Szőke Gergely László: A biometrikus adatok problematikája és az Mt. szabályozása
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az adatvédelmi szabályozás régóta kitüntetett figyelemmel kezeli azokat a személyes adatokat, amelyek kezelése vagy az azokkal való visszaélés az érintett magánszférájába súlyosabb beavatkozásnak tekinthető. A jogirodalomban gyakran érzékeny vagy szenzitív adatnak is nevezett adatkört a szabályozás különleges adatnak nevezi és tételesen felsorolja, hogy mely adatok tartoznak e körbe. A hatályos szabályozás szerint különleges adatok a „faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és…
Az adatvédelmi szabályozás régóta kitüntetett figyelemmel kezeli azokat a személyes adatokat, amelyek kezelése vagy az azokkal való visszaélés az érintett magánszférájába súlyosabb beavatkozásnak tekinthető. A jogirodalomban gyakran érzékeny vagy szenzitív adatnak is nevezett adatkört a szabályozás különleges adatnak nevezi és tételesen felsorolja, hogy mely adatok tartoznak e körbe. A hatályos szabályozás szerint különleges adatok a „faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok” [GDPR 9. cikk (1) bekezdés]. A genetikai és a biometrikus adatok különleges adatként történő kezelése a GDPR újdonsága, a korábbi, az adatvédelmi irányelven és az azon alapuló magyar szabályozásban ezek nem tartoztak a különleges adatok körébe.
2018-tól jelentős változás következett be a különleges adatok európai szabályozásában, amely összességében – némiképp szembe menve egyébiránt a GDPR egységesítési törekvéseivel – felértékelte a tagállami szabályozás jelentőségét. A GDPR, mint közvetlenül hatályos és alkalmazandó szabályozás logikája alapján a különleges adatok kezelésével kapcsolatos főszabály igen egyszerű, de egyben igen szigorú is lett: a 9. cikk (1) bekezdése szerint főszabályként tilos bármely különleges adat kezelése és csak akkor megengedett, ha az adatkezelés – a GDPR egyéb követelményei, így különösen a megfelelő jogalap megléte mellett – megfelel a 9. cikk (2) bekezdésében foglalt kivételek valamelyikének.
Anélkül, hogy e feltételeket tételesen felsorolnánk, rögzíthetjük, hogy a GDPR szabályozási logikájából az következik, hogy biometrikus adatok (mint különleges adatok) kezeléséhez vagy az érintett kifejezett hozzájárulására van szükség vagy megfelelő garanciákat is biztosító tagállami szabályrendszerre. Utóbbit – 2019. április 26-a óta hatályos szövegként – az Mt. 11. §-ában találhatjuk. Eszerint a „munkavállaló biometrikus adata az érintett azonosítása céljából abban az esetben kezelhető, ha ez valamely dologhoz vagy adathoz történő olyan jogosulatlan hozzáférés megakadályozásához szükséges, amely vagy a) a munkavállaló vagy mások élete, testi épsége vagy egészsége, vagy b) törvényben védett jelentős érdek súlyos vagy tömeges, visszafordíthatatlan sérelmének a veszélyével járna.”
Az Mt. szövege láthatóan igyekszik egyensúlyt teremteni a biometrikus adatok fokozott, megfelelő garanciákkal támogatott védelme és a felhasználás észszerű engedélyezése között. A törvényszöveg értelmezése ugyanakkor számos kérdést felvet, például egy adott területre való belépéssel, a törvényben védett érdek fogalmával vagy a biometrikus adatok kezelésének jogalapjával kapcsolatban. Az új Mt. nagykommentár igyekszik választ adni a közeljövőben várhatóan egyre többször felmerülő gyakorlati kérdésekre.