Élet a GDPR után

GDPR

Sokak számára gondterhelt időszak volt a GDPR utáni életre való felkészülés, pedig egyelőre úgy tűnik, hogy a vihar előtti csend időszakába érkeztünk, amikor még minden szereplő kiheveri az átállás fáradalmait, és egyelőre csak az extrém adatvédelmi aktivisták garázdálkodnak a multik panaszkezelő osztályait leterhelendő. 

A várakozásokkal ellentétben tehát mondhatni uborkaszezonnal indult az ősz az adatvédelmi szempontból, olyan apróságokról még a média sem számolt be, hogy például a napokban órákig lejárt tanúsítvánnyal futott a Freemail weboldala, de ez előfordult már nagyobbakkal is, bár nehéz megérteni, hogy mindez hogyan fordulhat elő a legnagyobb(?) magyar e-mail szolgáltatóval.

Összességében így is akad azért három, a Nemzeti Adatvédelmi és Információszabadság Hatóságtól (NAIH) származó állásfoglalás, amikről egyenként talán nem is írtam volna, de összevárva őket már érdemes lehet átfutni, hogy milyen érdekességek történtek az utóbbi hónapokban a magyar adatvédelem területén.

Személyazonosító okmányt másolni csak indokolt esetben lehet, a felsőoktatási intézményeknek épp ezért nem

A NAIH elnöke ugyanis állásfoglalást küldött az Emberi Erőforrások Minisztériuma Oktatásért Felelős Államtitkárságának, mivel közérdekű bejelentés érkezett a felsőoktatási intézmények személyazonosító okmányok másolásával kapcsolatos adatkezelése miatt. A megkeresés lényege tehát az lehetett, hogy a bejelentő sérelmezte a személyazonosító okmányai lemásolását.

Péterfalvi Attila szerint az adatalanytól csak olyan adat közlése kérhető, amely személyhez fűződő jogát nem sérti, és a jogviszony létesítése, teljesítése vagy megszűnése szempontjából lényeges. A célhoz kötöttség elvének megfelelően ez azt jelenti, hogy a felsőoktatási intézmények adatkezelése csak akkor tekinthető jogszerűnek, ha az általuk gyűjtött adatok kezelésének szükségszerűségét bizonyítani tudják.

A NAIH álláspontja szerint azonban a felsőoktatási intézmények okmánymásolási gyakorlata nem felelt meg az Infotv. előírásainak, mert még az érintettek érvényes hozzájárulása mellett is a célhoz kötött adatkezelés elvébe ütközött volna az okmánymásolat gyűjtésével járó adatkezelés. A bemutatott érvényes, személyazonosító okmányban szereplő személyazonosító adatokat ugyanis a

dokumentum közhiteles voltára tekintettel másolatkészítés nélkül is el kell fogadni.

A fényképes igazolvány személyazonosítás céljából való bemutatása felel meg tehát a hatályos jogszabályi rendelkezéseknek, a másolatok kezelése viszont nem felel meg a célhoz kötöttség és az adattakarékosság követelményének. A hatóság megjegyezte azt is, hogy kényelmi szempontok vagy „gyorsabb ügyintézés” nem indokolhatják a másolat készítését.

Alternatívát is ad az adatvédelmi hatóság: az adatkezelő ügyintézője egy nyilatkozat kitöltését kérheti az érintettől arról, hogy mely hatósági okmányát mutatta be, továbbá alkalmazható a „négy szem elve” is, amikor egy másik ügyintéző vagy az ügyintéző felettese is megtekinti az érintett által bemutatott okmányt, és ő is megerősíti a személyazonosságot és a rögzített adatok pontosságát.

Tekintettel arra, hogy az okmányok másolása több egyetemet is érintett, a Pécsi Tudományegyetemet, a Semmelweis Egyetemet, a Budapesti Műszaki és Gazdaságtudományi Egyetemet, illetve az Eötvös Lóránd Tudományegyetemet, így a jogsérelem orvoslása hatékonyabban megtörténhet a fenntartó ellenőrzésével.

A fentiek alapján tehát a NAIH felkérte az Államtitkárságot, hogy vizsgálja felül a felsőoktatási intézmények adatkezelési gyakorlatát, és szólítsa fel a felsőoktatási intézményeket, hogy megfelelő jogalap alapján, az általános adatvédelmi rendelet szabályainak megfelelően kezeljenek személyes adatokat.

Érdekes az állásfoglalás abból a szempontból is, hogy ahogy arról már beszámoltam, tavaly egy belügyi salátatörvényben a jogalkotó kötelezte volna a szálláshely-szolgáltatókat a vendégek személyazonosító, illetve úti okmányának másolatának elkészítésére, tárolására és továbbítására.

A többről-kevesebbre való következtetés elve alapján ebbe a NAIH jogértelmezésébe aligha “férhetett volna bele” egy sokkal kevésbé formalizált jogviszony kapcsán a személyes okmányok másolatának megőrzése és továbbítása, ha azt még az oktatási intézmények esetében is aggályosnak tartja. Másik oldalról természetesen lehetséges az is, hogy az adatkezelő olyan megfelelő adatkezelési célt tudott volna felmutatni, ami alátámasztotta volna az adatkezelés szükségszerűségét, arányosságát.

Természetes személyek és kisvállalkozások: adatvédelmi bírságtól nagyon félnetek nem kell. Legalábbis elsőre.

Egy adatkezelő a NAIH-tól kért tájékoztatást, hogy a hatóság egyéni vállalkozóként egy kisebb szabálytalanság esetén automatikusan a kiszabható legmagasabb összegű bírsággal fogja-e sújtani? A NAIH űéasza alapján a GDPR 83. cikke rendelkezik a közigazgatási bírságok kiszabására vonatkozó általános feltételekről. A rendelet például kimondja, hogy

a közigazgatási bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.

A Rendelet kisebb megsértése esetén, illetve, ha a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene, a bírság helyett megrovás is alkalmazható. Ezt a szabályozást egészítette ki a magyar jogalkotó, miszerint a hatóság a bírságok kiszabását az arányosság elvének figyelembevételével gyakorolja.

A gyakorlatban mindez azt jelenti, hogy a személyes adatok kezelésére vonatkozó – jogszabályban vagy az Európai Unió kötelező jogi aktusában meghatározott – előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik.

Érdemes azért mindenre is odafigyelni, hiszen az eset összes körülményére, így a jogsértés súlyára, annak ismétlődő jellegére, valamint az érintetti kör nagyságára is figyelemmel a hatóság már első esetben is alkalmazhat a rendeletben foglalt más jogkövetkezményt a figyelmeztetésen kívül.

Előnyt adni szabad, de a hírlevélről leíratkozást büntetni nincs rendben

Egy másik adatkezelő arról kért tájékoztatást az adatvédelmi hatóságtól, hogy az általános adatvédelmi rendelet, vagys a GDPR alapján a hírlevélre feliratkozással kapcsolatban lehet-e előnyt nyújtani az érintettnek? A NAIH első körben a WP259-es számú iránymutatást elemezte, miszerint “szigorú követelményeket támaszt a szabad akarat érvényesülésére, ezért ha a hírlevélre feliratkozás valamilyen előnyt nyújt, akkor egyedileg kell megvizsgálni, hogy az az előny mennyiben befolyásolja az önkéntességet.”

E körben pedig fontos annak eseti vizsgálata, hogy a hozzájárulás megtagadása vagy visszavonása okoz-e hátrányt. Az előny juttatása semmiképpen sem korlátozhatja az érintettek GDPR szerinti jogait (például a leiratkozás, törléshez való jogot), és megfelelő tájékoztatás szükséges az adatkezeléssel kapcsolatban. Ráadásul bármely szolgáltatás nyújtásához

csak olyan személyes adatok megadását lehet kérni az érintettektől, amelyek feltétlenül szükségesek az adott szolgáltatás nyújtásához.

Ennek megfelelően nem lehet a szolgáltatás vagy előny nyújtásának feltételévé tenni olyan személyes adat megadását vagy további (pl. direkt marketing) adatkezelési célból történő felhasználáshoz történő hozzájárulást, amely nem szükséges az érintett által igénybevett szolgáltatás teljesítéséhez.

Végezetül a hírlevélre feliratkozóknak juttatott előny pedig nem korlátozhatja a hozzájárulás visszavonását és nem okozhat leiratkozás esetén semmilyen hátrányt az érintettnek (az előny elvesztését vagy fizetési, költségtérítési kötelezettséget).

“Az Európai Adatvédelmi Testület által jóváhagyott WP259 iránymutatás alapján csak az olyan előnytől elesés nem ellentétes a GDPR-el, ami értelemszerűen és szükségszerűen a hírlevél fő funkciójához tapad, például ha a hírlevél exkluzív tartalmat vagy ajánlatot tartalmaz, ami az adott hírlevél fő funkciója.”

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről: