Különösebb megrázkódtatás nélkül csöppentünk bele a GDPR utáni időszámításba, azonban a Nemzeti Adatvédelmi és Információszabadság Hatóság így sem pihen, hanem ajánlásokat fogalmaz meg a GDPR életbe lépését követő gyakorlati teendők kapcsán.
Az online környezetben értelmezhető adatvédelem sokat vizsgált kérdése volt már a GDPR hatályba lépését megelőzően is a különböző cookie-k, vagyis sütik helyzete, amelyek egy-egy weboldal látogatóinak egyedi azonosítására és bizonyos technikai információk tárolására szolgálnak.
A NAIH ezt a jelenséget vizsgálta az egyik legfrissebb figyelemfelhívásában, azonban érintőlegesen egy másik témakört is érintett, amely a véleményem szerint ellentétes az eddigi hatósági jogértelmezéssel és elvárt gyakorlattal.
A személyes adatok kezelésének egyik legmeghatározóbb eleme ugyanis annak meghatározása, hogy egy konkrét adat mikor minősül személyes adatnak és mikor nem. A most kiadott ajánlás a korábbi gyakorlatnak megfelelően utal a GDPR 4. cikk 1. alpontára.
A normaszöveg szerint személyes adat bármely olyan információ, amely akár közvetve akár közvetetten egy adott természetes személyhez köthető. Ebbe az úgynevezett „pszeudonim” vagy álnevesített személyes adatok is beletartoznak, mint a becenév vagy az e-mail cím akkor is, ha nem tartalmazza a természetes személy valódi nevet.
Vagyis – a közhiedelemmel ellentétben – egy nem beszédes e-mail cím (pl. a nemadommeg@nemvalodi.hu) vagy egyedi azonosító is személyes adatnak minősül. Ez akkor különösen érdekes kérdés, ha a személyes adathoz kapcsolt nem személyes adatok megőrzése lenne a kérdés. Előfordulhat ugyanis, hogy ezeket valamihez (a már kialakított adatbázis-struktúrában), a személyes adat törlését követően is kapcsolni szeretnék. Mondjuk egy egyedi sorszámhoz, vagy akár hash értékhez.
A véleményem szerint az eddigi jogértelmezés inkább abba az irányba mutatott, hogy a kezelt személyes adat csak akkor „veszíti el” a „személyes adat jellegét”, ha az egy tetszőleges méretű sokaság, például egy statisztikai adatsor egyedileg soha be nem azonosítható részévé válik. Ehhez képest – érdekes módon – az új ajánlás szerint „a vissza nem fejthető
hash-ek adott esetben lehet, hogy nem személyes adatok,
de ezt csak az eset és a technikai megvalósítás összes körülménye alapján, informatikai szakember segítségével lehet megállapítani.”
Mindez egyfelől érthető, mert a végtelenből végesbe történő leképzés miatt, eltérő adattartalom átalakítása is eredményezhet azonos hash értéket, vagyis matematikai értelemben a hash azonosítóról valóban nem állítható, hogy tökéletesen egyedi lenne. Másik oldalról nézve azonban az ilyen ütközés rendkívül ritka, vagyis a gyakorlatban a hash mégis egyedi lesz. Épp ezért eddig talán inkább egyfajta „álnevesítésként” lehetett a hash-re tekinteni.
A hash algoritmusok tekintetében ugyanis épp az lenne a cél, hogy a kapott értékek minél egyedibbek legyenek (bár a funkciójukat enélkül is elérik). Lényegében tehát a hash algoritmusoknak egy nem kívánt, a gyakorlatban ritkán előforduló, de működési elvéből fakadó szükségszerű „tulajdonsága” foszhatja meg a jövőben a személyes adatokat a „személyes adat jellegüktől?”
Másik „újdonság”, hogy immáron a cookie-k, vagyis sütik esetében is megjelent a GDPR 6. cikk (1) (f) pontja szerinti jogos érdek, mint jogalap az adatok kezeléséhez. A jogos érdek esetén hozzájárulás nem szükséges az adatkezeléshez, pusztán megfelelő tájékoztatást kell nyújtani az érintetteknek, és a cél eléréséhez szükséges és arányos mértékben, a minimálisan szükséges ideig szabad csak ez alapján kezelni személyes adatokat.
Az ajánlás szerint a GDPR 6. cikk (1) (f) pontjára történő hivatkozás esetén azonban fontos annak dokumentálása is, hogy a jogos érdek érvényesítése előnyt élvez-e az adott esetben a személyes adatokhoz fűződő rendelkezési joghoz képest, mivel enélkül nem megvalósítható a honlap működése és biztonsága.
Ezzel a véleményem szerint inkább a szerverek és informatikai hálózatok automatizált naplózásával kapcsolatos, az eddigi joggyakorlat figyelmének hátterében marad informatikai gyakorlat próbál utat törni a szabályozottság felé, ami ebben a formában nem feltétlenül szerencsés, mert a valóságban a biztonsági naplózás a sütiktől független módon történik, vagyis nem biztos, hogy a sütikkel kapcsolatos szabályokat kellene – külön értelmezés nélkül – erre a területre is „ráerőltetni.”
A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:
