Az általános adatvédelmi rendelet (GDPR) kifejezetten rögzíti, hogy annak rendelkezéseit nem kell alkalmazni az elhunyt személyekkel kapcsolatos személyes adatokra, viszont biztosítja annak lehetőségét, hogy a tagállamok saját hatáskörben elhunyt személyek személyes adatainak kezelésére vonatkozó szabályozást alakítsanak ki.
Ezt az általános kiindulópontot nem érinti az a körülmény, hogy egyes, úgynevezett szektoriális szabályok már tartalmaznak rendelkezéseket elhunyt személyek személyes adatainak kezelése körében. (Például az egészségügyi törvény az egészségügyi dokumentáció, annak adatai megismeréséhez fűződő jog kapcsán szabályozza az érintett beteg halálát követő eseteket is.)
Más jogágak, így a Ptk. szabályozza a kegyeleti jog intézményét, amely védi a meghalt személy emlékét, amely emlék megsérthető az elhunyt személy személyes adataival történő visszaéléssel is, a Btk. pedig szabályozza a kegyeletsértés bűncselekményét. Ezek a jogági szabályozások azonban nem tartalmaznak rendelkezéseket az adatvédelem körébe tartozó érintetti jogoknak az érintett halálát követő, értelemszerűen más, harmadik személy(ek) által történő gyakorlásáról. A Ptk. csak az elhunyt emlékének „megsértése” esetén, a Btk. pedig az elhunyt emlékének becsületsértés vagy rágalmazás útján történő meggyalázása esetén teszi lehetővé a kegyeleti alapon történő fellépést – azaz a joggyakorlás az elhunyt emlékét sértő magatartásokra korlátozódik, és bírósági eljáráshoz kötött.
Továbbra is marad tehát a kérdés, hogy mi lesz a személyes adatainkkal és érintetti jogaink gyakorlásával halálunkat követően az adatvédelmi jog szempontjából?
Magyarországi szabályozás
2015-ben született meg Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ajánlása az online adatok halál utáni sorsáról. Az ajánlás online adatokkal kapcsolatosan született meg, de ettől elvonatkoztatva a NAIH általánosságban megállapította, hogy nincs olyan szabályozás, amely „irányadó́ az olyan személyes adatok kezelésével kapcsolatban, amelyek egy elhunyt személlyel kapcsolatosak, de kezelésüket nem törvény írja elő, hanem az a személy hozzájárulásán alapulna, ha az még életben lenne”.
Mint említettük, a GDPR nyitva hagyja a tagállamok számára azt a lehetőséget, hogy elhunyt személyek személyes adatainak kezelésére vonatkozó saját szabályozást alakítsanak ki.
Az Infotörvény GDPR tükrében történő jogharmonizációs célú módosításáról szóló előterjesztés beiktatna egy „személyes adatokkal összefüggő jogok érvényesítése az érintett halálát követően” szabályozási rendszert a hazai adatvédelmi jogba. Az Infotörvény tervezett módosítását még nem fogadták el, így azt sem tudni, hogy a szabályozási rendszer a javasolt formában fog-e megvalósulni, ha egyáltalán megvalósul.
Mint említettük, ez a tervezet még nincs elfogadva. Addig marad a már hivatkozott NAIH-ajánlás, amely felhívja „az online közösségi és egyéb szolgáltatásokat nyújtó szolgáltatók figyelmét arra, hogy adatvédelmi szabályzatukban tájékoztassák a felhasználókat az elhunyt felhasználókhoz köthető adatokkal kapcsolatos jelenlegi jogi lehetőségekre”, egyben már az ilyen szolgáltatások körében alkalmazott általános szerződéses feltételek kialakítása során legyenek tekintettel a kegyeleti jogok érvényesíthetőségére.
Megállapítható tehát, hogy az elhunytakkal kapcsolatos személyes adatok kezelése problematikáját az adatkezelők már jelenleg sem hagyhatják figyelmen kívül, amikor adatkezeléssel kapcsolatos szabályozási rendszerüket kialakítják.
Szerző: dr. Szűcs Bálint Ügyvéd
