Az Alkotmánybíróság még a nyári ítélkezési szünet előtt hozott határozata szerint az Országgyűlés mulasztásban megnyilvánuló Alaptörvény-ellenességet idézett elő azáltal, hogy nem szabályozta megfelelően a turisztikai törvényben a szálláshely-szolgáltatást igénybe vevő vendégek bejelentésével kapcsolatos adatkezelést. Egy vendég hiába kérte személyes adatainak törlését a rendszerből, a szálláshely-szolgáltató közölte vele, hogy az adatbázishoz nincs hozzáférési jogosultsága. Az alkotmánybírák döntése nyomán a parlamentnek év végéig kell orvosolnia a szabályozási hiányosságokat.
Az alkotmánybírósági indítványra okot adó ügyben a bírósági per felperese (vendég) az alperes (szállásadó) által működtetett szálláshelyen töltött el egy éjszakát. Bejelentkezésekor, 2021. december 10-én a személyi okmányait elkérték, és személyes adatait elektronikusan rögzítették. A vendég 2022. február 22-én kérte, hogy személyes adatait töröljék a rendszerből. A szállásadó azonban közölte, nem rendelkezik a rendszerben törlési jogosultsággal, így nem tudja teljesíteni a törlési kérelmet.
Az így pórul járt vendég a Budapest Környéki Törvényszékhez fordult, kérve, állapítsa meg, hogy a szállásadó adatkezelésével megsértette a személyes adatok védelméhez való jogát, és tiltsa el a jövőbeli adatkezeléstől, továbbá kötelezze sérelemdíj megfizetésére is.
Szigeti Krisztina, az ügy bírája 2024 februárjában a peres eljárást felfüggesztette, és a turisztikai térségek fejlesztésének állami feladatairól szóló 2016. évi CLVI. törvény (turisztikai törvény) 9/H. § (1), (2), (2a), (3), (4) és (5) bekezdései Alaptörvény-ellenességének megállapítását, megsemmisítését, és a folyamatban lévő perben való alkalmazhatóságuk kizárását kérte az Alkotmánybíróságtól.
A törvényszéki bíró – lényegében egyetértve a felperessel – indítványában kifejtette, a sérelmezett rendelkezések, amely a szálláshely-szolgáltatást igénybe vevők bejelentésével kapcsolatos adatkezelés célját, a kezelt adatok körét és az adatkezelés további részleteit tartalmazzák, sértik az érintettek magánszférához való jogát és a személyes adatok védelméhez való jogát.
Az ügy jogi hátteréről tudni kell, hogy 2021. január 1-jén lépett hatályba a turisztikai törvény módosítása, amely
2021. szeptember 1-jétől arra kötelezi a szálláshely-szolgáltatókat, hogy a szolgáltatást igénybe vevők meghatározott adatait a kormány által kijelölt tárhelyszolgáltató tárhelyén rögzítsék.
A 235/2019. (X. 15.) Korm.-rendelet tárhelyszolgáltatónak a Magyar Turisztikai Ügynökséget jelölte ki, míg a kijelölt tárhely a Vendég Információs Zárt Adatbázis (VIZA) lett. A rendelet kötelezővé tette a vendég bejelentkezésekor személyi adatainak rögzítését, máskülönben a szálláshely-szolgáltatás nem vehető igénybe.
Az ügyben az Alkotmánybíróság megkereste Péterfalvi Attilát, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnökét, aki állásfoglalásában arra a következtetésre jutott, hogy a támadott rendelkezések nem Alaptörvény-ellenesek.
A NAIH elnöke szerint ugyanis az uniós jog elsőbbségének elvéből fakadóan a tagállami jogszabály csak abban az esetben, olyan mértékben és irányban térhet el, amely esetekben, mértékben és irányban ezt maga a GDPR (General Data Protection Regulation, általános adatvédelmi rendelet) megengedi. Ezek a tagállami eltérések adott esetben az érintett jogainak korlátozására is irányulhatnak, ha annak feltételei adottak.
Ha azonban ilyen eltérést, pontosító szabályt vagy korlátozást a nemzeti jog nem tartalmaz – magyarázta Péterfalvi Attila –, akkor a GDPR szabályai, valamint az azok végrehajtását és kiegészítését szolgáló tagállami jogszabályok, így főként az információs önrendelkezési jogról és az információszabadságról szóló törvény (infotörvény) általános szabályai a kötelező adatkezelés végrehajtásakor is alkalmazandók.
Az Alkotmánybíróság ugyan elutasította a támadott rendelkezések megsemmisítésére irányuló bírói kezdeményezést, ugyanakkor megállapította,
az Országgyűlés mulasztásban megnyilvánuló Alaptörvény-ellenességet idézett elő azáltal, hogy nem szabályozta megfelelően a turisztikai törvényben a szálláshely-szolgáltatást igénybe vevők bejelentésével kapcsolatos adatkezelést.
A határozat – amelynek Schanda Balázs volt az előadó alkotmánybírója – megállapította, hogy az infotörvény alapján a hozzáféréshez való joggal az adatkezelő rendelkezik, akinek a turisztikai törvény vonatkozásában a szálláshely-szolgáltató minősül. Neki azonban a VIZA-rendszerhez a turisztikai törvény szerint nincs hozzáférési joga, tehát a szálláshely-szolgáltatást igénybe vevő személynek adatai kezeléséről nem tud felvilágosítást adni, ami sérti az Alaptörvényben szereplő személyes adatok védelméhez fűződő jogot.
Továbbá a turisztikai törvény nem szabályozza, hogy a szálláshely-szolgáltatást igénybe vevő vendég tájékoztatást kérhet a VIZA-rendszert üzemeltető tárhelyszolgáltatótól adatai kezelésével kapcsolatban, de azt sem, hogy a tárolt személyes adatokat meddig lehet kezelni és milyen határidővel kell azokat törölni. A turisztikai törvény ezen hiányosságai a határozat szerint ellentétesek a személyes adatok védelméhez fűződő joggal.
Az Alkotmánybíróság mindezek miatt felhívta az Országgyűlést, hogy jogalkotói feladatának 2024. december 31-ig tegyen eleget.
(Borítókép: Jászai Csaba / MTI)