Amikor a Nagy Testvér figyel ...
occasionally subtle

#extradirty
Mike Driver
PUT YOUR BEARD IN MY MOUTH
Claire Keane
Keni

⁂
he wasn't even looking at me and he found me
Aqua Utopia|海の底で記憶を紡ぐ

★
I'd rather be in outer space 🛸
No title available
DEAR READER

izzy's playlists!
will byers stan first human second

Andulka
One Nice Bug Per Day
2025 on Tumblr: Trends That Defined the Year
let's talk about Bridgerton tea, my ask is open

tannertan36

seen from United States

seen from United States
seen from United States
seen from Germany

seen from United Kingdom
seen from Netherlands
seen from Italy
seen from Canada
seen from Canada
seen from United States

seen from United States
seen from Chile

seen from Türkiye
seen from Canada

seen from Malaysia
seen from Austria
seen from United Kingdom

seen from Denmark

seen from Mexico
seen from Mexico
@dralbertagota
Amikor a Nagy Testvér figyel ...
Hogyan feleljünk meg a GDPR előírásainak?
Hogyan váljunk GDPR-kompatibilissá? - Még a leghosszabb út is az első lépéssel kezdődik ...
Annak ellenére, hogy a két évvel ezelőtti tavasz nemcsak a fecskéket meg az aranyat érő májusi esőt hozta meg, hanem a GDPR-t is és még a csapból is az adatvédelem folyt, csak kevesen érzik úgy, nem egy túlburjánzott esőerdőben bolyongnak valahol ott, ahol nagyon nem szeretnének lenni.
Pedig a GDPR valójában nem sok újdonságot tartalmaz, mondogatták a szakértők ? és ez teljesen igaz is lenne, ha a magyarok az elmúlt években rá lettek volna szoktatva arra, bizony az adatvédelem fontos és nemcsak akkor, amikor érintettként mi saját magunk szenvedjük el a felelőtlen adatkezelés hatásait, hanem akkor is, amikor mi kezeljük mások adatait. Vannak akik foggal-körömmel ragaszkodnak ahhoz, ők bizony jól kezelik az adatokat, aztán persze kiderül, etikusan még csak-csak, de jogszerűen egész biztosan nem. A GDPR bevezetése pedig mindenkit, aki adatkezeléssel foglalkozik, rákényszerít a rendrakásra. Mert a GDPR nem egy fiókba zárt szabályzat és nem is egy szerződéses záradék ? a GDPR egy olyan szemlélet, amely az érintettek szempontjából kanyarogtatja végig velünk utunkat az úgy-ahogy GDPR-kompatibilissá válás labirintusában. Mert hiú reményünk ne legyen, a tökéletes megfelelés állapotát soha nem fogjuk elérni, de az elvárható tőlünk, hogy a legnagyobb gondossággal kezeljük a ránk bízott adatokat és tevékenységünkkel a lehető legkevesebb kárt okozzunk másoknak.
Ha rendet akarunk tenni saját házunk táján (iratszekrényeinkben, merevlemezeinken, felhőinkben, meg ahol csak adatokat raktározunk) akkor jobb, ha átgondoljunk, milyen sorrendben is fogjunk a szükséges feladatok végrehajtására. És vigasztaljuk magunkat, minél idősebb egy szervezet, bizony annál több adata van, ráadásul azok egy jó részéről a kutya sem tudja már, honnan került oda. Ha pedig nem akarunk magunknak a szükségesnél kétszer-háromszor több munkát, mint amennyivel mindenképpen meg kell birkóznunk, jobb ha előre megtervezzük a lépéseinket. Íme egy lehetséges forgatókönyv.
1. lépés: mivel foglalkozunk? Vonatkoznak ránk a GDPR adatvédelmi tisztviselő kötelező kinevezésével kapcsolatos rendelkezései? Ha igen, sürgősen keressünk egy olyan szakembert, aki elvállalja ezt a funkciót és jelentsük be a Hatóságnál. Az adatvédelmi tisztviselő (DPO) ?beüzemelésével? ugyan nem nyugodhatunk meg, hogy immáron minden rendben van, de a következő lépések megtervezésénél és kivitelezésénél már kérhetjük a tanácsát ? azonban jobb ha tudjuk, a felelősség mindig az adatkezelőé, az adatvédelmi tisztviselő ?csak? tanácsot ad, szakértelem-hiányos tisztviselő muszáj-kinevezésével pedig belekormányozzuk magunkat a vak vezet világtalant labirintusba.
Ha nem kötelező adatvédelmi tisztviselő, abban az esetben is megbízhatunk valakit ezen feladatok ellátásával, munkánkat a szakértelme nagyban meg fogja könnyíteni. Külső szakértőt is igénybe vehetünk, őt üzleti és magántitkaink tekintetében jogszabályban foglalt titoktartási kötelezettség terheli és tanácsadása tekintetében felelősségbiztosítást is elvárhatunk tőle.
2. lépés: hol vannak az adataink? Szedjük össze az adatkezeléseinket (azaz adatvagyonunkat), válogatás nélkül mindet, amink csak van. És higgyük el, több lesz, mint amennyit gondolunk, hiszen ott vannak a munkavállalókkal, ügyfeleinkkel-partnereinkkel kapcsolatos adatkezelések, aztán lehet honlapunk, kamerarendszerünk, hírlevelünk és tevékenységünktől függően egy rakás speciális nyilvántartás vezetésével is bíbelődhetünk nap mint nap. És nemcsak az adatkezeléseinket kell leltárba gyűjtenünk, hanem be kell azonosítanunk jogalap és adatáramlás szempontjából: kezelhetjük őket? kik az érintettek? átadjuk másoknak? meddig tárolhatók, mikor jár le a szavatosságuk?
3. lépés: mink van? Ha nem akarunk olyan adathalmazban elveszni, amely egy része már egészen biztosan nem jogszerűen van nálunk, például régen le kellett volna selejtezni vagy netalán elfelejtettünk annak idején hozzájárulást kérni az adatkezelésre. Ezt a folyamatot hívjuk az adatvagyonunk tisztításának, a végeredménye pedig az lesz, hogy végre újra elférünk az iratszekrényeinkben és a merevlemezeken (felhőkben, stb.) is felszabadul egy csomó hely. Ehhez meg kell határoznunk a tisztítási kritériumokat (lejárt szavatosság okán mi érett meg a megsemmisítésre), illetve azoknak az adatoknak a kezelését, amelyek kezeléséhez nem találunk jogalapot, meg kell szüntetnünk (szintén jöhet a megsemmisítés vagy a végleges törlés). Lehetnek azonban olyan adataink is, amelyeket annak ellenére nem akarunk kidobni, hogy nincs jogalapunk a kezelésére, ezek esetében utólagosa be kell szereznünk például az érintett hozzájárulását annak érdekében, hogy ne bonyolódjunk jogosulatlan adatkezelésbe.
4. lépés: mi kell? Ha végeztünk a tisztítással (azaz megszabadultunk mindentől, ami nem kell), elérkezett az idő a releváns adatvagyonunk meghatározására, azaz a GDPR-kompatibilis adatstruktúra meghatározására adatbázisok, nyilvántartások formájában és elkészíthetjük a viszonylag végleges adatvédelmi nyilvántartásunkat is. Meg kell határoznunk a GDPR szabályait figyelembe véve az adatáramlási folyamatainkat is, például mi kerül az adatfeldolgozóinkhoz (könyvelőhöz, vagyonőrhöz, futárszolgálathoz, stb.), valamint meg kell vizsgálnunk a külföldre adattovábbításaink jogszerűségét, illetve garanciáit. A GDPR mind az adatfeldolgozásnak, mind a külföldre továbbításnak nagy figyelmet szentel, így ez számunkra is kötelező, ha nem akarunk később magyarázkodni a Hatóságnak.
5. lépés: kikkel állunk kapcsolatban? Az érintettek igényeinek, kéréseinek megfelelés módját is meg kell határoznunk és ki kell dolgozunk a részleteket:
a) a hozzájáruló nyilatkozataink sablonját a GDPR követelményeihez kell igazítanunk (jogalap: hozzájárulás)
b) adatkezelési tájékoztatókat kell készítenünk online és offline (jogalap: szerződés, jogi kötelezettség, hozzájárulás, stb.)
c) egyes adatkezeléseink esetében érdekmérlegelési teszteket kell végeznünk, és nemcsak el kell végeznünk ezeket, hanem az eredményét dokumentálnunk is kell (jogalap: jogos érdek)
d) protokollt kell kidolgoznunk olyan esetekre, mint az érintettek kérdéseire válaszadás, adatvédelmi incidens kezelése, illetve incidens esetén az érintettek tájékoztatása, stb.
6. lépés: hol lehet baj? Az adatkezelés veszélyes üzem, ezért aztán a kockázatelemzést sem ússzuk meg és nemcsak beazonosítani kell a kockázatainkat, hanem nyilvántartani, figyelemmel kísérni és elemezni is. Be kell szereznünk az általunk használt szoftverek tanúsítványait (?GDPR-megfelelés igazolása?) és az adatfeldolgozóinkkal is módosítanunk kell a szerződéseinket (felelősségek meghatározása, adatvédelmi incidens jelentése azonnal, a szerződés megszűnése esetén az adatok sorsa stb.). A GDPR megköveteli a kockázatcsökkentést, mint prioritást.
7. lépés: hogyan dolgozzunk? Egy-két összetettebb, GDPR szempontjából kényesebb feladatot meg kell terveznünk, például:
a) az adatkezelések folyamatát ki kell dolgoznunk (szabályzatok, adatkezelési sémák, folyamatábrák összeállítása, felelősségek meghatározása, munkaköri leírások módosítása, belső utasítások stb.)
b) át kell tekintetünk mindent, amire a GDPR vonatkozhat (iratkezelési szabályzat, használt nyomtatványaink, szerződés-sablonjaink stb.)
c) a szerződéseinket is aktualizálnunk kell (adatvédelmi záradékok és kiegészítések stb.)
d) adatbiztonsági intézkedéseket kell hoznunk (fizikai, logikai, szervezeti)
e) adatvédelmi incidens protokoll kell készítenünk és tesztelnünk
f) munkavállalókkal a szükséges tájékoztatókat ismertetnünk kell (pl. kamerarendszer, internethasználat, okos eszközök használata, GPS, titokvédelem stb. témában), a megismeréssel kapcsolatos nyilatkozatokat alá kell íratnunk, a konkrét munkavállalói ellenőrzéseket is meg kell terveznünk, különös tekintettel a munka törvénykönyvének előírásaira.
g) és azt is meg kell vizsgálnunk, hol tartunk, hova szeretnénk eljutni és a célunk megvalósítható-e a jelenlegi erőforrásaink felhasználásával ? és amennyiben nem, a hiányzó elemekre cselekvési tervet kell készítenünk időtáv, eszközök, célok és konkrét cselekvések meghatározásával.
8. lépés: Hol kezdjük? Ha túl nagy fába vágtuk a fejszénket, el kell döntenünk, hol oltunk tüzet és melyek azok a területek, amelyek várhatnak a sorukra. Rómát sem egy nap alatt építették, nekünk is idő kell, hogy az összes munkát elvégezzük, amit csak ránk ró az új típusú adatkezelésre átállás.
9. lépés: tanulni, tanulni, tanulni. Tudomásul kell vennünk, a GDPR nem egy éjszaka alatt elsajátítható tudás, ezért aztán nemcsak nekünk kell tanulunk, hanem a környezetünket is rá kell vennünk erre. Az új ismeretek befogadása mindenki számára kötelező, aki adatokkal foglalkozik, legyen az vezető, munkavállaló vagy bármilyen szintű-rangú adatgazda. A vezetők annyival rosszabb helyzetben vannak, hogy övék az adatkezeléssel kapcsolatos felelősség, amit ugyan szervezeten belül tolhatnak lefele, azonban a külvilág egyedül őket fogja tetemre hívni, senki mást.
10. lépés: az új rendszer bevezetése, azaz az alapelvek gyakorlatba ültetése, a belső szabályzatok, sémák és protokollok napi szinten használata, az érintettekkel kapcsolattartás GDPR-alapokra helyezése.
11. lépés: nyomon követés. A bevezetés még nem garantálja, hogy az első nap után majd a második nap is minden tökéletesen a nagykönyv (szabályzat) szerint fog történni - ha gondos családapaként akarunk eljárni, akkor bizony nyomon kell követnünk a folyamatokat és ellenőriznünk kell napi szinten, tényleg minden a lehető legnagyobb rendben megy-e.
12. lépés: ha valami elsőre nem sikerül. Ha az ellenőrzés során kiderül, bizony vannak hiányosságaink, kénytelenek vagyunk akár az első, akár a hatodik kockára visszatérni és újraértékelni a helyzetünket.
13. lépés: ne adjuk fel - ha egyedül nem megy, keressünk fel egy szakértőt, aki jártas az adatvédelmi és adatbiztonsági gyakorlatban és kérjük ki tanácsát.
dr. Albert Ágota adatbiztonsági és adatvédelmi szakjogász, adatvédelmi tisztviselő
Miért fontosak a GDPR alapelvei?
Mi az a GDPR?
Képzeljünk el egy hatalmas szövetséges birodalmat, ahol rengeteg vár áll és mindegyikben egy-egy várparancsnok, azaz egy-egy adatkezelő uralkodik. Az ő feladata, hogy minden adatot, ami hozzá bekerül, megvédjen és nemcsak a külső támadóktól, hanem a belső támadóktól is. A játékszabályokat az európai adatvédelmi rendelet, azaz a birodalmi GDPR határozza meg, helyi kiegészítések pedig a szövetség tagjaira, azaz a tagállamok jogalkotására van bízva (Magyarország: Infotv.). A játékszabályok betartása felett a helyi felügyeleti hatóság (Magyarország: NAIH) és a bíróság őrködik, ha egy várparancsnok rosszul látja el a feladatát, törvényi szinten meghatározott eljárás lefolytatása után ők szabják ki a büntetést. Vannak még tanácsadók is, az adatvédelmi tisztviselők, ők segítik a várparancsnokokat feladatuk ellátásában.
Miért fontosak az alapelvek?
Az alapelvek segítenek abban, hogy jobban megértsük, miről is szól ez az egész adatvédelmi szabályrendszer, illetve ha bizonyos előírások értelmezésével gondunk van, akkor az alapelvek azok, amihez kályhaként visszatérhetünk. Azt sem árt tudnunk, hogy már magáért az alapelvek megsértéséért is lehet büntetést kapni.
Melyek ezek az alapelvek?
a) jogszerűség, tisztességes eljárás és átláthatóság elve: a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni.
A személyes adatokat
egyrészt mindig úgy kell kezelnünk, hogy megfeleljünk a vonatkozó jogszabály előírásának - például ha a társasházi törvény előírja, az ingatlan tulajdonosoknak milyen adatai kezelhetők, akkor ezen jogszabály rendelkezései alapján csakis ezeket az adatok kezelheti a közös képviselő (ha olyan adatot akar kezelni, amelyre nem ad felhatalmazást a társasházi törvény, akkor vagy másik jogszabályi helyet kell találni, olyat, amelyben szerepel, vagy másik jogalapot, például hozzájárulást vagy jogos érdeket),
másrészt a kezelés közben tisztességesen kell eljárnunk - azaz például az ingatlan tulajdonosok és bérlők adatait nem adjuk ki biztosítás, utazás vagy bármi más tukmálásával foglalkozó ügynöknek még akkor sem, ha úgy gondoljuk, nagyon nagy szükségük van biztosításra, utazásra vagy bármi másra.
A tisztességes és átlátható adatkezelés megkívánja, hogy az adatokat úgy kezeljük, hogy azok nyomon következőek legyenek és az adatkezelésünkben érintett személy nem jut arra a sorsra, hogy Trinidad-Tobagóba bejegyzett online kaszinóból kap naponta több visszautasíthatatlannak tűnő ajánlatot a mi slendriánságunk miatt. A nyomon követhetőség követelményét attól a pillanattól kell tudnunk teljesíteni, ahogy az adott adat bekerült az adatkezelésünkbe (pl. az ingatlantulajdonos közölte a közös képviselővel, mi az e-mail címe) és mindaddig fennáll ez a kötelezettségünk, ameddig le nem selejtezzük (meg nem semmisítjük) ezt az adatot és erről nincs írásos bizonyítékunk.
b) célhoz kötöttség elve: a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet és nem kezelhetők ezekkel a célokkal össze nem egyeztethető módon.
Az adatokat mindig csak meghatározott célból gyűjthetjük - például ha egy iskola tanulmányi versenyre jelentkezés céljából kezeli a diákok adatait, akkor a tanulmányi versenyen induláshoz kezeli, ha osztálykiránduláson szállás foglalása céljából akkor abból, de mindig meg kell tudni mondaniuk, mi a konkrét adatkezelési cél. És nemcsak meg kell tudni mondani, hogy mi a cél, az érintettel közölt cél nem csereberélhető tetszés szerint ? a versenyre jelentkezéshez gyűjtött adatokat nem használhatja fel az iskola szállásfoglalási célra és fordítva.
c) adattakarékosság elve: a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek és a szükségesre kell korlátozódniuk.
Mindig csak annyi adatot gyűjthetünk, amennyire feltétlen szükségünk van. Amennyiben például jogszabály mondja meg, milyen adatokat kell elkérnünk, akkor szigorúan ragaszkodnunk kell ezekhez az adatokhoz és ha például nem kéri a személyi igazolványszámot, akkor mi sem kérhetjük el. A hozzájárulásos adatkezelésnél nehezebb dolgunk van, mert az ilyen esetekben ritkán ad mankót jogszabály ahhoz, hogy milyen adatokban kell gondolkodnunk az adott adatkezelés célja eléréséhez, hanem nekünk kell eldöntenünk, melyek a feltétlen szükséges adatok. Ha például hírlevél szolgáltatást üzemeltetünk, akkor mindenképpen meg kell győződnünk arról, hogy a jelentkező elérte azt a korhatárt, ami felett már nem kell szülői beleegyezés ahhoz, hogy jogszerű legyen az adatainak a kezelése, így a születési évszám elkérése indokolható lehet. Azt azonban már nehezen tudnánk elfogadtatni a hatósággal egy vizsgálat során, hogy egy hírlevélre feliratkozáshoz miért is van szükségünk az érintett anyja nevére.
d) pontosság elve: a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük és minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatok haladéktalanul törölve vagy helyesbítve legyenek.
Ha adatokat gyűjtünk, akkor azok legyenek pontosak, különben nem biztos, hogy a célnak megfelelően használni is tudjuk azokat. Ha szól a szerződéses partnerünk, hogy megváltozott a számlázási (szállítási) címe, akkor nekünk is módosítani kell az adatainkat, különben nem tudunk szerződésszerűen számlázni (teljesíteni), ha pedig eleve elírt adat került bele a szerződésbe, amint tudomást szerzünk róla, szintén javítanunk kell. Jó ha tisztában vagyunk vele, a hibás, helytelen személyes adat is személyes adat.
e) korlátozott tárolhatóság elve: a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig tegye lehetővé.
Az adatok egy tetemes része nem örökgaranciás, éppen ezért kell időről időre selejteznünk (adatot megsemmisítenünk). Nem azért kell kidobnunk a 12 évvel ezelőtt megszűnt irodatakarítási szerződést, mert nem férünk a szekrényben, hanem azért, mert az adatkezelés célja réges-régen megszűnt: nincs már garancia, a peresítés lehetősége is áll már fent, sőt már a szerződés alapján készült számlákat sem vizsgálhatja az adóhivatal.
Az selejtezés során gondoskodjunk arról, hogy csak olyan iratot selejtezzünk le jegyzőkönyvileg, amely nálunk volt (iktatókönyvben szerepelt), azaz utólagosan se bizonyítsunk magunkra jogosulatlan adatkezelést. Arra is mindig vigyázzunk, hogy az adatok nyomon követhetősége érdekében tudjunk arra az esetleges érintetti kérdésre válaszolni, miszerint mikor és hogyan szüntettük meg az érintettel kapcsolatos adatkezelést - például volt munkavállalónk esetében tudjuk teljes magabiztossággal négy évvel a kilépése után azt mondani, hogy már csakis azok az adatokat kezeljünk vele kapcsolatban, amelyek megőrzésére jogszabály kötelez minket, a jelenléti íveit meg a céges internet használatának ellenőrzésével kapcsolatos dokumentumokat pedig már megsemmisítettük.
Persze vezethetünk feketelistát ("velük soha többé az életben nem szerződünk") adatkezelési céllal, ennek az adatkezelésnek a célja azonban már teljesen más, mint az eredeti szerződéses célú volt - ebben az esetben az eredeti szerződést le kell selejteznünk és csak a személyes, az adott személy beazonosítására alkalmas minimális mennyiségű adatot tarthatjuk nyilván jogos érdekünk alapján. Ebben az esetben érdekmérlegelési tesztet kell végeznünk, amely során bebizonyítjuk, a feketelistánkon szereplő hanyag, dolgozni nem tudó személyt nem akarjuk többet látni az irodánkban, mert már a szimpla jelenléte is jelentős kárt okozhat a szervezetünknek (természetesen nyomdafestéket tűrő, szofisztikált megfogalmazást használva).
f) integritás és bizalmas jelleg elve: a személyes adatok kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága, az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve.
A GDPR "összetolta" a jogszerű adatkezelést az adatbiztonsággal, azaz nemcsak arra kell ügyelnünk, hogy megfelelő, jogszerű célra hivatkozva, időben szavatos és helyes adatokat tartsunk nyilván, hanem arra is, hogy ezek az adatok mindaddig biztonságban legyenek, ameddig nálunk vannak - ha pedig kiderül, hogy erre képtelenek voltunk, akkor bizony előfordulhat, hogy önfeljelentés keretében az adatainkat ért adatvédelmi incidenst be kell jelentenünk a Hatóságnak.
A védelem módját és mértékét mindig nekünk kell eldöntenünk a szervezetünk sajátosságait figyelembe véve - egy kétfős irodától nem várható el, hogy Fort Knox szintű védelmet biztosítson, ám az adatkezelőnek kutya kötelessége, hogy minimum nehezen megfejthető jelszóval védje az adatbázisát, ne hagyja szanaszét a laptopját, gyakran végezzen biztonsági mentést és az iratokat se vigye ki a huzat az ajtón.
g) elszámoltathatóság elve: az adatkezelő felelős az a)-f) pontoknak való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására.
Összegezve az alapelveket:
személyes adatot kizárólag meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhetünk,
az adatkezelésünknek az adatkezelés minden szakaszában meg kell felelnie az adatkezelés céljának, valamint az adatok felvétele és kezelése során tisztességesnek kell lennünk és a vonatkozó jogszabályok szerint kell eljárnunk,
csak olyan személyes adatot kezelhetünk, amely az adatkezelésünk céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, valamint csak a cél megvalósulásához szükséges mértékben és ideig kezelhetjük azokat,
az adatkezelés során biztosítanunk kell az adatok pontosságát, teljességét és - ha az adatkezelés céljára tekintettel szükséges - naprakészségét, valamint
arról is gondoskodnunk kell, hogy az érintettet csak az adatkezelés céljához szükséges ideig lehessen azonosítani,
ha pedig már nem tudunk célt rendelni az adatokhoz, az adatkezelést haladéktalanul meg kell szüntetnünk, az adatokat (iratokat, fájlokat) pedig bizonyítható módon meg kell semmisítenünk.
dr. Albert Ágota adatbiztonsági és adatvédelmi szakjogász, adatvédelmi tisztviselő
Miért van szükség az adatvédelemben érintettek előzetes tájékoztatására?
A szükségesség érzete leginkább attól függ, éppen melyik oldalon állunk - ha adatkezelők vagyunk, akkor ez egy felesleges nyűg, amit a jogszabály a nyakunkba akaszt, ha viszont mi vagyunk egy adott adatkezelés érintettje máris más a helyzet. Amennyiben a mi bőrünkre megy a dolog, akkor bizony szeretjük tudni, hogy ki és hogyan garázdálkodik az adatainkkal és azt is joggal elvárhatjuk, ha megadjuk az e-mail címünket egy könyvesbolt hírlevelére jelentkezéskor, akkor nem fogja az e-mail fiókunkat elárasztani a levélszemét, amelynek nagy része olyan dolgokra akar minket csábítani, ami alap esetben még álmunkban sem jutna eszünkbe. Ugyanez vonatkozik a telefonszámunkra, hiszen akár számcserére is kényszerülhetünk egy balul elsült adatkezelés miatt, különösen ha kétes szolgáltatással foglalkozó szerencsevadászok akarnak bekeríteni minket a nap huszonnégy órájában a hét minden napján.
A tájékoztatási kötelezettség (illetve a jog a tájékoztatásra) nem a GDPR-szülte idegesítő találmány, az már az Info törvényünkben (2011. évi CXII. tv.) is benne volt ? és ha máshol nem, hát honlapok adatkezelési tájékoztatója formájában itt-ott találkozhattunk is ilyennel. Az adatvédelmi Hatóság is neuralgikus pontnak tartja az előzetes tájékoztatást és vizsgálataik során szeretik kikutatni, van-e nekünk, mint személyes adatok kezelőjének Adatvédelmi tájékoztatónk, és ha van, az jó-e bármire is? Azaz azt a célt szolgálja-e, amire a jogszabály szánta, vagy ugyan van, de nem tartalmazza azt a minimális információmennyiséget sem, amelyet kötelesek lennénk megosztani az adatkezelésünkben érintettekkel.
Miért is van szükség a tájékoztatásra? Azért, mert az érintett (azaz az a személy, aki az adatkezelésünk elszenvedője, vagy az lesz akár önként, akár muszájból), az előzetes és megfelelő tájékoztatás alapján képes felismerni azt, hogy az adott adatkezelés milyen hatással van az információs önrendelkezési jogára és a magánszférájára. Ha nem tájékoztatjuk őt megfelelően, bizony a Hatóság ránk sütheti a billogot azért, mert olyan "információs erőfölényt" alakítottunk ki, amely következtében az érintett jogai, érdekei sérülhetnek. Nekünk meg a pénztárcánk, ha a Hatóság emiatt jó nagy büntetést szab ki ránk. Ráadásul az egyik legkellemesebb szankcionálási mód - ki sem kell lépnie a hivatalnoknak az irodájából (sőt, még otthonról sem kell elmennie a Hatóság épületéig), csak honlapról honlapra kattintgatva végig kell ellenőriznie, mely honlaptulajdonosok adatkezelési tájékoztatója szenved erőteljes kihívásokkal. És ha fülön csípnek, egyáltalán nem biztos, hogy a "másé még rosszabb+ magyarázkodást érdemi védekezésnek fogadják el.
A tájékoztatás szükségessége azonban nemcsak a honlapokkal kapcsolatos adatkezelés során kerül elő, hanem az élet számos más területén is, például ha kamera- vagy beléptető rendszert üzemeltetünk vagy éppen szerződéses partnereink adatait kezeljük.
Amennyiben munkáltatók vagyunk, úgy a munkavállalóinkat is tájékoztatnunk kell a személyes adataik kezelésével kapcsolatban - például akkor, amikor erkölcsi bizonyítványt kérünk tőlük, a munkavégzéshez szükséges adataikat kezeljük és akkor is, ha szeretnénk a hivatalos e-mail fiók vagy mobiltelefon használatukat ellenőrizni, netalán az általuk használt céges autó GPS-adataira vagyunk kíváncsiak.
Adatkezelési tájékoztatót nem egyszerű készíteni, legalábbis ha minden jogszabályi kritériumnak meg kívánunk felelni.
Alaki követelmények:
a tájékoztatás egyszerű, szakzsargon használata nélküli legyen - ez nemcsak a jogi szövegre, hanem a szakmai tájékoztatásra is vonatkozik. A cél maga az ügyfélbarátság, azaz az adatvédelem kapcsán is mindig vegyük figyelembe, kivel állunk szemben.
az átlagfelhasználó számára is érthető legyen - még ha találunk is jogász ismerőst vagy mi búvárkodunk a paragrafusok között, akkor sem ismételhetjük meg a jogszabályt szolgai módon. Szép és hasznos dolog lehet a szó szerinti idézés, de nem ebben az esetben és az sem elfogadható, ha a lehető legdagályosabban megfogalmazott információtengerbe fojtjuk az érintetteket.
igazodjon az érintettek köréhez - törekedjünk hasonulni az érintettek nyelvhasználatához és ne csak a kulturális különbségeket vegyük figyelembe, hanem a generációsakat is (használt szókincs, stb.).
közvetlenül az egyénhez legyen eljuttatva, azaz nem dughatjuk el - a "faliújságon van a tájékoztatásunk kifüggesztve csak egy plakát véletlenül fölé került" ebben az esetben nem elfogadható magyarázkodás. Az általunk működtetett elektronikus kamerarendszerrel kapcsolatos tájékoztatónkat például illik oda kitennünk, ahol az érintettek még a megfigyelt területre belépés előtt megismerkedhetnek az adatkezelésünkkel kapcsolatos legalapvetőbb információkkal.
jól olvasható legyen - ez a követelmény vonatkozik a betűméretre (ne olyan betűnagysággal operáljunk, amelyre már látást sem élesítenek és a papírtakarékosság sem lehet indok), legyen olvasható a betűtípus is (szép lehet a folyóírás nyomtatva egy esküvői meghívón, de egy falragaszon vagy egy honlapon nem az igazi) és a strukturáltság sem árt (bekezdések, vastagítások a befogadhatóság érdekében, a faltól falig ömlesztett nyomtatást jobb, ha elfelejtjük),
minden részletre terjedjen ki (azaz ne hagyjuk ki a felét annak, amit bele kell írni), valamint
mindenképpen ismertesse a mi saját egyedi adatkezelésünket.
Ha idáig eljutottunk a követelmények átrágásában máris látható, hogy nincs egyszerű dolgunk.
A formai követelményeken túl a GDPR az alábbi tartalmi követelményeket támasztja a tájékoztatással kapcsolatban:
1. Amennyiben az érintettre vonatkozó személyes adatokat az érintettől gyűjtjük, a személyes adatok megszerzésének időpontjában az érintett rendelkezésére kell bocsátanunk a következő információk mindegyikét:
az adatkezelő adatai és elérhetősége (nevünk, e-mail és postai elérhetőségünk, telefonszámunk, holnap címünk),
a személyes adatok tervezett kezelésének célja (a lehető legkorrektebben meghatározva), valamint az adatkezelés jogalapja (lásd GDPR 6. cikk (1) bekezdés hat esetének valamelyike),
amennyiben az adatkezelés a mi vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges (kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek), abban az esetben a mi vagy harmadik fél jogos érdekei,
adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen,
adatkezelésre és adatfeldolgozásra jogosult személy,
adott esetben annak ténye, hogy harmadik országba vagy nemzetközi szervezet részére kívánjuk továbbítani a személyes adatokat,
az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:
a személyes adatok tárolásának időtartamát, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjait,
az érintett azon jogát, hogy kérelmezheti tőlünk a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását és tiltakozhat az ilyen személyes adatok kezelése ellen,
az érintett adathordozhatósági jogát,
jogszabály által meghatározott esetekben a hozzájárulás bármely időpontban való visszavonásához való jogot, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét,
a felügyeleti hatósághoz címzett panasz benyújtásának jogát,
azt, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása,
az automatizált döntéshozatal tényét, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információkat, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír (GDPR 13. cikk (1)-(2) bekezdés).
Amennyiben a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kívánunk végezni, a további adatkezelést megelőzően tájékoztatnunk kell az érintettet erről az eltérő célról és a jelen pontban említett minden releváns kiegészítő információról. Nem kell az érintettet tájékoztatnunk, ha és amilyen mértékben az érintett már rendelkezik az információkkal (GDPR 13. cikk (3)-(4) bekezdés).
2. Amennyiben a személyes adatokat nem az érintettől szerezzük meg, abban az esetben az érintett rendelkezésére kell bocsátanunk a következő információkat:
a mi, mint adatkezelő neve és elérhetőségei,
az adatvédelmi tisztviselő elérhetősége (ha van ilyenünk),
a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja,
az érintett személyes adatok kategóriái,
a személyes adatok címzettjei, illetve a címzettek kategóriái (ha van ilyen),
az adatok továbbításának tényét, címzettjeit,
az érintettre nézve tisztességes és átlátható adatkezelés biztosításához szükséges következő kiegészítő információkat:
a személyes adatok tárolásának időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai,
abban az esetben, ha az adatkezelés a mi vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges (kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek), a mi vagy harmadik fél jogos érdekei,
az érintett azon jogát, hogy kérelmezheti tőlünk a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat a személyes adatok kezelése ellen,
az érintett adathordozhatósághoz való jogát,
jogszabály által meghatározott esetekben a hozzájárulás bármely időpontban való visszavonásához való jogot, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét,
felügyeleti hatósághoz címzett panasz benyújtásának jogát,
a személyes adatok forrását és adott esetben azt, hogy az adatok nyilvánosan hozzáférhető forrásokból származnak-e, és
az automatizált döntéshozatal tényét (ideértve a profilalkotást is), valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információkat, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír (GDPR 14. cikk (1)-(2) bekezdés).
A tájékoztatást az alábbiak szerint kell megadnunk:
a személyes adatok kezelésének konkrét körülményeit tekintetbe véve a személyes adatok megszerzésétől számított észszerű határidőn, de legkésőbb egy hónapon belül,
ha a személyes adatokat az érintettel való kapcsolattartás céljára használjuk, legalább az érintettel való első kapcsolatfelvételünk alkalmával, vagy
ha várhatóan más címzettel is közöljük az adatokat, legkésőbb a személyes adatok első alkalommal való közlésekor (GDPR 14. cikk (3) bekezdés).
Amennyiben a személyes adatokon a megszerzésük céljától eltérő célból további adatkezelést kívánunk végezni, a további adatkezelést megelőzően tájékoztatnunk kell az érintettet erről az eltérő célról és a jelen pontban említett minden releváns kiegészítő információról. (GDPR 14. cikk (4) bekezdés).
Nem kell az érintettet tájékoztatnunk, ha
az érintett már rendelkezik az információkkal,
a szóban forgó információk rendelkezésre bocsátása lehetetlennek bizonyul vagy aránytalanul nagy erőfeszítést igényelne,
az adat megszerzését vagy közlését kifejezetten előírja olyan jogszabály, amely az érintett jogos érdekeinek védelmét szolgáló megfelelő intézkedésekről rendelkezik, vagy
a személyes adatoknak valamely jogszabályban előírt szakmai titoktartási kötelezettség alapján (ideértve a jogszabályon alapuló titoktartási kötelezettséget is), bizalmasnak kell maradnia (GDPR 14. cikk (5) bekezdés).
Amennyiben az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely vonatkozó jogszabályon alapul, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az alábbiakat kell irányadónak tekintetünk:
a személyes adatok gyűjtésének céljai és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat,
a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és a Kamara közötti kapcsolatokra,
a személyes adatok jellegét, különösen pedig azt, hogy a személyes adatok különleges kategóriáinak kezeléséről van-e szó
azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése,
megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.
Ezek után csodálkozunk, hogy egy egyszerű honlap előzetes tájékoztatója akár 9-10 oldal is lehet? De a munkavállalók internethasználatának ellenőrzésével kapcsolatos tájékoztatót sem ússzuk meg egy oldallal, hiszen a nyolcas betűnagyság extra szűk betűtípussal meg a lap élére írás hatóságilag kilőve. És csak reménykedhetünk, hogy a Hatóság szerint is majdnem tökéletes a művünk (amennyiben vizsgálja, mit sikerült összehoznunk).
Felmerül a kérdés, hogy hol legyen lehelyezve az adatkezelési tájékoztatónk? Ha van honlapunk, akkor el kell helyeznünk azon (de nem eldugva valahová egy sarokba, hanem fejlécből/láblécből közvetlenül elérhető módon), ha nincs netes megjelenésünk, akkor a székhelyünkön, üzletünkben stb. kell ilyet kinyomtatva tartanunk annak érdekében, hogy bármikor, bárkinek oda tudjuk adni tanulmányozás céljából.
A különböző témájú rövidebb tájékoztatóinkban is utalhatunk a hosszabbra és részletesebbre, de ez nem azt jeleni, hogy az adatkezelési tájékoztatóra hivatkozással teljes mértékben megúszhatjuk a konkrét adatkezeléssel kapcsolatos előzetes tájékoztatást.
dr. Albert Ágota adatbiztonsági és adatvédelmi szakjogász, adatvédelmi tisztviselő
Mikor és hogyan működtethetünk kamerarendszert?
A GDPR salátatörvény hatályba lépése óta (2019. április 26.) jelentősen megváltozott a kamerarendszer működtetési feltételeinek hazai szabályozása (lásd 2005. évi CXXXIII. tv., továbbiakban Szvtv.), a módosítás célja pedig a vagyonvédelmi törvény GDPR rendelkezéseihez igazítása volt.
A jelenleg hatályban lévő szabályzás alapján kamerarendszert a GDPR szabályainak figyelembevételével szerelhetünk fel kép, hang, illetve kép-és hangrögzítést lehetővé tevő elektronikus eszközt székhelyünkön, telephelyünkön, üzletünkben, társasházban, illetve az általunk használt helyiségekben, vagy bármilyen egyéb ingatlanon. Korábban az Szvtv. tételesen felsorolta, hogy milyen esetekben folyamodhatunk ehhez a megoldáshoz (pl. emberi élet, testi épség, személyi szabadság védelme, veszélyes anyagok őrzése stb.), a GDPR óta az alapelveknek megfelelést kell bizonyítanunk (célhoz kötöttség, adattakarékosság stb.), illetve az adatkezelés szükségességét, valamint az adatkezelésünk során az érintettek jogainak és szabadságainak korlátozása tekintetében az arányosságot.
Egy társasház esetében például a szükségesség-arányosság érdekében felhozhatjuk az alábbi indokokat:
a környék közbiztonsága hagy némi kihívást maga után, rendszeresek a betörések, besurranó tolvajlások és a tulajdonosok, bérlők joggal aggódhatnak saját vagyonuk, de akár testi épségük biztonsága miatt,
a közös tulajdon vagyonvédelme is fontos (lépcsőházi világítás rendszeres tönkretétele, postaládák felfeszítése stb.) és
aggódhatunk a testi épség miatt is, hiszen soha nem tudhatjuk, a kapualjban hogyan feszülhetnek egymásnak az indulatok (azaz ki kit üt meg megsértődve azon, hogy a biciklijét csak másodiknak tolhatta be, netalán a kutyák hogyan feszültek egymásnak és marakodtak össze a gazdikat is veszélyeztetve),
de történhetnek olyan bosszantó ?apróságok? is, amelyek hosszabb távon a lakók idegeit borzolják, de nagyon (lépcsőházi fikusz meglovasítása, lábtörlők eltűnése, grafiti, kutyapiszok a lépcsőfordulóban stb.).
Természetesen a fentieken kívül számos okunk lehet még kamerarendszer üzemeltetésére, azonban mindig ügyelnünk kell arra, hogy a szükségesség-arányosság elvét betartsuk és a használt eszköz (kamerarendszer, azaz az elektronikus megfigyelés) alkalmas legyen az adatkezelési célunk megvalósítására és ne legyen olyan másik eszköz, amely kevésbé beavatkozva az érintettek privát szférájába ugyanazt az eredményt hozná (például a társasház kapujának éjjel-nappal kulcsra zárásának megkövetelése, kaputelefon üzemeltetése stb.)
A megfigyelőrendszer üzemeltetése nem könnyű abban az esetben, ha be akarunk tartani minden jogszabályi és hatósági kívánságot. Egyetlen kameránk
a) sem figyelhet közterületet (azaz a kameránk nem nézhet ki például a kapunkon és a fél utcát sem fedhetjük le a kameránkkal, bármennyire is szeretnék ezt),
b) sem figyelhet kizárólag egy munkavállalót és az ő tevékenységét (azaz nem állíthatjuk be úgy, hogy egész nap a recepcióst vegye), de nem figyelheti például társasházban közvetlenül a lakások ajtóit-ablakit sem,
c) célja sem lehet a munkavállalók munkahelyi viselkedésének a befolyásolása (azt hogy dolgozzon és ne a telefonját nyomkodja munkaidőben, ezt a célt más módon kell elérnünk)
d) sem szerelhető fel öltözőben, zuhanyzóban, illemhelyiségben, emberek ellátására szolgáló orvosi szobában és az ehhez tartozó váróban, valamint olyan helyiségben sem, amelyben a munkavállalók a munkaközi szünetüket töltik. Csak néhány esetében lehet kivételt tenni, például amikor a kamera látószöge csakis az általunk védeni kívánt vagyontárgyra irányul (mondjuk a már többször megrongált, drága kávéautomatára), vagy ugyan van kamera felszerelve, de csak akkor készíthet az felvételt, amikor jogszerűen senki sem tartózkodhat a helyiségben (például munkaidőn kívül).
Az elektronikus megfigyelőrendszer alkalmazhatóságának abszolút korlátja az emberi méltóság tiszteletben tartása, valamint ami még nagyon fontos, nekünk, földi halandóknak tilos rejtett kamerát használnunk.
Az elektronikus eszköz által rögzített felvételen nemcsak az azon szereplő személy képmását és hangját, hanem a magatartását és az abból levonható következtetést is személyes adatnak kell tekintenünk. Azért, mert valaki arca nem látszik a képen még nem biztos, hogy nem felismerhető az illető, hiszen például sántíthat úgy, hogy a ház lakóinak kétharmada egész biztos felismerné és 99%-os magabiztossággal állítaná, a második emelet kettő szám alatt lakó középkorú férfi settenkedett éjszaka az udvarban. Sőt, a rendszám is személyes adatnak minősül, erre feltétlen ügyelnünk kell akkor, ha például a céghez vagy éppen a társasházhoz tartozó parkolót, garázst is figyeljük.
Elektronikus megfigyelőrendszer alkalmazása során az adatkezelés jogalapja (általában) a jogos érdekünk (esetleg harmadik személy jogos érdeke). A megfigyelőrendszerrel kapcsolatos adatkezelés megkezdése előtt minden esetben érdekmérlegelési tesztet kell készítenünk és ennek eredményéről tájékoztatnunk is kell az érintetteket. Sőt, ha kifejezetten kéri az érintett ezt az érdekmérlegelési tesztet, akkor - a hatóság gyakorlatát figyelembe véve - ezt rendelkezésére kell bocsátanunk, nem mondhatjuk az, hogy nincs köze hozzá.
Az előzetes tájékoztatásnak minden érintettre ki kell terjednie, az érintetteket lehetőleg már a megfigyelt területre belépés előtt figyelmeztetnünk kell az adatkezelésre (a kamerarendszer működésére). Nem elég csak egy piktogram kihelyezése, a tájékoztatónak alapvető információkat kell tartalmaznia az adatkezeléssel kapcsolatban (pl. adatkezelő személye, elérhetősége stb.)
A megfigyelt területen minden egyes kameránál jól látható helyen figyelemfelhívó tájékoztatást (jelzést) kell elhelyeznünk. Ezt a tájékoztatást minden egyes, a megfigyelt területen elhelyezett kamerával kapcsolatban meg kell adnunk (azaz annyi kis táblácskát kell kitennünk, ahány helyiséget, egyéb területet, pl. udvart megfigyelünk). Amennyiben álkamerát szerelünk fel, a tájékoztatásnak ki kell terjednie arra a tényre, hogy a kamera nem készít felvételt (hogy ebben az esetben minek rakunk fel álkamerát, már más kérdés).
Munkavállalók esetében ügyelnünk kell arra, hogy a régi és az új munkavállalóinkat is írásban, utólag is igazolható módon kell tájékoztatnunk a megfigyelőrendszerünkről, ennek a tájékoztatónak pedig kötelező tartalma a GDPR 13. cikke alapján:
a) az adatkezelésünk, azaz a felvétel készítésének jogalapja (GDPR 6. cikk (1) bekezdés valamelyik pontja),
b) az egyes kamerák elhelyezése és célja, az általuk megfigyelt terület és/vagy tárgy, valamint az, hogy a kamera közvetlenül vagy rögzítetten figyel-e (ezt foglaljuk táblázatba, ebben az esetben minden egyes kameránál minden egyes adatot egész biztosan megadunk és semmit sem hagyunk ki)
c) az üzemeltető (jogi vagy természetes) személy megnevezése, valamint az adatkezelő és az adatfeldolgozó személye (amennyiben biztonsági cég foglalkozik a felvételek tárolásával és adott esetben feldolgozásával, ez a cég adatfeldolgozónak számít, tehát ennek megfelelő tartalmú szerződést kössünk velük),
d) a felvételt hol és meddig tároljuk, valamint a felvételek tárolásával kapcsolatban milyen adatbiztonsági intézkedéseket teszünk,
e) ki mikor és hogyan nézheti meg a felvételeket, hogyan használhatja fel azokat, illetve kinek, mikor, hogyan és milyen célból továbbíthatók a felvételek (ezen a téren különösen óvatosan kell eljárnunk, ez a pont igazi banánhéj az adatkezelésünk szempontjából),
f) melyek a munkavállalóink jogai és hogyan tudják ezeket gyakorolni, valamint hol és hogyan tiltakozhatnak adatkezelésünk ellen, valamint hol tehetnek panaszt, illetve
g) a munkavállalóink az információs önrendelkezési joguk megsértése esetén milyen jogérvényesítési eszközöket vehetnek igénybe velünk szemben.
A tájékoztatót külön dokumentum formájában írassuk alá a munkavállalóinkkal és annak egy (aláírt) példányát helyezzük el a személyi anyagukban ezzel igazolva, hogy a megfigyelőrendszerrel kapcsolatban a tájékoztatási kötelezettségünknek eleget tettünk.
Az ügyfeleink, látogatóink tájékoztatása céljából jól látható helyen és módon tájékoztatót kell kihelyeznünk, valamint figyelmeztetnünk kell őket arra, hogy jogos érdekünk alapján készítünk felvételt, ez ellen pedig tiltakozhatnak.
Ennek a tájékoztatónak is meg kell felelnie az előzetes tájékoztatás követelményeinek, azaz nem dőlhetünk hátra a kis táblácskák kihelyezésével, hogy bizony mi mindent megtettünk, amit a jogszabály előír.
A kamerarendszer működtetésének feltételeit külön szabályzatban kell szabályoznunk, beleértve olyan részleteket is például, hogy
a felvételekhez ki férhet hozzá,
ki mikor milyen jogosítványokkal rendelkezik,
az érintettek hogyan gyakorolhatják hozzáférési jogukat,
milyen határidőkkel kell számolnunk,
a felvételek végletes törléséről ki győződik meg, azt ki felügyeli
milyen esetben nézhetőek vissza a felvételek és erre kiadhat engedélyt, illetve
a szükséges formanyomtatványokat is mellékelnünk kell a szabályzathoz (felvétel megtekintésének kérelmezése és engedélyezése, esemény napló, felvétel megsemmisítési jegyzőkönyv, stb.
A rögzített felvételeket régebben alapszabályként három munkanapig tárolhattuk, kivéve akkor, ha jogszabály többet engedélyezett (ekkor harminc, illetve hatvan napig lehetett tárolni). Ezeket a határidőket a salátatörvény kivette az Szvtv-ből, így az adatkezelőre hárul annak meghatározása, meddig kívánja őrizni a felvételeket, különös tekintettel a GDPR alapelveire. A felügyeleti Hatóság felé a tárolási időtartammal kapcsolatos döntésünket megfelelő érvekkel alá kell tudnunk támasztanunk. Amennyiben a Hatóság az érvrendszerünket nem fogadja el, illetve eleve sem bajlódtunk adatkezelésünk megfelelő alátámasztásával (például nem végeztünk érdekmérlegelési tesztet), abban az esetben jogosulatlan adatkezelésért igen komoly büntetésre számíthatunk.
Az elektronikus megfigyelőrendszer működése útján rögzített kép-, hang-, valamint kép- és hangfelvétel megismerésének okát és idejét, valamint a megismerő személyét jegyzőkönyvben kell rögzíteni. Az ezen adatokat igazolható módon tartalmazó elektronikus nyilvántartás is jegyzőkönyvnek minősül.
Amennyiben a felvételen szereplő személy kéri tőlünk a rá vonatkozó felvétel másolatának kiadását, azon azonban másik érintett is látható (azaz más érintett személyes adatait is tartalmazza a felvétel), akkor a másolatot nem adhatjuk ki, illetve csak akkor, ha a felvételen szereplő összes személy korrekt előzetes tájékoztatás után hozzájárult ahhoz. Megoldás lehet még a felismerhetetlenné tétel (kikockázás, elhomályosítás stb.), illetve az, hogy részletesen leírjuk, ki mit csinált a felvételen, de magát a felvételt nem adjuk ki. Megkérhetjük az érintettet, hogy illetékes helyen kezdeményezzen olyan eljárást, amelynek keretében hivatalosan ki tudjuk adni a felvételt, mi pedig az átadásig korlátozzuk azt (pl. kimentjük azt egy külön fájlban és elkülönítve, jelszóval védve tároljuk stb.). Adatkezelésünkben nem érintett is kérheti a felvételt, ebben az esetben alaposan meg kell fontolnunk, kiadjuk-e, és ha igen, akkor hogyan adjuk ki a másolatot. Mikor fordulhat elő ilyen? Például akkor, ha a társasházunk kapualjában lévő postaládába a postás erőteljesen visszadátumozott értesítőt dobott be (ezzel lehetetlenné téve hivatalos irat kézbesítését) és egy, a munkáltatóhoz érkezett panasz alapján a posta szeretné az ügy kivizsgálásához kikérni a felvételt.
A felvétel megnézésére jogosult személyek körét is meg kell határoznunk a szabályzatunkban. A kamerarendszer szabályos működtetésének utólagos bizonyítása érdekében vezessünk eseménynaplót, melybe (például) a következő eseményeket jegyezhetjük be:
megtekintés,
korlátozás,
érintetti hozzáférési jog gyakorlása,
másolat kérése, készítése és kiadása,
adattovábbítás,
törlés, valamint
egyéb események,
illetve az ezekkel az eseményekkel kapcsolatos
időpontok,
személyek (adatkezelő, adatfeldolgozó, érintett, címzettek köre), valamint
a felvételt is nevezzük meg (pontosan beazonosíthatóan), amellyel kapcsolatban az adott esemény történt.
Amennyiben a felvételt továbbítjuk harmadik személynek (pl. hatóságnak vagy bíróságnak), ezt az adattovábbítási nyilvántartásunkba - a továbbítás garanciáinak megjelölésével -mindenképpen be kell vezetnünk.
Fontos: amennyiben a hazai szabályozás és a GDPR ütközik, a GDPR szabályai az irányadóak!
dr. Albert Ágota adatvédelmi és adatbiztonsági szakjogász, adatvédelmi tisztviselő
Röviden a fényképekkel, videófelvételekkel kapcsolatos adatkezelésről
"A pillanat elszáll, a megörökítéséhez szükséges hozzájárulást viszont őrizni kell"
Mit kell tudnunk az álló- és mozgóképek és a GDPR kapcsolatáról?
Először is azt, hogy a fénykép és a videofelvétel bizony személyes adat, amennyiben az természetes személyt ábrázol. (Megjegyzés: a továbbiakban az álló- és mozgókép mint képmás illetve felvétel egy kalap alá kerül az egyszerűség kedvéért, ahol a megítélésükben eltérés van, ott ez külön szóba kerül).
A GDPR szerint személyes adatnak számít az azonosított vagy azonosítható természetes személyre (érintettre) vonatkozó bármely információ. A meghatározás alapján kézenfekvő a kérdés, és ki az azonosítható természetes személy? Az, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható.
A képmás (álló- vagy mozgókép) ezek után mindenképpen személyes adat, hiszen tökéletesen azonosíthatóak vagyunk a képmásunk alapján. Ha ez nem így lenne, mi célt szolgálnának a körözési fotók? Sőt, még a kamerafelvételen látható magatartásunk is személyes adatnak számít. Itt ugyan lehetnek kétségeink, hogy hátulról sötétben egy mozgó paca mennyiben tekinthető személyes adatnak, de van az a személy, aki még a mozgó elmosódott folt alapján is beazonosítható! Gondoljunk csak arra az esetre, amikor a falusi kisbolt mozgóképen megörökített betörője pontosan ugyanúgy sántít, mint a Fő utca kettőben lakó fickó, de a gyermekünk tanárát is felismerjük az osztályvideón még akkor is, ha csak hátulról látjuk.
Ha ezek után még valaki mer kételkedni, az Infotv. adatkezelés-fogalom meghatározása végképp meggyőzi, miszerint az adatkezelés az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen
gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása,
lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása,
törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása,
fénykép-, hang- vagy képfelvétel készítése, valamint
a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése.
Ha tehát fénykép, akkor GDPR, akár akarjuk, akár nem, azonban ez esetben nem hibáztatjuk a külhoni bürokratákat, mert már 2018. május 25. előtt is igen szigorú szabályok vonatkoztak hazánkban az álló- és mozgókép készítésére valamint felhasználásra. A jelenleg hatályos Polgári Törvénykönyvünk is kimondja, hogy képmás vagy hangfelvétel elkészítéséhez és felhasználásához az érintett személy hozzájárulása szükséges. Kivétel az a helyzet, amikor tömegfelvételről és nyilvános közéleti szereplésről készült felvételről van szó. A technika előhaladásával lehet azon vitatkozni, hogy mikortól tömegfelvétel a tömegfelvétel és az egyre nagyobb pixelszámot felhasználva mi van akkor, ha a tömegfelvételből személy azonosítására alkalmas egyéni felvétel varázsolható, ezért ha kétségünk van abban a tekintetben, hogy jogszerűen járunk-e el a felvétel közzétételénél, határozzuk meg mi a felbontást. A tömegkép maradjon tömegkép és ne rakjunk fel a honlapunkra olyan mértékben nagyítható felvételeket, ahol az előadáson az ötödik sor második székén ülő illető fogsoráról látszik, hogy dohányzik-e az illető vagy sem. Ha pedig mégis ilyen képekkel szeretnénk elárasztani a netet, akkor szerezzük be az érintettek hozzájárulását.
Mankóul szolgálhat még a korábbi bírói gyakorlat, miszerint "a képmás nyilvánosságra hozatalának tilalma nem vonatkozik a nyilvános eseményekről, rendezvényekről, táj- és utcarészletekről készült felvételekre, amikor tehát az ábrázolás módja nem egyéni, amikor a felvétel összhatásában örökít meg a nyilvánosság előtt lezajlott eseményeket (1985)."
A Hatóság is hasonló állásponton van, eszerint ha olyan felvételt készítünk például egy nyílt rendezvényen, amelyeken sok jelenlévő látható, és a felvételen az ábrázolás módja nem egyedi, úgy ez a nyilvános rendezvényen készült felvétel tömegfelvételnek minősül, azaz a rendező szervezet honlapján közzétételhez nem feltétlen szükséges az érintettek hozzájárulását beszerezni. A Hatóság tanácsa, hogy minden egyes felvétel esetében külön-külön meg kell vizsgálnunk, hogy az tömegfelvételnek minősül-e, mert ha nem, mindenképpen szükséges a közzétételhez az érintettek hozzájárulása.
Ami feltétlen kell a fényképek és videófelvételek jogszerű kezeléséhez, az a hozzájárulás
A GDPR alapján a hatból az egyik adatkezelési jogalapunk a hozzájárulás és felvételek készítése esetén erre bizony nagy szükségünk is van. A felvételek esetén ráadásul rögtön minimum két hozzájárulást is kell kérnünk, az egyiket a felvétel készítéséhez, a másikat pedig a nyilvánosságra hozatalhoz, ezen kívül mindig figyelmeztetnünk is kell az érintettet a hozzájárulás visszavonásának lehetőségére.
Arra azonban vigyázzunk, hogy a hozzájárulás nem lehet bármilyen, tartalmát illetően szigorú jogszabályi követelményei vannak. A hozzájárulásnak
megfelelő tájékoztatáson kell alapulnia,
önkéntesen és egyértelmű megerősítő cselekedettel kifejezett nyilatkozatnak kell lennie,
bizonyíthatónak is kell lennie.
Fontos tehát, hogy
előre eláruljuk, mire szeretnénk a felvételt használni, milyen jogai vannak az érintettnek az adatkezelésünkkel kapcsolatban és a hozzájárulás visszavonásának lehetőségéről is tájékoztatnunk kell őt. Ráadásul rögtön két külön nyilatkozattal kell indítanunk (készítés és felhasználás) és a felhasználás esetében is jobb, ha a "valamire csak jó lesz?" felhasználási célnál egy kicsit konkrétabbat jelölünk meg, például a szervezetünk újságjában, honlapján, illetve az évkönyvében szeretnénk majd megjelentetni a képeket egy esemény illusztrálásaként. Ez utóbbi főleg akkor ajánlott, ha nem akarunk jogosulatlan adatkezelésbe keveredni, meg felesleges, drága perek elé nézni.
amennyiben az adatkezelésünk egyszerre több célt is szolgál, a hozzájárulást az összes adatkezelési célra be kell szerezni, tehát amennyiben a fénykép elkészítése mellett például hírlevél küldésére használjuk fel a természetes személy adatait, vagy a fényképet a honlapon és más kiadványban is meg kívánjuk jelentetni, esetleg külföldre (pl. egy konferenciára, nemzetközi kiadványba továbbítjuk), úgy a tájékoztatásnak és a hozzájárulásnak ezekre is ki kell terjednie. És minden külön célra külön hozzájárulást kell kérnünk.
az önkéntesség, mint követelmény elsőre furán néz ki (általában senkinek sem szoktunk fenyegetéssel rávenni, hagy fotózzuk már le), de gondoljunk bele, ha az érintettel egy aláírás elé négy különféle témájú hozzájárulás-nyilatkozatot is begyömöszölünk, akkor vajon melyikre szól az aláírás? Elviekben mind a négyre, de mi van akkor, ha az érintett szíve szerint csak hármat írna alá, a negyediket pedig egyfajta árukapcsolásnak értékeli és muszájból írja alá? Abban az esetben is kétséges az önkéntesség, ha egy rendezvényen csak úgy vehet részt valaki, ha fotó készül róla. Mert az elvárni, hogy az érintett egyfolytában úgy helyezkedjen, hogy egyetlen kamera látószögébe se kerüljön be, elég botor dolog lenne. A hozzájárulás önkéntessége különösen fontos akkor, amikor munkavállalónk fotóját, videófelvételét szeretnénk például a honlapunkra kitenni.
a hozzájárulásnak nem kell írásban megtörténnie, de vajon mennyivel könnyebb helyzetben vagyunk (illetve leszünk), ha vita esetén az érintett elé tudunk tenni egy bizonyító erejű papírt? Természetesen nem minden helyzetben életszerű az, hogy papír hátán papírt gyártsunk, ezért vannak olyan generális megoldások, mint például a kamerával megfigyelt területek esetében, ahol a látogatók számára egyrészt jelezni kell a megfigyelés tényét, másrészt tájékoztatást is ki kell függeszteni arról, hogy milyen jogai vannak az érintetteknek, hol lehet panaszkodni, hol tárolják a felvételeket, stb. A látogató pedig az előzetes tájékoztatás alapján eldönti, hogy belép-e a megfigyelt területre vagy sem.
a hozzájárulás visszavonható, azonban az érintettnek is tudatában kell lennie annak, hogy vannak olyan helyzetek, amikor már igen nehéz visszagyömöszölni a szellemet a palackba. Ha hozzájárult a felvétel elkészítéséhez és nyilvánosságra hozásához, ám később rájött, nem is olyan jó ötlet volt ez, akkor nekünk mindent meg kell tennünk a kívánságának teljesítése érdekében: a felvételt meg kell semmisítenünk, illetve le kell vennünk a honlapunkról attól függően, mire is irányult az eredeti engedély és mire a visszavonás. Azonban ha valaki fél év elteltével jön rá, hogy furán áll a nyakkendője a szervezetünk marketingkiadványában leközölt fotón és emiatt utólag nagyon-nagyon rosszul érzi magát és sérelmesnek tartja a helyzetet, nem igazán elvárható, hogy mind a háromezer példányt visszahívjuk és megsemmisítsük. Arról pedig ne is beszéljünk, a hozzájárulást minden egyes külön adatkezelés tekintetében vissza lehet vonni külön-külön és együttesen is, tehát lehet fejfájást okozni a másiknak azzal, hogy csak a nyilvánosságra hozásra vonatkozó hozzájárulást vonjuk vissza, a készítésre vonatkozót nem, és fordítva. Vagy reklámkiadványba mehet a kép, honlapra viszont nem.
különösen vigyázni kell a 18 év alattiakról képmás készítésével és nyilvánosságra hozatalával kapcsolatban, ez esetben ugyanis a szülői felügyeleti jogot gyakorló személy engedélye szükséges ahhoz, hogy a hozzájárulás érvényes legyen. A Hatóság korábban azt is megkövetelte (még a GDPR előtt, amikor az adatvédelmi korhatár 16 év volt), hogy a 14-16 év közötti gyermekek esetén mind a szülő, mint a gyermek hozzájárulása meglegyen. Szerencsére az nincs előírva, hogy ki kell kutatnunk, tényleg gyakorolja-e az adott szülő a felügyeleti jogot, szóbeli tájékoztatást vagy írásbeli nyilatkozatot is elfogadhatunk e tárgyban és valószínűleg akkor járunk el a legóvatosabban, ha a 14-18 év közötti érintett esetén nemcsak a gyermek, hanem a szülői felügyeleti joggal rendelkező személy hozzájárulását is beszerezzük.
Végezetül vegyünk néhány gyakori képmás-esetet:
Munkavállalóinkról készítünk fotókat és azt rakjuk ki a honlapunkra, szórólapunkra, stb.
Egyetlen alkalmazottunknak sem kötelessége önként pózolni és arcát adni (kivéve természetesen ha ez a munkaszerződésében vagy a munkaköri leírásában szerepel), azaz az ő esetükben is mindig kell kérnünk a hozzájárulást a felvétel elkészítéséhez és nyilvánosságra hozásához. Ha nincs ilyen hozzájárulásunk (és utólag sem tudjuk azt beszerezni), akkor ezeket a képeket, videófelvételeket bizony le kell szednünk mind a hivatalos honlapunkról, mind a szervezetünk Facebook oldaláról és bármilyen más nyilvános helyről is. Arról pedig ne is beszéljünk, mi történik akkor, ha egyrészt elfelejtettünk hozzájárulást kérni a dolgozónktól, másrészt pedig olyan felvételt engedünk szabadjára a neten, amely mélyen belegázol a privát szférájába, netalán sértő helyzetbe hozza őt például azzal, hogy rendezetlen ruhában, kócosan, piszkosan, netalán a kamerabeállítás miatt túlságosan vastag lábbal, eltorzult arccal, vagy akár a valóságosnál sokkal méretesebb hátsóval tesszük közzé. Ha pedig még a porig alázott munkavállalónk kérése sem vagyunk hajlandóak eltávolítani a netről a felvételt, ne csodálkozzunk, ha pert akaszt a nyakunkba és sérelmi díjat követel azt sem bánva, ha emiatt elveszti az állását. Arra is nagyon kell ügyelnünk, ha a munkavállalónk nem járul hozzá ahhoz, hogy róla álló- vagy mozgókép készüljön és/vagy nyilvánosságra kerüljön, emiatt nem érheti semmilyen joghátrány.
Ügyfelekről, partnereinkről készült felvételek honlapokon, reklámkiadványokban
Amennyiben például egy állatorvos esetében a gazdi nincs rajta a képen csak a nagy, szőrös, tizenkettő egy tucat kinézetű négylábú kedvence, az állatorvos nem kezel személyes adatot. Ha a gazdi is ott van és látszik a képen, netalán olyan kutyája van, amelyről a tulajdonosa beazonosítható (lásd például mém-állatok, díjnyertes vagy celeb-ebek stb.), akkor bizony kérnünk kell a hozzájárulását a felvétel készítéséhez és nyilvánosságra hozatalához. Ugyanez vonatkozik arra az esetre is, amikor belső építészként a megbízásunk végeredményt akarjuk bemutatni úgy, hogy a minket megbízó házigazda kalauzolja végig a nézőt a lakásán, irodáján.
Rendezvényeken készült felvételek
A Hatóság álláspontja szerint a rendezvényen résztvevőket előzetesen, megfelelő formában, igazolhatóan tájékoztatni szükséges a felvételkészítésről és annak jogalapjáról (leginkább a meghívóban). Amennyiben a rendezvényre nem lehet belépni úgy, hogy a kép/videó készítése kizárható lenne, akkor önkéntes hozzájárulásról, mint adatkezelési jogalapról nem beszélhetünk, ebben az esetben például a mi, vagy harmadik személy jogos érdeke lehet a jogalap az adatkezelésünkhöz. Ha a jogos érdeket választjuk jogalapnak, akkor érdekmérlegelési tesztet kell végeznünk, illetve tájékoztatnunk kell a jogos érdekről a megjelenteket. Az érdekmérlegelési tesztnek ki kell térni olyan tényezőkre, amelyek az adatkezelés jogszerűségét támasztják alá (pl. az adatkezelés céljának megfelelő feltételek, tárolási idő meghatározása, stb.)
A Hatóság szerint nem életszerű, hogy nyilvános rendezvényeken történő felvételkészítések esetén a rendezvények megkezdése előtt minden részletre kiterjedő tájékoztatás nyújtsunk, inkább azt javasolja, hogy a rendezvény megkezdése előtt egy szóbeli, vagy a rendezvényt hirdető felületen egy írásbeli rövid tájékoztatás nyújtsunk
az adatkezelőről (ki vagyunk),
az adatkezelés céljáról (milyen célból és milyen felületen tesszük közzé vagy használhatjuk fel a felvételeket),
kiknek adhatjuk át a felvételeket,
az adatkezelés időtartamáról,
a felvételek elérhetőségének helyéről, továbbá arról, hogy
milyen módon kérheti azt az érintett személy, hogy a felvételt ne hozzuk nyilvánosságra, illetve
miként van lehetőség a felvétel törlésére, továbbá
a részletes és minden releváns tényt tartalmazó adatkezelési tájékoztatónkat hol ismerhetik meg az érintettek (például a honlapunkon).
Amennyiben nem tájékoztatható az érintett a kapcsolat hiánya miatt, akkor a személyes adatát tartalmazó felvételt vagy törölni vagy anonimizálni kell (azaz a felvételt személyazonosításra alkalmatlanná kell tenni, mint például a Google street view felvételeken teszik ezt).
dr. Albert Ágota adatbiztonsági és adatvédelmi szakjogász, adatvédelmi tisztviselő