A Nemzeti Adatvédelmi és Információszabadság Hatóság 2016. november 29-én hatodik alkalommal tartotta meg a Belső Adatvédelmi Felelősök Konferenciáját. Az idei év előadásai a 2018 májusától alkalmazandó Adatvédelmi Rendelet foglaltakra is reflektáltak, melyről korábbi bejegyzéseinkben már itt és itt írtunk.

A konferencián nem csak a szűkebb értelemben vett adatvédelem, de az információszabadság egyes kérdései is terítékre kerültek. Az Adatvédelmi Rendelet fényében többek között szó volt az adatvédelmi felügyelő hatóságok új szerepéről; az elszámoltathatóság kérdéséről; az Adatvédelmi Rendeletben (az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete, GDPR) megjelenő új alapelvekről és jogalapokról; a bírságkiszabás egyes kérdéseiről; valamint az adatvédelmi tájékoztatással kapcsolatos tapasztalatokról. Az Adatvédelmi Rendeletben hatálybalépése továbbá szükségessé teszi a jelenleg hatályos magyar szabályozás felülvizsgálatát. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) felülvizsgálatára várhatóan 2017. év folyamán kerül sor.

Adatvédelmi felügyelő hatóságok

Az adatvédelmi felügyelő hatóságok kiemelt szerepet fognak betölteni az Adatvédelmi Rendelet egységes és közvetlen alkalmazásában, ezzel is egységesen előmozdítva az egyes jogok érvényesítését. Az adatvédelmi felügyelő hatóságokként működő tagállami hatóságok feladataikat egymással együttműködve, a kölcsönös segítségnyújtás szellemében látják el. Részletes szabályozásra kerül többek között a függetlenséggel, hatáskörrel, összeférhetetlenséggel, erőforrásokkal, a hatóságok közös műveleteivel kapcsolatos kérdések.

Az egyik legnagyobb érdeklődésre számot tartó kérdés az volt, hogy mely felügyeleti hatóság fog eljárni, ha a konkrét adatkezeléssel kapcsolatban határon átnyúló elem is felmerül, például egy osztrák székhelyű anyavállalat magyarországi leányvállalatának munkáltatói adatkezelésének vizsgálatára kerül sor.

Az Adatvédelmi Rendeletben foglaltak szerint határon átnyúló adatkezelés esetén meg kell állapítani a fő felügyeleti és az érintett felügyelő hatóságot. Az Adatvédelmi Rendelet 56. cikke értelmében:

(1) […] az adatkezelő vagy az adatfeldolgozó tevékenységi központja vagy egyetlen tevékenységi helye szerinti felügyeleti hatóság jogosult fő felügyeleti hatóságként eljárni az említett adatkezelő vagy az adatfeldolgozó által végzett határokon átnyúló adatkezelés tekintetében […].

(2) Az (1) bekezdéstől eltérve, minden felügyeleti hatóság jogosult a hozzá benyújtott panaszok kezelésére, illetve jogosult e rendelet esetleges megsértése esetén eljárni, ha az ügy tárgya kizárólag egy, a tagállamában található tevékenységi helyet érint, vagy ha kizárólag a tagállamában érint jelentős mértékben érintetteket.

(3) Az e cikk (2) bekezdésében említett esetekben a felügyeleti hatóság haladéktalanul tájékoztatja az ügyről a fő felügyeleti hatóságot. A fő felügyeleti hatóság a tájékoztatását követő három héten belül dönt arról, hogy […] eljár-e az ügyben, figyelembe véve azt, hogy az adatkezelő vagy az adatfeldolgozó rendelkezik-e tevékenységi hellyel abban a tagállamban, amelynek a felügyeleti hatósága a fő felügyeleti hatóságot tájékoztatta.

A konkrét példánál maradva a gyakorlatban ez azt jelenti, hogy amennyiben a magyar felügyeleti hatóság tájékoztatását követően az osztrák felügyelő hatóság, mint az adatkezelő tevékenységi központja szerinti fő felügyeleti hatóság úgy dönt, hogy magához vonja az ügyet, akkor az ügyben az osztrák hatóság fog eljárni és döntést hozni. Ugyanakkor a magyar hatóság mint érintett felügyeleti hatóság döntéstervezetet nyújthat be az osztrák hatóságnak.

Egyelőre azonban kérdéses, hogy egy fő felügyeleti és egy érintett felügyeleti hatóságot együttes eljárása hogyan fog működni a gyakorlatban, hiszen egy magyar munkáltatói adatkezelés esetén a dokumentumok többsége magyar nyelvű, azaz e dokumentumok idegen nyelvű fordításának beszerzése valószínűleg elengedhetetlen lesz. Ez pedig – az Adatvédelmi Rendelet által megkövetelt együttműködés és kölcsönös segítségnyújtás ellenére is – minden bizonnyal az eljárások meghosszabbodását fogja eredményezni.

Elszámoltathatóság – a régi-új “szuper alapelv”

Az Adatvédelmi Rendelet 5. cikk (2) bekezdésében új alapelvként kerül nevesítésre az elszámoltathatóság elve. Ez az alapelv, a Konferencián használt szófordulattal élve “szuper alapelvként” kerül alkalmazásra. Az elszámoltathatóság elve az adatkezelő szervezetét teljes egészében áthatja.

(2) Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

Figyelemmel az Adatvédelmi Rendelet 24. cikk (1) bekezdésére az adatkezelő részéről ez egy folyamatos, az adatvédelmet napirenden tartó tevékenységet követel meg:

(1) Az adatkezelő […] megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.

Az alábbi táblázatban – a konferencián elhangzottak szerint – összefoglaltuk az Adatvédelmi Rendelet azon rendelkezéseit, amelyek e szuper alapelvnek való adatkezelői megfelelést biztosítják.

Általános

(fogalomrendszer)

Speciális

(a belső eljárásrendbe való beépítéssel biztosítható az elszámoltathatóság)

Gyakorlati lépések

(többek között)

5. cikk Elvek 30. cikk Az adatkezelési tevékenységek nyilvántartása Belső képzés
24. cikk Az adatkezelő feladatai 33. cikk Az adatvédelmi incidens bejelentése a felügyeleti hatóságnak Audit
25. cikk Beépített és alapértelmezett adatvédelem 35. cikk Adatvédelmi hatásvizsgálat Privátszférát erősítő technológiák / Privacy Enhancing Technologies (PET)
  37. cikk Az adatvédelmi tisztviselő kijelölése Magatartási kódexek
  40. cikk Magatartási kódexek ISO tanúsítványok
  42. cikk Tanúsítás  
  47. cikk Kötelező erejű vállalati szabályok

Ugyanakkor az elszámoltathatóság nem jelent merőben új intézményt. Az elszámoltathatóság elve a jelenleg hatályos Infotv. rendelkezéseiből is levezethető. Így például az Infotv. 23. § szakaszából::

23. § (1) Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével másnak kárt okoz, köteles azt megtéríteni.

(2) Ha az adatkezelő az érintett adatainak jogellenes kezelésével vagy az adatbiztonság követelményeinek megszegésével az érintett személyiségi jogát megsérti, az érintett az adatkezelőtől sérelemdíjat követelhet […].

Szigorodó szankciórendszer

A Hatóság egyértelműen megerősítette, hogy a bírságkiszabás vonatkozásában szigorodást jelent az Adatvédelmi Rendelet. A szankcionálással kapcsolatos részletszabályok az Adatvédelmi Rendelet 83. cikkében kerültek elhelyezésre. A Rendelet 51. cikk (2) bekezdésébe foglalt, fentebb említetett egységesség elvét a szankcionálás körében is figyelembe kell venni:

(2) Minden felügyeleti hatóság elősegíti e rendeletnek az Unió egész területén történő egységes alkalmazását. A felügyeleti hatóságok e célból együttműködnek egymással és a Bizottsággal, a VII. fejezettel összhangban.

E körben hangsúlyozza a Hatóság, hogy a Magyarországon jelenleg érvényesülő kis- és középvállalkozások “kkv”-minőség vizsgálata, nem került be az Adatvédelmi Rendelet szövegébe. Ez a gyakorlati alkalmazás során azt jelenti, hogy 2018 májusától az eljáró felügyeleti hatóság akár már az első alkalommal is bírsággal sújthatja a kkv-kat. A Konferencián elhangzottak szerint, várhatóan még egyezetések fognak folyni a kkv-kat érintő szankcionálással kapcsolatban.

Tájékoztatáshoz való joggal kapcsolatos, leggyakrabban előforduló hibák

A konferencián elhangzott tipikus hibák az alábbiak:

Személyes adatok kezelésével kapcsolatos tájékoztatáskérés mint fogyasztói panasz

A Hatóság eljárása során gyakran tapasztalja, hogy az adatkezelők fogyasztói panaszként kezelik az érintettek adatkezeléssel kapcsolatos megkereséseit. Erre hivatkozással az adatkezelők előszeretettel alkalmazzák a panaszkezelési szabályokat, ami azt eredményezi, hogy gyakran 30 napos válaszadási határidő szerint járnak el. E gyakorlat nyilvánvalóan sérti az Infotv. 15. § (4) bekezdésében előírt “lehető legrövidebb idő alatt“-i követelményt.

Írásbeli tájékoztatás mellőzése

Gyakran tapasztalt probléma az is, hogy az adatkezelők személyes megjelenéshez kötik az adatkezeléssel kapcsolatos tájékoztatást, azzal összefüggésben nem teszik lehetővé az írásban adott tájékoztatás nyújtását. Az Infotv-ben foglaltak szerint ugyanakkor az adatkezelő köteles az érintett erre irányuló kérelmére írásban megadni a tájékoztatást.

Célhoz kötött kérelem

Szintén bevett, de rossz gyakorlatnak tekinthető az, ha az adatkezelő kötelezővé teszi a tájékoztatáskéréssel kapcsolatos formanyomtatványok használatát, különösen, ha ennek alapján az érintettek indokolni kötelesek kérelmüket. A jelenlegi szabályozás ugyanakkor nem támaszt alaki követelményt, nem állapít meg formakényszert a tájékoztatáskéréssel kapcsolatban, sőt, azt sem várja el, hogy az érintett indokolja kérelmét.

Ügyfél vagy érintett

A közigazgatási hatóságok esetében szintén általános tapasztalat, hogy az adatkezelők ügyfélként kezelik az érintetteket, és a megkeresésekre a közigazgatási hatósági eljárás és szolgáltatás általános szabályairól szóló 2004. évi CXL. törvény (Ket.) rendelkezéseit alkalmazzák. Ez a gyakorlatban például azt jelenti, hogy az adatkezelők nem fogadják el és így nem válaszolják meg az e-mail érkezett megkereséseket. Ugyanakkor az adatkezelők tájékoztatási kötelezettségével kapcsolatban az Infotv. – és nem a Ket. – rendelkezései az irányadóak. Az Infotv. rendelkezései alapján az adatkezelők csak igen szűk körben tagadhatják meg az érintett tájékoztatását, úgymint az állam külső és belső biztonsága, a honvédelem, a nemzetbiztonság, a bűncselekmények megelőzése vagy üldözése, a büntetés-végrehajtás biztonsága érdekében, továbbá állami vagy önkormányzati gazdasági vagy pénzügyi érdekből, az Európai Unió jelentős gazdasági vagy pénzügyi érdekéből, valamint a foglalkozások gyakorlásával összefüggő fegyelmi és etikai vétségek, a munkajogi és munkavédelmi kötelezettségszegések megelőzése és feltárása, továbbá az érintett vagy mások jogainak védelme érdekében.

Ha hallgat az adatkezelő

Az adatkezelő hallgatása, azaz a megkeresések meg nem válaszolása esetén, az adatkezelők rendszerint azt az ügyintéző mulasztásával indokolják. Ez az indokolás nem fogadható el, hiszen az adatkezelő minden esetben a munkáltató és nem a munkavállaló. A munkáltató felelőssége megállapítható a munkavállaló tevékenységeiért. Megjegyzendő, hogy a munkáltatónak ezért különösen fontos munkavállalóit felkészítenie, tájékoztatnia a hatályos adatvédelmi szabályozással összefüggésben.

Részleges válaszadás

Szintén nem fogadható el az az adatkezelői gyakorlat, miszerint az érintett tájékoztatáskérését csak részben válaszolják meg. Az Infotv. 15. § (1) bekezdése rögzíti, hogy az adatkezelő tájékoztatást ad:

(1) […] az érintett általa kezelt, illetve az általa vagy rendelkezése szerint megbízott adatfeldolgozó által feldolgozott adatairól, azok forrásáról, az adatkezelés céljáról, jogalapjáról, időtartamáról, az adatfeldolgozó nevéről, címéről és az adatkezeléssel összefüggő tevékenységéről, az adatvédelmi incidens körülményeiről, hatásairól és az elhárítására megtett intézkedésekről, továbbá – az érintett személyes adatainak továbbítása esetén – az adattovábbítás jogalapjáról és címzettjéről.

Indokolatlan mennyiségű adat

A helytelen adatkezeléssel kapcsolatos gyakorlatok között elhangzott, hogy az adatkezelők gyakran sokkal több személyes adatot tárolnak, mint amiről tájékoztatják az őket megkereső személyeket. Például, a Hatóság sokszor tapasztalja telefonos beszélgetésekről felvett hangfelvételek esetében, hogy a hangfelvételek is megőrzésre kerülnek annak ellenére, hogy erről előzetesen nem tájékoztatták a betelefonálókat.

Az előzetes tájékoztatással kapcsolatos tudnivalók

A Konferencia záróelőadásaként elhangzott előzetes tájékoztatással kapcsolatos tudnivalók a Hatóság egy korábbi ajánlása alapján kerültek bemutatásra, amelyről korábban már mi is részletesen itt írtunk.