Az Európai Adatvédelmi Testület (EDPB) állásfoglalást bocsátott ki a veszélyhelyzet idején az egyes adatvédelmi és adatigénylési rendelkezésektől való eltérésről szóló 179/2020. (V. 4.) Korm. rendeletben (Rendelet) foglalt előírásokkal kapcsolatban. Az említett jogszabály, amelyet a DPO Portál szakértői ebben és ebben a blogposztjukban elemeztek, jelentős mértékben módosította az érintetti joggyakorlás és jogorvoslati lehetőségek igénybevételének, valamint a közérdekű és közérdekből nyilvános adatok megismerésének szabályait. Az EDPB most közzétett dokumentuma kiemeli az általános adatvédelmi rendeletben (GDPR) foglalt jogok korlátozásának jogszerű kereteit, valamint óvatosan, de kritikát fogalmaz meg a magyar szabályozással kapcsolatban.

Az EDPB hangsúlyozza, hogy a GDPR a járványhelyzet alatt is alkalmazandó instrumentum, amely az érintettek alapvető jogainak és szabadságainak biztosítása mellett kellő teret enged a hatóságoknak a megfelelő pandémiás intézkedések meghozatalára. Az olyan válsághelyzetekben, mint amilyen a COVID-19 járvány is, a Tagállamoknak lehetősége van olyan jogszabályokat alkotni, amelyek bizonyos esetekben korlátozzák a GDPR-ban foglalt előírások alkalmazhatóságát. A személyes adatok védelmét ugyanakkor minden vészhelyzeti intézkedésnek tiszteletben kell tartania. A bevezetett korlátozásoknak ezért minden esetben igazodniuk kell az EU Alapjogi Chartája 52. cikk (1) bekezdésében és a GDPR 23. cikkében foglalt követelményekhez. Ezek a következők:

• A jogszabálynak tiszteletben kell tartania az alapvető jogok lényeges tartalmát. Ennek ellentmond minden olyan korlátozás, amely általános, túlzó vagy tolakodó, és amely így kiüresíti az adott jog gyakorlását. Amennyiben a jog lényeges tartalma sérül, a korlátozás minden további vizsgálat nélkül jogellenesnek minősül.
  
• A korlátozásnak törvényesnek kell lennie. Ez egyrészt azt jelenti, hogy annak kereteit megfelelő jogalkotási folyamat eredményeként elfogadott jogszabályban kell meghatározni. Másrészt pedig kellően világosan megfogalmazottnak kell lennie annak érdekében, hogy az adatalanyok előre láthassák a személyes adatok védelméhez fűződő joguk korlátozásának természetét és körülményeit. Ez természetesen vonatkozik a korlátozások időbeli hatályára is: amennyiben egy adott intézkedés időbeli hatálya nincs kellő pontossággal meghatározva, és ha az az intézkedést visszamenőleges hatállyal is alkalmazni lehet, sérül az előreláthatóság követelménye.
• Mindenfajta intézkedésnek jogszerű célt, az uniós vagy a tagállamok közérdekét kell szolgálnia, mint amilyen például a közegészség védelme.
• Az intézkedésnek ráadásul az elérendő cél szempontjából elengedhetetlenül szükségesnek és azzal arányosnak is kell lennie.

A fenti megfontolások alapján az EDPB kimondta, hogy a veszélyhelyzet elhárítása érdekében hozott intézkedéseknek mind tárgyi és személyi (pl. az érintetti jogok vagy az adatkezelők kategóriái), mind pedig időbeli hatályuk szempontjából szigorúan korlátozottnak kell lennie. A testület szerint azok, a veszélyhelyzettel kapcsolatban elfogadott intézkedések, amelyek „világos időbeli korlát nélkül felfüggesztik vagy késleltetik az érintetti jogok alkalmazását és a kapcsolódó adatkezelői és adatfeldolgozói kötelezettséget, de facto az érintetti jogok teljes felfüggesztését eredményeznék és nem tartanák tiszteletben az alapvető jogok és szabadságok lényegi tartalmát. Továbbá egy érintetti jog gyakorlására irányuló kérelemre […] kellő időben kell reagálni azért, hogy az időszerű és hatékony legyen. Következésképpen, ebből a szempontból, az érintett kérelme nyomán teendő intézkedés időbeli korlátozás nélküli elhalasztása vagy felfüggesztése az adatkezelő által a joggyakorlás teljes akadályát jelentené”. Az EDPB megfogalmazása szerint az érintetti jogok gyakorlását korlátozni lehet, de nem kizárni.

Az EDPB végezetül emlékeztetett arra, hogy a tagállami jogalkotóknak kötelessége a felügyeleti hatóságok véleményét kikérni minden vonatkozó jogalkotási kezdeményezéssel összefüggésben, így a veszélyhelyzet során hozott intézkedésekkel kapcsolatban is. Így garantálható a kellő egyensúly a korlátozásokkal elérendő célok megvalósítása és az alapvető jogok és szabadságok biztosítása között. Mindazonáltal a testület bejelentette, hogy a közeljövőben a GDPR 23. cikkének alkalmazásáról szóló iránymutatást bocsát ki.

Forrás: https://edpb.europa.eu