Mitől lesz megfelelő egy adatkezelési tájékoztató?

Fórum Média 2020-10-02

Abból kell kiindulni, hogy a tájékozódás joga alapvetően megilleti az érintetteket, nem kell külön kérniük a tájékoztatást, az adatkezelőknek kérdés, kérés nélkül is informálni kell az érintetteket. Viszont nem mindegy az, hogy mi/ki az adatok forrása, mert a GDPR külön foglalkozik azzal, hogy mely információkat kell az érintett rendelkezésére bocsátani akkor, ha az adat az érintettől származik, és melyeket akkor, ha nem az érintett az adatok forrása.

Érdekesség, hogy az Infotv alapján pusztán akkor kell tájékoztatást adni a kezelt adatok köréről, a profilalkotásról és az érintett személyes adatainak kezelésével összefüggésben felmerült adatvédelmi incidensek bekövetkezésének körülményeiről, azok hatásairól és az azok kezelésére tett intézkedésekről, ha az adatok kezelését adatfeldolgozó végzi.

Kapcsolódó termék: GDPR Őrszem

Az alábbi táblázatban tudjuk szemléltetni a két jogszabály azonos és eltérő megfogalmazásait:

GDPR 13. cikk (1)–(2)

GDPR 14. cikk

Infotv 16. §

az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;

a) az adatkezelő és – ha valamely adatkezelési műveletet adatfeldolgozó végez, az adatfeldolgozó – megnevezését és elérhetőségeit,

az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;

b) az adatvédelmi tisztviselő nevét és elérhetőségeit,

a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;

c) a tervezett adatkezelés célját és

a 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;

az érintett személyes adatok kategóriái;

d) az érintettet e törvény alapján megillető jogok, valamint azok érvényesítése módjának ismertetését.

adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;

(2) Az (1) bekezdésben foglaltakkal egyidejűleg, azzal azonos módon vagy az érintettnek címzetten az adatkezelő az érintett számára tájékoztatást nyújt

adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás

adott esetben annak ténye, hogy az adatkezelő valamely harmadik országbeli címzett vagy valamely nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az ezek másolatának megszerzésére szolgáló módokra vagy az elérhetőségükre való hivatkozás

a) az adatkezelés jogalapjáról,

a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;

a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;

b) a kezelt személyes adatok megőrzésének időtartamáról, ezen időtartam meghatározásának szempontjairól,

 

ha az adatkezelés a 6. cikk (1) bekezdésének f) pontján alapul, az adatkezelő vagy harmadik fél jogos érdekeiről;

 

az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;

az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való joga

c) a kezelt személyes adatok továbbítása vagy tervezett továbbítása esetén az adattovábbítás címzettjeinek – ideértve a harmadik országbeli címzetteket és nemzetközi szervezeteket – köréről,

a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;

a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban való visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét

d) a kezelt személyes adatok gyűjtésének forrásáról és

a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;

valamely felügyeleti hatósághoz címzett panasz benyújtásának joga

e) az adatkezelés körülményeivel összefüggő minden további érdemi tényről.

arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;

a személyes adatok forrása és adott esetben az, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e;

 

a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.

a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír

 

 

A GDPR a jogos érdek alkalmazásánál azt mondja, hogy kell hogy az érdekről is felvilágosítást adjon az adatkezelő, tehát nem elég annyi tájékoztatást adni, hogy az adatkezelés jogalapja a jogos érdek [GDPR 6. cikk (1) f) pontja]. Ugyancsak a jogalapokkal kapcsolatos az, hogy a GDPR alapján tájékoztatást kell adni, hogy az adatkezelés jogszabályon vagy szerződéses kötelezettségen alapul, vagy szerződés megkötésének előfeltétele, az érintett köteles-e megadni, és ha nem adja meg, milyen következményei lehetnek ennek. Fontos, hogy az automatizált döntéshozatalról, profilalkotásról is tájékoztatást kell adni.

Mikor kell megadni a tájékoztatást?

Ha az adatokat az érintettől gyűjtik, akkor a GDPR szerint az adatkezelő a személyes adatok megszerzésének időpontjában tájékoztat, ha más a forrás, akkor a személyes adatok kezelésének konkrét körülményeit tekintetbe véve, a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül; ha a személyes adatokat az érintettel való kapcsolattartás céljára használják, legalább az érintettel való első kapcsolatfelvétel alkalmával; vagy ha várhatóan más címzettel is közlik az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor.

A hatóság egy, a koronavírus előtti konferencián felhívta arra a figyelmet, hogy a tájékoztatás akkor tud – többek között – megfelelően megvalósulni, ha minden egyes olyan iraton van legalább hivatkozás adatkezelési tájékoztatóra, amely alapján személyes adatok rögzítése történik. Ebből az következik, hogy akár egy meghatalmazás, akár egy kérdőív legalább egy mondatot tartalmazzon, felhívva az érintett figyelmét arra, hogy a részletes adatkezelési tájékoztatás hol található. Nyilvánvalóan a legideálisabb az, ha maga az irat tartalmaz tájékoztatást, de sokszor ez kivitelezhetetlen, életszerűtlen. Például egy rövid álláshirdetés sem fog egy vagy többoldalas adatkezelési tájékoztatást tartalmazni, de az elvárt, hogy legalább egy linket tartalmazzon, amelyen már a részletes tájékoztatás elérhető. Erre remek példa lehet a hatóság weboldalán megjelentetett álláskiírások, amelyek hivatkozási szinten tartalmaznak adatkezelési tájékoztatást.

Javasoljuk, hogy minden egyes adatkezelés felmérése során ezeket a kötelezően közlendő információkat gyűjtsék össze, és hozzanak létre minden egyes adatkezelés kapcsán tájékoztatókat, amelyek tartalmazzák ezeket.

Ha a GDPR szerinti tájékoztatást az adatkezelő teljesíti, akkor az Infotv szerinti tájékoztatás is megvalósul.

Ha nem az érintettől gyűjtötték az adatokat, akkor a GDPR 14. cikkében meghatározottakat kell alkalmazni. A GDPR ebben a cikkben további információként határozza meg az „érintett személyes adatok kategóriáit”, tehát azokat az adatköröket, amelyeket az adatkezelő kezel, és amelyeket nem az érintettől gyűjtött (szerzett meg, hanem például másik adatkezelőtől, adatfeldolgozótól, nyilvános forrásból stb.).

Javasolt az, illetve a célhoz kötöttség és átláthatóság elvének megvalósulása az, hogy a kezelt adatok köreiről az adatkezelő akkor is előzetes tájékoztatást adjon, ha azokat az érintettektől gyűjtötték. Sőt, célszerű a kezelt adatok körei mellé azt is feltüntetni, hogy mi cél van azokra az adatokra. Ez az adatkezelő segítségére tud lenni, mert ha nem tud egy adatkör mellé célt állítani, akkor arra az adatkörre nincsen szüksége és törlendő minden adatfelvételi űrlapról stb.

Adott esetben tájékoztatást kell adni az adatfeldolgozó személyéről. Itt nem elegendő az, ha annyit mond az adatkezelő, hogy például tárhelyszolgáltató, pontosan kell megneveznie, elérhetőségi adattal együtt és meg kell jelölni azt, hogy az adatfeldolgozó milyen feladatot lát el.

A korábbi gyakorlat az volt, amelyet a hatóság elvárt és elvár, hogy az érintettek körét meg kell fogalmazni, tehát meg kell jelölni azt, hogy kinek az adatait kezeli az adatkezelő az adott adatkezelés kapcsán. Definíciót kell adni, például minden természetes személy, aki adatainak megadásával feliratkozik a hírlevél adatállományába.

Az adatkezelés időtartama kapcsán meg kell tudni mondani, hogy az adatkezelő meddig kezeli az adatokat, például a cél megvalósulásáig vagy az érintett hozzájárulásának visszavonásáig/érintett kérésére törléséig, jogszabályban meghatározott határidő leteltéig stb. Vissza kell utalni a korlátozott tárolhatóság alapelvére, annak gyakorlatilag megvalósulása e tájékoztatás és az, hogy az adatkezelő valóban a meghatározott ideig kezeli az adatokat.

Javasolt, hogy minden adatkezelés kapcsán kerüljön megfogalmazásra az, hogy történik-e automatizált adatkezelés, profilalkotás, ne pusztán akkor, ha a jogszabály megköveteli, mert ez az adatkezelés egy esszenciális része, „érdemi tény”. Ha automatizáltan történik adatkezelés, ideértve a profilalkotást is, akkor tájékoztatni kell arról, hogy az milyen logikával történik, milyen jelentőséggel bír, milyen következményekkel jár.

Ha az adatkezelő a személyes adatokat a gyűjtésük eredeti céljától eltérő célból kívánja kezelni, a további adatkezelést megelőzően az érintettet erről az eltérő célról és minden egyéb szükséges tudnivalóról tájékoztatnia kell[1], sőt, elképzelhető, hogy az eltérő célhoz külön hozzájárulást is kell kérnie.

A hatóság elvárta a megtett technikai és szervezési intézkedések általános leírását, amelynek a megfogalmazását továbbra is javasoljuk.

A GDPR úgy fogalmaz, hogy a „tájékoztatás nyújtására vonatkozó kötelezettség előírása nem szükséges, ha az érintettnek ez az információ már a birtokában van, vagy ha a személyes adat rögzítését, illetve közlését valamely jogszabály kifejezetten előírja, vagy ha az érintett tájékoztatása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne.”[2]

Ezzel kapcsolatban a szerző álláspontja az, hogy például abban az esetben, amikor egy érintett e-mailt küld az adatkezelő számára, akkor az érintett tudja azt, hogy adatait az adatkezelő tárolni, kezelni fogja, tehát nem kell visszaküldeni egy erről szóló tájékoztató e-mailt, de érdemesnek mutatkozik az e-mail automatikusan beillesztendő láblécébe adatvédelemmel, adatkezeléssel kapcsolatos, a fenti pontoknak megfelelő tájékoztatást megfogalmazni, vagy linket elhelyezni, és ugyanakkor javasolja azt, hogy ha az adatok kezelése jogszabályi kötelezettség teljesítése miatt szükséges (pl. NAV felé történő munkavállalói adatbejelentés vagy fogyasztói adatok kezelése panasz esetén a fogyasztóvédelmi törvény alapján), arról az adatkezelő adjon tájékoztatást, az átlátható és teljes körű tájékoztatás kedvéért.

Egy tájékoztatás tartalmaz minden további érdemi tényt is, tehát minden olyan információt, amelyet az adatkezelő relevánsnak ítél meg, és amely elősegíti az adatkezelés megértését. Ilyen lehet például az adatkezelés folyamatának rövid leírása vagy az adatkezelés módjának meghatározása (pl. papír alapon, elektronikusan, manuálisan, automatizáltan stb) is.

Mindezt a tájékoztatást könnyen érthető, átlátható, megérthető formában kell prezentálni. Ilyen a táblázatos formátum vagy a táblázatos formátum mellett a kérdezz-felelek formátum, a különféle kiemelések, a hiperhivatkozások, tartalomjegyzékek. Például az egy megoldás lehet, ha az adatkezelő (tisztviselő) személyét azonosító és egyéb bevezető információkat követően az adatkezelés legfontosabb információi egy rövid táblázatban vannak meghatározva, pl. így:

Adatkezelés megnevezése:

Érintettek meghatározása:

Adatkezelés céljának meghatározása:

Kezelt adatok köre

Cél

Jogalap

Tárolási idő

egyes adatok felsorolása

egyes adatokhoz kapcsolódó cél

adat kezelésének jogalapja

tárolási idő meghatározása

 

De például rákattintva az adatkezelés megnevezésére egy részletes, kérdezz-felelek formátumú, egyszerűen fogalmazott tájékoztatóhoz jut az érintett, amely több információt is hordoz, mint maga ez a rövid táblázatos tájékoztató, amely pusztán a legfontosabb információkat tartalmazza.

Az semmi esetre sem lehet megfelelő megoldás, hogy az adatkezelő kizárólag a jogszabály szövegét osztja meg az érintettel, vagy az, hogy jogszabályi hivatkozással teletűzdeli. Az érintettek számára le kell fordítani a jogi nyelvet, hogy megérthessék az adatkezelés részleteit. Tehát lehetnek jogi részek, jogszabályi hivatkozások, de akkor javasolt ezek érthető bemutatása.

A hatóság weboldalán is lehet találni adatkezelési tájékoztatást, pl. https://naih.hu/files/adatkez_taj_DPO_2018-05-24-v4.pdf

Ezt lehet sorvezetőként is használni, de természetesen az adott adatkezeléstől függően további információkat is meg lehet (sőt, adott esetben kell) jeleníteni (pl. ha jogos érdek a jogalap, azt be kell mutatni).

Érdemes még elővenni az angol ICO adatkezelési tevékenységek nyilvántartása dokumentumát (data controller template (https://ico.org.uk/media/for-organisations/documents/2172937/gdpr-documentation-controller-template.xlsx), mert ha annak alapján szedjük össze az egyes adatkezeléseket, akkor már lesz egy táblázatos formátumunk, amelyet csak ki kell egészíteni feltett kérdésekkel, amelyekre az adott adatkezelés vonatkozó cellája ad választ.

Például:

Honnan vannak az adatok?

Adatok forrása: pl. közvetlenül az érintettől

Történik adattovábbítás?

Erre adott válasz

Történik-e adatfeldolgozás az adatkezelés kapcsán?

Erre adott válasz, adatfeldolgozó nevével, elérhetőségi adataival, feladataival, ha van adatfeldolgozó

Milyen adatbiztonsági intézkedéseket vezetett be az adatkezelő?

Erre adott válasz, figyelemmel a ténylegesen megtett intézkedésekre, a GDPR és az Infotv 25/I. §-ban megfogalmazottakra

Milyen jogai vannak az érintettnek és azokkal hogyan élhet?

Joggyakorlásról kitanítás adása

 

Érdemes lehet az egyes tájékoztatókat verziószámozni, hogy a módosulásokat nyomon lehessen követni (különös figyelemmel az elszámoltathatóság elvére).

Bízunk benne, hogy ezek alapján megfelelő tájékoztatót tud összeállítani a kedves Olvasó az általa végzett adatkezelések kapcsán.

 

Szerző: Dr. Bölcskei Krisztián

vezető adatvédelmi tanácsadó, jogász

 

A cikk a GDPR Őrszem 2020. szeptemberi számában jelent meg.

 

 

___________________________________________________________________________

 

Szakmai folyóiratainkban a jogszabályváltozások követése és rövid, lényegre törő magyarázata mellett ilyen és hasonló témákat is megtalál.

[1] GDPR preambulum 61. pontja

[2] GDPR preambulum 62. pontja, és lásd 14. cikk 5. pontja