Speciális helyzetben vannak az egyházak, amikor az egységes Európai Adatvédelmi Rendelet (GDPR) alkalmazásáról van szó, mert rendkívül sok különlegesen szenzitív adatot kezelnek, lévén a vallási meggyőződés ilyennek minősül. Az egyházakra vonatkozó speciális szabályok még nem készültek el, és a jogalkalmazói gyakorlat sem ismert, de az adatvédelem konzervatív európai megközelítése miatt elengedhetetlen lesz az egyházi gyakorlatok újragondolása.
Már három hónap sincs az egységes Európai Adatvédelmi Rendelet hatályba lépéséig, de a magyarországi egyházak még csak most kezdik meg a felkészülést, amit nehezít, hogy számos kérdésben sötétben tapogatóznak. A GDPR eleve tág teret hagy a jogszabály értelmezésnek, és sok múlik majd a tagállamok adatvédelmi hatóságainak gyakorlatán, de mindez különösen igaz az egyházakra. Velük kapcsolatban ugyanis a rendelet azt mondja ki, hogy adatvédemi szabályozásuk tovább élhet a gyakorlatban, ha azt harmonizálják a GDPR elvárásaival, ám hogy ez mit takar, azt speciális tagállami jogszabályokban kell lefektetni. Ilyen jogszabály pedig eddig Európában elvétve sem akad, mivel az államok jellemzően igen óvatosan bánnak az egyházakkal kapcsolatos jogalkotással. Nem kivétel ez alól Magyarország sem, itt sem pontosította az állam az egyházakkal szembeni adatvédelmi előírásokat, ahogy nem tudható az sem, hogy az állam létrehoz-e speciális, az egyházak tevékenységét ellenőrző adatvédelmi hatóságot, amire a rendelet egyébként lehetőséget ad.
Pedig az egyházak kivételesen nehéz helyzetben vannak, amikor a GDPR alkalmazásáról van szó, mert minden más intézményhez képest sok különlegesen szenzitív adatot kezelnek. A GDPR ugyanis taxatíve felsorolja a különleges adatok körét, és ennek egyik pontja a vallási meggyőződéssel kapcsolatos adatok. A rendelet erről annyit mond, hogy ide tartozik minden olyan adat, amiből következtetni lehet az adott személy vallási meggyőződésére.
Az alapvető probléma, hogy ez a megfogalmazás rendkívül tág értelmezési tartományt nyit meg. Az világos, hogy ebbe a körbe tartoznak a keresztlevelek, de mi van azzal, aki egyszerűen csak egy adományt nyújt az egyháznak, egyházi iskolába járatja a gyerekét, esetleg állami iskolában a hittant választja az erkölcstan helyett, vagy éppen önköltségi alapon szerződik az egyházmegyével a templom kerítésének felújítására?
Adatvédelmi értelemben konzervatív megközelítés mellett ezek az adatok lehetőséget nyújtanak arra, hogy következtessünk az adott család, vagy cégvezető vallási meggyőződésére, miközben nyilván vannak példák arra is, hogy egy ateista család járatja hittanra a gyermekét, vagy a vállalkozó csak a település esztétikai szempontjait veszi figyelembe. A GDPR meglehetősen vaskalapos adatvédelmi szemlélete azt vetíti előre, hogy a tagállami megoldások és az adatvédelmi hatóságok joggyakorlata ezekben a helyzetekben a szigorúbb követelményeket választja majd, azaz különleges adatnak minősíti ezeket. De a határok itt is nehezen húzhatók meg, hiszen amíg egy egyházi fenntartású általános iskolában számon tartják, hogy ki, mikor volt misén, addig ugyanez egy ugyancsak egyházi fenntartású felsőoktatási intézményben nem létező gyakorlat.
Ez komoly kihívások elé állítja az egyházakat a felkészülésben, hiszen a GDPR nagyon szigorú a különleges adatok kezelésének tekintetében. Különleges adatot kezelni alapvetően tilos a rendelet szerint, és ez alól vannak kivételek, ilyen kivétel például az egyházi adatkezelés, amin belül külön említést érdemel a hosszú távú adatkezelés. Az egyházak hagyományos adatkezelési tevékenységei, anyakönyvvezetés, vagy a keresztlevelek, és különböző más hitéleti eseményeken való részvétel nyilvántartása, az első áldozóktól a pappá szentelésig, tipikusan ilyenek, ez pedig külön szabályozást igényel, mert a GDPR alapértelmezésben határidőhöz köti az adatkezelési jogosultságot. A megoldás itt a kutathatósághoz fűződő közérdek lehet, amire alapozva az adatok törlése akár megtagadhatóvá is válhat, de a leszármazottak hozzáférésével kapcsolatos kérdéseket is kezelni kell.
Bár úgy gondoljuk, hogy a szabályozási kérdések nyitottsága miatt a Nemzeti Adatvédelmi és Információszabadság Hatóság a GDPR életbelépése után hagy még némi türelmi időt az egyházaknak a jogszabályi megfeleltetésre, az a konferencia alapján világos, hogy a jogalkotóknak és a NAIH-nak is sok és gyakran kényes kérdést is tisztázniuk kell még, az egyházaknak pedig ezek alapján alaposan újra kell gondolniuk adatkezelési gyakorlatukat.
Magyarországon az egyházak közül eddig csak a Szcientológia egyháznál állapított meg adatkezelési hiányosságokat a NAIH, de ez még a jelenlegi is hatályos Információbiztonsági Törvény hatálya alatt történt. „A magyarországi Szcientológia Egyház és központi szervezete is megszegte az adatvédelmi törvény előírásait, amikor jogalap nélküli adatkezelést végeztek, nem tettek eleget előzetes tájékoztatási kötelezettségüknek, figyelmen kívül hagyták a célhoz kötött és a tisztességes adatkezelés elvét, az adatbiztonság követelményeit, illetve az adatbiztonság követelményeit” – adta hírül tavaly októberben a hatóság. A NAIH ezért megtiltotta a további, jogellenes adatkezelést, és a Szcientológia Egyházat, illetve annak központi szervezetét egyaránt a maximális húsz-húsz millió forint adatvédelmi bírság megfizetésére kötelezte.
Bővebb profil
