A korábbi szabályozás merev volt – Kép: Pixabay

Az információs önrendelkezési jogról és az információszabadságról szóló törvény alapján a múlt évben önálló hatóságként kezdte meg működését a Nemzeti Adatvédelmi és Információszabadság Hatóság. A törvény számos újítást vezetett be az adatkezelésre vonatkozóan a korábbi adatvédelmi törvényhez képest, melyet a hatóság gyakorlata az elmúlt év során tovább alakított. A törvény legújabb módosítása szerint lehetővé válik, hogy az adatfeldolgozók szerződéses feladataik elvégzése során további adatfeldolgozót vegyenek igénybe.

„Az adatfeldolgozás magában foglalja az adatkezeléshez kapcsolódó járulékos tevékenységeket is. Az adatfeldolgozó az adatkezelő megbízásából végzett tevékenysége (például postázás, hírlevélküldés, szerverüzemeltetés, informatikai háttér biztosítása, ügynöki tevékenység vagy közvélemény-kutatás) során az adatkezelő által kezelt személyes adatok birtokába jut. A törvény eddig hatályos rendelkezése szerint az adatfeldolgozó a tevékenysége ellátása során további adatfeldolgozót nem vehetett igénybe. A rendelkezés azt a célt szolgálja, hogy a személyes adatok végig az adatkezelő ellenőrzése alatt maradjanak, és csak olyan adatfeldolgozóhoz kerülhessenek, melyet közvetlenül az adatkezelő vállalkozás bízott meg” – hangsúlyozta Szarvas Júlia, a Deloitte Legal hálózathoz tartozó ügyvédi iroda ügyvédje. (Rossz tapasztalat, de a magyar vállalatok amúgy rendkívül lazán kezelik a biztonságot.)

A szakértő szerint a gyakorlatban ez azt jelentette mindeddig, hogy amennyiben egy munkáltató olyan külsős könyvelőnek szervezte ki a bérszámfejtési tevékenységét, amely a munkavállalók személyes adatait egy adatfelhőben tárolja, a munkáltatónak adatfeldolgozási szerződést kellett kötnie a felhőszolgáltatást nyújtó szolgáltatóval is, holott semmilyen üzleti kapcsolat nincs a vállalkozások között. „Könnyen belátható, hogy ez a rendelkezés meglehetősen merev és az üzleti életben nehezen teljesíthető kötelezettséget rótt az adatkezelőkre” – tette hozzá az ügyvédnő.

A 2013. július 1-jén hatályba lépő módosítás értelmében az információs önrendelkezési jogról és az információszabadságról szóló törvény lehetővé teszi, hogy ezentúl – az adatkezelő előzetes hozzájárulása alapján – az adatfeldolgozó tevékenysége során további adatfeldolgozót vegyen igénybe, azaz egyes adatfeldolgozási részfeladatok elvégzésével további vállalkozást bízzon meg.

Fontos hangsúlyozni, hogy az új rendelkezés értelmében ehhez mindenképpen szükséges az adatkezelő előzetes beleegyezése, ezért a kérdést már az adatfeldolgozási szerződés megkötése előtt érdemes tisztázni, az erre vonatkozó rendelkezést pedig az adatfeldolgozási szerződésbe belefoglalni. A törvény új rendelkezése megteremti a lehetőséget a vállalkozások számára, hogy annak hatálybalépését követően teljes mértékben megfeleljenek az adatvédelmi előírásoknak, azonban ehhez a hatályban lévő adatfeldolgozói és informatikai üzemeltetési szerződések módosítása is szükséges.

Direkt marketing, hírlevelek – csak nyilvántartással!

A törvény szerint – bizonyos kivételektől eltekintve – személyes adatok kezelése esetén be kell jelentkezni az adatvédelmi nyilvántartásba, amit a vállalkozások jelenleg díjmentesen tehetnek meg. A törvény ugyanakkor konkrétan meghatározza azokat az élethelyzeteket, melyekben nem szükséges bejelentkezni a nyilvántartásba, így például az adatkezelővel munkaviszonyban, tagsági viszonyban, ügyfélkapcsolatban álló személyek adataira vonatkozó adatkezelésnél.

A gyakorlatban ez azt jelenti, hogy a munkáltató a munkaviszonyból eredő kötelezettségeinek teljesítése érdekében, a szükséges mértékben kezelheti munkavállalói személyes adatait, azokat a munka törvénykönyvének rendelkezései alapján adatfeldolgozó részére (pl. bérszámfejtőnek, könyvelőnek) – az érintett megfelelő tájékoztatását követően – továbbíthatja.

Nem szükséges a bejelentés akkor sem, ha a cég ügyfeleinek adatait kizárólag az ügyféltől kapott megbízás teljesítéséhez szükséges mértékben és ideig kezeli, és azokat egyéb célra nem használja fel. A cégek az ügyféladatokat az esetek többségében azonban nem kizárólag az adott ügylet teljesítésének céljára, hanem további közvetlen üzletszerzés céljára, azaz ajánlatok és reklámanyagok küldése érdekében is kezelik. Számos vállalkozás a személyes adatok ilyen direkt marketing célra történő tárolása és felhasználása miatt köteles az adatvédelmi nyilvántartásba bejelentkezni. Ugyanebbe a kategóriába eshet a hírlevelek küldése is a cég ügyfelei részére, amennyiben az bármilyen reklámanyagot vagy ajánlatot tartalmaz.

A vállalkozások ugyanakkor különböző technikai berendezéseket használhatnak saját védelmük érdekében. A kamerás megfigyelő rendszerek üzemeltetése azonban mind az ügyfelek, mind a munkavállalók személyes adatainak kezelését vonja maga után, ezért az ilyen rendszerek működtetése esetén a cégeknek megfelelő adatkezelési tájékoztatóval kell rendelkezniük, és az adatvédelmi nyilvántartásba történő bejelentkezés is kötelező lehet számukra.

Amennyiben a törvény alapján adatvédelmi nyilvántartásba vételre kötelezett cég elmulasztja a regisztrációt, annak az adatkezelő vállalkozásra nézve súlyos következményei lehetnek. A hatóság személyes adatok kezelésével kapcsolatos jogsértés esetén vizsgálatot, illetve hatósági eljárást indíthat, melyben az eset összes körülményét mérlegelve akár 10 millió forintig terjedő bírsággal sújthatja a jogsértő adatkezelőt. A bírságnál gyakran nagyobb veszteséget okozhat egy vállalkozás életében a fogyasztói bizalomvesztés: az emberek egyre tudatosabb magatartást tanúsítanak a személyes adataik védelme érdekében, és különösen érzékenyek az adataikkal való visszaélésekre. Ezért a vállalkozásoknak fokozottan figyelembe kell venniük a jogellenes adatkezelés okozta reputációs kockázatot is – tette hozzá Szarvas Júlia.