Súlyos adatvédelmi problémák az új felnőttképzési rendszerben
Az adatvédelmi hatóság megalapozottnak találta a bejelentéseket.
A Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) több bejelentés is érkezett a felnőttképzésről szóló 2013. évi LXXVII. törvénnyel és annak végrehajtásával kapcsolatban.
Ahogyan a Lánglovagok tűzvédelmi tudásbázis megírta, a törvény jelentősen kibővítette a felnőttképzés fogalmát, és 2020. szeptember 1-jétől bejelentés köteles tevékenység körébe vett egy sor tevékenységet, köztük a tűzvédelmi és munkavédelmi oktatást, melynek eredményeképpen több százezer gazdálkodó szervezetet, illetve egyéni vállalkozást kényszerít bejelentési kötelezettség megtételére és tételes adatszolgáltatásra.
E-mail cím
Az egyik bejelentő a felnőttképzésről szóló törvény végrehajtásáról szóló 11/2020. (II. 7.) Korm. rendelet 3. §-a miatt fejezte ki az aggodalmát. Kérte a NAIH-ot, vizsgálja meg, mennyiben teljesíti a jogalkotói célt a felnőttképző hatósági bejelentésénél az e-mail cím megadása, mennyiben szükségszerű az elektronikus levelezési címmel kapcsolatos hatósági adatkezelés annak tükrében, hogy a hatóság a Felnőttképzési Adatszolgáltatási Rendszeren, valamint az Ügyfélkapun keresztül is tud kommunikálni a regisztrált felnőttképzőkkel.
A panaszos azt is felvetette, hogy a 11/2020. (II. 7.) Korm. rendelet 7. § (1) a) pontja alapján az e-mail címet a felnőttképzők nyilvántartása tartalmazza. Csakhogy a nyilvános adatbázisban úgy közlik az e-mail címeket, hogy azok mások által manuálisan vagy robotokkal könnyedén begyűjthetők, így alapot adnak a kéretlen reklámok küldésére. Ez rövid úton már meg is történt azzal, hogy egy felnőttképzési szolgáltatást nyújtó cég a bejelentő e-mail címére kéretlenül reklámot küldött.
A bejelentő kérte a NAIH-ot, vizsgálja meg, szükségszerű-e a jogszabályi előírás, hogy a felnőttképzők e-mail címe nyilvános legyen, nem lenne-e elegendő csupán az, hogy önkéntes alapon a honlapjuk elérhetőségét megadják. Meglátása szerint a nyilvántartás nyilvánossága azt a célt szolgálja, hogy valaki, mielőtt igénybe vesz a felnőttképzési szolgáltatást, ellenőrizze, hogy a szolgáltató felnőttképzőnek minősül-e. Ehhez azonban bőven elegendő a vállalkozás neve, székhelye, és adószáma / cégjegyzékszáma / nyilvántartásba vételi száma.
A panaszos álláspontja szerint amennyiben valamely oknál fogva mégis szükséges a jogalkotónak az e-mail cím, akkor azt úgy tegye nyilvánossá, hogy technikailag akadályozza meg, illetve nehezítse az e-mail címek tömeges illegális begyűjtését. Ennek teljesen egyszerű technikai megoldásai vannak, például az e-mail cím automatikusan nem jelenik meg, hanem külön kattintással, Captcha ellenőrzés után jelenik meg.
Szerződéskötés
A 2013. évi LXXVII. törvény 11. §-a szerint a bejelentésköteles felnőttképzési tevékenység során felnőttképzési szerződést kell kötni, és gondoskodni a személyes adatok megfelelő kezeléséről. A 13. §. (2) bekezdése azt írja, az engedélyhez kötött felnőttképzési tevékenység esetén írásban kell megkötni a szerződést. Az Innovációs és Technológiai Minisztérium azt a tájékoztatást adta, hogy a bejelentésköteles felnőttképzési tevékenység során a felnőttképzési szerződést elegendő szóban megkötni.
A bejelentő szerint ennek kapcsán felmerül, a képzésben részt vevőnek egy sor személyes adatot kell átadnia, azt a felnőttképzőnek kezelnie, továbbítania, aminek a legbiztosabb módja egy szerződés, de legalább a képzésben részt vevő írásos nyilatkozata.
A bejelentő kérte a hatóságot, adjon iránymutatást, amennyiben szóban történik a felnőttképzési szerződés megkötése, a képzésben részt vevő hogyan adja át bizonyítható módon a személyes adatait, egyáltalán a felnőttképzőnek joga van-e az azonosító okmányok ellenőrzésére.
Személyes adatok
A 2013. évi LXXVII. törvény 21. §-a határozza meg a kezelt adatok körét. Ebben szerepel a képzésben részt vevő e-mail címe és társadalombiztosítási azonosító jele. A Felnőttképzési Adatszolgáltatási Rendszerben a bejelentésköteles tevékenység adatszolgáltatásánál társadalombiztosítási azonosító jelet nem kell feltölteni. A jogszabály tehát egy olyan adat bekérését és 8 évig történő kezelését teszi kötelezővé, amely adat a felnőttképző és a hatóság részére sem szükséges.
A panaszos kérte a NAIH-ot, vizsgálja meg, a jogszabály indokoltan teszi-e a társadalombiztosítási azonosító jelet a felnőttképző adatkezelési körébe, illetőleg kötelezően kell-e kezelni, vagy a jogszabály csak a lehetőséget adja meg az adatkezelésre.
A 2013. évi LXXVII. törvény ezt írja:
„15. § (1) A felnőttképző
a) a bejelentéshez kötött felnőttképzési tevékenység esetén
ab) – ha a képzésben részt vevő személy előzetesen írásban vagy a Ptk. 6:7. § (3) bekezdése szerinti módon megtett jognyilatkozatában annak továbbítását nem tiltotta meg – a képzésben részt vevő személyek természetes személyazonosító adataira, elektronikus levelezési címére, adóazonosító jelére,”
A 2013. évi LXXVII. törvény nem definiálja, mit ért a jogszabály keretein belül természetes személyazonosító adaton, ugyanakkor a 2011. évi CXII. törvény szerint a személyes adat az érintettre vonatkozó bármely információ. A bejelentő szerint ez alapján a képzésben részt vevő személy neve és több más adata is megtiltható lenne az adatszolgáltatásnál. Ezzel ellentétben a Felnőttképzési Adatszolgáltatási Rendszerben való adatszolgáltatásnál csak a születési idő, adóazonosító jel és az e-mail cím tiltható le, a nem, viselt név, születési név, anyja neve, születési hely nem. Ráadásul a rendszer alapja, hogy minden személynek egy oktatási azonosítója legyen, annak megadásával viszont a hatóság mindenkit szinte minden személyes adatával képes beazonosítani, akkor is, ha ahhoz a képzésben részt vevő nem járult hozzá.
A panaszos szerint az ilyen mértékű adatszolgáltatás azt eredményezi, hogy a felnőttképzési államigazgatási szerv több millió ember személyes adataihoz jut hozzá, kell kezelnie. A bejelentő kérte az adatvédelmi hatóságot, vizsgálja meg, hogy a Felnőttképzési Adatszolgáltatási Rendszer adatszolgáltatási kötelezettsége megfelel-e a 2013. évi LXXVII. törvény 15. §-ának, illetőleg egyáltalán szükséges-e ilyen mértékű adatszolgáltatás a jogalkotói cél eléréséhez.
Elkerülhetetlen a törvénymódosítás
Péterfalvi Attila, a NAIH elnöke arról tájékoztatta a bejelentőt, hogy a felnőttképzési nyilvántartás nem felel meg az általános adatvédelmi rendeletnek, mivel a törvény hatályos szövege jelenleg nem rendelkezik az adatkezelés céljáról, továbbá minden, a nyilvántartásban szereplő valamennyi jelenleg nyilvános személyes adat nyilvánosságra hozatalának szükségessége sem indokolt.
A felnőttképzési törvény 21. §-a, mely a felnőttképzésben részt vevő személy személyes adatainak kezelését szabályozza, szintén nem felel meg az adatvédelmi követelményeknek. A NAIH álláspontja szerint a jogszabály rendelkezései alapján nem látható annak indoka, hogy miért szükséges a képzésben részt vevő személy állampolgárságának, nem magyar állampolgár Magyarországon való tartózkodásának jogcímének és a tartózkodásra jogosító okiratának, okmánya megnevezésének és számának, a társadalombiztosítási azonosító jelének, valamint adóazonosító jelének kezelése. Nem egyértelmű tehát, hogy a képzés lebonyolításához, mint célhoz miért szükséges ezen személyes adatok kezelése. Ebből következőleg a felnőttképzési törvény 21. §-a nem felel meg a célhoz kötött adatkezelés és az adattakarékosság elvének.
Az általános adatvédelmi rendelet 5. cikk (1) bekezdés e) pontja szerinti korlátozott tárolhatóság elvéből következően nem egyértelmű továbbá a személyes adatok 8 évig történő kezelése sem, figyelemmel arra, hogy a felnőttképzési törvény 2020. január 1-je előtt hatályos 21. § (5) bekezdése szerint a részt vevő személyek személyes adatait a keletkezésüktől számított 5 évig tartották nyilván és kezelték a felnőttképzést folytató intézmények. A NAIH álláspontja szerint nem indokolt a tárolási határidő 8 évre történő felemelése.
A felnőttképzési törvény 17. § c) pontja szerint a felnőttképző köteles a bejelentéshez kötött felnőttképzési tevékenység esetén a képzésben részt vevő személyt kifejezetten tájékoztatni a 18. § (1) bekezdés a) pont ab) alpontja szerinti adatai, azaz a természetes személyazonosító adatai, elektronikus levelezési címe, adóazonosító jele továbbításának megtiltására vonatkozó lehetőségről. Ugyanakkor a gyakorlatban a képzésben részt vevő adatainak rögzítésekor ezt a tiltást nem lehet alkalmazni. Erre való tekintettel a NAIH felhívja a figyelmet arra, hogy a jogszabályban előírt követelményeknek megfelelően kell kialakítani az informatikai rendszert.
Péterfalvi Attila közölte: indokolt a felnőttképzési törvény módosítása, és a hatóság az előterjesztés véleményezése során érvényesíteni fogja az adatvédelmi követelményeket.