A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2025. évi adatvédelmi tisztviselőknek (DPO) szóló konferenciája tanúságtétel arról, hogy a Hatóság jogalkalmazói szerepe mellett (pro)aktív szakmai partnerként is jelen van az adatvédelem hazai színpadán. A rendezvény a mikorvállalkozások szakmai támogatása kérdéskörétől kezdve a NIS2 gyakorlati alkalmazásának kihívásaira adott válaszokon át a mindennapos "szürke zónás" gyakorlatokig terjedő témákat ölelt fel, kivételes szakmai alapossággal.
A konferencia egyik legnagyobb erénye a gyakorlatorientált megközelítés volt. A prezentációk konkrét esettanulmányokon és a konferenciára beküldött valódi kérdéseken keresztül mutatták be az adatvédelmi megfelelés aktuális kihívásait vagy széles körű problémáit.
Szubjektív válogatás a nap fő témáiból:
A konferencia nyitóakkordjaként került bemutatásra a NAIH AWARE projektje, melynek célja a mikrovállalkozások GDPR-tudatosságának növelése. A Hatóság - és konzorciumi partnere a Trilateral Research - gyakorlati segítséget kíván nyújtani a legkisebb piaci szereplőknek, megkülönböztetett figyelemmel a szépségiparban és a magánegészségügyben tevékenykedő cégeknek.
Online eszközöket, útmutatókat és webináriumokat fejlesztenek, hogy könnyebben kezeljék az érintetti kérelmeket, külön figyelmet fordítva a munkavállalókkal és sérülékeny csoportokkal kapcsolatos adatkezelésre. Az eredményeket magyar és angol nyelvű tájékoztatókkal, valamint képzéseken osztják (majd) meg.
* * *
A NIS 2 irányelvnek való megfelelés egy folyamatosan működési keretrendszert igényel. A konferencia bemutatta az EU NIS2 kiberbiztonsági irányelv (2022/2555) és az azt a nemzeti jogba átültető rendeletek (korm.r.; MK; SZTFH rendeletek) gyakorlati tapasztalatait. Ehhez kapcsolódóan a hiánypótló NIS2 Whitepapert, amely több mint 50 szerző munkája eredményeként online segíti a információbiztonsági szakemberek munkáját. A „NIS2 Magyarországon” whitepaper esettanulmányokkal és ellenőrző listákkal gyakorlati támogatást nyújt, hogy a szervezetek a jog útvesztőin felülemelkedve érdemi kiberbiztonsági ellenállóképességet építsenek ki.
* * *
A konferencia egyik legtanulságosabb jogeseteként a Hatóság a C-268/21. számú ügyet emelte ki, amely egy svéd építőipari jogvitán keresztül világított rá az adattakarékosság elvének gyakorlati alkalmazhatóságára. Az alapügyben a megrendelő az alvállalkozó munkavállalóinak személyes adatait tartalmazó jelenléti íveket követelte bizonyítékként a számlázott munkaórák ellenőrzéséhez. Tamara Ćapeta főtanácsnok indítványa azonban rámutatott egy feszülő ellentétre és összefüggésre: önmagában az a tény, hogy a nemzeti eljárásjog előírja a bizonyítást, nem jelent automatikus felhatalmazást minden adat átadására.
A főtanácsnok érvelése szerint a GDPR-megfeleléshez nem elegendő az elvont jogalap létezése; a bíróságoknak és adatkezelőknek minden esetben konkrét szükségességi és arányossági tesztet kell végezniük az adatkezelés vonatkozásában. Amennyiben a perbeli cél – jelen esetben a munkaórák hitelességének ellenőrzése – a személyes adatok szűkebb körével, például álnevesítéssel (pl. „a. munkavállaló”) is megvalósítható, úgy a teljes nevek kiadása sérti az adattakarékosság elvét. Azaz a „szükséges minimum” elvét minden egyes hatósági vagy peres adatszolgáltatásnál szigorúan mérlegelni kell, hiába jogszerű a cél, a túlzó mértékű adatkezelés jogellenessé teszi az eljárást.
* * *
Az egyik előadás a büntetőeljárás alá vont ügyvédekkel kapcsolatos tájékoztatási kötelezettség célt tévesztett teljesítésének problematikáját elemezte, mint az igazságszolgáltatás és az adatvédelem egyik aktuális súrlódási pontját. Bár az ügyvédi törvény (Üttv.) világosan előírja, hogy az eljáró hatóságoknak az illetékes területi ügyvédi kamara elnökét kell értesíteniük, a gyakorlatban hiba csúszott a folyamatba.
A NAIH vizsgálata megállapította, hogy a hatóságok a törvényi előírás ellenére számos esetben nem a területi szerveknek, hanem a Magyar Ügyvédi Kamara (MÜK) elnökének továbbították az adatokat. Ez a „céltévesztés” azért is volt problémás, mert míg a nyomozati szakasz bűnüldözési célú adatkezelése az Infotv. hatálya alá tartozik, a kamarának küldött – immár fegyelmi célú – értesítésre a GDPR vonatkozik.
A Hatóság kimondta: azzal, hogy az adatokat nem a jogszabályban megjelölt jogosultnak (a területi kamarának), hanem a központi szervnek továbbították, megvalósult a jogsérelem.
* * *
A Hatóság az elmúlt két évben intenzív közzétételi monitoringot folytatott, amelynek során több mint 100 eljárást indított, és 89 nyilvános jelentést tett közzé, fókuszban az önkormányzatokkal és a köztulajdonban álló cégekkel. A tapasztalatok szerint a megfelelés gyakran hiányos: sok esetben az érintett szervezetek honlapján egyáltalán nem lelhető fel az előírt „általános közzétételi lista”, vagy ha az adatok elérhetők is, azok rendszerezettsége és áttekinthetősége nem felel meg a törvényi elvárásoknak.
A prezentáció és a hivatkozott jogi elemzés egyik legfontosabb üzenete az állami és önkormányzati tulajdonú gazdasági társaságok státuszának tisztázása. A NAIH – a nemzeti vagyonról szóló törvényre (Nvtv.) és a 2016-os állásfoglalására visszautalva – megerősítette: mivel a nemzeti vagyon alapvető rendeltetése a közfeladat ellátásának biztosítása, az ezzel gazdálkodó cégek automatikusan közfeladatot ellátó szervnek minősülnek. Ebből fakadóan ezek a társaságok nem elégedhetnek meg a köztulajdonban álló gazdasági társaságok takarékosabb gazdálkodásáról szóló törvény (Taktv.) szerinti szűkebb adatközléssel; kötelezettségük kiterjed az Infotv. 1. melléklete szerinti teljes általános közzétételi lista (pl. szervezeti adatok, vezetők, szabályzatok) megjelentetésére is.
* * *
A konferencia egy éles gyakorlati kérdést járt körül: rögzítheti-e valamely polgármesteri hivatal az ügyfélszolgálati hívásokat a munkavállalók védelme (az agresszív ügyfelekkel szemben) vagy éppen ellenőrzése (minőségbiztosítás) céljából? A válasz a jogszabályi környezet alapvető megváltozásában rejlik. A digitális államról szóló törvény (Dáptv.) új helyzetet teremtett: kimondja, hogy a helyi önkormányzatok digitális szolgáltatást nyújtó szervnek minősülnek. Ebből fakadóan az ügyfélszolgálati működésükre vonatkozóan alkalmazni kell a Fogyasztóvédelmi törvény (Fogyvéd. tv.) szigorú előírásait, amelyek korábban jellemzően csak a közszolgáltató vállalkozásokra (pl. áramszolgáltatók) vonatkoztak. Ez a gyakorlatban három fontos következménnyel jár: Kötelező rögzítés: A hivataloknak nem pusztán lehetősége, hanem jogszabályi kötelezettsége hangfelvételt készíteni minden telefonos panaszról és kommunikációról. Új jogalap: Az adatkezelés jogalapja többé nem az érintett hozzájárulása vagy a munkáltató jogos érdeke, hanem a GDPR 6. cikk (1) bekezdés e) pontja, azaz a közhatalmi jogosítvány gyakorlása/közfeladat végrehajtása (mivel törvény írja elő). A felvételeket 5 évig meg kell őrizni. A „minőségbiztosítás” csapdája: Bár a rögzítés kötelezővé vált, a Hatóság felhívta a figyelmet a célhoz kötöttség elvére. A törvényi felhatalmazás célja a fogyasztói panaszok intézése. Kérdéses, hogy ezzel a céllal összeegyeztethető-e (GDPR 6. cikk (4) bek.) a felvételek felhasználása a munkavállalók szankcionálására vagy teljesítményértékelésére. A NAIH álláspontja szerint a „minőségbiztosítás” mint munkáltatói cél nem feltétlenül takarja ugyanazt, mint a törvény által előírt fogyasztóvédelmi cél, így az ilyen jellegű felhasználás aggályos lehet.
* * *
Az adatszolgáltatások keretében kiadandó iratmásolatokon szereplő harmadik személyek (ügyintézők, vezetők) adatainak kitakarása. A Hatóság egyértelmű különbséget tett az érintetti joggyakorlás és a közérdekű adatigénylés között, miközben a bírói gyakorlatra (Kúria) alapozva húzta meg a nyilvánosság határait.
1. A vízválasztó: Milyen jogcímen kérik az iratot? Ha valaki a saját személyes adataihoz kér hozzáférést (GDPR 15. cikk), az alapszabály a mások jogainak védelme: ilyenkor a dokumentumon szereplő más személyek adatait általában maszkolni kell, kivéve, ha azok elengedhetetlenek az irat értelmezéséhez. Ezzel szemben, ha közérdekű adatigénylésről van szó, a kérdés az: az adott személy közfeladatot lát-e el?
2. A Kúria hivatkozott ítéletei (pl. Pfv. 20.520/2024/8., Pfv. 20.969/2021/6.) alapján a magyar bírói gyakorlat kiterjesztően értelmezi a közfeladatot ellátó személyek körét. Nemcsak a vezetők, hanem az ügyintézők, tanácsadók, sőt a döntés-előkészítők neve is közérdekből nyilvános adatnak minősülhet, amennyiben munkájuk nélkül a szerv nem tudná ellátni törvényi feladatait.
3. Céges képviselők és a munkaszerződések Az összefoglaló kitért a C-710/23. sz. uniós ügyre is, amely kimondta: attól, hogy valaki egy jogi személy (cég) nevében ír alá, a neve és aláírása még személyes adat marad. Ugyanakkor a GDPR 86. cikke és a magyar Infotv. (pl. cégjegyzék, kamarai névjegyzékek) lehetővé teszi ezen adatok nyilvánosságra hozatalát az átláthatóság érdekében.
A Kúria (Pfv. 20.174/2021/6.) munkaszerződésekkel kapcsolatos álláspontja pedig rávilágít a „vegyes” dokumentumok kezelésére: egy közszférában dolgozó munkaszerződésének közzétételét nem lehet teljes egészében kizárni. A közfeladattal összefüggő részek (pl. munkakör, illetmény közérdekű részei) nyilvánosak, míg a magánszféra adatai védendők – a helyes megoldás tehát nem az elutasítás, hanem a szelektív maszkolás.
Gyakorlati tanács: A Hatóság a jövőbeli viták elkerülése végett a funkcionális e-mail címek használatát és a kapcsolattartók szerződésekben való átgondolt (szükséges minimumra törekvő) nevesítését javasolja.
* * *
Összegzés
A NAIH DPO konferencia magas szakmai minősége nem csak az előadások élvezhetőségében, hanem a fókuszba állított témák aktualitásában is megjelent.
A konferencia egészén átívelt az aktuális uniós és hazai adatvédelmi kérdések, az Európai Unió Bírósága döntései alapján való iránymutatások gyakorlati alkalmazhatóságba való átültetésének szándéka. A NAIH ezzel az eseménnyel tovább erősítette szerepét a tudásmegosztásban, a DPO-k támogatásában.
Több résztvevő véleménye és a személyes megélésem alapján is kimondható, hogy az elmúlt ével egyik legélvezetesebb és leghasznosabb DPO konferenciája volt, aki nem volt ott, annak érdemes lesz visszanézni az előadásokat a NAIH honlapjáról.