Miért fontosak az alapelvek?
Az alapelvek segítenek abban, hogy jobban megértsük, miről is szól ez az egész adatvédelmi szabályrendszer, illetve ha bizonyos előírások értelmezésével gondunk van, akkor az alapelvek azok, amelyekhez kályhaként visszatérhetünk. Azt sem árt tudnunk, hogy már magáért az alapelvek megsértéséért is lehet büntetést kapni.
Melyek ezek az alapelvek?
- Jogszerűség, tisztességes eljárás és átláthatóság elve – azaz a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végeznünk. Ez azt jelenti, hogy
- egyrészt a személyes adatokat mindig úgy kell kezelnünk, hogy megfeleljünk a vonatkozó jogszabály előírásának – például, ha a társasházi törvény előírja, az ingatlan tulajdonosoknak milyen adatai kezelhetők, akkor ezen jogszabály rendelkezései alapján csakis ezeket az adatok kezelheti a közös képviselő. Ha olyan adatot akar kezelni, amelyre nem ad felhatalmazást a társasházi törvény, akkor vagy másik jogszabályi helyet kell találni, olyat, amelyben szerepel az adott adat kötelező kezelése, vagy másik jogalapra, például hozzájárulásra vagy jogos érdekre kell hivatkoznia.
- másrészt a kezelés közben tisztességesen kell eljárnunk – azaz például az ingatlan tulajdonosok és bérlők adatait nem adjuk ki biztosítás, utazás vagy bármi más tukmálásával foglalkozó ügynöknek még akkor sem, ha úgy gondoljuk, nagyon nagy szükségük van a tulajdonosoknak biztosításra, utazásra vagy bármi másra.
A tisztességes és átlátható adatkezelés megkívánja, hogy az adatokat úgy kezeljük, hogy azok nyomon következőek legyenek és az adatkezelésünkben érintett személy nem jut arra a sorsra, hogy Trinidad-Tobagóba bejegyzett online kaszinóból kap naponta több visszautasíthatatlannak tűnő ajánlatot a mi slendriánságunk miatt. A nyomon követhetőség követelményét attól a pillanattól kell tudnunk teljesítenünk, ahogy az adott adat bekerült az adatkezelésünkbe (például az ingatlantulajdonos közölte a közös képviselővel, mi az e-mail címe) és mindaddig fennáll ez a kötelezettségünk, ameddig le nem selejtezzük (meg nem semmisítjük) ezt az adatot és nemcsak eltüntettük a rendszerünkből, de erről van bizonyítékunk is (például jegyzőkönyv).
Mit jelent a jogszerűség? A GDPR alapján a jogszerűséghez a következők valamelyike szükséges:
- az érintett hozzájárulása,
- a szerződés szükségessége,
- jogszabályi kötelezettség,
- az érintett vagy más személy létfontosságú érdekei védelmének szükségessége,
- közérdekből elvégzendő feladat végrehajtásának szükségessége,
- az adatkezelő vagy valamely harmadik fél jogos érdekének szükségessége, amennyiben az érintett érdekei és jogai nem élveznek elsőbbséget.
Az egyik leggyakoribb büntetési ok a hatóságok gyakorlatában az érintett hozzájárulásának hiánya olyan adatkezelések esetében, melyek során megkövetelt lenne az, különösen igaz ez a mobil applikációkra és az azok által gyűjtött adatokra.
Mit jelent a tisztesség? Azt, hogy az adatkezelésünkben érintetteket tájékoztatnunk kell az adatkezeléssel kapcsolatos kockázatokról annak biztosítása érdekében, hogy az adatkezelésünknek ne legyenek előre nem látható negatív hatásai rájuk vonatkozóan (például ne diszkrimináljunk, a hozzájárulás ténylegesen önkéntes legyen stb.). Az adatvédelmi hatóságunk ezt a követelményt az alábbiak szerint fogalmazta meg: „Az adatkezelés tisztességes volta az adatkezelést meghatározó elv, az érintett magánszférájának, emberi méltóságának tiszteletben tartását jelentő követelmény. A tisztességes adatkezelés elve értelmében az érintett nem válhat kiszolgáltatottá az adatkezelővel vagy más személlyel szemben.” (NAIH-1743/2021)
Mit jelent az átláthatóság? Azt, hogy
- az adatkezelést megelőzően tájékoztatnunk kell az adatkezelésünkben érintetteteket többek között az adatkezelés céljáról, az adatkezelő kilétéről és címéről.
- az adatkezelés során be kell tartanunk a vonatkozó jogszabályokat és tájékoztatnunk is kell az érintetteket arról, mi, hogyan és miért történik.
- az adatkezelési műveletekre vonatkozó tájékoztatásunkat világosan és közérthetően kell megfogalmaznunk annak érdekében, hogy az érintettek könnyen megérthessék a szabályokat, kockázatokat, biztosítékokat és az érintetti jogaikat.
- az érintetteknek az adatkezelés helyén hozzá kell tudni férniük az adataikhoz.
A hatóságok előszeretettel bogarásszák át az adatkezelési tájékoztatókat, vajon hogyan, mi módon kezelik az adatkezelők az adatokat és meglehetősen sűrűn jutnak arra a következtetésre, hogy vagy nincs is adatkezelési tájékoztató, vagy ha van, annak tartalma messze nem elégíti ki a követelményeket.
- Célhoz kötöttség elve: a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet és nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon.
Az adatokat mindig csak meghatározott célból gyűjthetjük – például, ha egy iskola tanulmányi versenyre jelentkezés céljából kezeli a diákok adatait, akkor a tanulmányi versenyen induláshoz kezeli, ha osztálykiránduláson szállás foglalása céljából, akkor abból, de mindig meg kell tudnunk mondanunk, mi a konkrét adatkezelési célink. És nemcsak meg kell tudnunk mondanunk, hogy mi a célunk, az érintettel közölt cél nem csereberélhető tetszés szerint – a versenyre jelentkezéshez gyűjtött adatokat nem használhatja fel az iskola szállásfoglalási célra és fordítva.
Az, hogy egy cégtől vásároltunk például egy fejhallgatót még nem jogosítja fel ezt a céget, hogy megsorozzon minket hírlevél- és direkt marketing üzenet áradattal és arra sem hívhatja fel a figyelmünket, milyen számunkra egész biztosan szuper érdekes koncert lesz lakóhelyünktől járóföldnyi távolságra.
- Adattakarékosság elve: a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek és a szükségesre kell korlátozódniuk.
Az alapelv lényege, hogy mindig csak annyi adatot gyűjtsünk, amennyire feltétlen szükségünk van. Amennyiben például jogszabály mondja meg, milyen adatokat kell elkérnünk, akkor szigorúan ragaszkodnunk kell ezekhez az adatokhoz és ha például nem kéri a lakcímkártya számát akkor mi sem kérhetjük el. A hozzájárulásos adatkezelésnél nehezebb dolgunk van, az ilyen esetekben nekünk kell eldöntenünk, melyek a feltétlen szükséges adatok ahhoz, amit akarunk. Ha például hírlevél szolgáltatást üzemeltetünk, akkor mindenképpen meg kell győződnünk arról, hogy a jelentkező elérte azt a korhatárt, ami felett már nem kell szülői beleegyezés ahhoz, hogy jogszerű legyen az adatainak a kezelése, így a születési évszám elkérése indokolható lehet. Azt azonban már nehezen tudnánk elfogadtatni a hatósággal egy vizsgálat során, hogy egy hírlevélre feliratkozáshoz miért is van szükségünk az érintett anyja vagy a házikedvence nevére. Néha nehéz önmérsékletet gyakorolnunk az általunk begyűjteni kívánt adatmennyiség tekintetében, azonban a GDPR (vagy még inkább a hatóság) rákényszerít minket az igényeik korlátok közé szorítására.
- Pontosság elve: a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük és minden észszerű intézkedést meg kell tennünk annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatok haladéktalanul törölve vagy helyesbítve legyenek.
Ha adatokat gyűjtünk, akkor azok legyenek pontosak, különben nem biztos, hogy a célnak megfelelően használni is tudjuk azokat. Ha szól a szerződéses partnerünk, megváltozott a számlázási (szállítási) címe, akkor nekünk is módosítani kell az adatainkat, különben nem tudunk szerződésszerűen számlázni (teljesíteni), ha pedig eleve elírt adat került bele a szerződésbe, amint tudomást szerzünk róla, szintén javítanunk kell.
Jó, ha tisztában vagyunk azzal, még a hibás, helytelen személyes adat is személyes adatnak számít a GDPR alapján – még akkor is, ha az elírás azt eredményezi, hogy a megrendelt hűtő rossz címre fog megérkezni. Ennél azonban sokkal kellemetlenebb az, amikor valaki reggeli közben a saját boncolási jelentését olvassa az EESZT-ben, megint csak nem túl pontosan kezelt adatok miatt.
- Korlátozott tárolhatóság elve: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig tegye lehetővé.
Az adatok egy tetemes része nem örökgaranciás, éppen ezért kell időről időre selejteznünk (adatot megsemmisítenünk).
Nem azért kell kidobnunk a 12 évvel ezelőtt megszűnt irodatakarítási szerződést, mert nem férünk a szekrényben, hanem azért, mert az adatkezelés célja réges-régen megszűnt: elévült már minden követelés, a peresítés lehetősége sem áll már fent, sőt már a szerződés alapján készült teljesítésigazolásokat meg számlákat sem vizsgálhatja az adóhivatal.
- Integritás és bizalmas jelleg elve: a személyes adatok kezelését oly módon kell végeznünk, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
A GDPR nemcsak a jogszerű adatkezelést követeli meg, hanem az adatok biztonságát is – azaz nemcsak arra kell ügyelnünk, hogy jogszerű célra hivatkozva, időben szavatos és helyes adatokat tartsunk tisztességesen és átláthatóan nyilván, hanem arra is, hogy ezek az adatok mindaddig biztonságban legyenek, ameddig nálunk vannak. Ha pedig kiderül, hogy erre képtelenek voltunk, akkor bizony előfordulhat, hogy önfeljelentés keretében az adatainkat ért adatvédelmi incidenst be kell jelentenünk a Hatóságnak.
A védelem módját és mértékét mindig nekünk kell meghatároznunk a szervezetünk sajátosságait figyelembe véve – egy kétfős irodától nem várható el, hogy Fort Knox szintű védelmet biztosítson, ám az adatkezelőnek kutya kötelessége, hogy minimum nehezen megfejthető jelszóval védje az adatbázisát, ne hagyja szanaszét a laptopját, gyakran végezzen biztonsági mentést és az iratokat se vigye ki a huzat egyetlen nyílászárón sem.
- Elszámoltathatóság elve: az adatkezelőként felelősek vagyunk az 1-7 pontoknak való megfelelésért, továbbá képesnek kell lennünk e megfelelés igazolására is.
Mit tehetünk annak érdekében, hogy megfeleljünk az elszámoltathatóság elvének? Például
- nyilvántartásokat vezetünk. Ezek között lehet kötelező (például az adatvédelmi incidensek nyilvántartása) és van önként, saját belátásunk alapján felállított is (például az adattovábbítások nyilvántartása).
- még akkor is nevezhetünk ki adatvédelmi tisztviselőt, ha az nem kötelező, és nemcsak kinevezzük, de kikérjük és meg is fogadjuk a tanácsait.
- adatvédelmi hatásvizsgálatokat végzünk és kockázatkezelési eljárásokat dolgozunk ki olyan adatkezelések tekintetében, amelyek valószínűleg magas kockázatot jelentenek a természetes személyek jogaira és szabadságaira nézve
- biztosítjuk a beépített és alapértelmezett adatvédelmet
- adatvédelmi oktatásokat szervezünk
- belső szabályzatok hozunk létre, vezetünk be és tartunk/tartatunk be valamint a nevünkben adatokat kezelőktől (adatfeldolgozóktól és azok al-adatfeldolgozóitól) is megköveteljük a GDPR alapelveinek megfelelést.
- megfelelő szerződéskötési és adattovábbítási gyakorlatot alakítunk ki az adatmegosztások során
- adatvédelmi incidensek esetére megfelelő incidenskezelési gyakorlatot rendszeresítünk.