Mi az a GDPR?
Képzeljünk el egy hatalmas szövetséges birodalmat, ahol rengeteg vár áll és mindegyikben egy-egy várparancsnok, azaz egy-egy adatkezelő uralkodik. Az ő feladata, hogy minden adatot, ami hozzá bekerül, megvédjen és nemcsak a külső támadóktól, hanem a belső támadóktól is. A játékszabályokat az európai adatvédelmi rendelet, azaz a birodalmi GDPR határozza meg, helyi kiegészítések pedig a szövetség tagjaira, azaz a tagállamok jogalkotására van bízva (Magyarország: Infotv.). A játékszabályok betartása felett a helyi felügyeleti hatóság (Magyarország: NAIH) és a bíróság őrködik, ha egy várparancsnok rosszul látja el a feladatát, törvényi szinten meghatározott eljárás lefolytatása után ők szabják ki a büntetést. Vannak még tanácsadók is, az adatvédelmi tisztviselők, ők segítik a várparancsnokokat feladatuk ellátásában.
Miért fontosak az alapelvek?
Az alapelvek segítenek abban, hogy jobban megértsük, miről is szól ez az egész adatvédelmi szabályrendszer, illetve ha bizonyos előírások értelmezésével gondunk van, akkor az alapelvek azok, amihez kályhaként visszatérhetünk. Azt sem árt tudnunk, hogy már magáért az alapelvek megsértéséért is lehet büntetést kapni.
Melyek ezek az alapelvek?
a) jogszerűség, tisztességes eljárás és átláthatóság elve: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
A személyes adatokat
- egyrészt mindig úgy kell kezelnünk, hogy megfeleljünk a vonatkozó jogszabály előírásának – például ha a társasházi törvény előírja, az ingatlan tulajdonosoknak milyen adatai kezelhetők, akkor ezen jogszabály rendelkezései alapján csakis ezeket az adatok kezelheti a közös képviselő (ha olyan adatot akar kezelni, amelyre nem ad felhatalmazást a társasházi törvény, akkor vagy másik jogszabályi helyet kell találni, olyat, amelyben szerepel, vagy másik jogalapot, például hozzájárulást vagy jogos érdeket),
- másrészt a kezelés közben tisztességesen kell eljárnunk – azaz például az ingatlan tulajdonosok és bérlők adatait nem adjuk ki biztosítás, utazás vagy bármi más tukmálásával foglalkozó ügynöknek még akkor sem, ha úgy gondoljuk, nagyon nagy szükségük van biztosításra, utazásra vagy bármi másra.
A tisztességes és átlátható adatkezelés megkívánja, hogy az adatokat úgy kezeljük, hogy azok nyomon következőek legyenek és az adatkezelésünkben érintett személy nem jut arra a sorsra, hogy Trinidad-Tobagóba bejegyzett online kaszinóból kap naponta több visszautasíthatatlannak tűnő ajánlatot a mi slendriánságunk miatt. A nyomon követhetőség követelményét attól a pillanattól kell tudnunk teljesíteni, ahogy az adott adat bekerült az adatkezelésünkbe (pl. az ingatlantulajdonos közölte a közös képviselővel, mi az e-mail címe) és mindaddig fennáll ez a kötelezettségünk, ameddig le nem selejtezzük (meg nem semmisítjük) ezt az adatot és erről nincs írásos bizonyítékunk.
b) célhoz kötöttség elve: a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet és nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon.
Az adatokat mindig csak meghatározott célból gyűjthetjük – például ha egy iskola tanulmányi versenyre jelentkezés céljából kezeli a diákok adatait, akkor a tanulmányi versenyen induláshoz kezeli, ha osztálykiránduláson szállás foglalása céljából akkor abból, de mindig meg kell tudni mondaniuk, mi a konkrét adatkezelési cél. És nemcsak meg kell tudni mondani, hogy mi a cél, az érintettel közölt cél nem csereberélhető tetszés szerint, a versenyre jelentkezéshez gyűjtött adatokat nem használhatja fel az iskola szállásfoglalási célra és fordítva.
c) adattakarékosság elve: a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek és a szükségesre kell korlátozódniuk.
Mindig csak annyi adatot gyűjthetünk, amennyire feltétlen szükségünk van. Amennyiben például jogszabály mondja meg, milyen adatokat kell elkérnünk, akkor szigorúan ragaszkodnunk kell ezekhez az adatokhoz és ha például nem kéri a személyi igazolványszámot, akkor mi sem kérhetjük el. A hozzájárulásos adatkezelésnél nehezebb dolgunk van, mert az ilyen esetekben ritkán ad mankót jogszabály ahhoz, hogy milyen adatokban kell gondolkodnunk az adott adatkezelés célja eléréséhez, hanem nekünk kell eldöntenünk, melyek a feltétlen szükséges adatok. Ha például hírlevél szolgáltatást üzemeltetünk, akkor mindenképpen meg kell győződnünk arról, hogy a jelentkező elérte azt a korhatárt, ami felett már nem kell szülői beleegyezés ahhoz, hogy jogszerű legyen az adatainak a kezelése, így a születési évszám elkérése indokolható lehet. Azt azonban már nehezen tudnánk elfogadtatni a hatósággal egy vizsgálat során, hogy egy hírlevélre feliratkozáshoz miért is van szükségünk az érintett anyja nevére.
d) pontosság elve: a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük és minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatok haladéktalanul törölve vagy helyesbítve legyenek.
Ha adatokat gyűjtünk, akkor azok legyenek pontosak, különben nem biztos, hogy a célnak megfelelően használni is tudjuk azokat. Ha szól a szerződéses partnerünk, hogy megváltozott a számlázási (szállítási) címe, akkor nekünk is módosítani kell az adatainkat, különben nem tudunk szerződésszerűen számlázni (teljesíteni), ha pedig eleve elírt adat került bele a szerződésbe, amint tudomást szerzünk róla, szintén javítanunk kell. Jó ha tisztában vagyunk vele, a hibás, helytelen személyes adat is személyes adat.
e) korlátozott tárolhatóság elve: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig tegye lehetővé.
Az adatok egy tetemes része nem örökgaranciás, éppen ezért kell időről időre selejteznünk (adatot megsemmisítenünk). Nem azért kell kidobnunk a 12 évvel ezelőtt megszűnt irodatakarítási szerződést, mert nem férünk a szekrényben, hanem azért, mert az adatkezelés célja réges-régen megszűnt: nincs már garancia, a peresítés lehetősége is áll már fent, sőt már a szerződés alapján készült számlákat sem vizsgálhatja az adóhivatal.
Az selejtezés során gondoskodjunk arról, hogy csak olyan iratot selejtezzünk le jegyzőkönyvileg, amely nálunk volt (iktatókönyvben szerepelt), azaz utólagosan se bizonyítsunk magunkra jogosulatlan adatkezelést. Arra is mindig vigyázzunk, hogy az adatok nyomon követhetősége érdekében tudjunk arra az esetleges érintetti kérdésre válaszolni, miszerint mikor és hogyan szüntettük meg az érintettel kapcsolatos adatkezelést – például volt munkavállalónk esetében tudjuk teljes magabiztossággal négy évvel a kilépése után azt mondani, hogy már csakis azok az adatokat kezeljünk vele kapcsolatban, amelyek megőrzésére jogszabály kötelez minket, a jelenléti íveit meg a céges internet használatának ellenőrzésével kapcsolatos dokumentumokat pedig már megsemmisítettük.
Persze vezethetünk feketelistát („velük soha többé az életben nem szerződünk”) adatkezelési céllal, ennek az adatkezelésnek a célja azonban már teljesen más, mint az eredeti szerződéses célú volt – ebben az esetben az eredeti szerződést le kell selejteznünk és csak a személyes, az adott személy beazonosítására alkalmas minimális mennyiségű adatot tarthatjuk nyilván jogos érdekünk alapján. Ebben az esetben érdekmérlegelési tesztet kell végeznünk, amely során bebizonyítjuk, a feketelistánkon szereplő hanyag, dolgozni nem tudó személyt nem akarjuk többet látni az irodánkban, mert már a szimpla jelenléte is jelentős kárt okozhat a szervezetünknek (természetesen nyomdafestéket tűrő, szofisztikált megfogalmazást használva).
f) integritás és bizalmas jelleg elve: a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
A GDPR „összetolta” a jogszerű adatkezelést az adatbiztonsággal, azaz nemcsak arra kell ügyelnünk, hogy megfelelő, jogszerű célra hivatkozva, időben szavatos és helyes adatokat tartsunk nyilván, hanem arra is, hogy ezek az adatok mindaddig biztonságban legyenek, ameddig nálunk vannak – ha pedig kiderül, hogy erre képtelenek voltunk, akkor bizony előfordulhat, hogy önfeljelentés keretében az adatainkat ért adatvédelmi incidenst be kell jelentenünk a Hatóságnak.
A védelem módját és mértékét mindig nekünk kell eldöntenünk a szervezetünk sajátosságait figyelembe véve – egy kétfős irodától nem várható el, hogy Fort Knox szintű védelmet biztosítson, ám az adatkezelőnek kutya kötelessége, hogy minimum nehezen megfejthető jelszóval védje az adatbázisát, ne hagyja szanaszét a laptopját, gyakran végezzen biztonsági mentést és az iratokat se vigye ki a huzat az ajtón.
g) elszámoltathatóság elve: az adatkezelő felelős az a)-f) pontoknak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.
Összegezve az alapelveket:
- személyes adatot kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhetünk,
- az adatkezelésünknek az adatkezelés minden szakaszában meg kell felelnie az adatkezelés céljának, valamint az adatok felvétele és kezelése során tisztességesnek kell lennünk és a vonatkozó jogszabályok szerint kell eljárnunk,
- csak olyan személyes adatot kezelhetünk, amely az adatkezelésünk céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, valamint csak a cél megvalósulásához szükséges mértékben és ideig kezelhetjük azokat,
- az adatkezelés során biztosítanunk kell az adatok pontosságát, teljességét és – ha az adatkezelés céljára tekintettel szükséges – naprakészségét, valamint
- arról is gondoskodnunk kell, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani,
- ha pedig már nem tudunk célt rendelni az adatokhoz, az adatkezelést haladéktalanul meg kell szüntetnünk, az adatokat (iratokat, fájlokat) pedig bizonyítható módon meg kell semmisítenünk.
Hogyan feleljünk meg a GDPR előírásainak?
Hogyan váljunk GDPR-kompatibilissá? – Még a leghosszabb út is az első lépéssel kezdődik …
Annak ellenére, hogy a két évvel ezelőtti tavasz nemcsak a fecskéket meg az aranyat érő májusi esőt hozta meg, hanem a GDPR-t is és még a csapból is az adatvédelem folyt, csak kevesen érzik úgy, nem egy túlburjánzott esőerdőben bolyongnak valahol ott, ahol nagyon nem szeretnének lenni.
Pedig a GDPR valójában nem sok újdonságot tartalmaz, mondogatták a szakértők és ez teljesen igaz is lenne, ha a magyarok az elmúlt években rá lettek volna szoktatva arra, bizony az adatvédelem fontos és nemcsak akkor, amikor érintettként mi saját magunk szenvedjük el a felelőtlen adatkezelés hatásait, hanem akkor is, amikor mi kezeljük mások adatait. Vannak akik foggal-körömmel ragaszkodnak ahhoz, ők bizony jól kezelik az adatokat, aztán persze kiderül, etikusan még csak-csak, de jogszerűen egész biztosan nem. A GDPR bevezetése pedig mindenkit, aki adatkezeléssel foglalkozik, rákényszerít a rendrakásra. Mert a GDPR nem egy fiókba zárt szabályzat és nem is egy szerződéses záradék, a GDPR egy olyan szemlélet, amely az érintettek szempontjából kanyarogtatja végig velünk utunkat az úgy-ahogy GDPR-kompatibilissá válás labirintusában. Mert hiú reményünk ne legyen, a tökéletes megfelelés állapotát soha nem fogjuk elérni, de az elvárható tőlünk, hogy a legnagyobb gondossággal kezeljük a ránk bízott adatokat és tevékenységünkkel a lehető legkevesebb kárt okozzunk másoknak.
Ha rendet akarunk tenni saját házunk táján (iratszekrényeinkben, merevlemezeinken, felhőinkben, meg ahol csak adatokat raktározunk) akkor jobb, ha átgondoljunk, milyen sorrendben is fogjunk a szükséges feladatok végrehajtására. És vigasztaljuk magunkat, minél idősebb egy szervezet, bizony annál több adata van, ráadásul azok egy jó részéről a kutya sem tudja már, honnan került oda. Ha pedig nem akarunk magunknak a szükségesnél kétszer-háromszor több munkát, mint amennyivel mindenképpen meg kell birkóznunk, jobb ha előre megtervezzük a lépéseinket. Íme egy lehetséges forgatókönyv.
1. lépés: mivel foglalkozunk? Vonatkoznak ránk a GDPR adatvédelmi tisztviselő kötelező kinevezésével kapcsolatos rendelkezései? Ha igen, sürgősen keressünk egy olyan szakembert, aki elvállalja ezt a funkciót és jelentsük be a Hatóságnál. Az adatvédelmi tisztviselő (DPO) „beüzemelésével” ugyan nem nyugodhatunk meg, hogy immáron milyen rendben van, de a következő lépések megtervezésénél és kivitelezésénél már kérhetjük a tanácsát, azonban jobb ha tudjuk, a felelősség mindig az adatkezelőé, az adatvédelmi tisztviselő „csak” tanácsot ad, szakértelem-hiányos tisztviselő muszáj-kinevezésével pedig belekormányozzuk magunkat a vak vezet világtalant labirintusba.
Ha nem kötelező adatvédelmi tisztviselő, abban az esetben is megbízhatunk valakit ezen feladatok ellátásával, munkánkat a szakértelme nagyban meg fogja könnyíteni. Külső szakértőt is igénybe vehetünk, őt üzleti és magántitkaink tekintetében jogszabályban foglalt titoktartási kötelezettség terheli és tanácsadása tekintetében felelősségbiztosítást is elvárhatunk tőle.
2. lépés: hol vannak az adataink? Szedjük össze az adatkezeléseinket (azaz adatvagyonunkat), válogatás nélkül mindet, amink csak van. És higgyük el, több lesz, mint amennyit gondolunk, hiszen ott vannak a munkavállalókkal, ügyfeleinkkel-partnereinkkel kapcsolatos adatkezelések, aztán lehet honlapunk, kamerarendszerünk, hírlevelünk és tevékenységünktől függően egy rakás speciális nyilvántartás vezetésével is bíbelődhetünk nap mint nap. És nemcsak az adatkezeléseinket kell leltárba gyűjtenünk, hanem be kell azonosítanunk jogalap és adatáramlás szempontjából: kezelhetjük őket? kik az érintettek? átadjuk másoknak? meddig tárolhatók, mikor jár le a szavatosságuk?
3. lépés: mink van? Ha nem akarunk olyan adathalmazban elveszni, amely egy része már egészen biztosan nem jogszerűen van nálunk, például régen le kellett volna selejtezni vagy netalán elfelejtettünk annak idején hozzájárulást kérni az adatkezelésre. Ezt a folyamatot hívjuk az adatvagyonunk tisztításának, a végeredménye pedig az lesz, hogy végre újra elférünk az iratszekrényeinkben és a merevlemezeken (felhőkben, stb.) is felszabadul egy csomó hely. Ehhez meg kell határoznunk a tisztítási kritériumokat (lejárt szavatosság okán mi érett meg a megsemmisítésre), illetve azoknak az adatoknak a kezelését, amelyek kezeléséhez nem találunk jogalapot, meg kell szüntetnünk (szintén jöhet a megsemmisítés vagy a végleges törlés). Lehetnek azonban olyan adataink is, amelyeket annak ellenére nem akarunk kidobni, hogy nincs jogalapunk a kezelésére, ezek esetében utólagosa be kell szereznünk például az érintett hozzájárulását annak érdekében, hogy ne bonyolódjunk jogosulatlan adatkezelésbe.
4. lépés: mi kell? Ha végeztünk a tisztítással (azaz megszabadultunk mindentől, ami nem kell), elérkezett az idő a releváns adatvagyonunk meghatározására, azaz a GDPR-kompatibilis adatstruktúra meghatározására adatbázisok, nyilvántartások formájában és elkészíthetjük a viszonylag végleges adatvédelmi nyilvántartásunkat is. Meg kell határoznunk a GDPR szabályait figyelembe véve az adatáramlási folyamatainkat is, például mi kerül az adatfeldolgozóinkhoz (könyvelőhöz, vagyonőrhöz, futárszolgálathoz, stb.), valamint meg kell vizsgálnunk a külföldre adattovábbításaink jogszerűségét, illetve garanciáit. A GDPR mind az adatfeldolgozásnak, mind a külföldre továbbításnak nagy figyelmet szentel, így ez számunkra is kötelező, ha nem akarunk később magyarázkodni a Hatóságnak.
5. lépés: kikkel állunk kapcsolatban? Az érintettek igényeinek, kéréseinek megfelelés módját is meg kell határoznunk és ki kell dolgozunk a részleteket:
a) a hozzájáruló nyilatkozataink sablonját a GDPR követelményeihez kell igazítanunk (jogalap: hozzájárulás)
b) adatkezelési tájékoztatókat kell készítenünk online és offline (jogalap: szerződés, jogi kötelezettség, hozzájárulás, stb.)
c) egyes adatkezeléseink esetében érdekmérlegelési teszteket kell végeznünk, és nemcsak el kell végeznünk ezeket, hanem az eredményét dokumentálnunk is kell (jogalap: jogos érdek)
d) protokollt kell kidolgoznunk olyan esetekre, mint az érintettek kérdéseire válaszadás, adatvédelmi incidens kezelése, illetve incidens esetén az érintettek tájékoztatása, stb.
6. lépés: hol lehet baj? Az adatkezelés veszélyes üzem, ezért aztán a kockázatelemzést sem ússzuk meg és nemcsak beazonosítani kell a kockázatainkat, hanem nyilvántartani, figyelemmel kísérni és elemezni is. Be kell szereznünk az általunk használt szoftverek tanúsítványait („GDPR-megfelelés igazolása”) és az adatfeldolgozóinkkal is módosítanunk kell a szerződéseinket (felelősségek meghatározása, adatvédelmi incidens jelentése azonnal, a szerződés megszűnése esetén az adatok sorsa stb.). A GDPR megköveteli a kockázatcsökkentést, mint prioritást.
7. lépés: hogyan dolgozzunk? Egy-két összetettebb, GDPR szempontjából kényesebb feladatot meg kell terveznünk, például:
a) az adatkezelések folyamatát ki kell dolgoznunk (szabályzatok, adatkezelési sémák, folyamatábrák összeállítása, felelősségek meghatározása, munkaköri leírások módosítása, belső utasítások stb.)
b) át kell tekintetünk mindent, amire a GDPR vonatkozhat (iratkezelési szabályzat, használt nyomtatványaink, szerződés-sablonjaink stb.)
c) a szerződéseinket is aktualizálnunk kell (adatvédelmi záradékok és kiegészítések stb.)
d) adatbiztonsági intézkedéseket kell hoznunk (fizikai, logikai, szervezeti)
e) adatvédelmi incidens protokoll kell készítenünk és tesztelnünk
f) munkavállalókkal a szükséges tájékoztatókat ismertetnünk kell (pl. kamerarendszer, internethasználat, okos eszközök használata, GPS, titokvédelem stb. témában), a megismeréssel kapcsolatos nyilatkozatokat alá kell íratnunk, a konkrét munkavállalói ellenőrzéseket is meg kell terveznünk, különös tekintettel a munka törvénykönyvének előírásaira.
g) és azt is meg kell vizsgálnunk, hol tartunk, hova szeretnénk eljutni és a célunk megvalósítható-e a jelenlegi erőforrásaink felhasználásával és amennyiben nem, a hiányzó elemekre cselekvési tervet kell készítenünk időtáv, eszközök, célok és konkrét cselekvések meghatározásával.
8. lépés: Hol kezdjük? Ha túl nagy fába vágtuk a fejszénket, el kell döntenünk, hol oltunk tüzet és melyek azok a területek, amelyek várhatnak a sorukra. Rómát sem egy nap alatt építették, nekünk is idő kell, hogy az összes munkát elvégezzük, amit csak ránk ró az új típusú adatkezelésre átállás.
9. lépés: tanulni, tanulni, tanulni. Tudomásul kell vennünk, a GDPR nem egy éjszaka alatt elsajátítható tudás, ezért aztán nemcsak nekünk kell tanulunk, hanem a környezetünket is rá kell vennünk erre. Az új ismeretek befogadása mindenki számára kötelező, aki adatokkal foglalkozik, legyen az vezető, munkavállaló vagy bármilyen szintű-rangú adatgazda. A vezetők annyival rosszabb helyzetben vannak, hogy övék az adatkezeléssel kapcsolatos felelősség, amit ugyan szervezeten belül tolhatnak lefele, azonban a külvilág egyedül őket fogja tetemre hívni, senki mást.
10. lépés: az új rendszer bevezetése, azaz az alapelvek gyakorlatba ültetése, a belső szabályzatok, sémák és protokollok napi szinten használata, az érintettekkel kapcsolattartás GDPR-alapokra helyezése.
11. lépés: nyomon követés. A bevezetés még nem garantálja, hogy az első nap után majd a második nap is minden tökéletesen a nagykönyv (szabályzat) szerint fog történni – ha gondos családapaként akarunk eljárni, akkor bizony nyomon kell követnünk a folyamatokat és ellenőriznünk kell napi szinten, tényleg minden a lehető legnagyobb rendben megy-e.
12. lépés: ha valami elsőre nem sikerül. Ha az ellenőrzés során kiderül, bizony vannak hiányosságaink, kénytelenek vagyunk akár az első, akár a hatodik kockára visszatérni és újraértékelni a helyzetünket.
13. lépés: ne adjuk fel – ha egyedül nem megy, keressünk fel egy szakértőt, aki jártas az adatvédelmi és adatbiztonsági gyakorlatban és kérjük ki tanácsát.
dr. Albert Ágota adatbiztonsági és adatvédelmi szakjogász, adatvédelmi tisztviselő