Adatvédelem

Szerző: Dr. Ivanics Krisztina

Az egyes videók általam fontosnak tartott néhány gondolata:

1. Köszöntő és a bírságkiszabás szempontjai (Dr. Péterfalvi Attila)

A bírósági jogorvoslat keretében anyagi jogi kérdésben nem változtat a bíróság, de a bírság kiszabás szempontjainak, a bírság összegének nem megfelelőn indokoltságát kifogásolják egyes ügyekben.

A bírságkiszabás alkalmazott szempontrendszer:
1. Szükség van-e bírság kiszabására?
2. Mi a felső határ?
3. Konkrét összeg milyen szempontok alapján állapítható meg (GDPR 82. cikk összes szempontját figyelembe kell venni)?

a. szándékosság – gondatlanság
b. kárenyhítési kötelezettség teljesítése
c. előélet: elkövette-e korábban is a jogsértést?
d. együttműködik-e hatósággal?

Kárenyhítési kötelezettség teljesítése (WP253): az adatkezelő kellő időben intézkedett a további jogsértés megszüntetése vagy annak megakadályozása érdekében, hogy a jogsértés olyan szinten érjen el vagy olyan fázisba lépjen, amely sokkal súlyosabb következményekkel járt volna, mint amelyek bekövetkeztek.
Biztosan bírság kiszabással jár, ha az adatvédelmi incidens határidőben nem lett bejelentve és az adatkezelő nem működik együtt a hatósággal (pl. szerinte nem történt incidens).
2019. november 25-ig csaknem 90M forint bírság folyt be.

2. A jogos érdeken alapuló adatkezelés és az érdekmérlegelés (Dr. Péterfalvi Attila)

A GDPR preambulum 47-49 pontjai nevesítik a jogos érdek jogalap egyes eseteit:
– vállaltcsoporton belül belső adminisztratív célból történő adattovábbítás,
– hálózati és informatikai biztonság garantálásához feltétlenül szükséges és arányos adatkezelés,
– közvetlen üzletszerzés – erről viszont nem hangzik el több (azért érdekes, mert ellentmondás van a preambulum és a reklámtörvény között).

Az érdekmérlegelési teszt szempontrendszere nevesítve (minden egyes adat tekintetében):
– szükségesség (van-e más módszer),
– jogos érdek meghatározása, igazolása,
– adatkezelés körülményeinek kidolgozása,
– érintett érdekének vizsgálata,
– arányosság (garanciák).

A hatóság eddig kevés jó (kamerás) érdekmérlegelési teszttel találkozott. A 2018-as beszámoló 37. oldalán van egy részletes leírás!

Ha az adatkezelő helytelenül választja meg a jogalapot (pl. hozzájárulás jogos érdek helyett), akkor nem készül érdekmérlegelési tesz és nem megfelelő lesz a tájékoztatás. Pl. követeléskezelések esetén a Ptk. engedményezésre vonatkozó előírása megadja a jogalapot, de a részletek tekintetében érdekmérlegelési teszt elkészítése kötelező. Ha törvény teszi lehetővé az adatkezelést – mint az engedményezésnél is -, azt a hatóság ab ovo figyelembe veszi, mert a Ptk. a hatóságot is köti. Ennek megfelelően hozzájárulás jogalap alkalmazása esetén jogos érdek helyett a hatóság szankcionálja a rossz jogalapot és a nem megfelelő tájékoztatást, de nem rendeli el az adatok törlését.

Előfordulhat olyan eset, amikor az adatkezelő megfelelő jogalap mentén jár el, de nem jelölte meg a tájékoztatásban és/vagy a tájékoztatás nem annak megfelelően készült. Ekkor a tájékoztatás hiányossága kerül csak szankcionálásra.

3. Az adatvédelmi tisztviselő kijelöléséhez kapcsolódó feladatok és a konferencia kapcsán készült felmérés eredményei (Dr. Kiss Attila)

A hatóság vélelmezi, hogy valószínűleg sok adatkezelő nem tett eleget adatvédelmi tisztviselő kijelölési és bejelentési kötelezettségének. A bejelentés a NAIH felé kizárólag online módon lehetséges és a tisztviselő általi megerősítést követően érvényes a bejelentés. Az adatkezelési tájékoztatójában is közzé kell tenni a tisztviselő GDPR-ban előírt adatait. Ha közös adatvédelmi tisztviselője van pl. egy cégcsoportnak, akkor a tisztviselőt minden egyes adatkezelőnek be kell jelentenie. Funkcionális e-mail cím megfelelő (dpo@cégnév.hu) a közvetlen elérhetőség biztosítására, azonban a központi e-mail cím vagy ügyfélszolgálati elérhetőség nem megfelelő. Az adatkezelőnek biztosítania kell a megfelelő helyettesítési rendet is.

Ha cég jár el a DPO-ként, akkor ki kell jelölni a konkrét, személyes felelőst.

A kérdőívben szereplő kérdésekre adott válaszok alapján azt érzékelte a hatóság, hogy alulképzettek a DPO-k, nem olvassák a hatóság határozatait, beszámolóit, nem ismerik a magyar vagy EU-s fejleményeket, a EDPB iránymutatásait (külön említik a hiánylistán az eddig csak angolul létező dokumentumok nem ismeretét), valamint nem megfelelően látják el a feladatukat pl. belső ellenőrzési terv nem készült, nem folytattak belső auditot. Arra nem történt utalás, hogy ebben a tekintetben kíván-e a hatóság eljárást indítani vagy szankcionálni.

(Folytatása következik.)

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Szerző: Dr. Ivanics Krisztina

Az Adatvédelmi Hatóság Info törvény szerinti joga az adatvédelmi tisztviselők konferenciájának megszervezése a hozzá bejelentett tisztviselők számára. A bejelentett személyek száma alapján a hatóság arra a következtetésre jutott, hogy nem fizikai, hanem „virtuális” konferenciát tart. Ez úgy valósult meg, hogy kiküldtek egy kérdőívet a tisztviselőknek, akik kérdéseket tehettek fel és a hatóság által összeállított kérdésekre válaszolhattak. Ezek alapján a hatóság csoportosította a témákat és 2019. december 24-én közzé tett több, mint két órányi oktató videó anyagot egyes, lejjebb részletezett témákat illetően és csaknem 20 oldalnyi írásos dokumentumot egyéb témákban.

Egyedülálló a NAIH kezdeményezése, mert más uniós hatóság eddig nem tett közzé hasonló szakmai anyagokat. Hiánypótló is, mert a hatóság eddig alig tett eleget a jogkövető közönséget formáló, adatvédelmi tudatosságot fejlesztő feladatának. A közzé tett információk legfőbb érdekessége abból adódik, hogy a NAIH 2018. szeptember óta elzárkózik attól, hogy a GDPR értelmezését illetően állásfoglalást adjon ki. Vagyis a GDPR, az Infotörvény, a Working Party iránymutatások ismétlését vállalta eddig csupán, önálló értelmezések, elvárások megfogalmazását nem. A most közzétett anyagok azonban számos ponton túllépnek ezeken a korábbi kereteken, ezért érdemes megnézni őket és „kihallani” a hatóság véleményét megjelenítő gondolatokat.

Az oktató videók alaptémákat érintenek elsősorban, mindazt, amit a hatóság első kommunikációjában a legfontosabbnak ítélt megjeleníteni. Ez a metodika egyrészt segíti az adatkezelők, adatfeldolgozók tudatosságának fokozatos fejlesztését, másrészt teret hagy a következő évek értelmezési, alkalmazási gyakorlatának fejlesztésére. Ugyanakkor azt is üzeni, hogy amit a hatóság üzen, azt komolyan gondolja, ezért a videókban elhangzottak és a lejjebb külön is kiemelt gondolatok célzottan segíthetnek abban, hogy pontosan azonosíthassuk az esetleg még meglévő hiányosságainkat vagy nem teljesen jogszerű megoldásainkat.

Az biztosan látszik a hatóság gyakorlatából, hogy az adatkezelők működését folyamatában vizsgálja és nem kizárólag az vizsgálatkor fennálló állapotot. Ennek elsődleges indoka a jogsértés mértéke, tartama, következményei feltárásának kötelezettségéből fakad, de a tényállás pontos feltárása is csak így lehetséges.

Tudom, hogy az adatvédelem nem egy hálás, könnyű téma, de szeretnék mindenkit arra biztatni, hogy folytassuk a megkezdett munkát és tegyük helyre a még hiányzó elemeket vagy kövessük le a változásokat vagy tegyük a jogszabályoknak megfelelő mindazt, amit eddig nem sikerült.

Aki bővebben szeretne elmélyülni a témában megteheti itt https://naih.hu/dpo-konferencia-2019.html

A közzé tett információk közül kiemelek néhány fontos, általános érvényű megállapítást:

1. Az üzleti partner üzleti személyes adata is védendő személyes adat.

2. Ha adattörlést kér az érintett magánszemély és a GDPR 17. cikk (1) alapján fennállnak a törlés feltételei, akkor a biztonsági mentésekből is törölni kell az adott adatot ésszerű időn belül. Ha erre az IT rendszer nem képes, akkor az adattörlés nem teljesítésén túl a privacy by design elv is sérül, mert a rendszert eleve úgy kellett volna tervezni, hogy ez megvalósítható egyen. Általános elvárás, hogy a biztonsági mentések tárolási tartama limitált legyen.

3. Érintett magánszemélytől beérkező panaszt annak tartalma szerint kell elbírálni és nem elnevezése alapján, ezért ha az érintett a GDPR-ban számára biztosított jogokkal kíván élni, akkor a GDPR szabályai szerint kell eljárni. Ha van adatvédelmi tisztviselő, akkor számára kell továbbítani a panaszt, a kezelés tekintetében ő járjon el.

4. Online szolgáltatók, webáruházak felé elvárás, hogy az adatkezelésre vonatkozó tájékoztató dokumentum könnyen elérhető legyen akár külön menüponton keresztül vagy linkelés útján. További elvárás, bár ez nem feltétlenül könnyen megoldható, hogy adott adatkezelésnél elhelyezett link a releváns tájékoztatásra mutasson, pl. hírlevél feliratkozás esetén a hírlevél küldést illető adatkezelésre vonatkozó tájékoztatásra.

5. Jogszabályban meghatározott jogi kötelezettség előírásának teljesítése számos esetben járhat személyes adatok kezelésével. Ha a jogalkotó – Info tv. ellenesen – nem határozza meg az adatkezelés körülményeit, akkor a jogi kötelezettség teljesítésére kötelezett adatkezelőnek a teljesítéssel járó adatkezelését az alapelvek figyelembe vételével az elszámoltathatóságra is tekintettel kell folytatnia. Vagyis az adatkezelő feladata a szükségesség-arányosság mérce alkalmazása akkor, amikor egy jogszabályban előírt kötelezettség teljesítésével járó adatkezelés részleteit meghatározza. Ugyanígy az adatkezelőnek kell az adatminimalizálás elve alapján a ténylegesen kezelt adatok körét meghatároznia és az adatbiztonsági paramétereket beállítania dokumentált formában.

Ha a jogszabály csak lehetőséget biztosít adatkezelésre (ilyenek pl. a Ptk. engedményezésre vonatkozó rendelkezései), az adatkezelő a jogos érdek jogalapot használva tud élni a jogszabály adta lehetőséggel és jogszerű adatkezelés folytatni.

6. Adatkezelési szabályzat nem kötelező. Akkor kell elkészíteni valamit, ha az indokolt (GDPR 24. cikk). A GDPR se nem nevesíti, sem nem határozza meg azt a dokumentum-rendszert, amely a jogszabályi megfelelést tudja biztosítani és igazolni. Munkáltatói utasítás, folyamatábra, biztonsági szabályzat, stb. is elképzelhető megfelelő dokumentációként.

7. Céges autóban alkalmazott helymeghatározó eszköz használata jogos érdeken alapulhat a munkáltatói érdekek pontos mérlegelését és szabályozását követően akkor, hogy a munkavállaló egyértelmű tájékoztatást kap a folytatott adatgyűjtésről (akár úgy, hogy a tájékoztatás az autóban van elhelyezve).

8. Különleges adatok kezeléséhez jogalap szükséges a GDPR 6. és a 9. cikkéből is. Kizárólag az egyik vagy a másik cikkben található jogalap alkalmazása nem elégséges. Az írásbeli hozzájárulás kielégíti mindkét cikket, így az jó megoldás, azonban sajnos nem mindig alkalmazható.

9. Munkáltató továbbra is csak olyan dokumentumokról készíthet másolatot, amelyben szereplő adatok kezelésére rendelkezik jogalappal. Egyéb esetekben a folyamatok gyorsítása, optimalizálása érdekében nem lehet másolatot készíteni pl. a személyi okmányokról.

10. A weboldalakon, applikációkban alkalmazott cookie-k vagy más hasonló technológiák esetében a működéshez szükséges eszközön túl semmilyen más (marketing, kényelmi, statisztikai sem) nem alkalmazható hozzájárulás nélkül.
Tehát nem jó megoldás, ha
a. az oldalon csak tájékoztatás szerepel a cookie-k alkalmazásáról, vagy
b. nem kell elfogadni a cookie-kat, mert az oldal további használata elfogadásnak minősül,
c. ha csak az „elfogadom” vagy hasonló megjelölés szerepel, de az „elutasítom” nem vagy
d. az összes cookie-t egyszerre lehet elfogadni.
A NAIH által közzétett anyag nem tér ki a cookie tájékoztatás tartalmára, de a más tagállamok hatóságai által követett gyakorlat alapján elmondható, hogy az elvárt adatok köre kiterjed a cookie nevére/típusára, üzemeltetőjére (first party vagy third party), az adatkezelés céljára, a cookie élettartamára és a törlési lehetőségre.

11. A törlési kötelezettség teljesítésének igazolására (azt kell bizonyítanunk, hogy az adatot már nem kezeljük, mert töröltük) javasolt módszer a törlésre vonatkozó logfile-k vagy egyéb objektív bizonyítékok benyújtása, vagy a törvényes képviselő nyilatkozata. Természetesen a törlési jegyzőkönyv bemutatása is az elfogadható megoldások közé tartozik.

12. A KKV mentessége az első alkalommal kiszabható bírság alól városi legenda, nem GDPR kompatibilis eljárás, ezért ezt a NAIH nem alkalmazza. Az uniós bírságolási gyakorlat fogja tovább formálni a bírságok mértékét Magyarországon is, ami értelmezésem szerint inkább a bírságösszegek emelkedését vetíti előre látva.

13. A hatóság névtelen bejelentés, panasz, sajtócikk alapján is indíthat eljárást pl. incidens kivizsgálása érdekében. Természetesen a névvel benyújtott bejelentések, panaszok is elbírálásra kerülnek. A hatóság pillanatnyilag tetemes ügyszámmal dolgozik, de érezhető a hátralékok ledolgozása és az egyre gyorsuló eljárás.

14. A hatóság Uniós projekt keretében kkvhotline@naih.hu e-mail címet tartott fenn, amelyre a KKV-któl érkező kérdéseket megválaszolta a GDPR értelmezésről vagy helyes alkalmazásával kapcsolatban. A kkv hotline elérhetősége 2020. március 15-t követően sajnos megszűnt, ezért a Hatóság azt kéri, hogy erre az elérhetőségre ne küldjenek további kérdéseket.

15. A munkahelyi eseményen készülő fotó munkahely honlapján történő megosztása kivételesen alapulhat hozzájáruláson, ha biztosan nincs semmilyen hátrányos következménye az érintett munkavállaló számára. Egyéb esetekben a jogos érdek lehet a jogalap az érdekmérlegelési teszt előnyei és korlátai között. A hatóság hangsúlyozza, hogy külön-külön kell hozzájárulás fotó készítéshez és a közzétételhez is.

(Folytatása következik.) 

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.