Hírek

Az európai üzemi tanácsok lényege és működése

Hírek, Munkajog / 2026.02.24. / európai üzemi tanács, közösségi szinten működő vállalkozás, különleges tárgyaló tanács, transznacionális kérdés, üzemi tanács

Olvasási idő: 7 perc

A Munka Törvénykönyve által szabályozott üzemi tanács szerepe sok hazai vállalkozás számára ismert, hiszen meghatározott munkavállalói létszám esetén a munkavállalók jogosultak üzemi megbízottat vagy üzemi tanácsot választani. Az üzemi tanács a munkavállalók egyfajta érdekképviseleti szerve, amelynek fő feladata a munkaviszonyra vonatkozó szabályok betartásának figyelemmel kísérése. E feladatkörében eljárva az üzemi tanács tájékoztatás-kérésre és konzultációra jogosult, illetve meghatározott esetekben (pl.: munkáltatói jogutódlás, csoportos létszámcsökkentés, munkavállalók nagyobb körét érintő egyéb munkáltatói intézkedések esetén) a munkáltató köteles az üzemi tanácsot bevonni, megfelelően tájékoztatni, illetve adott esetben a véleményét kérni.

Számos vállalkozás esetén igaz, hogy azok nem csupán egy, hanem akár számos Európai Uniós ország területén működnek. Annak érdekében, hogy a helyi üzemi tanácsok szerepe és jelentősége ne csorbuljon, az EU rendelkezett az ún. európai üzemi tanácsok létrehozásáról a vállalkozások meghatározott mértékű uniós jelenléte esetére.

Az alábbi cikkünkben átfogó jelleggel bemutatjuk, hogy mi az európai üzemi tanács fogalma és célja, a vállalatok mikor kötelesek a munkavállalóik számára az európai üzemi tanács megválasztását biztosítani, illetve annak alapvető működését. Kitérünk továbbá az európai üzemi tanácsra vonatkozó szabályozás jövőbeli, már ismert változásaira is.

Az európai üzemi tanács fogalma, célja

Az európai üzemi tanács lényege, hogy biztosítsa a közösségi szintű vállalkozások (ill. vállalkozáscsoportok, a továbbiakban együttesen: vállalkozások) munkavállalóinak az ún. transznacionális, nemzetközi kérdésekhez kapcsolódó tájékoztatáshoz és konzultációhoz való jogát. E körben fontos rögzíteni, hogy közösségi szintű vállalkozásnak az minősül, amely

a tagállamokban működő vállalkozásai révén legalább 1 000 munkavállalót foglalkoztat és amely

legalább két tagállamban vannak munkavállalói,

tagállamonként legalább 150 munkavállalót foglalkoztat.

Transznacionálisnak pedig minden olyan kérdés tekintendő, amely a közösségi szintű vállalkozást összességében, illetve ennek két különböző tagállamban található legalább két telephelyét vagy vállalkozáscsoportjához tartozó vállalkozását érinti (illetve a magyar törvény alapján minden témakör, ami az érintett tagországok számától függetlenül jelentős hatással van a munkavállalókra). Jól látható például, hogy egy, a vállalkozáscsoport több Európai Unió területén működő szervezetét érintő átszervezés, vagy pl. (csoportos) létszámcsökkentés transznacionális kérdésnek minősülhet, amely esetben az európai üzemi tanács tájékoztatása és a velük való konzultáció jogszabály szerint kötelező lehet még a konkrét döntések meghozatala előtt.

Az európai üzemi tanács megalakításának kezdeményezése

Amennyiben egy, az Európai Unió területén működő vállalkozás közösségi szintű vállalkozásnak minősül a fentiek alapján, a központi vezetés saját kezdeményezésére, vagy a legalább két tagállamban működő, legalább két vállalkozásnál vagy telephelyen foglalkoztatott száz munkavállalónak, illetve e munkavállalók képviseleti szerveinek az indítványára tárgyalásokat kell kezdeményezni az európai üzemi tanács létrehozására, vagy a munkavállalók tájékoztatását és a velük való konzultációt szolgáló tárgyalások kialakítására.

A különleges tárgyaló testület feladata és kiemelkedő szerepe

A tárgyalások megkezdése és lefolytatása érdekében első ízben ún. különleges tárgyaló testületet kell létrehozni, amelynek feladata, hogy a központi vezetéssel egyeztessen és megállapodást kössön az üzemi tanács vagy munkavállalók tájékoztatását és a velük való konzultációt szolgáló eljárásról.

Mind az európai üzemi tanácsról szóló Európai Uniós irányelv, mind az azt átültető magyar törvény meghatározza a különleges tárgyaló testület megválasztásának és működésének szabályait, amelyek – bár sok kérdőjelet hagynak maguk után – sok hasonlóságot mutatnak a helyi üzemi tanácsok választásával.

A különleges tárgyaló testület küldetése tehát nem más, minthogy megállapodjon a központi vezetéssel az európai üzemi tanács feladatáról, jogköréről, összetételéről, megbízatásának idejéről, vagy, hogy az európai üzemi tanács felállítása helyett más, a munkavállalók tájékoztatását és a velük való konzultációt lehetővé tevő eljárást alakítanak ki.

Az európai üzemi tanács működése

Az európai üzemi tanács működését – a központi vezetés és a különleges tárgyaló testület sikeres egyeztetései esetén a felek által megkötött, írásba foglalt megállapodás határozza meg.

Szükséges azonban látni, hogy a tárgyalások sok esetben nem vezetnek eredményre. Az eredménytelen egyeztetés azonban nem eredményezheti a munkavállalók jogának csorbulását. Erre tekintettel a jogszabályok kisegítésképpen tartalmaznak szabályokat az európai üzemi tanács működésére.

Az európai üzemi tanács működésére vonatkozó mintaszabályok csakugyan sok hasonlóságot mutatnak a magyar üzemi tanácsra vonatkozó szabályokkal (megválasztás módja, aktív-passzív választójog, megbízatás megszűnése, ülésezés, stb.)

Felülvizsgálat

Az európai üzemi tanácsra vonatkozó, jelenleg is hatályos szabályok kapcsán számos értelmezési nehézség, illetve szabályozási hézag merült fel az évek során a jogalkalmazók gyakorlatában, amelyet az Európai Bizottság is megerősített.

Azoknál az ügyfeleinknél, akiknél elindul a különleges tárgyaló testület tagjainak megválasztása, látjuk, hogy számos gyakorlati kérdést nem fed le sem az uniós, sem a hazai szabályozás, ezért ezekben az esetekben az előírások általános célját igyekszünk szem előtt tartva tanácsot adni a konkrét megvalósításban.

Természetesen a gyakorlati kihívásokat más tagállamokban is észlelték, ezért az irányelv felülvizsgálatra és kiegészítésre került.

Az új szabályozás keretében szélesebb körben került meghatározásra a transznacionális kérdés fogalma (hasonlóan a magyar szabályozáshoz), a jogszabály konkrét rendelkezésekkel is biztosítani kívánja a nemek közötti egyensúlyt, a különleges tárgyaló testület számára szélesebb körben válik lehetővé szakértők (pl.: jogi, gazdasági szakértők) bevonása, továbbá, a tagállamok hatékony rendelkezéseket kell, hogy bevezessenek az európai üzemi tanácsra vonatkozó szabályok érvényesítésére, valamint megsértésének szankcionálására vonatkozóan.

A felülvizsgálat hatására a tagállamoknak 2028. január 1. napjáig kell a szükséges módosításokat átültetniük, illetve kialakítaniuk. Tekintettel azonban arra, hogy gyakorlati tapasztalataink alapján az európai üzemi tanács felállítása jelentős koordinációt igényel valamennyi abban érintett tagország, illetve tagvállalat részéről, a kellő felkészülés és a megfelelő működés érdekében javasolt lehet már addig is figyelembe venni az irányelv- módosításban foglaltakat.

Fotó forrása: pexels.com, Jonas Horsch

Az európai üzemi tanácsok lényege és működése Read More »

Általános tudnivalók a vállalatcsoportok szabályozásáról

Hírek, Társasági jog és M&A / 2026.02.24. / elismert vállalatcsoport, jogilag érdekelt, Ptk., társasági jog, tényleges vállalatcsoport, uralkodó tag, uralmi szerződés, vállalatcsoport

Olvasási idő: 6 perc

A modern gazdasági életben a hatékonyság növelése, az erőforrások és a piaci kockázatok megosztása érdekében a vállalkozások egyre gyakrabban tömörülnek szoros együttműködési rendszerekbe, úgynevezett vállalatcsoportokba (avagy konszernekbe). Ez a folyamat azonban sokszor ellentétesnek bizonyul a klasszikus társasági jog alaptételeivel, ami a jogi személyek önállóságán és elkülönült felelősségén alapul. A Polgári Törvénykönyvről szóló 2012. évi V. törvény („Polgári Törvénykönyv”) szabályozása erre a dilemmára kínál strukturált megoldást az elismert vállalatcsoport intézményével, legális kereteket és szigorú garanciális rendszert biztosítva a vállalatcsoportok felelős gazdasági és jogi működéséhez.

Tekintettel arra, hogy a vállalatcsoportok szabályozása idén tavasszal módosul, cikkünk a vállalatcsoportok szabályozási rendszerét mutatja be a változások hátterének könnyebb átláthatósága érdekében.

Az elismert vállalatcsoport

Ahhoz, hogy egy vállalatok közötti szoros együttműködés elismert vállalatcsoportnak minősüljön, három fogalmi elemnek együttesen kell érvényesülnie:

kell egy uralkodó tag, amely konszolidált éves beszámoló készítésére köteles,

szükség van legalább 3 különböző, az uralkodó tag által ellenőrzött jogi személyre,

szükséges egy egységes üzletpolitika, melyet maga az uralmi szerződés rögzít.

A vállalatcsoport az uralmi szerződés tervezetének elkészítésével és a tagok általi háromnegyedes többségű jóváhagyásával jön létre (megfelelő közzétételi kötelezettségek sikeres teljesülése esetén). Az uralkodó tagnak az utolsó jóváhagyástól számított 60 napon belül kell kérelmeznie a cégjegyzékbe történő bejegyzést.

Az uralmi szerződés

Az uralmi szerződés a vállalatcsoport működésének központi szabályozóeszköze, mivel ez tartalmazza az együttműködés alapjául szolgáló egységes üzletpolitikát. A szerződésnek a tagok legfontosabb azonosító adatain kívül kötelezően tartalmaznia kell az együttműködésük formáját és lényeges tartalmi elemeit.

Fontos, hogy a szerződés csak az egységes üzleti cél megvalósításához szükséges mértékben korlátozhatja az ellenőrzött tagok önállóságát. A Polgári Törvénykönyv szabályai alapján az uralkodó tag ügyvezetése az uralmi szerződés keretein belül utasíthatja a tagok ügyvezetését. Ez esetben nem alkalmazhatóak a legfőbb szervi döntések kizárólagosságára vonatkozó szabályok sem.

A transzparens működés érdekében a vállalatcsoport tagjainak ügyvezetése (ideértve az uralkodó tagot) köteles a legfőbb szerveknek legalább évente beszámolni a szerződés teljesítésével kapcsolatos tevékenységről. Az uralkodó tag ügyvezetésének többlet kötelezettsége tájékoztatni a jelentős követeléssel rendelkező hitelezőket is. Amennyiben utóbbit elmulasztja, a hitelező a nyilvántartó bírósághoz fordulhat.

Kisebbségvédelem

A vállalatcsoporti működés sajátos kisebbségvédelmi szabályokat tesz szükségessé, hiszen az alacsony részesedéssel rendelkező tagoknak nemcsak a saját társaságon belüli többségi tulajdonoshoz, hanem az uralkodó tagéhoz is alkalmazkodnia kell. Ebből kifolyólag, a törvény mind a vállaltcsoport létrejöttekor, mind annak működése során speciális kisebbségvédelmi garanciákat teremt:

vállalatcsoport létrejöttekor: az ellenőrzött tagként belépő jogi személyek azon tagjai, akik nem kívánnak a vállalatcsoportban részt venni, a megalakulásról szóló közlemény második közzétételétől számított 30 napon belül kérhetik, hogy az uralkodó tag a részesedésüket piaci értéken vásárolja meg,

vállalatcsoport működése során: ha az uralkodó tag lényegesen vagy ismételten megszegi az uralmi szerződést, az ellenőrzött tag szavazatainak legalább 5%-ával rendelkező tagjai, valamint az ellenőrzött tag ügyvezetése is kezdeményezheti az uralkodó tag legfőbb szervének összehívását. Ez teremt arra lehetőséget, hogy a szerződésszegést az uralkodó tag legfőbb döntéshozó fóruma elé tárják. Amennyiben az uralkodó tag ügyvezetése a kérelemnek nem tesz eleget, a bíróság is összehívhatja az ülést vagy feljogosíthatja erre a kérelmezőket.

Hitelezővédelem és mögöttes helytállási kötelezettség

A vállalatcsoport létrejöttének, valamint működésének egyik alapvető célja a hitelezői érdekek védelme.

A rendszer legfőbb biztosítékát az uralkodó tag mögöttes helytállási kötelezettsége adja. Ugyanis, amennyiben az ellenőrzött tagok közül bármelyik felszámolásra kerül, az uralkodó tag köteles fedezni a kielégítetlen tartozásokat. A felelősség alól annyiban mentesülhet, amennyiben sikeresen bizonyítja, hogy a fizetésképtelenség nem az egységes üzletpolitika teljesítésének következménye volt.

Cégbírósági felügyelet

A vállalatcsoport törvényességi felügyeletét a nyilvántartó Cégbíróság látja el. Az uralmi szerződés lényeges vagy ismételt megszegése esetén bármely jogilag érdekelt (pl. tag, hitelező) kérelmére törvényességi felügyeleti eljárást folytathat le a vállalatcsoport ellen.

Tényleges vállalatcsoport

Tényleges vállalatcsoportról beszélünk abban az esetben, ha az egységes irányítás, illetve a szoros gazdasági együttműködés 3 éven keresztül folyamatosan megvalósul anélkül, hogy a felek az alaki követelményeknek (uralmi szerződés, bejegyzés) eleget tennének. A régóta fennálló szabályok szerint bármely jogilag érdekelt fél kérelmére a bíróság kötelezheti a vállalatcsoportot az uralmi szerződés megkötésére vagy az irányadó rendelkezések szerződés hiányában való alkalmazására, amely tehát megteremti mind a mögöttes felelősséget mind a kontrollált tagvállalatok kisebbségi tagjainak kilépési lehetőségét.

A tényleges vállalatcsoportokkal kapcsolatosan 2026. március 1. napjától hatályba lépő módosítás pontosította a jogilag érdekelt fogalmát: jogilag érdekeltnek számít a jövőben mindenki, akivel szemben az uralkodó tag helytállni tartozna (vagyis jellemzően az ellenőrzött tag hitelezője). A módosítás a hitelezővédelmet helyezi előtérbe azzal, hogy közvetlenül összekapcsolja a tényleges vállalatcsoport tényét a helytállási kötelezettséggel, így a formális keretek hiánya ellenére is érvényesíthetővé teszi az uralkodó tag mögöttes felelősségét a károsult hitelezők számára.

Összegzés

A vállalatcsoportok szabályozása a „hatalom és felelősség” egyensúlyára épít. Az elismert vállalatcsoport intézménye jogbiztonságot kínál az egységes irányítás és utasításadás jogának biztosításával, ugyanakkor szigorú garanciákkal védi a gazdasági környezet szereplőit. A cégvezetők számára elemi érdek, hogy a vállalatcsoporti működést a törvényes garanciákat betartva, átlátható szerződéses keretek között valósítsák meg, elkerülve ezzel a váratlanul felmerülő, mögöttes helytállási kötelezettségeket és jogvitákat.

Fotó forrása: pexels.com, Fauxels

Általános tudnivalók a vállalatcsoportok szabályozásáról Read More »

Munkavédelmi szabályok év eleji változása

Hírek, Munkajog / 2026.02.24. / felelősség, kockázatértékelés, Megfelelés, munkajog, munkáltató, munkavédelem, távmunkavégzés

Olvasási idő: 7 perc

Ahogyan arról rendkívüli hírlevelünkben írtunk, a munkavédelemről szóló 1993. évi XCIII. törvény („Munkavédelmi Törvény”) 2026. január 1-től új szabályokat ír elő az egészséget nem veszélyeztető és biztonságos munkavégzés feltételeinek biztosítása kapcsán a munkáltató szervezetek részére. Jelen cikkünkben összefoglaljuk e kötelezettség teljesítéséhez szükséges előírásokat.

Alapelvek és követelmények

A Munkavédelmi Törvény részletesen meghatározza azokat a követelményeket, amelyek figyelembevételével a munkáltatónak biztosítania kell az egészséget nem veszélyeztető és biztonságos munkavégzést. E körben a foglalkoztatónak törekednie kell a veszélyek elkerülésére, értékelnie kell az el nem kerülhető veszélyeket, valamint a veszélyeket azok keletkezési helyükön kell leküzdenie. Továbbá a vállalat köteles figyelembe venni a munkahely kialakításánál, a munkaeszközök és munkafolyamat megválasztásánál az emberi tényezőket is, alkalmazni a műszaki fejlődés eredményeit, a veszélyes megoldásokat kevésbé veszélyessel kiváltani és a munkavállalókat megfelelően utasítani. A cégnek egységes és átfogó megelőzési stratégiát kell kialakítania, amely kiterjed a munkafolyamatra, a technológiára, a munkaszervezésre, a munkafeltételekre, a szociális kapcsolatokra és a munkakörnyezeti tényezők hatására.

Kockázatértékelés szerepe

A munkáltató egyik legfontosabb kötelezettsége a kockázatértékelés elkészítése és fenntartása – és annak részeként a kockázatkezelés és a megelőző intézkedések meghatározása -. Az értékelést szakember végzi, amelynek keretében azonosítja a veszélyforrásokat, meghatározza a veszélyeztetett munkavállalók körét, valamint felbecsüli a veszély jellegét és a veszélyeztetettség mértékét. A kockázatértékelést a tevékenység megkezdése előtt kell elvégezni, majd indokolt esetben – de legalább ötévente – felül kell vizsgálni. Indokolt esetnek minősül a technológia, a munkaeszköz, a munkavégzés módjának megváltozása, vagy a munkáltató tevékenységi körének változása is. Szintén indokolt eset, ha az alkalmazott tevékenység, technológia, munkaeszköz, munkavégzés módjának hiányosságával összefüggésben munkabaleset, foglalkozási megbetegedés következett be. E feladatok elvégzése minden esetben munkabiztonsági és munkaegészségügyi szaktevékenységnek minősül, melyek csak meghatározott szakképzettséggel láthatók el.

Kockázatértékelés elvégzésére jogosultak

A Munkavédelmi Törvény differenciált szabályokat tartalmaz arra vonatkozóan is, hogy a kockázatértékelést és a megelőzési stratégia munkabiztonsági, illetve munkaegészségügyi tartalmát milyen szakképzettséggel rendelkező személy végezheti, különös tekintettel a veszélyességi osztályra és a foglalkoztatottak létszámára. A részletszabályokat a 5/1993. (XII. 26.) MüM rendelet (a továbbiakban: „MüM Rendelet”) fogalmazza meg, oly módon, hogy a foglalkoztatókat veszélyességi osztályokba sorolja és ehhez mérten írja elő, hogy milyen képzettséggel rendelkező személy láthatja el a feladatokat.

A III. veszélyességi osztályba sorolt, legfeljebb 50 főt foglalkoztatók (pl. ide tartoznak a munkaerőpiaci szolgáltatást nyújtók, a számítástechnikai infrastruktúrát szolgáltatók, és a nagy- és kiskereskedelem általában) esetében 2025. július 1. óta nincs változás, a MÜM Rendelet értemében foglalkozásorvostan, üzemorvostan, munkahigiéne, közegészségtan-járványtan, megelőző orvostan és népegészségtan szakorvosi diplomával, illetve közegészségügyi-járványügyi ellenőri vagy felügyelői szakképzettséggel rendelkező személy is ellátható a tevékenység.

2026 január 1-től újdonság, hogy a megelőzési stratégia munkabiztonsági tartalmának kialakítása a legalább 50 főt foglalkoztató munkáltatóknál a MüM Rendelet szerinti I. és II. veszélyességi osztályba sorolt, így például papírgyártás, gyógyszergyártás, gépgyártás, számítógép, elektronikai, optikai termék gyártása, dohánytermék gyártása tevékenységek esetén felsőfokú munkavédelmi szakképzettséggel látható el.

Ugyancsak az idei évtől került bevezetésre, hogy a kockázatértékelés elkészítése a MüM Rendelet szerinti I. veszélyességi osztályba sorolt tevékenységek, például papírgyártás, gyógyszergyártás, gépgyártás esetén a legalább 50 főt foglalkoztató munkáltatónál felsőfokú munkavédelmi szakképzettséggel látható el.

Távmunkavégzés eltérő szabályai

Távmunkavégzés esetén a munkavállaló a munkát a munkaidő egy részében vagy egészében a munkáltató telephelyétől elkülönült helyen végzi. A munkavégzés ekkor a munkáltató, vagy megállapodás alapján a munkavállaló által biztosított eszközzel történhet. A munkavállaló által biztosított eszköz esetén a munkáltató a kockázatértékelés elvégzése során győződik meg a munkaeszköz egészséget nem veszélyeztető és biztonságos állapotáról, ennek fenntartása pedig a munkavállaló feladata.

Ha a munkavégzés nem számítástechnikai eszközzel történik, az csak a munkáltató által munkavédelmi szempontból előzetesen megfelelőnek minősített távmunkavégzési helyen történhet, a munkáltató pedig rendszeresen ellenőrzi a munkakörülményeket és az előírások betartását.

Eltérő a helyzet, ha a munkavégzés számítástechnikai eszközzel történik. Ekkor a munkáltató nem köteles kockázatértékelést lefolytatni, elegendő, ha a munkáltató tájékoztatja a munkavállalót a munkavégzéshez szükséges, egészséget nem veszélyeztető és biztonságos munkakörülmények szabályairól és kötelezi a munkavállalót e szabályok betartására és nyilatkoztathatja, hogy e kötelezettségét tudomásul vette. A munkáltató a munkaeszközökről jegyzéket vezethet. A távmunkavégzés helyét a munkavállaló e feltételeknek megfelelően köteles megválasztani. Az előírások betartását persze a munkáltató számítástechnikai eszköz alkalmazásával távolról ellenőrizheti. Jóllehet, ez esetben nem szükséges egyedi kockázatértékelés, de a munkavállaló megfelelő tájékoztatása és rendszeres ellenőrzése a munkáltató munkavédelmi kötelezettsége.

Munkáltató kötelezettsége, felelőssége

A munkáltató folyamatos felelőssége nem merül ki a dokumentáció elkészítésében. Gondoskodnia kell a munkavállalók megfelelő tájékoztatásáról és utasításáról, a munkakörülmények és az előírások betartásának rendszeres ellenőrzéséről, a biztonságos munkaeszközök biztosításáról, valamint a rendellenességek és bejelentések haladéktalan kivizsgálásáról. Emellett biztosítani kell az egyéni védőeszközök rendeltetésszerű használhatóságát és állapotát, valamint a munkabalesetek és foglalkozási megbetegedések jogszabályszerű kivizsgálását.

A munkavédelmi szabályok betartásának a munkáltatói kárfelelősség szempontjából is kiemelkedő jelentősége van, mivel a munkáltatót objektív felelősség terheli a Munka Törvénykönyvéről szóló 2012. évi I. törvény szerint a munkavállalónak a munkaviszonnyal összefüggésben okozott kárért. A felelősség alóli mentesüléshez bizonyítania szükséges, hogy a kárt az ellenőrzési körén kívül eső olyan körülmény okozta, amellyel nem kellett számolnia és nem volt elvárható, hogy a károkozó körülmény bekövetkezését elkerülje vagy a kárt elhárítsa. E szigorú szabályozás értelmében a munkavédelmi előírások elmulasztása mindenképp a munkáltató terhére értékelendő körülmény, mindezek miatt különösen fontos, hogy a munkáltatónál minden esetben naprakész munkavédelmi intézkedések legyenek hatályban, és azok megfelelően, ellenőrizhető módon legyenek dokumentálva.

Összegzés

A munkavédelmi szabályok egyértelművé teszik, hogy az egészséget nem veszélyeztető és biztonságos munkavégzés biztosítása nem pusztán formai kötelezettség, hanem a munkáltatói felelősség egyik legfontosabb eleme. A kockázatértékelés és a megelőzési stratégia szakszerű elkészítésének, rendszeres felülvizsgálatának, valamint a munkavédelmi előírások tényleges betartásának elmulasztása nemcsak hatósági szankciókat, hanem jelentős kártérítési kockázatot is hordoz, tekintettel a munkáltatót terhelő objektív felelősségre. Irodánk a szabályozás változásaira való felkészülésben és a jogszabályoknak megfelelő működés kialakításában is készséggel nyújt támogatást.

Fotó forrása: pexels.com, suntorn somtong

Munkavédelmi szabályok év eleji változása Read More »

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások

Adatvédelem, Hírek / 2026.02.24. / adatkezelés, Adatvédelem, anonimizálás, fejlesztés, GDPR, jogalap, Megfelelés, mesterséges intelligencia, MI modell

Olvasási idő: 5 perc

A mesterséges intelligencia („MI”) gyorsan fejlődő technológiacsalád, amely az ágazatok és a társadalmi tevékenységek teljes spektrumában gazdasági, környezeti és társadalmi előnyök széles skálájához járul hozzá. Az előrejelzések javításával, a műveleteknek és az erőforrások elosztásának optimalizálásával, valamint az egyének és a szervezetek rendelkezésére álló digitális megoldások személyre szabásával az MI használata kulcsfontosságú versenyelőnyt biztosíthat a vállalkozások számára, és társadalmi és környezeti szempontból kedvező eredményeket hozhat.

Az MI használata az elérhető előnyök mellett ugyanakkor bizonyos kockázatokkal is együtt jár. Ezeknek a kockázatoknak a mérséklése érdekében elfogadásra került az Európai Parlament és Tanács mesterséges intelligenciáról szóló 2024/1689 számú rendelete („MI Rendelet”), amelynek több rendelkezése már hatályba lépett. Ugyanakkor számos MI-modell fejlesztéséhez személyes adatokat is felhasználnak, így felvetődhet a kérdés, hogy az MI Rendelet miként érinti az MI rendszerekhez kapcsolódó adatkezelési folyamatokat.

Az MI Rendelet és a GDPR egymáshoz való viszonya

Az MI Rendelet egyértelművé teszi, hogy nem módosítja a személyes adatok kezelésére vonatkozó hatályos uniós szabályok – így a GDPR-ban rögzített követelmények – alkalmazását. Tehát az MI Rendelet hatálya alá tartozó szervezeteknek adatkezelési tevékenységeik során meg kell felelniük a GDPR előírásainak is.

A GDPR az adatvédelemhez való jog érvényesítésén keresztül támogatja más alapvető jogok érvényesülését is, így többek között a gondolat- és véleménynyilvánítás szabadságát, a tájékozódáshoz és az oktatáshoz való jogot, valamint a vállalkozás szabadságát. Mindezek alapján megállapítható, hogy a GDPR olyan jogi keretet teremt, amely elősegíti a felelős innovációt – így az MI-vel kapcsolatos fejlesztések felelős megvalósítását is.

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások

Az MI-modellek fejlesztésével összefüggésben az Európai Adatvédelmi Testület („EDPB”) önálló véleményt fogadott el az adatvédelmi szempontokról, amik a személyes adatoknak a mesterségesintelligencia-modellekkel összefüggésben történő kezelésével kapcsolatban merülnek fel („Vélemény”).

A Vélemény azt vizsgálja, hogy milyen módon használhatók fel személyes adatok MI-modellek fejlesztése során, valamint, hogy mire szükséges különös tekintettel figyelemmel lenni a személyes adatok felhasználásával létrehozott MI-rendszerek forgalomba hozatalakor.

MI-modellek életciklusa

Az EDPB az MI-modellek életciklusát két szakaszra osztja, hangsúlyozva, hogy bármelyikben előfordulhat adatkezelés. Az első szakasz a modell bevezetését megelőző folyamatokat foglalja magában (ideértve pl. a létrehozást, a fejlesztést, betanítást, finomhangolást). A második szakasz pedig a bevezetési időszakra vonatkozik, amely a fejlesztést követő használatot öleli fel.

Adatkezelők adatkezeléshez fűződő jogalapjának megléte

Az adatvédelmi szabályozás egyik sarokköve, hogy adatkezelésre kizárólag meghatározott jogalap fennállása esetén kerülhet sor. A Vélemény megismétli azt az általános elvárást, hogy az adatkezelőknek kell meghatározniuk az adatkezelési tevékenységeik megfelelő jogalapját.

Az EDPB ugyanakkor megállapította, hogy az MI-modell fejlesztője főszabály szerint hivatkozhat a jogos érdekre, mint jogalapra, ugyanakkor köteles annak fennállását megfelelően alátámasztani. Erre egy– adatkezelési compliance-gyakorlattal rendelkezők számára már ismert – háromlépcsős teszt szolgál, amely alapján megfelelően értékelhető, hogy a jogos érdek ténylegesen fennáll-e.

Az EDPB kiemeli, hogy az érdekmérlegelési tesztben figyelemmel kell lenni arra a körülményre, hogy az érintettek észszerűen számíthatnak-e személyes adataik felhasználására. A Vélemény azért jelentős e tekintetben, mert több olyan kritériumot is meghatároz, amelyek segítséget nyújtanak az adatvédelmi hatóságok számára az „ésszerűen belátott”-szempont megítéléséhez.

A Vélemény arra is emlékeztet, hogy amennyiben úgy tűnik, hogy az érintettek érdekei, jogai és szabadságai elsőbbséget élveznek az adatkezelő vagy harmadik fél jogos érdekeivel szemben, akkor sincs minden veszve. Az adatkezelő ugyanis mérlegelheti olyan enyhítő intézkedések bevezetését, amelyek korlátozzák a negatív hatást, például álnevesítés, vagy a személyes adatok elfedésére vagy a betanítási adatkészletben hamis személyes adatokkal való helyettesítésére irányuló intézkedések A megfelelő adatvédelmi eszközök bevezetése pedig ismét jogszerűvé teheti az adatok kezelését

Anonimitás

A GDPR a személyes adatok körébe sorol minden olyan információt, amely alapján az érintett személy közvetlenül vagy közvetve azonosítható. Az uniós szerv álláspontja szerint az MI-modellek fejlesztése során a személyes adatok csak akkor használhatók fel, ha azokat megfelelően anonimizálják, és ezáltal a modell esetleges visszafejtésekor sem válik lehetővé az érintettek azonosítása. Az anonimizálás kapcsán az EDPB hangsúlyozza, hogy az illetékes adatvédelmi hatóságoknak minden esetben egyedileg kell megítélniük, hogy az MI-modellt fejlesztő szervezet eleget tett-e ennek a követelménynek. A testület több olyan ajánlott technikát is megfogalmaz, amelyek alkalmasak lehetnek az anonimitás megőrzésére (pl.: megakadályozzák vagy korlátozzák a betanításhoz használt személyes adatok kinyerését).

Összegzés

Az uniós testület a Véleményben hangsúlyozza, hogy az MI-modellek fejlesztése és bevezetése során is meg kell felelni a személyes adatok kezelésére vonatkozó adatvédelmi követelményeknek. Látható, hogy az MI térnyerését és lehetséges kockázatait prioritással kezeli és követi a jogalkalmazás, ezért számos hatósági iránymutatás várható a közeljövőben.

Fotó forrása: pexels.com, Tara Winstead

MI-modellek fejlesztésével kapcsolatos adatvédelmi megfontolások Read More »

Az Európai Unió mesterséges intelligencia szabályozásának alapjai

Hírek, Mesterséges intelligencia / 2026.02.24. / átláthatóság, felelősség, felügyelet, hatóság, jogszabály, kockázat, Megfelelés, mesterséges intelligencia, MI rendelet

Olvasási idő: 4 perc

Az Európai Unió 2024-ben elfogadta a mesterséges intelligenciáról szóló rendeletét („MI Rendelet”), amely a világon elsőként hozott létre egy átfogó szabályozási keretet a mesterséges intelligencia területén. Az MI Rendelet rendelkezései fokozatosan válnak kötelezővé, egészen 2027. augusztus 2-ig. Az MI Rendelet bizonyos végrehajtási és felügyeleti feladatokat a tagállamok hatáskörébe utal, ennek nyomán 2025 őszén Magyarországon is kihirdetésre került a mesterséges intelligencia („MI”) alkalmazására vonatkozó hazai szabályozási keretrendszer.

Tekintettel arra, hogy az MI Rendeletet az idei év augusztusától szinte teljeskörűen alkalmazni kell, a felkészülés elősegítése érdekében a CLVPartners mesterséges intelligenciával foglalkozó hírlevél-sorozatot indít. A cikksorozat célja, hogy a mesterséges intelligencia alkalmazásához kapcsolódó jogi kérdéseket gyakorlatorientált, ugyanakkor közérthető módon mutassa be. A sorozat első részében a hatályos uniós és magyar szabályozási keretrendszer alapvető koncepcióját, valamint annak főbb célkitűzéseit ismertetjük.

MI Rendelet célja, szabályozásának koncepciója

Az MI a leggyorsabban fejlődő technológiai területek egyike, amelynek alkalmazása egyes előrejelzések szerint a gazdasági és társadalmi tevékenységek széles körében jelentős előnyökkel járhat. Az Európai Unió ugyanakkor felismerte, hogy a MI használata számos kockázatot is magában hordoz, így például a nem megfelelő módon történő használata veszélyeztetheti az uniós jog által védett alapvető jogokat és szabadságokat.

Az MI Rendelet célja, hogy az MI-rendszerek fejlesztése és alkalmazása felelősségteljes keretek között valósuljon meg. Fontos kiemelni, hogy az MI Rendelet nemcsak az Európai Unióban működő gyártókat, importőröket, forgalmazókat és szolgáltatókat érinti, hanem az EU-n kívüli vállalatokat is, ha azok termékei vagy szolgáltatásai elérhetők az uniós piacon, vagy hatással vannak uniós állampolgárokra. Ennek érdekében az MI Rendelet kötelezettségeket ír elő az MI-rendszerek fejlesztői és felhasználói számára, valamint egységes szabályozási rendszert hoz létre az uniós piacon való engedélyezésükre. Az MI Rendelet rögzíti, hogy szabályozási kerete az átláthatóság és az elszámoltathatóság erősítését, valamint az emberközpontú és megbízható mesterséges intelligencia elterjedését szolgálja. Célja továbbá a megkülönböztetés és a torzítások kiküszöbölése, miközben biztosítja az uniós alapértékek és alapvető jogok érvényesülését, valamint hatékony védelmet nyújt az MI-rendszerekből eredő kockázatokkal szemben.

Az MI Rendelet kockázatalapú megközelítést alkalmaz, amely szerint az MI-rendszereket négy kockázati kategóriába sorolja, és az egyes kategóriákhoz eltérő szabályokat és kötelezettségeket rendel. Az elfogadhatatlan kockázatot jelentő, úgynevezett tiltott MI-rendszerek – például a kognitív viselkedésmanipuláció vagy a munkahelyi érzelemfelismerés – alkalmazása az Európai Unióban már jelenleg is tilos. A nagy kockázatú MI-rendszerekre szigorú követelmények vonatkoznak, így különösen tesztelési, átláthatósági és emberi felügyeleti kötelezettségek, és csak ezek teljesítését követően hozhatók forgalomba. Ide tartoznak többek között az egészségügyi diagnosztikában, az önvezető járművekben vagy a biometrikus azonosításban alkalmazott rendszerek. A csekély kockázatú MI-rendszerek esetében – mint például a chatbotok – elsősorban átláthatósági kötelezettségek érvényesülnek, míg a minimális vagy kockázatmentes MI-rendszerekre az MI Rendelet nem állapít meg külön szabályokat.

Az MI Rendelet minden uniós tagállamban közvetlenül alkalmazandó jogszabály, amelyet jogforrási jellegéből fakadóan nem lehet nemzeti jogba átültetni, és önálló kihirdetése sem szükséges. Ennek köszönhetően az MI Rendelet egységes jogi keretet teremt a mesterséges intelligencia szabályozására az Európai Unió egészében.

Magyar szabályozás

Az MI Rendelet az egységes uniós szabályozási keret megteremtésén túl több kötelezettséget is előír a tagállamok számára. Ennek megfelelően a tagállamok – így Magyarország is – megkezdték azon intézményi és jogi keretek kialakítását, amelyek az MI Rendelet rendelkezéseinek hatékony végrehajtását és felügyeletét hivatottak biztosítani.

Az MI Rendelet értelmében az egyes kockázati kategóriákba sorolt MI-rendszerekkel szemben előírt követelmények betartásának felügyelete a tagállamok hatáskörébe tartozó feladat lesz. Ennek értelmében a tagállamoknak kötelezettsége kijelölni egy piacfelügyeleti hatóságot és egy, a műszaki megfelelőség vizsgálatáért felelős bejelentő hatóságot. Továbbá minden tagállamnak létre kell hoznia szabályozói tesztkörnyezeteket a biztonságos és jogszerű MI fejlesztések támogatására.

E követelmények érvényesülésének biztosítása érdekében az Országgyűlés 2025 őszén elfogadta az Európai Unió mesterséges intelligenciáról szóló rendeletének magyarországi végrehajtásáról szóló 2025. évi LXXV. törvényt („MI Törvény”), amely megteremti a hazai hatósági és intézményi struktúra alapjait. Az MI Törvény végrehajtására szolgál továbbá az októberben kihirdetett, az Európai Unió mesterséges intelligenciáról szóló rendeletének magyarországi végrehajtásáról szóló 2025. évi LXXV. törvény végrehajtásáról szóló 344/2025. (X. 31.) Korm. rendelet („MI Korm. Rendelet”), amely részletes szabályokat állapít meg a mesterséges intelligenciával kapcsolatos feladatokat ellátó hatóságok működésére vonatkozóan.

Az MI Törvény alapján a bejelentő hatósági feladatokat egyetlen szerv, az MI bejelentő hatóság látja el. E hatóság feladata azon megfelelőségértékelő szervezetek kijelölése, amelyek a nagy kockázatú MI-rendszerek műszaki megfelelőségét előzetesen vizsgálják és igazolják. Az MI Korm. Rendelet rendelkezései alapján e feladatkörben a Nemzeti Akkreditáló Hatóság jár el.

Az MI Törvény értelmében a piacfelügyeleti feladatokat szintén egyetlen hatóság látja el. A piacfelügyeleti hatóság hatáskörébe tartozik az MI-rendszerek jogszerű alkalmazásának vizsgálata a forgalomba hozatalt követően. A törvény emellett előírja az MI piacfelügyeleti hatóság számára egy MI-szabályozói tesztkörnyezet létrehozását és működtetését 2026 augusztusától, valamint azt is, hogy a hatóság kapcsolattartási pontként járjon el. Az MI Korm. Rendelet rendelkezései alapján e feladatok ellátásáért a nemzetgazdasági miniszter felel.

Az MI Törvény továbbá létrehozza a Magyar Mesterséges Intelligencia Tanácsot, amely koordináló és tanácsadó testületként működik. A Magyar Mesterséges Intelligencia Tanács feladata, hogy iránymutatások és állásfoglalások révén elősegítse az MI Rendelet hazai végrehajtását egységes értelmezését.

Összefoglalás

Összefoglalásképpen megállapítható, hogy az Európai Unió 2024-ben – a világon elsőként – olyan átfogó szabályozási keretrendszert fogadott el, amelynek elsődleges célja az emberközpontú, átlátható és megbízható mesterséges intelligencia elterjedésének előmozdítása, az uniós alapértékek és alapvető jogok védelme, valamint az MI-rendszerekből fakadó kockázatok megfelelő kezelése. Az MI Rendelet kockázatalapú szabályozási koncepciót alkalmaz, amely az egyes MI-rendszerek kockázatához igazodva differenciált előírásokat határoz meg.

Az MI Rendelet közvetlenül alkalmazandó valamennyi tagállamban, ugyanakkor a végrehajtási és felügyeleti feladatok ellátását nemzeti hatáskörbe utalja. Ennek eredményeként Magyarország 2025 őszén megalkotta az MI Rendelet hazai végrehajtását biztosító MI Törvényt és a kapcsolódó MI Korm. Rendeletet.

Fotó forrása: pexels.com, Dušan Cvetanović

Az Európai Unió mesterséges intelligencia szabályozásának alapjai Read More »

Újdonságok az energiaszövetkezetek szabályozásában

fenntarthatóság, Hírek / 2026.02.24. / energiaközösségek, energiaszövetkezetek, fenntarthatóság, szabályozás, Szövetkezeti Törvény

Olvasási idő: 6 perc

A szövetkezetekről szóló 2006. évi X. törvény („Szövetkezeti Törvény”) 2026. január 1. napjától hatályosan kiegészítésre került az energiaszövetkezetekre vonatkozó rendelkezésekkel („Módosítás”). Jelen cikkünk célja, hogy röviden bemutassa a Módosítás hátterét, ismertesse az energiaszövetkezet, mint új jogintézmény fogalmát és alapvető jellemzőit, valamint áttekintést adjon az energiaszövetkezetekre irányadó legfontosabb szabályokról.

A Módosítás háttere

Energiaközösségek jogi alapja és célja

A klímaváltozás kedvezőtlen hatásainak mérséklése és a karbonsemlegesség elérésének előmozdítása érdekében az Európai Unió 2019-ben elfogadta a villamos energia belső piacára vonatkozó közös szabályokról szóló, valamint a 2012/27/EU irányelvet módosító 2019/944/EU irányelvet. Ez az irányelv vezette be a helyi energiaközösségek jogi kereteit az EU-ban.

Az energiaközösség alapvetően energiatermelők és energiafogyasztók önkéntes csoportosulása. Működésének alapja a nyitott és önkéntes részvétel, irányítását pedig a tagok vagy részvényesek gyakorolják, akik természetes személyek, kisvállalkozások vagy helyi hatóságok is lehetnek.

Az uniós szabályozás értelmében az energiaközösségek többféle jogi formában is létrejöhetnek. Működhetnek például egyesületként, szövetkezetként vagy nonprofit gazdasági társaságként.

Az energiaközösség elsődleges célja nem a pénzügyi haszonszerzés, hanem az, hogy tagjai, részvényesei vagy a működési területe számára környezeti, gazdasági és szociális közösségi előnyöket biztosítson. Ezen előnyök megvalósítása többek között az energia előállításán, elosztásán, ellátásán és felhasználásán, továbbá az aggregáláson, az energiatároláson és az energiahatékonyságot javító szolgáltatások nyújtásán keresztül történhet. A közösség tevékenysége kiterjedhet az elektromos járművek töltéséhez kapcsolódó megoldásokra, valamint egyéb, energetikai jellegű szolgáltatások biztosítására is a tagok vagy részvényesek számára.

Energiaközösségek működése a gyakorlatban

Jogosan merül fel a kérdés, hogy egy energiaközösség miként működik a gyakorlatban, és milyen módon képes tényleges előnyöket biztosítani a tagsága számára.

Az energiaközösség leginkább egy kisebb, részben vagy teljesen energetikailag önellátó rendszerként képzelhető el. Az energiaközösségen belül eltérő szerepkörű tagok működnek együtt: vannak kizárólag energiát termelő szereplők, olyanok, akik egyszerre termelnek és fogyasztanak és olyan tagok is, akik kizárólag fogyasztóként vesznek részt a közösségben. Energiatermelőként megjelenhet például egy háztartás saját napelemes rendszere, de ide sorolható egy biogázüzem vagy akár egy szélturbina is. Ezek a termelőegységek jellemzően az energiaközösség közös költségvetéséből, közösségi finanszírozással valósulnak meg.

A rendszer szerves részét képezik az energiatároló megoldások, amelyek lehetővé teszik a megtermelt, de azonnal fel nem használt energia eltárolását. A működés kulcsa az, hogy a termelő-, tároló- és fogyasztóegységek egymással folyamatos kapcsolatban állnak. Ezt egy intelligens irányítási rendszer, az úgynevezett okoshálózat (smart grid) biztosítja, amely nyomon követi a termelést és a fogyasztást, és az energiát mindig a megfelelő helyre irányítja.

Ideális esetben az energiaközösség valamivel több energiát állít elő, mint amennyit a tagjai felhasználnak, így akár teljes mértékben függetlenedhet is a közcélú hálózattól. Amennyiben azonban a termelés és a fogyasztás egyensúlya nem biztosítható – vagyis a közösség túl sok vagy éppen túl kevés energiát termel –, úgy lehetőség van arra, hogy az energiaközösség az egyetemes szolgáltatóval kereskedjen, és így kiegyensúlyozza az energiaigényét.

Összegzésként megállapítható, hogy az Európai Unió az energiaközösségek előmozdításával egymással összefüggő rövid és hosszú távú célokat kíván megvalósítani. Rövid távon az energiaközösségek hozzájárulhatnak az energiaszegénység enyhítéséhez és a helyi közösségek megerősítéséhez. Hosszú távon pedig az Unió célja a megújuló energiaforrások arányának növelése, egy decentralizált és fenntartható energiarendszer kialakítása, valamint a 2050-re kitűzött karbonsemlegességi cél elérése.

Energiaközösségek magyarországi szabályozása, gyakorlati tapasztalatok

Az uniós jogból eredő jogalkotási kötelezettségeinek teljesítése érdekében Magyarország a villamos energiáról szóló 2007. évi LXXXVI. törvény („Vet.”) 2020-ban elfogadott módosításával hozta létre a hazai energiaközösségek működésének jogszabályi kereteit.

A Vet. meghatározása szerint az energiaközösség olyan jogalany, amely egyesület, szövetkezet vagy nonprofit gazdasági társaság formájában működik, és amelynek célja, hogy tagjai, illetve a létesítő okiratban meghatározott működési területen környezeti, gazdasági és szociális előnyöket teremtsen. E cél elérését többek között az energia előállítása – ideértve a megújuló energiaforrások alkalmazását –, elosztása, ellátása és felhasználása, valamint az aggregálás, az energiatárolás és az energiahatékonyságot növelő szolgáltatások biztosítása szolgálja.

Az energiaközösségekkel összefüggésben szükséges kiemelni, hogy a jogállás megszerzéséhez elengedhetetlen a Magyar Energetikai és Közmű-szabályozási Hivatalnál (MEKH) történő nyilvántartásba vétel. Emellett az energiaközösségnek az engedélyköteles tevékenységek – így különösen a villamosenergia-termelés, az energiakereskedelem, az aggregálás vagy az energia megosztása – végzéséhez ugyanúgy meg kell szereznie a vonatkozó hatósági engedélyeket, mint bármely más piaci szereplőnek. A MEKH nyilvántartása alapján Magyarországon jelenleg 17 darab energiaközösség van regisztrálva.

Energiaszövetkezetekre irányadó szabályok a Szövetkezeti Törvényben

Megállapítható tehát, hogy az energiaszövetkezet fogalma már évek óta jelen van a hazai jogrendszerben, mint az energiaközösségek egyik lehetséges jogi formája. Bár a Vet. lehetőséget biztosít energiaszövetkezetek létrehozására, azok részletes és speciális szabályozása mindeddig hiányzott. Ezt a szabályozási hiányt kívánta pótolni a jogalkotó a Módosítással, amelynek eredményeként a Szövetkezeti Törvény egy, az energiaszövetkezetekre vonatkozó önálló fejezettel egészült ki.

A szövetkezetek a tagok vagyoni hozzájárulásával létrehozott olyan jogi személyek, amelyeknek célja a tagok gazdasági és társadalmi szükségleteinek kielégítése. A tagok kötelezettsége elsősorban a vagyoni hozzájárulás teljesítésére, valamint az alapszabályban meghatározott személyes közreműködésre terjed ki. A szövetkezetekre irányadó általános szabályokat a polgári törvénykönyvről szóló 2013. évi V. törvény , valamint a Szövetkezeti Törvény általános rendelkezései tartalmazzák. Fontos kiemelni, hogy ezek az általános szabályok az energiaszövetkezetek esetében is alkalmazandók, a rájuk vonatkozó speciális rendelkezésekkel összhangban.

A Szövetkezeti Törvény alapján az energiaszövetkezet a Vet szerinti energiaközösségek egyik formája, amely szövetkezeti keretek között, a tagok érdekében végez energiával kapcsolatos tevékenységet. Működésének elsődleges célja a tagok gazdasági és szociális helyzetének javítása, miközben környezeti, közösségi és oktatási előnyöket is nyújt, ezáltal közérdeket szolgál.

Az energiaszövetkezet alapításában és későbbi működésében minden olyan természetes vagy jogi személy részt vehet, aki megfelel a jogszabályban előírt feltételeknek. A szabályozás ugyanakkor lehetőséget biztosít arra is, hogy az energiaszövetkezet az alapszabályában a tagság létrejöttét földrajzi vagy műszaki feltételekhez kösse.

Az energiaszövetkezet sajátos céljaira és működésére tekintettel a tagok eltérő mértékben járulhatnak hozzá a közös vagyonhoz, ez azonban nem érinti a tagsági jogok egyenlőségét. A döntéshozatal során minden tag azonos súllyal vesz részt, vagyis minden tagot egy szavazat illet meg. A Szövetkezeti törvény emellett lehetőséget biztosít arra is, hogy a szövetkezetnek olyan tagja is legyen, aki nem köteles személyes közreműködésre, hanem kizárólag vagyoni hozzájárulással támogatja a működést; őt a jogszabály befektető tagnak nevezi.

Az energiaszövetkezet működésének a tagok érdekeivel összhangban, hatékonyan és fenntartható módon kell megvalósulnia. Ennek biztosítása érdekében a Szövetkezeti Törvény kimondja, hogy az alapszabályt érintő kérdésekben a közgyűlés jogosult dönteni, ezáltal garantálva a szövetkezet önrendelkezését. A jogszabály emellett részletesen szabályozza a szövetkezeti és befektetői részesedések átruházásának és bejelentésének rendjét, továbbá elővásárlási jogot biztosít a tagok, valamint magának a szövetkezetnek.

Az energiaszövetkezetek gazdálkodásával kapcsolatban kiemelt jelentőségű szabály, hogy a jogszabály kötelező tartalékképzést ír elő. Ennek keretében a szövetkezet köteles fedezeti alapot létrehozni, amely a keletkező nyereség 10%-át teszi ki. A fedezeti alap célja, hogy biztosítsa az energiaszövetkezet hosszú távú gazdasági működését. A szabályozás előírja egy úgynevezett oktatási és tájékoztatási alap létrehozását is, amely a tagok folyamatos képzésének és ismeretátadásának pénzügyi alapját biztosítja. E célra az előző üzleti év nyereségének legalább 2%-át kell elkülöníteni.

Összegzés

Összességében megállapítható, hogy a Szövetkezeti Törvény módosítása az uniós célkitűzésekhez igazodva teremti meg a szövetkezeti formában működő energiaközösségek működésének jogi kereteit. Az energiaszövetkezetek nonprofit szervezetként, közösségi, környezeti és gazdasági szempontokat érvényesítve kapcsolódhatnak be az energiapiac működésébe, hozzájárulva a fenntarthatóság, az energiahatékonyság és a környezetvédelem érvényesüléséhez. A szabályozás a demokratikus döntéshozatalt, az átlátható működést és a tagi érdekek védelmét helyezi előtérbe, miközben lehetőséget teremt külső befektetők bevonására is.

Fotó forrása: pexels.com, Centre for Ageing Better

Újdonságok az energiaszövetkezetek szabályozásában Read More »

Adat-és információbiztonság: a GDPR és a NIS2 kapcsolata

Adatvédelem, Hírek / 2025.12.18. / Adatvédelem, Adatvédelmi incidens, GDPR, információbiztonság, Kiberbiztonság, NIS 2 Irányelv

Olvasási idő: 6 perc

A digitalizáció és az adatalapú döntéshozatal térnyerése következtében az érzékeny információk száma, és ezáltal a kiberfenyegetések kockázata is megnőtt. Szükségesé vált egy szabályrendszer kialakítása, ami iránymutatást nyújt a technológiai környezet által formált szemlélet, elvárások, és felelősségek kezelésére. Ennek két fő alappillére az Európai Parlament és a Tanács (EU) 2022/2555 irányelvére (2022. december 14.) (általános EU-s kiberbiztonsági irányelv, a továbbiakban: „NIS2 Irányelv”), melyet a hazai szabályozás a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvénnyel („Kiberbiztonsági Törvény”) ültetett át, valamint az Európai Parlament és a Tanács (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről („GDPR”), amely az adatvédelemi megfelelés biztosítását szolgálja.

A NIS2 Irányelv, ennek nyomán a hazai kiberbiztonsági előírások és a GDPR szabályozása más szempontrendszert alkalmaznak, azonban az érintett területek a gyakorlatban gyakran átfedésben vannak, különösen olyan elektronikus információs rendszerek esetében, amelyek személyes adatokat is kezelnek. Emiatt a két szabályrendszer által támasztott követelmények összehangolása elengedhetetlen az érintett vállalatok jogszerű és biztonságos működéshez. A jelen cikk a NIS2 Irányelv és a hazai szabályozás GDPR-ral való kapcsolatát, egymás közti átfedéseit, ütközéseit és azok gyakorlati feloldását mutatja be.

NIS2 és GDPR hatálya: kettős kötelezettségek

A GDPR hatálya valamennyi szervezetre kiterjed, amely adatkezelőnek minősül, azaz a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. A NIS2 hatálya összetett szempontrendszer alapján került meghatározásra, ide tartozhat számos vállalkozás a végzett tevékenysége, valamit a mérete és árbevétele alapján. Így, ha egy entitás mind a NIS2 mind pedig a GDPR hatálya alá tartozik, mindkét rendszer szabályainak párhuzamosan kell megfelelnie. Például egy gyártási ágazatban működő közép-vagy nagyvállalat tevékenysége és mérete alapján a kiberbiztonsági szabályozás hatálya alá tartozhat, a tevékenysége során pedig jellemzően adatkezelőként legalább munkavállalói és beszállítói adatokat kezel, így a GDPR és a NIS2 rendelkezéseit is alkalmazni szükséges.

A gyakorlatban az elektronikus információs rendszerekben többnyire személyes adatokat is kezelnek, mint a HR rendszerek, ügyféladatbázis. Incidens bekövetkezése esetén mind a GDPR, mind a NIS2 szabályrendszere kötelezettséget ír elő a szervezet részére. Adatvédelmi incidens a biztonság olyan sérülése, amely a kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi, a kiberbiztonsági incidens pedig olyan esemény, amely veszélyezteti az elektronikus információs rendszereken tárolt, továbbított vagy kezelt adatok vagy az e rendszerek által kínált vagy azokon keresztül elérhető szolgáltatások rendelkezésre állását, sértetlenségét vagy bizalmasságát. Így, ha egy kiberbiztonsági incidens esetén személyes adat is érintett, például phishing e-mail vagy zsarolóvírus támadás következtében adatvesztés, adatszivárgás történik, az egyúttal adatvédelmi incidenst is megvalósít. Ezért mindkét szabályozás alapján szükséges vizsgálni az incidenskezelésre vonatkozó előírásokat, a feltételek fennállása esetén az illetékes hatóságok felé a szükséges bejelentéseket megtenni. Ennek érdekében célszerű olyan belső eljárásrendet kialakítani, amely mind a két rendszer által megkívánt kötelezettségeket figyelembe veszi.

Az incidensek megfelelő minősítése kiemelten fontos, mivel a különböző incidensfajtákhoz eltérő bejelentési kötelezettségek, tartalmi követelmények és határidők kapcsolódnak. Adatvédelmi incidens esetén a szervezetnek mindenekelőtt azt kell mérlegelnie, hogy az esemény kockázatot jelent-e a természetes személyek jogaira és szabadságaira. Ha ez a kockázat valószínűsíthető, akkor az incidenst 72 órán belül be kell jelenteni a Nemzeti Adatvédelmi és Információszabadság Hatóságnak, magas kockázat valószínűsítése esetén pedig az érintettek tájékoztatása is kötelező. A kiberbiztonsági incidensekre ezzel szemben más eljárási rend vonatkozik: a szervezetnek a tudomásszerzéstől számított 24 órán belül bejelentést kell tennie a rendelkezésre álló adatok alapján, majd 72 órán belül részletes jelentést kell benyújtania, a teljes kivizsgálás lezárását követően pedig legkésőbb 30 napon belül zárójelentést kell eljuttatnia a nemzeti kiberbiztonsági incidenskezelő központ részére. Mivel a GDPR és a kiberbiztonsági szabályok az incidens fogalmát és a kapcsolódó feladatokat is eltérően határozzák meg, előfordulhat olyan helyzet, hogy egy esemény kiberbiztonsági incidensnek minősül ugyan, de nem igényel adatvédelmi incidensbejelentést.

A kettős megfelelés gyakorlati jelentőségét jól mutatja egy olyan közép-vagy nagyvállalat példája, amely „máshova nem sorolt gépgyártás” tevékenységet folytat, így a NIS2 irányelv hatálya alá tartozik. Ha a vállalatot olyan incidens éri, amelynek eredményeként a támadó jogosulatlanul hozzáfér egy olyan szerverhez, amelyen munkavállalók személyes adatai is találhatók, az eseményt nemcsak adatvédelmi szempontból szükséges értékelni, hanem a Kiberbiztonsági Törvény alapján is vizsgálni kell. A jogszabály értelmében minden olyan fenyegetést, incidensközeli helyzetet vagy tényleges incidenst – beleértve az üzemeltetési kiberbiztonsági incidenst –, amely a szervezet működésében vagy szolgáltatásnyújtásában súlyos zavart vagy vagyoni hátrányt okoz, illetve más személyek számára jelentős vagyoni vagy nemvagyoni kárt eredményez, indokolatlan késedelem nélkül, de legkésőbb 24 órán belül be kell jelenteni az illetékes kiberbiztonsági incidenskezelő központnak. Ez a helyzet jól rávilágít arra, hogy a szervezeteknek mindkét jogi követelményrendszernek egyszerre kell megfelelniük, és az incidensek kezelését ennek megfelelően kell kialakítaniuk.

Folyamatok összehangolása dokumentációs és operatív szinten

Amennyiben a szervezet a GDPR és a kiberbiztonsági szabályozás hatálya alá is tartozik, a kettős megfelelés érdekében a két szabályozás által megkövetelt dokumentációs és működési folyamatokat is szükséges összehangolni. A GDPR megköveteli, hogy a szervezet rendelkezzen adatvédelmi szabályzattal, érintettek részére adatkezelési tájékoztatóval, valamint egyes esetekben adatvédelmi hatásvizsgálat lefolytatását is előírja. A kiberbiztonsági szabályok hasonlóképp megkövetelik az információbiztonsági szabályzat megalkotását. Ezeken felül pedig mindkét rendszer megköveteli az incidenskezelési folyamatok szabályozását, valamint az érintett munkatársak képzését, tudatosságnövelését.

A NIS 2 és a GDPR előírásainak betartásáért a szervezet vezetője felel, a szakmai megfelelés biztosításában pedig az adatvédelmi tisztviselő és az elektronikus információs rendszerek biztonságáért felelős szakember játszik meghatározó szerepet. Ahhoz azonban, hogy a szervezet ne párhuzamos, egymástól elszigetelt folyamatokkal dolgozzon, elengedhetetlen az információbiztonsági és adatvédelmi felelősök valódi, napi szintű együttműködése. A két szabályozás követelményeinek összehangolása nem pusztán adminisztratív kérdés: jelentősége abban áll, hogy mindkét terület ugyanazokra az információs rendszerekre, adatfolyamatokra és kockázatokra épül, még ha eltérő szempontok szerint is vizsgálja azokat. Ha a szervezet egységesen, koherens módon alakítja ki folyamatait, akkor elkerülhetők az átfedések, csökkenthetők a hibalehetőségek, és biztosítható, hogy a kiberbiztonsági és adatvédelmi elvárások egyaránt teljesüljenek. Különösen az incidenskezelési folyamatokat érdemes úgy kialakítani, hogy egy esetlegesen bekövetkező esemény során egységes eljárásrend biztosítsa mindkét szabályrendszer szerinti kötelezettségek teljesítését. Ez nemcsak erőforrás-hatékony működést eredményez, hanem erősíti a szervezet jogszabályi megfelelését és a rendszerek biztonságát, miközben növeli az ügyfelek, partnerek és munkavállalók bizalmát is.

A NIS2 és a GDPR eltérő célokat szolgál, és más logikával közelíti meg ugyanazokat az eseményeket. Míg a GDPR elsődleges célja a természetes személyek jogainak és szabadságainak védelme, addig a NIS2 az információs rendszerek biztonságának megerősítésére, a szolgáltatások folytonosságának védelmére és a kiberfenyegetésekkel szembeni ellenállóképesség növelésére fókuszál. Ennek megfelelően a két rendszer mást vár el a szervezetektől: a GDPR az adattakarékosságot és a célhoz kötöttséget hangsúlyozza, míg a NIS2 kifejezetten megköveteli a részletes naplózást, a folyamatos monitorozást és a naplóállományok megőrzését. Ez sok esetben azt eredményezi, hogy a NIS2-nek való megfelelés nagy mennyiségű, technikailag kezelt személyes adat tárolását vonhatja maga után, amelyet adatvédelmi szempontból körültekintően kell kezelni.

A két szabályozás közötti látszólagos ütközések a gyakorlatban összehangolt megközelítéssel oldhatók fel. Az egyik legfontosabb lépés az információbiztonsági kockázatértékelések és a GDPR szerinti adatvédelmi hatásvizsgálatok integrálása, hiszen mindkettő ugyanazokat a rendszereket, adatfolyamatokat és kockázati tényezőket vizsgálja, csak eltérő nézőpontból. Emellett kiemelt jelentőségű a belső szabályzatok olyan módon történő kialakítása, hogy azok egyszerre feleljenek meg a kiberbiztonsági szabályok által előírt kötelező védelmi intézkedéseknek és a GDPR rendelkezéseinek.

A NIS 2 és a GDPR egyaránt megköveteli, hogy a szervezetek megfelelően képezzék mindazokat, akik hozzáférnek az információs rendszerekhez vagy személyes adatokat kezelnek. Érdemes ezért az oktatások stratégiai tervezését és tartalmi elemeit is összehangolni, figyelembe véve a kockázatelemzések eredményeit, a korábbi incidenseket, a jogszabályi változásokat és a szervezet biztonsági szakértőinek szakmai véleményét. A két szabályozási terület közötti valódi összhang nemcsak a jogszabályoknak való megfelelés miatt fontos, hanem a szervezet működésének biztonsága, a kockázatok csökkentése és a belső és külső bizalom megőrzése szempontjából is meghatározó.

Összegzés

A GDPR és a NIS2 irányelv eltérő célt szolgál, de sok ponton találkozik az információbiztonság követelményeiben. A kettős megfelelés ezért gondos összehangolást igényel: a szabályozások előírásainak közös értelmezése és a kapcsolódó eljárások integrálása eredményezheti, hogy egy szervezet egyszerre teljesíti mindkét rendszer elvárásait. A szakmai dokumentációk és működési folyamatok koherens átdolgozása, a belső felelősségi körök egyeztetése, valamint a rendszeres oktatás és auditok összehangolása elősegíti, hogy a GDPR adatvédelmi és a NIS2 kiberbiztonsági céljai egyaránt teljesüljenek. Mindezek betartása erősíti a szervezet információbiztonsági és adatvédelmi rezilienciáját, megfelelve a vonatkozó uniós és nemzeti jogszabályi követelményeknek.

Fotó forrása: pexels.com, Kevin Ku

Adat-és információbiztonság: a GDPR és a NIS2 kapcsolata Read More »

Online megjelenés a GDPR árnyékában – a hozzájáruláson alapuló adatkezelés szabályai

Adatvédelem, Hírek / 2025.12.18. / GDPR, hozzájárulás, marketing cél, newsletter, website

olvasási idő: 5 perc

A társaságoknak a versenyképességük megőrzése érdekében már nem pusztán előny, hanem alapvető elvárás az online jelenlét biztosítása. A honlapok és hírlevelek megkönnyítik az ügyfelekkel való kapcsolattartást, miközben lehetőséget teremtenek arra, hogy a címzettek első kézből értesüljenek a legújabb szolgáltatásokról és ajánlatokról. Ugyanakkor fontos szem előtt tartani, hogy mindez személyes adatok kezelésével is együtt járhat, amely már a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendelete („Általános Adatvédelmi Rendelet”, „GDPR”) hatálya alá tartozik. Ennek értelmében a marketing célú adatkezelésre kizárólag az érintettek kifejezett hozzájárulása alapján van lehetőség, szigorúan a GDPR-ban rögzített követelmények betartásával. Jelen cikkünkben a hozzájáruláson alapuló adatkezeléssel kapcsolatos legfontosabb szabályokat foglaljuk össze.

Mikor kell alkalmazni a GDPR-t?

Ahogy a Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) is kiemeli, egy, a honlapok adatvédelmi beállításairól és a sütikkel kapcsolatos anyagában, a GDPR hatálya alá tartozik a vállalatok nevében eljáró természetes személyek (pl.: munkavállalók, magánszemély ügyfelek) személyes adatainak kezelése. Így például egy ügyfél nevének, telefonszámának, címének, e-mail címének vagy bankszámlájának gyűjtése, rögzítése, tárolása és felhasználása adatkezelésnek minősül. Ebből az is következik, hogy amennyiben egy társaság kizárólag jogi személyekre vonatkozó adatokat kezel, tevékenysége nem esik az Általános Adatvédelmi Rendelet hatálya alá, így az előírásainak való megfelelés sem kötelező számára. Azonban sok esetben a jogi személy kapcsolattartójának adatai (pl. név, személyes e-mailcím, pozíció) nélkülözhetetlenek a kommunikációhoz, amely kapcsán már adatkezelés valósul meg.

Ugyanígy a hírlevélre történő feliratkozás, a célzott megkeresés (másnéven: visszahívás kérése), vagy a weboldalak hatékony működését támogató eszközök – mint a sütik alkalmazása vagy a látogatottság mérése – esetében elengedhetetlen, hogy a vállalat természetes személek adatait kezelje, ezért az ilyen típusú adatkezelések szintén a GDPR hatálya alá fognak esni.

Hozzájárulás mint a személyes adatok kezelésének lehetséges jogalapja

Az adatkezelés alapvető szabálya, hogy érvényes jogalap hiányában a személyes adatok kezelése nem minősül jogszerűnek. Az adatkezelési jogalapok egyik – a marketing célú adatkezelésben leggyakrabban szükséges – típusa az érintett személy hozzájárulása.

Hozzájárulás elemei

A GDPR értelmében a hozzájárulás akkor megfelelő, ha az önkéntes, konkrét, megfelelő tájékoztatáson alapul és egyértelmű kinyilvánítása annak, hogy az érintett a beleegyezését adja az őt érintő személyes adatok kezeléséhez.

Önkéntesség

Hozzájárulás akkor adható szabadon, ha az egyének elutasíthatják és visszavonhatják hozzájárulásukat külső nyomás vagy negatív következmények kockázata nélkül. Így nem lehet önkéntességről beszélni, ha az érintettnek nincs valódi választási lehetősége, hozzájárulásra kényszerítve érzi magát, vagy a hozzájárulás megtagadását az adatkezelő negatív következményekkel sújtja. Ezt erősítette meg az Európai Adatvédelmi Testület („EDPB”) nemrég kiadott állásfoglalása, mely szerint az úgynevezett „pay or consent” (ford.: „fizess vagy hozzájárulsz”) modellek nem felelnek meg az önkéntes hozzájárulás követelményének. Ennek oka, hogy az ilyen modellek lényege abban áll, hogy az érintetteket választás elé állítja: vagy hozzájárulnak személyes adataik kezeléséhez, vagy ellenértéket fizetnek annak érdekében, hogy adataik kezelésére ne kerüljön sor.

Az önkéntességből fakad az a követelmény is, hogy az érintettnek joga van ahhoz is, hogy bármikor visszavonja a hozzájárulását.

Konkrét és megfelelő tájékoztatás

Ahhoz, hogy a hozzájárulás érvényes legyen, az adatkezelés céljának is konkrétnak kell lennie. Ez a feltétel szorosan kapcsolódik a tájékoztatáson alapuló hozzájárulás feltételéhez. Így az egyéneket egyszerű és könnyen érthető nyelvezettel kell tájékoztatni a konkrét célokról, hogy világos elképzelésük legyen arról, hogy milyen célból kezelik adataikat. Ez azt is jelenti, hogy ha az adatkezelési művelet céljai megváltoznak, vagy további adatkezelési műveleteket adnak hozzá, az egyénektől újra be kell szerezni a hozzájárulásukat. Hasonlóképpen, ha egy adatkezelési műveletnek több célja van, mindegyikhez külön-külön hozzájárulással kell rendelkezni az adatkezelés érdekében. A tájékoztatás során fel kell hívni a figyelmét az érintettnek arra is, hogy a hozzájárulását bármikor visszavonhatja.

Egyértelmű hozzájárulás

Az GDPR szerint szükség van az érintett nyilatkozatára vagy a megerősítést félreérthetetlenül kifejező cselekedetre annak érdekében, hogy a hozzájárulás egyértelmű legyen. Ez tulajdonképpen azt jelenti, hogy kizárólag aktív cselekedettel vagy nyilatkozattal lehet megadni a hozzájárulást. Az EDPB álláspontja szerint az általános szerződési feltételek mindenre kiterjedő elfogadása nem minősül megerősítést félreérthetetlenül kifejező cselekedetnek. A GDPR továbbá kifejezetten megtiltja, hogy az adatkezelők előre bejelölt négyzeteket vagy olyan kívülmaradási konstrukciókat ajánljanak, amelyek az érintett beavatkozását igénylik a beleegyezés megakadályozásához (ún. opt-out rendszerek).

A hozzájárulás időtartama, igazolhatósága

Az Általános Adatvédelmi Rendelet nem rendelkezik a hozzájárulás időbeli hatályának korlátozásáról. Ez ugyanakkor nem jelenti azt, hogy az érintett hozzájárulása estében korlátlan ideig van lehetőség a személyes adatok kezelésére. A hozzájárulás időtartama minden esetben az adott adatkezelés kontextusától függ. Az időtartam helyes meghatározása érdekében tehát szükség van az adatkezelés körülményeinek mérlegelésére.

A GDPR ezen kívül kimondja, hogy az adatkezelés során az adatkezelőnek minden esetben képesnek kell lennie arra, hogy a hozzájárulás megtörténtét megfelelően igazolni tudja.

A teljesség igénye nélkül, pusztán utalunk rá, hogy az Általános Adatvédelmi Rendelet a gyermekek hozzájárulásával, illetve a különleges adatokkal kapcsolatban további feltételeket határoz meg, így, ha ún. kitett csoport személyes adatának kezelését tervezi egy vállalat, különös körültekintéssel kell eljárnia.

Összegzés

A cégek online jelenléte – például honlapjaik és hírleveleik révén – elengedhetetlen a versenyképesség megőrzéséhez, ugyanakkor ezek személyes adatok kezelésével is együtt járhatnak, amely a GDPR hatálya esik. A személyes adatok kezelése kizárólag megfelelő jogalapon történhet, amelynek megléte minden esetben elengedhetetlen. A vállalatok számára kulcsfontosságú, hogy a marketingstratégia kidolgozása, bővítése során párhuzamosan kialakítsák és felülvizsgálják az adatkezelési keretrendszerüket, biztosítva ezzel adatkezelési gyakorlatuk GDPR-nak való megfelelőségét.

Fotó forrása: pexels.com, Tara Winstead

Online megjelenés a GDPR árnyékában – a hozzájáruláson alapuló adatkezelés szabályai Read More »

Érintetti jogok és a hozzájárulás fontossága az online tartalomkészítésben

Adatvédelem, Hírek / 2025.12.18. / Adatvédelem, érintetti jogok, hozzájárulás, jogalapok, közösségi média, magáncélú adatkezelés, online tartalomgyártás

Olvasási idő: 4 perc

A digitális platformok fejlődésével ma már bárkiből válhat tartalomgyártó: egy okostelefon, egy jó ötlet és néhány kattintás elég ahhoz, hogy üzeneteink, videóink vagy képeink akár több ezer emberhez is eljussanak. Az online jelenlét azonban nem csupán kreatív lehetőségeket, hanem jelentős jogi és adatvédelmi felelősséget és kockázatot is magában hordoz. A különféle tartalmak, így például posztok és videók megosztása során – különösen, ha azokban felismerhető személyek jelennek meg– személyes adatok kezelése valósul meg.

GDPR alkalmazhatósága általánosságban

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendelete („Általános Adatvédelmi Rendelet”, „GDPR”) kettős célt szolgál: egyrészt a természetes személyek személyes adatainak védelmét biztosítja, másrészt keretet ad az adatok Európai Unión belüli szabad áramlásának. A GDPR részletesen meghatározza, hogy az érintetteket milyen jogok illetik meg, és az adatkezelőket milyen kötelezettségek terhelik.

Ugyanakkor a GDPR-t egyes kivételes esetekben nem kell alkalmazni; ilyen kivétel például, amikor egy magánszemély kizárólag személyes célból kezel adatokat. Ilyennek minősül például a magánlevelezés akár papír alapon, akár elektronikus formában; címek, elérhetőségek tárolása; otthoni jegyzetek, napló; családi fotók; közösségi hálózatokon kapcsolattartás; egyéb online tevékenység. E kivételeket szűken kell értelmezni, és az adatkezelés csak akkor esik a GDPR hatályán kívül, ha az kizárólag magánjellegű célt szolgál, vagyis sem közösségi, sem szakmai, sem gazdasági vonatkozása nincs. Így például, ha az adatot meghatározhatatlan számú személy ismerheti meg vagy az nyilvánosságra kerül, már nem a magáncélú adatkezelés körébe tartozik. Gazdasági társaságok általi adatkezelés esetén pedig nem jöhet szóba a magáncélú használat, ezért bármely online tartalom közzététele, melyben személyes adatok szerepelnek (fénykép, hangfelvétel, más adat), legyen az munkavállaló, vagy bármely természetes személy, mindenképp megfelelő jogi körültekintést igényel.

Online tartalomkészítéssel kapcsolatos adatkezelés

A digitális platformok széles körben lehetővé teszik a felhasználóik részére, hogy fotókat, videókat vagy hangfelvételeket készítsenek és osszanak meg – akár más emberekről is. Felmerülhet a kérdés, hogy ilyen esetekben alkalmazandóak-e az adatvédelmi rendelkezések. Tekintettel arra, hogy a feltöltött felvételek – legyen szó arcról, hangról vagy más, személyhez köthető információról– személyes adatnak minősülnek, és e tartalmak a nyilvánosság számára is hozzáférhetővé válnak, azok kezelésére a GDPR rendelkezései irányadók.

Az adatvédelem egyik alapelve, hogy a személyes adatok kezeléséhez minden esetben szükség van érvényes jogalapra. Amikor egy adatkezelő személyes adatok kezelésével járó tevékenységbe kezd, mindig gondosan mérlegelnie kell, melyik jogalap felel meg leginkább a tervezett adatkezelés céljának. A tartalomgyártással összefüggő adatkezelések leggyakrabban az érintett hozzájárulásán alapulnak.

A hozzájárulás megszerzése kulcskérdés, hiszen más emberről felvételt készíteni és közzétenni csak akkor lehet jogszerűen, ha az érintett előzetesen, kifejezetten és megfelelő tájékoztatás birtokában egyezett bele. A kamera puszta jelenlétének eltűrése vagy egy kérdésre adott válasz önmagában még nem számít érvényes beleegyezésnek. Ez mutatja, hogy az adatvédelem területén milyen szigorúan értelmezett jogalapokra van szükség: a GDPR nem tartalmaz olyan kivételi szabályokat a tömegfelvétel vagy a közszereplés esetére, mint amelyeket a Polgári Törvénykönyvről szóló 2013. évi törvény („Ptk.”) a személyiségi jogoknál ismer. Ez az adatvédelem és más jogszabályok szerinti jogcímek párhuzamos valóságát jelzi, hiszen a Ptk.-nak megfelelő eljárás még megvalósíthat adatvédelmi szabálysértést, tehát eltérő feltételek szükségesek az egyes jogszabályok által megkövetelt jogszerűség biztosításához.

Megfelelés hiánya esetén felmerülő jogkövetkezmények

Az online térben való közzététel, amennyiben hozzájárulás, vagy más megfelelő jogalap nélkül valósul meg, az adatvédelmi előírások megsértését eredményezi. A jogsértő adatkezelésnek súlyos következményei lehetnek: hatósági eljárást és az adatvédelmi bírság kiszabását vonhatja maga után. Ha egy felvétel engedély nélkül készül és annak közzététele jelentős érdeksérelmet okoz, akkor a tevékenység nem csupán adatvédelmi szempontból jogellenes, hanem akár bűncselekményt is megvalósíthat, és megalapozhatja a Ptk. szerinti sérelemdíj-igényt is az eset körülményeitől függően. A felelősség minden esetben a felvétel készítőjét, illetve a tartalom közzétevőjét terheli.

Különösen kockázatos helyzet, ha gyermekekről, egészségügyi ellátásról, politikai véleményekről vagy más érzékeny adatokról készül felvétel. Ha a közzététel az érintett tudta és hozzájárulása nélkül történik, az nem esik a magáncélú kivétel alá, hanem teljes mértékben adatkezelésnek számít a GDPR alapján. Az érintetteknek ilyenkor joguk van tájékoztatást kérni, a hozzájárulásukat visszavonni, a felvételek törlését kérni, és akár jogi útra terelni az ügyet.

Összegzés

Az online térben való jelenlét – különösen vállalati kommunikáció, marketing vagy HR-tartalomgyártás esetén – körültekintő adatvédelmi gyakorlatot igényel. Ami a Ptk. alapján nem jár jogkövetkezménnyel, az adatvédelmi szempontból még jogsértő lehet.

A hozzájárulás tehát nem puszta formalitás, hanem a jogszerű adatkezelés egyik alapfeltétele. A szervezeteknek – akár tartalomkészítők, akár munkáltatók – ajánlott belső eljárásrendet, oktatást vagy szabályzatot kialakítaniuk az online tartalomkészítés adatvédelmi kockázatainak kezelésére.

Az érintetti jogok tiszteletben tartása, a hozzájárulások megfelelő dokumentálása és a GDPR-előírások betartása nemcsak jogi megfelelés kérdése, hanem a vállalati reputáció és bizalom megőrzésének záloga is.

Fotó forrása: pexels.com, Plann

Érintetti jogok és a hozzájárulás fontossága az online tartalomkészítésben Read More »

A NIS2 és a kiberbiztonsági törvény hatálya – érintettség megállapítása a gyakorlatban

Cégcsoportok, cégjog, Hírek / 2025.12.18. / érintettség, hatály, Kiberbiztonság, kiberbiztonsági kötelezettségek, kiberbiztonsági megfelelés, Kiberbiztonsági Törvény, NIS 2 Irányelv

Olvasási idő: 6 perc

A digitalizáció gyors fejlődése új lehetőségeket, de egyúttal új típusú kockázatokat is hozott magával. A vállalatok működésében az elektronikus információs rendszerek megbízhatósága is egyre inkább szerepet játszik, így a kezelt adatok és információk bizalmassága, sértetlensége és rendelkezésre állása alapvető igény. Ennek biztosítására jött létre az Európai Parlament és a Tanács (EU) 2022/2555 irányelve (2022. december 14.) az Unió egész területén egységesen magas szintű kiberbiztonságot biztosító intézkedésekről, valamint a 910/2014/EU rendelet és az (EU) 2018/1972 irányelv módosításáról és az (EU) 2016/1148 irányelv hatályon kívül helyezéséről („NIS 2 Irányelv”) és annak hazai átültetése révén a Magyarország kiberbiztonságáról szóló 2024. évi LXIX. törvény (a továbbiakban: „Kiberbiztonsági Törvény”). E jogszabályok célja az elektronikus információs rendszereket fenyegető kockázatok csökkentése, valamint a kulcsfontosságú ágazatokban – például az energia, egészségügy, közlekedés, digitális infrastruktúra vagy gyártás területén – a szolgáltatások folyamatosságának biztosítása. Az egyes vállalatok tevékenységétől, méretétől, szerepétől függően a szabályozás eltérő kötelezettségeket határoz meg, így az adott szervezetnek kell megállapítana, hogy a Kiberbiztonsági Törvény hatálya alá tartozik-e és mely rá vonatkozó konkrét előírásokat kell betartania. Jelen cikkben bemutatjuk az önazonosítás szempontjait, amelyek segítenek a NIS2 Irányelvnek és a Kiberbiztonsági Törvénynek való megfelelésben.

Kire vonatkozik a Kiberbiztonsági Törvény?

A Kiberbiztonsági Törvény számos ágazatra és tevékenységi körre kiterjed. A Kiberbiztonsági Törvényt alkalmazni kell a közigazgatási ágazathoz tartozó kijelölt szervezetekre, bizonyos állami befolyás alatt álló gazdálkodókra, honvédelmi vonatkozású szervezetekre; ezeket azonban a jelen cikk nem részletezi. E felsorolt eseteken kívül számos vállalkozás lehet érintett; esetükben a végzett tevékenységeket, valamit a szervezet méretét és árbevételét szükséges megvizsgálni.

Önmagában a tevékenység alapján:

Mérettől függetlenül a Kiberbiztonsági Törvény hatálya alá tartoznak azok a szervezetek, amelyek elektronikus hírközlési szolgáltató, bizalmi szolgáltató, DNS-szolgáltató, legfelső szintű doménnév-nyilvántartó vagy doménnév-regisztrációt végző szolgáltató tevékenységet végeznek.

Ezek a szolgáltatók a nyilvántartásukat vezető hatóságok által azonosíthatóak, így a Kiberbiztonsági Törvény hatálya alá tartoznak az elektronikus hírközlési szolgáltatók és bizalmi szolgáltatók, akik a Nemzeti Média- és Hírközlési Hatóság (NMHH) nyilvántartásában szerepelnek, a DNS-szolgáltatást nyújtó szolgáltatók, a legfelső szintű doménnév-nyilvántartó (Magyarországon jelenleg az ISZT Nonprofit Kft. az egyetlen ilyen szervezet), valamint a doménnév-regisztrációt végző szolgáltatók, akik az ISZT által üzemeltetett domain.hu oldalon elérhető regisztrátorok).

Tevékenység és méret alapján:

A Kiberbiztonsági Törvény a középvállalkozásokra, illetve az ennél nagyobb szervezetekre terjed ki, azaz azokra a vállalatokra, amelyek több mint 50 főt foglalkoztatnak, és éves nettó árbevételük vagy mérlegfőösszegük meghaladja a 10 millió eurónak megfelelő forintösszeget és a Kiberbiztonsági Törvényben meghatározott tevékenységet végeznek. A méretbeli kritériumot teljesítő szervezetek közül így azok érintettek, akik kiemelten kockázatos ágazatokban működnek, például egészségügy, hírközlési szolgáltatások, digitális infrastruktúra (pl. felhőszolgáltatók, adatközponti szolgáltatók), valamint a kockázatos ágazatban működő szolgáltatók és szervezetek, akik például élelmiszer-előállítás, -feldolgozás és -forgalmazással, számítógép-, elektronikai és optikai termékek gyártásával, gép- és gépi berendezésgyártásával foglalkoznak.

Tevékenység vizsgálata, megállapítása

Amennyiben tehát a szervezet nem olyan tevékenységet végez, amely esetén a méretétől függetlenül a Kiberbiztonsági Törvény hatálya alá tartozik, a szervezet méretét és tevékenységét kell együttesen figyelembe venni. Ha a méretkorlát teljesül, vizsgálni kell a kiemelten kockázatos ágazatba vagy kockázatos ágazatba tartozást megalapozó tevékenységeket, ezek megállapítása azonban a gyakorlatban nem mindig egyszerű.

A vizsgálandó ágazat, illetve tevékenység és ezáltal az érintettség az engedélyköteles tevékenységek esetén a társhatóságoknál vezetett nyilvántartások alapján (például a közlekedési ágazat esetén az Építési és Közlekedési Minisztérium mint közlekedési hatóság, az élelmiszeripar ágazatba tartozó tevékenységek esetén a Nemzeti Élelmiszerlánc-biztonsági Hivatal, a gyógyszeripar, egészségügyi szolgáltatók esetén a Nemzeti Népegészségügyi és Gyógyszerészeti Központ, az elektronikus hírközlési, bizalmi és postai szolgáltatók esetén pedig a Nemzeti Média- és Hírközlési Hatóság által vezetett nyilvántartás) állapítható meg.

Egyéb esetekben, főként a gyártás ágazatban, a TEÁOR kód vagy egyéb szám alapján azonosítható a tevékenység, amely a Kiberbiztonsági Törvény hatályát megalapozza.

A TEÁOR kódok alapján többnyire egyértelműen megállapítható a Kiberbiztonsági Törvény hatálya alá tartozás, például:

elektronikai alkatrész gyártása, vagy mérőműszergyártás esetén, melyek számítógép, elektronikai, optikai termék gyártása ágazatba tartoznak,

háztartási villamos készülék gyártás tevékenységet végző gazdálkodó szervezet, amely a villamos berendezés gyártása ágazatba tartozik,

motor, turbina gyártása, egyéb speciális gép gyártása, amely a gép, gépi berendezés gyártása ágazatba tartozik,

gépjárműalkatrész és -tartozék gyártása, amely a közúti jármű gyártása ágazatba tartozik.

Az azonosítást ugyanakkor befolyásolhatják az egyes ágazathoz tartozás értelmezésében a ténylegesen végzett tevékenységek. Például információtechnológiai szaktanácsadással és számítástechnikai eszközök, rendszerek üzemeltetésével foglalkozó vállalkozás minősülhet akár felhőszolgáltatónak is a végzett tevékenységek alapján, amely megalapozhatja az érintettségét.

Továbbá nehézséget okozhat az érintettség megállapításában az egyes tevékenységek jogszabályi fogalmának értelmezése, gyakorlati megfeleltetése, például műanyag csomagolóeszköz gyártásával, műanyag termék gyártásával foglalkozó gazdálkodó szervezet esetében sem teljesen egyértelmű a megítélés. A Kiberbiztonsági Törvény szerint ugyanis kockázatos ágazatba tartozik az a szervezet, amely az élelmiszer (i) előállítása, (ii) feldolgozása és (iii) forgalmazása ágazaton belül élelmiszer-vállalkozásnak minősül, és nagykereskedelemi tevékenységgel, ipari termeléssel és feldolgozással foglalkozik. E kritériumok esetén több fogalom tisztázásának szükségessége is felmerül, nevezetesen, hogy az ilyen gyártó szervezet élelmiszer-vállalkozásnak minősül-e és a ténylegesen végzett tevékenység az élelmiszerek termelésének, feldolgozásának vagy forgalmazásának bármely szakaszával összefüggő tevékenységnek minősülnek-e.

Az önazonosítás korlátjai és kockázatai, javasolt lépések

Látható, hogy az önazonosítás nem minden esetben egyértelmű, a puszta TEÁOR-kód nem feltétlenül tükrözi pontosan a vállalkozás tényleges tevékenységét. Emiatt könnyen előfordulhat, hogy egy szervezet tévesen kerül besorolásra a Kiberbiztonsági Törvény hatálya alá. A magyar gyakorlatban nem ritka, hogy a cégek olyan TEÁOR-kódokat tartanak nyilván, amelyek már nem felelnek meg a valós tevékenységüknek. Ilyen esetben a hatóság a nyilvántartás alapján mégis NIS2-érintettként értékelheti a céget, ami felesleges megfelelési kötelezettségeket és adminisztratív terheket vonhat maga után.

A hibás vagy hiányos önazonosítás nemcsak félreértésekhez vezethet, hanem bírságot és utólagos kötelezéseket is eredményezhet. Éppen ezért kulcsfontosságú, hogy a vállalkozások rendszeresen felülvizsgálják a tevékenységi köreiket, és csak azokat a TEÁOR-kódokat tartsák nyilván, amelyek a ténylegesen végzett tevékenységeket tükrözik.

Összegzés

Az önazonosítás helyes elvégzése nemcsak jogszabályi kötelezettség, hanem a vállalkozás saját érdeke is. A pontatlan vagy felesleges TEÁOR-kódok megtartása téves hatósági értelmezést és szankciót eredményezhet. A helyes önazonosítás és a tevékenységi körök tudatos kezelése nem pusztán adminisztratív kötelezettség, hanem üzleti biztonsági kérdés is: aki időben és tudatosan jár el, nemcsak a szankciókat kerülheti el, hanem akár versenyelőnyre is szert tehet a megbízhatóság és megfelelés révén.

Fotó forrása: Markus Spiske

A NIS2 és a kiberbiztonsági törvény hatálya – érintettség megállapítása a gyakorlatban Read More »

Az európai üzemi tanácsok lényege és működése

Általános tudnivalók a vállalatcsoportok szabályozásáról

Munkavédelmi szabályok év eleji változása

Az Európai Unió mesterséges intelligencia szabályozásának alapjai

Újdonságok az energiaszövetkezetek szabályozásában

Érintetti jogok és a hozzájárulás fontossága az online tartalomkészítésben

A NIS2 és a kiberbiztonsági törvény hatálya – érintettség megállapítása a gyakorlatban

Elérhetőségek

Szakterületek

Aktualitások