifejezetten rögzíti, hogy annak rendelkezéseit nem kell alkalmazni az elhunyt személyekkel kapcsolatos személyes adatokra, viszont biztosítja annak lehetőségét, hogy a tagállamok saját hatáskörben elhunyt személyek személyes adatainak kezelésére vonatkozó szabályozást alakítsanak ki.
Ezt az általános kiindulópontot nem érinti az a körülmény, hogy egyes, úgynevezett szektoriális szabályok már tartalmaznak rendelkezéseket elhunyt személyek személyes adatainak kezelése körében. (Például az egészségügyi törvény az egészségügyi dokumentáció, annak adatai megismeréséhez fűződő jog kapcsán szabályozza az érintett beteg halálát követő eseteket is.)
Más jogágak, így a Ptk. szabályozza a kegyeleti jog intézményét, amely védi a meghalt személy emlékét, amely emlék megsérthető az elhunyt személy személyes adataival történő visszaéléssel is, a Btk. pedig szabályozza a kegyeletsértés bűncselekményét. Ezek a jogági szabályozások azonban nem tartalmaznak rendelkezéseket az adatvédelem körébe tartozó érintetti jogoknak az érintett halálát követő, értelemszerűen más, harmadik személy(ek) által történő gyakorlásáról. A Ptk. csak az elhunyt emlékének „megsértése” esetén, a Btk. pedig az elhunyt emlékének becsületsértés vagy rágalmazás útján történő meggyalázása esetén teszi lehetővé a kegyeleti alapon történő fellépést – azaz a joggyakorlás az elhunyt emlékét sértő magatartásokra korlátozódik és bírósági eljáráshoz kötött.
Továbbra is marad tehát a kérdés, hogy mi lesz a személyes adatainkkal és érintetti jogaink gyakorlásával halálunkat követően az adatvédelmi jog szempontjából?
Magyarországi szabályozás
2015-ben született meg Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ajánlása az online adatok halál utáni sorsáról. Az ajánlás online adatokkal kapcsolatosan született meg, de ettől elvonatkoztatva a NAIH általánosságban megállapította, hogy nincs olyan szabályozás, amely “irányadó́ az olyan személyes adatok kezelésével kapcsolatban, amelyek egy elhunyt személlyel kapcsolatosak, de kezelésüket nem törvény írja elő, hanem az a személy hozzájárulásán alapulna, ha az még életben lenne.”
Mint említettük, a GDPR nyitva hagyja a tagállamok számára azt a lehetőséget, hogy elhunyt személyek személyes adatainak kezelésére vonatkozó saját szabályozást alakítsanak ki.
[htmlbox gdpr_komm]
Az Infotörvény GDPR tükrében történő jogharmonizációs célú módosításáról szóló előterjesztés beiktatna egy „személyes adatokkal összefüggő jogok érvényesítése az érintett halálát követően” szabályozási rendszert a hazai adatvédelmi jogba. Az Infotörvény tervezett módosítása még nem került elfogadásra, így azt sem tudni, hogy a szabályozási rendszer a javasolt formában fog-e megvalósulni, ha egyáltalán megvalósul.
A tervezett szabályozás szerint az érintett még életében nyilatkozattal rendelkezhet személyes adatai halálát követő sorsáról oly módon, hogy meghatalmaz egy személyt, aki az érintett halálát követően jogosult az egyes érintetti jogok gyakorlására. Másrészről ilyen meghatalmazás hiányában törvény erejénél fogva jogosultak lennének az érintett hozzátartozói egyes érintetti jogok gyakorlására. Mind a két esetkör vonatkozásában egy, az érintett halálától számított ötéves objektív időbeli korlát kerülne felállításra a jogok érvényesíthetősége körében.
Mint említettük, ez a tervezet még nem került elfogadásra. Addig marad a már hivatkozott NAIH ajánlás, amely felhívja „az online közösségi és egyéb szolgáltatásokat nyújtó szolgáltatók figyelmét arra, hogy adatvédelmi szabályzatukban tájékoztassák a felhasználókat az elhunyt felhasználókhoz köthető adatokkal kapcsolatos jelenlegi jogi lehetőségekre”, egyben már az ilyen szolgáltatások körében alkalmazott általános szerződéses feltételek kialakítása során legyenek tekintettel a kegyeleti jogok érvényesíthetőségére.
Megállapítható tehát, hogy az elhunytakkal kapcsolatos személyes adatok kezelése problematikáját az adatkezelők már jelenleg sem hagyhatják figyelmen kívül, amikor adatkezeléssel kapcsolatos szabályozási rendszerüket kialakítják.
A bejegyzés szerzője dr. Szűcs Bálint, az RSM Hungary adótanácsadója. Az RSM Blog az Adó Online szakmai partnere.