Egy korábbi számunkban már foglalkoztunk azzal a kérdéssel, hogy 2018. május 25. napjától szigorúbb szabályokkal kell számoljunk a személyes adatok kezelése során. Ekkortól kell belföldön is alkalmazni azt az uniós rendeletet, amely valamennyi uniós tagállamban, így hazánkban is, kötelező és mely a jelenlegi magyar adatvédelmi és adatkezelési szabályokat is jelentősen felülírja.
A hazai vállalkozások kisebb része már megkezdte a felkészülést és már tett is néhány érdemi lépést ennek érdekében, azonban többségük most eszmél rá, hogy a májusig hátralévő idő nagyon csekély és ezért most fog bele az adatvédelmi, illetve adatkezelési gyakorlatának az átvizsgáláshoz és az uniós norma (Adatvédelmi Rendelet; angolul: GDPR – General Data Protection Regulation)[1] által előírt változtatások bevezetéséhez.
Magyarországon 2012 óta működik a Nemzeti Adatvédelmi és Információszabadság Hatóság (röviden: NAIH). A NAIH feladata, többek között, hogy az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (röviden: Info törvény) rendelkezései szerint ellenőrizze és elősegítse a személyes adatok védelméhez való jog érvényesülését.
Ennek keretében például rendelkezik bírságolási jogkörrel is, amelynek során a korábbi nemzeti adatvédelmi szabályozás szerinti alacsonyabb (legfeljebb 20 millió Ft) bírság helyett az uniós GDPR szerint május 25. napja után akár 20 millió eurós bírságot is kiszabhat. A hazai vállalkozások ennek ismeretében is igyekeznek – habár magyar szokás szerint az utolsó pillanatban – eleget tenni az uniós előírásoknak.
A NAIH megpróbál ebben a hazai vállalkozások segítségére lenni és egy feladatlistát tett közzé a honlapján[2], amely iránymutatást ad a felkészülésben az adatkezelők, illetve az adatfeldolgozók részére.
Gyakorlati teendők a felkészülés érdekében
A NAIH az alábbi lépéseket külön nevesíti, amelyeket a vállalkozások figyelmébe ajánl a GDPR-nek való megfelelés érdekében
- adatvédelmi tudatosság erősítése;
- az adatkezelés kritériumainak felülvizsgálata;
- a vállalkozás által kezelt személyes adat jogosultjának (a GDPR szóhasználata szerint: az érintettnek) a megfelelő tájékoztatása;
- a vállalkozás által kezelt személyes adat jogosultjának a jogai;
- a vállalkozás által kezelt személyes adat jogosultjának a hozzáférési joga;
- az adatkezelés jogalapja;
- az adatkezeléshez korábban adott hozzájárulás feltételeinek felülvizsgálata;
- a gyermekek jogainak kiemelt védelme;
- az adatvédelmi incidensek bejelentése;
- a „beépített” adatvédelem megvalósítása;
- az előzetes adatvédelmi hatásvizsgálat lefolytatása (bizonyos esetekben);
- adatvédelmi tisztviselők kinevezése (bizonyos adatkezelőknél).
Az adatkezelés kritériumainak a felülvizsgálata
A NAIH azt javasolja a vállalkozásoknak, hogy tekintsék át (i) az adatkezelés célját, (ii) az adatkezelés szempontrendszerét, (iii) a személyes adatkezelés koncepcióját, továbbá (iv) kövessék és rögzítsék a kezelt személyes adatok sorsát. Külön kitér arra, hogy egy gondosan megszerkesztett belső adatvédelmi szabályzattal a vállalkozások biztosítani tudják a jogszerű adatkezelést vagy adatfeldolgozást.
Itt kell említést tenni a GDPR egyik rendelkezéséről, amely a „beépített és alapértelmezett adatvédelem” címet viseli. Nagyon általánosítva ez azt jelenti, hogy valóban kizárólag olyan személyes adatok kezelésére kerüljön csak sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek (ezt nevezzük alapértelmezett adatvédelemnek), illetve az adatkezelés módja, célja, hatóköre a tudomány és technológia állása szerint úgy legyen meghatározva, hogy az érintettek jogainak védelméhez szükséges garanciák már eleve be legyenek beépítve az adatkezelés folyamatába (ezt nevezzük beépített adatvédelemnek). Ennek során az adatkezelő köteles megfelelő technikai és szervezési intézkedéseket is – például álnevesítést – végrehajtani. Ezek a technikai és szervezési intézkedések vonatkoznak a gyűjtött személyes adatok
- mennyiségére,
- kezelésük mértékére,
- tárolásuk időtartamára
- hozzáférhetőségükre.
Ezek az intézkedések azt kell, hogy biztosítsák, hogy a személyes adatok ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.
Egy példával bemutatva a fentieket: a munkáltató nyilvánvalóan jogosult kezelni a munkavállaló bankszámlaszámát, hiszen a munkabért a munkavállaló részére oda utalja át minden hónapban. Ha azonban a munkavállaló nyit egy újabb bankszámlát (úgy, hogy közben a régit is megtartja) és jelzi a munkáltatónak, hogy a munkabérét a jövőben az új bankszámlára kéri átutalni és nem a régire, akkor a munkáltató nem feltétlenül kezelheti tovább a régi bankszámlaszámmal kapcsolatos adatokat, hanem meg kell vizsgálja, hogy van-e bármilyen olyan jogalap, amely alapján a régi bankszámlaszám kezelése még jogszerű. Hasonló a helyzet akkor, ha a munkavállaló elköltözik és a lakcíme változásáról tájékoztatja a munkáltatót. Egyáltalán nem biztos, hogy innentől kezdve a munkáltató kezelheti a régi lakcímet (mint a munkavállalóhoz köthető személyes adatot), hanem meg kell vizsgálni azt, hogy van-e a további adatkezelésnek jogalapja. Ha nincs ilyen jogalap, akkor az adatot törölni kell, ellenkező esetben a munkáltató megsérti a GDPR rendelkezéseit.
Belső vizsgálat szükségessége
Az adatkezelést végző vállalkozások (gyakorlatilag tehát minden vállalkozás) el kell végezzenek egy belső vizsgálatot, amelyek során fel kell tenniük néhány kérdést – gyakorlatilag csaknem minden olyan dolgozónak, aki találkozik személyes adatokkal. Ezek közül a legfontosabb az, hogy a vállalkozás adott dolgozója a munkája során kezel-e személyes adatot. Adatkezelésnek minősül gyakorlatilag az adattal végzett bármely művelet, így akár önmagában az adat megtekintése, az adatot tartalmazó informatikai állomány megnyitása, azok tárolása, feldolgozása, elküldése, illetve törlése.
A félreértések elkerülése végett személyes adatnak minősül gyakorlatilag minden olyan adat, amely természetes személyekre (emberekre) vonatkozik, és amely alapján az adott természetes személy azonosítható. Jellemzően beletartoznak ebbe a személyi körbe a munkavállalók, az olyan üzleti partnerek, akik nem valamilyen cégformában működnek, hanem egyéni vállalkozóként, illetve az őstermelők is. Ugyanakkor nem szabad figyelmen kívül hagyni azokat a természetes személyeket, akik ugyan nincsenek a vállalkozással hosszú távú (üzleti) kapcsolatban, de a vállalkozás mégis találkozik az adataival és kezeli is azokat. Ilyenek a látogatók, illetve vendégek is, akiknek például a nevét, igazolványának számát, illetve az általa képviselt cég (üzleti partner) nevét a vállalkozás kezeli (a belépéskor felírja [vagy beviszi egy programba] és valameddig megőrzi).
A teljesség igénye nélkül a fentieken túl személyes adat még az érintett személy születési helye és ideje, a munkavállalók béradatai, a munkavállalók belépési és kilépési adatai, munkában töltött munkaidőre vonatkozó adatok, a munkavállalókról vagy más érintettekről készült fényképek, igazolványmásolatok, munkahelyen használt azonosító számok, a belépőkártya száma, munkavállalók által használt számítógépek IP címe, biztonsági kamerás felvételek, a céges autó GPS eszközéből megállapítható helymeghatározó adat.
Különleges adatok kezelése
A GDPR külön figyelmet fordít az ún. különleges adatok kezelésére. Azt is meg kell vizsgáljuk, hogy kezelünk-e különleges személyes adatot. Ha véletlenül kezelnénk ilyet, akkor nagyon körültekintően meg kell vizsgáljuk, hogy ez az adatkezelés jogszerű-e vagy sem, mert a különleges adatok kezelése csak kivételes esetben lehetséges. Különleges személyes adatnak minősül a faji vagy etnikai származásra utaló adat, a politikai véleményre vonatkozó adat, a vallási vagy világnézeti meggyőződésre utaló adat, a szakszervezeti tagságra utaló adat, a genetikai vagy biometrikus adat, illetve az egészségügyi adat.
Az adatkezelés célhoz kötöttsége; az érintett hozzájárulása esetén sem biztos, hogy kezelhetőek a személyes adatok
Fel kell tenni magunknak azt a kérdést, hogy milyen célból kezeljük a személyes adatokat. Ha többféle adatot kezelünk, mindegyiknél külön-külön meg kell nevezni az adatkezelés célját. Ilyen célok lehetnek például a munkaviszonyból származó kötelezettségek teljesítése, egyéb szerződésből származó kötelezettségek teljesítése, kapcsolattartás, képzés, biztonsági ellenőrzés stb. Az a korábbi hazai gyakorlat, hogy elegendő, ha az adatkezelő beszerzi az érintett természetes személy hozzájárulását az adatkezeléshez, már nem tartható fenn. Hiába kérjük meg az érintettet, hogy kezelhessük az adatát, a jogszerű adatkezeléshez az esetek többségében az is szükséges lesz mostantól, hogy legyen valamilyen (lehetőleg jogszabályban meghatározott) további ok (jogalap), ami alapján az adat kezelése megengedett.
A személyes adatkezelés céljainak már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük, a gyűjtött személyes adatok körét pedig az adatkezelés céljához szükséges minimumra kell korlátozni. Nem lehet személyes adatot gyűjteni potenciális célokra („ha esetleg szükséges az adatra valamikor”); ha nincs az adatkezelésnek az adatgyűjtés időpontjában meghatározott célja, akkor ilyen esetben az adatot nem szabad tovább kezelni, hanem törölni kell.
Az érintett tájékoztatása az adatkezelésről
A GDPR szerint az érintett személyt a személyes adatainak a kezeléséről és az őt az adatkezeléssel kapcsolatos kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell. Ezen tájékoztatás ki kell terjedjen arra is, hogy az érintett hogyan gyakorolhatja az adatkezelés kapcsán őt megillető jogokat (például kihez fordulhat, ha az adatai törlését vagy módosítását szeretné kérni). Ezt a tájékoztatást gyakorlatilag azonnal meg kell tenni azt követően, hogy az adat kezelését megkezdtük.
Az adatok biztonsági mentése, illetve törlése
A személyes adatok tárolásának a lehető legrövidebb időtartamra kell korlátozódnia. Felül kell vizsgálni a biztonsági mentésre használt technikai, informatikai eszközöket. Az olyan adatmentés, amelyen a vállalkozás által kezelt valamennyi adat megtalálható és onnan bármikor „visszatölthető” a vállalkozás által használt informatikai rendszerbe, valószínűleg nem tartható fenn.
Fel kell tenni azt a kérdést, hogy a kezelt adatokat töröljük-e egy bizonyos idő után. Amennyiben igen, akkor a további kérdések azok, hogy mely adatot mikor, mennyi idő után vagy milyen szempontok alapján törlünk. Ha a kérdésre az a válasz, hogy az adatot sohasem töröljük (hanem a biztonsági mentésben bármikor elérhető), akkor az adatkezelés biztosan nem jogszerű.
A GDPR kifejezetten előírja, hogy annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon, az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket kell, hogy megállapítson.
Az adatok fizikai védelme
Meg kell vizsgáljuk, hogy fizikailag milyen biztonsági intézkedések védik az adatokat, illetve mely munkatársak férhetnek hozzá fizikailag az adatokhoz. Az adatokat tartalmazó iratokat zárható szekrényben, fiókban, irodában tároljuk-e, illetve a digitális adatokat ellátjuk-e valamilyen titkosítással (kódolás vagy jelszavas védelem). A GDPR ún. adatvédelmi incidensnek tekinti, ha illetéktelenek hozzáférnek az általunk kezelt személyes adathoz, amely incidens a fenti intézkedésekkel megelőzhető.
Belső adatvédelmi szabályzatok készítése
Minden adatkezelő számára javasolt, hogy a fentieknek való megfelelés érdekében készítsen (vagy készíttessen) belső adatvédelmi szabályzatokat és azokat maradéktalanul hajtsa végre, illetve szorítsa rá minden munkavállalóját, hogy azokat tartsa be. Nem elégséges arra várakozni, hogy a NAIH majd kiad valamikor néhány ajánlást vagy iránymutatást; 2018. május 25. napjától a GDPR előírásait valamennyi magyar vállalkozáson (függetlenül a vállalkozás méretére, alkalmazottainak a számára vagy a vállalkozás árbevételére) számon kérhetik és a cikk elején említett jogkövetkezményt (így akár magas összegű bírságot) is alkalmazhatják. (A GDPR rendelkezéseit csak azokra az adatkezelést végző természetes személyekre nem kell alkalmazni, akik az adatkezelést kizárólag személyes vagy otthoni tevékenységük keretében végzik.)
[1] Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet)
[2] https://naih.hu/felkeszueles-az-adatvedelmi-rendelet-alkalmazasara.html