Szerző: Dr. Ivanics Krisztina
Az Adatvédelmi Hatóság Info törvény szerinti joga az adatvédelmi tisztviselők konferenciájának megszervezése a hozzá bejelentett tisztviselők számára. A bejelentett személyek száma alapján a hatóság arra a következtetésre jutott, hogy nem fizikai, hanem „virtuális” konferenciát tart. Ez úgy valósult meg, hogy kiküldtek egy kérdőívet a tisztviselőknek, akik kérdéseket tehettek fel és a hatóság által összeállított kérdésekre válaszolhattak. Ezek alapján a hatóság csoportosította a témákat és 2019. december 24-én közzé tett több, mint két órányi oktató videó anyagot egyes, lejjebb részletezett témákat illetően és csaknem 20 oldalnyi írásos dokumentumot egyéb témákban.
Egyedülálló a NAIH kezdeményezése, mert más uniós hatóság eddig nem tett közzé hasonló szakmai anyagokat. Hiánypótló is, mert a hatóság eddig alig tett eleget a jogkövető közönséget formáló, adatvédelmi tudatosságot fejlesztő feladatának. A közzé tett információk legfőbb érdekessége abból adódik, hogy a NAIH 2018. szeptember óta elzárkózik attól, hogy a GDPR értelmezését illetően állásfoglalást adjon ki. Vagyis a GDPR, az Infotörvény, a Working Party iránymutatások ismétlését vállalta eddig csupán, önálló értelmezések, elvárások megfogalmazását nem. A most közzétett anyagok azonban számos ponton túllépnek ezeken a korábbi kereteken, ezért érdemes megnézni őket és „kihallani” a hatóság véleményét megjelenítő gondolatokat.
Az oktató videók alaptémákat érintenek elsősorban, mindazt, amit a hatóság első kommunikációjában a legfontosabbnak ítélt megjeleníteni. Ez a metodika egyrészt segíti az adatkezelők, adatfeldolgozók tudatosságának fokozatos fejlesztését, másrészt teret hagy a következő évek értelmezési, alkalmazási gyakorlatának fejlesztésére. Ugyanakkor azt is üzeni, hogy amit a hatóság üzen, azt komolyan gondolja, ezért a videókban elhangzottak és a lejjebb külön is kiemelt gondolatok célzottan segíthetnek abban, hogy pontosan azonosíthassuk az esetleg még meglévő hiányosságainkat vagy nem teljesen jogszerű megoldásainkat.
Az biztosan látszik a hatóság gyakorlatából, hogy az adatkezelők működését folyamatában vizsgálja és nem kizárólag az vizsgálatkor fennálló állapotot. Ennek elsődleges indoka a jogsértés mértéke, tartama, következményei feltárásának kötelezettségéből fakad, de a tényállás pontos feltárása is csak így lehetséges.
Tudom, hogy az adatvédelem nem egy hálás, könnyű téma, de szeretnék mindenkit arra biztatni, hogy folytassuk a megkezdett munkát és tegyük helyre a még hiányzó elemeket vagy kövessük le a változásokat vagy tegyük a jogszabályoknak megfelelő mindazt, amit eddig nem sikerült.
Aki bővebben szeretne elmélyülni a témában megteheti itt https://naih.hu/dpo-konferencia-2019.html
A közzé tett információk közül kiemelek néhány fontos, általános érvényű megállapítást:
1. Az üzleti partner üzleti személyes adata is védendő személyes adat.
2. Ha adattörlést kér az érintett magánszemély és a GDPR 17. cikk (1) alapján fennállnak a törlés feltételei, akkor a biztonsági mentésekből is törölni kell az adott adatot ésszerű időn belül. Ha erre az IT rendszer nem képes, akkor az adattörlés nem teljesítésén túl a privacy by design elv is sérül, mert a rendszert eleve úgy kellett volna tervezni, hogy ez megvalósítható egyen. Általános elvárás, hogy a biztonsági mentések tárolási tartama limitált legyen.
3. Érintett magánszemélytől beérkező panaszt annak tartalma szerint kell elbírálni és nem elnevezése alapján, ezért ha az érintett a GDPR-ban számára biztosított jogokkal kíván élni, akkor a GDPR szabályai szerint kell eljárni. Ha van adatvédelmi tisztviselő, akkor számára kell továbbítani a panaszt, a kezelés tekintetében ő járjon el.
4. Online szolgáltatók, webáruházak felé elvárás, hogy az adatkezelésre vonatkozó tájékoztató dokumentum könnyen elérhető legyen akár külön menüponton keresztül vagy linkelés útján. További elvárás, bár ez nem feltétlenül könnyen megoldható, hogy adott adatkezelésnél elhelyezett link a releváns tájékoztatásra mutasson, pl. hírlevél feliratkozás esetén a hírlevél küldést illető adatkezelésre vonatkozó tájékoztatásra.
5. Jogszabályban meghatározott jogi kötelezettség előírásának teljesítése számos esetben járhat személyes adatok kezelésével. Ha a jogalkotó – Info tv. ellenesen – nem határozza meg az adatkezelés körülményeit, akkor a jogi kötelezettség teljesítésére kötelezett adatkezelőnek a teljesítéssel járó adatkezelését az alapelvek figyelembe vételével az elszámoltathatóságra is tekintettel kell folytatnia. Vagyis az adatkezelő feladata a szükségesség-arányosság mérce alkalmazása akkor, amikor egy jogszabályban előírt kötelezettség teljesítésével járó adatkezelés részleteit meghatározza. Ugyanígy az adatkezelőnek kell az adatminimalizálás elve alapján a ténylegesen kezelt adatok körét meghatároznia és az adatbiztonsági paramétereket beállítania dokumentált formában.
Ha a jogszabály csak lehetőséget biztosít adatkezelésre (ilyenek pl. a Ptk. engedményezésre vonatkozó rendelkezései), az adatkezelő a jogos érdek jogalapot használva tud élni a jogszabály adta lehetőséggel és jogszerű adatkezelés folytatni.
6. Adatkezelési szabályzat nem kötelező. Akkor kell elkészíteni valamit, ha az indokolt (GDPR 24. cikk). A GDPR se nem nevesíti, sem nem határozza meg azt a dokumentum-rendszert, amely a jogszabályi megfelelést tudja biztosítani és igazolni. Munkáltatói utasítás, folyamatábra, biztonsági szabályzat, stb. is elképzelhető megfelelő dokumentációként.
7. Céges autóban alkalmazott helymeghatározó eszköz használata jogos érdeken alapulhat a munkáltatói érdekek pontos mérlegelését és szabályozását követően akkor, hogy a munkavállaló egyértelmű tájékoztatást kap a folytatott adatgyűjtésről (akár úgy, hogy a tájékoztatás az autóban van elhelyezve).
8. Különleges adatok kezeléséhez jogalap szükséges a GDPR 6. és a 9. cikkéből is. Kizárólag az egyik vagy a másik cikkben található jogalap alkalmazása nem elégséges. Az írásbeli hozzájárulás kielégíti mindkét cikket, így az jó megoldás, azonban sajnos nem mindig alkalmazható.
9. Munkáltató továbbra is csak olyan dokumentumokról készíthet másolatot, amelyben szereplő adatok kezelésére rendelkezik jogalappal. Egyéb esetekben a folyamatok gyorsítása, optimalizálása érdekében nem lehet másolatot készíteni pl. a személyi okmányokról.
10. A weboldalakon, applikációkban alkalmazott cookie-k vagy más hasonló technológiák esetében a működéshez szükséges eszközön túl semmilyen más (marketing, kényelmi, statisztikai sem) nem alkalmazható hozzájárulás nélkül.
Tehát nem jó megoldás, ha
a. az oldalon csak tájékoztatás szerepel a cookie-k alkalmazásáról, vagy
b. nem kell elfogadni a cookie-kat, mert az oldal további használata elfogadásnak minősül,
c. ha csak az „elfogadom” vagy hasonló megjelölés szerepel, de az „elutasítom” nem vagy
d. az összes cookie-t egyszerre lehet elfogadni.
A NAIH által közzétett anyag nem tér ki a cookie tájékoztatás tartalmára, de a más tagállamok hatóságai által követett gyakorlat alapján elmondható, hogy az elvárt adatok köre kiterjed a cookie nevére/típusára, üzemeltetőjére (first party vagy third party), az adatkezelés céljára, a cookie élettartamára és a törlési lehetőségre.
11. A törlési kötelezettség teljesítésének igazolására (azt kell bizonyítanunk, hogy az adatot már nem kezeljük, mert töröltük) javasolt módszer a törlésre vonatkozó logfile-k vagy egyéb objektív bizonyítékok benyújtása, vagy a törvényes képviselő nyilatkozata. Természetesen a törlési jegyzőkönyv bemutatása is az elfogadható megoldások közé tartozik.
12. A KKV mentessége az első alkalommal kiszabható bírság alól városi legenda, nem GDPR kompatibilis eljárás, ezért ezt a NAIH nem alkalmazza. Az uniós bírságolási gyakorlat fogja tovább formálni a bírságok mértékét Magyarországon is, ami értelmezésem szerint inkább a bírságösszegek emelkedését vetíti előre látva.
13. A hatóság névtelen bejelentés, panasz, sajtócikk alapján is indíthat eljárást pl. incidens kivizsgálása érdekében. Természetesen a névvel benyújtott bejelentések, panaszok is elbírálásra kerülnek. A hatóság pillanatnyilag tetemes ügyszámmal dolgozik, de érezhető a hátralékok ledolgozása és az egyre gyorsuló eljárás.
14. A hatóság Uniós projekt keretében kkvhotline@naih.hu e-mail címet tartott fenn, amelyre a KKV-któl érkező kérdéseket megválaszolta a GDPR értelmezésről vagy helyes alkalmazásával kapcsolatban. A kkv hotline elérhetősége 2020. március 15-t követően sajnos megszűnt, ezért a Hatóság azt kéri, hogy erre az elérhetőségre ne küldjenek további kérdéseket.
15. A munkahelyi eseményen készülő fotó munkahely honlapján történő megosztása kivételesen alapulhat hozzájáruláson, ha biztosan nincs semmilyen hátrányos következménye az érintett munkavállaló számára. Egyéb esetekben a jogos érdek lehet a jogalap az érdekmérlegelési teszt előnyei és korlátai között. A hatóság hangsúlyozza, hogy külön-külön kell hozzájárulás fotó készítéshez és a közzétételhez is.
(Folytatása következik.)
A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.
Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.
Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.
Szakértői blog