A címben feltett kérdés apropója, hogy nemrég egy kolléga azzal fordult hozzám, hogy vezetői pályázata részét képező önéletrajza, az abban szereplő adatok nyilvánosságra kerültek, amikor pedig tisztázni próbálta – többek között azzal, hogy először tájékozódik a vonatkozó önkormányzati szabályzatok alapján, hogy feltehetően ki és mit hibázhatott – a problémát, azt a tájékoztatást kapta, hogy a szabályzatokhoz semmi köze, az önéletrajzi adatait pedig nem védi a GDPR (!) csak a pályázat egyéb részeit. Ez nyilvánvalóan nincs így, így adatbiztonsági és adatvédelmi szakjogászként levezettem neki a főbb tudnivalókat (jogszabályhelyekkel) a kérdésről, és másokkal tanulságként most cikk formájában is megosztom, mire jutottam.
Az önkormányzat iratkezelési-, és adatkezelési szabályzata nem csak nyilvános, de azok tekintetében az önkormányzatot közzétételi kötelezettség terheli, erre irányuló igény esetén az önkormányzat köteles azokat az igénylő rendelkezésére bocsátani, amennyiben azokat már közzétették az önkormányzat honlapján, úgy az elérhetőségre mutató link megküldésével is teljesítettnek minősül a közérdekű adat megismerése iránti igényre adott válasz.
Mi a nyilvánosság jogi háttere?
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 38. § (2) bekezdése szerint: „A Hatóság feladata a személyes adatok védelméhez, valamint a közérdekű és a közérdekből nyilvános adatok megismeréséhez való jog érvényesülésének ellenőrzése és elősegítése, továbbá a személyes adatok Európai Unión belül szabad áramlásának elősegítése.”
Az Infotv. 3. § 5. pontja szerint közérdekű adat: „az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy kezelésében lévő és tevékenységére vonatkozó vagy közfeladatának ellátásával összefüggésben keletkezett, a személyes adat fogalma alá nem eső, bármilyen módon vagy formában rögzített információ vagy ismeret, függetlenül kezelésének módjától, önálló vagy gyűjteményes jellegétől, így különösen a hatáskörre, illetékességre, szervezeti felépítésre, szakmai tevékenységre, annak eredményességére is kiterjedő értékelésre, a birtokolt adatfajtákra és a működést szabályozó jogszabályokra, valamint a gazdálkodásra, a megkötött szerződésekre vonatkozó adat.” A 6. pont szerint közérdekből nyilvános adat: „a közérdekű adat fogalma alá nem tartozó minden olyan adat, amelynek nyilvánosságra hozatalát, megismerhetőségét vagy hozzáférhetővé tételét törvény közérdekből elrendeli.”
Az Infotv. 26. § (1) bekezdése szerint: „Az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szervnek vagy személynek (a továbbiakban együtt: közfeladatot ellátó szerv) lehetővé kell tennie, hogy a kezelésében lévő közérdekű adatot és közérdekből nyilvános adatot – az e törvényben meghatározott kivételekkel – erre irányuló igény alapján bárki megismerhesse.” A 33. § (1) bekezdés szerint: „Az e törvény alapján kötelezően közzéteendő közérdekű adatokat internetes honlapon, digitális formában, bárki számára, személyazonosítás nélkül, korlátozástól mentesen, kinyomtatható és részleteiben is adatvesztés és -torzulás nélkül kimásolható módon, a betekintés, a letöltés, a nyomtatás, a kimásolás és a hálózati adatátvitel szempontjából is díjmentesen kell hozzáférhetővé tenni (a továbbiakban: elektronikus közzététel). A közzétett adatok megismerése személyes adatok közléséhez nem köthető.”
Az Infotv. 37. § (1) bekezdése szerint: A 33. § (2)-(4) bekezdésében meghatározott szervek (a továbbiakban: közzétételre kötelezett szerv) – a (4) bekezdésben meghatározott kivétellel – tevékenységükhöz kapcsolódóan az 1. melléklet szerinti általános közzétételi listában meghatározott adatokat az 1. mellékletben foglaltak szerint közzéteszik”.
A közokiratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI. törvény (a továbbiakban: Ltv.) 9. § (4) bekezdése szerint: „Az e törvényben, valamint a 35/A. § (1) bekezdése szerinti kormányrendeletben meghatározott követelmények teljesítésének részletes szabályait a közfeladatot ellátó szerv által készített egyedi, vagy a részére kötelezően előírt egységes iratkezelési szabályzat és irattári terv (a továbbiakban: iratkezelési szabályzat) tartalmazza.”
Az Ltv. 10. § (1) bekezdésének c) pontja szerint: „Egyedi iratkezelési szabályzatot ad ki az önkormányzati hivatal számára a jegyző (főjegyző) a Magyar Nemzeti Levéltárral, a 18. § (2) bekezdésében meghatározott eseteben Budapest Főváros Önkormányzata által fenntartott levéltárral és a fővárosi és megyei kormányhivatallal egyetértésben.”
A jogalkotásról szóló 2010. évi CXXX. törvény (a továbbiakban: Jat.) 23. § (4) bekezdésének j) pontja szerint: „Normatív utasításban szabályozhatja a polgármester, a főpolgármester, a megyei közgyűlés elnöke (a továbbiakban együtt: polgármester) és a jegyző a vezetése, az irányítása vagy felügyelete alá tartozó szervek szervezetét és működését, valamint tevékenységét.”
Az Infotv. 1. mellékletének „II. Tevékenységre, működésre vonatkozó adatok” 1. pontja szerint kötelezően közzéteendő adatok a közfeladatot ellátó szerv feladatát, hatáskörét és alaptevékenységét meghatározó, a szervre vonatkozó alapvető jogszabályok, közjogi szervezetszabályozó eszközök, valamint a szervezeti és működési szabályzat vagy ügyrend, az adatvédelmi és adatbiztonsági szabályzat hatályos és teljes szövege. A Jat., az Ltv. vonatkozó rendelkezései, valamint az önkormányzatok gyakorlata alapján az iratkezelési szabályzatot a jegyző normatív utasítás formájában, tehát közjogi szervezetszabályozó eszközként adja ki.
A fentiek elemzése után megállapíthatjuk, hogy az önkormányzat iratkezelési-, és adatkezelési szabályzata nem csak nyilvános, de azok tekintetében az önkormányzatot közzétételi kötelezettség terheli.
Mi a helyzet a közkézen keringő önéletrajzi adatokkal?
A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelet (a továbbiakban: általános adatvédelmi rendelet) 7. cikk (3) bekezdése szerint az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.
Az általános adatvédelmi rendelet 17. cikk (1) bekezdése szerint az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje, ha az alábbi indokok valamelyike fennáll:
a) a személyes adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy más módon kezelték;
b) az érintett visszavonja a 6. cikk (1) bekezdésének a) pontja vagy a 9. cikk (2) bekezdésének a) pontja értelmében az adatkezelés alapját képező hozzájárulását, és az adatkezelésnek nincs más jogalapja;
c) az érintett a 21. cikk (1) bekezdése alapján tiltakozik az adatkezelés ellen, és nincs elsőbbséget élvező jogszerű ok az adatkezelésre, vagy az érintett a 21. cikk (2) bekezdése alapján tiltakozik az adatkezelés ellen;
d) a személyes adatokat jogellenesen kezelték;
e) a személyes adatokat az adatkezelőre alkalmazandó uniós vagy tagállami jogban előírt jogi kötelezettség teljesítéséhez törölni kell;
f) a személyes adatok gyűjtésére a 8. cikk (1) bekezdésében említett, információs társadalommal összefüggő szolgáltatások kínálásával kapcsolatosan került sor.
Az általános adatvédelmi rendelet 12. cikk (3) bekezdése szerint az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet a 15-22. cikk szerinti kérelem nyomán hozott intézkedésekről. Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet. Ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
A pályázati anyag részét képező hozzájárulás (mely a pályázati anyagban foglalt személyes adatoknak a pályázati eljárással összefüggésben szükséges kezeléséről szól) visszavonható. Az adatkezelőhöz – jelen esetben az önkormányzathoz – címzett nyilatkozattal visszavonható a pályázatával összefüggő személyes adatok kezeléséhez adott hozzájárulás, így amennyiben egyéb jogalap nem indokolja a személyes adatainak további kezelését – az adatkezelő köteles törölni a kezelésében álló személyes adatokat.
Amennyiben a pályázati anyagban szereplő személyes adatokat más adatkezelők hozták nyilvánosságra, náluk is élni kell a törlésre vonatkozó érintetti joggyakorlás iránti kérelemmel. Bár az érintettekkel szemben nem elvárás, egyértelműsíti a kérelem tartalmát, ha abban hivatkozik az általános adatvédelmi rendelet 17. cikkére. A törlési kérelmekkel szemben tartalmi elvárás ugyanakkor, hogy az érintett az általános adatvédelmi rendelet 17. cikk (1) bekezdésében meghatározott valamelyik okra alapítsák azt. Ez nem pontos jogszabályhelyet jelent, hanem azt, hogy meg kell jelölni a törlés indokát, amelyre alapítva kérik a személyes adatai kezelésének megszűntetését.
Ez jelen esetben a nyilvánosságra hozott személyes adatok körében az általános adatvédelmi rendelet 17. cikk (1) bekezdés a), b), c) és d) pontjait jelenti. Ha tehát egy harmadik adatkezelő nyilvánosságra hozza a pályázati anyagot, kérhető a személyes adatok törlését az adatkezelés jogellenességére hivatkozva, mivel a hozzájárulás a pályázati eljárással összefüggésben szükséges kezeléshez tapadt.
Az adatkezelő önkormányzat (illetve a további harmadik adatkezelők) az általános adatvédelmi rendelet 12. cikk (3) bekezdése szerint a törlési kérelem beérkezését követő egy hónapon belül kötelesek tájékoztatni az érintettet a megtett intézkedéseikről. Amennyiben az adatkezelők nem reagálnak, a megtett intézkedésekkel az érintett nem ért egyet, vagy a személyes adataival egyéb módon visszaéltek, úgy vizsgálat vagy adatvédelmi hatósági eljárást kezdeményezhető a Nemzeti Adatvédelmi és Információszabadság Hatóságnál.
Dr. Kajó Cecília egyesületi tagunk írását közöltük.