Az EU új adatvédelmi rendelete, a GDPR idén május 25-től közvetlenül alkalmazandó az EU tagállamokban, így Magyarországon is – függetlenül attól, hogy az adatvédelmet szabályozó magyar jogszabály, az Infotörvény vagy a szektorális jogszabályok módosítása még nem született meg. A GDPR alkalmazása egyúttal azt is jelenti, hogy – függetlenül a magyar jogalkotás lemaradásától – aki ezen időpontig adatkezelését nem hangolja össze a GDPR-ral, akár 20 millió eurós vagy (vállalkozások esetében) az előző pénzügyi év teljes világpiaci forgalmának 4%-áig terjedő bírsággal is sújtható.

Az adatkezeléssel kapcsolatos kötelezettségek az adatkezelőket terhelik. Adatkezelő lehet bármely természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy egyéb szerv, amely meghatározza a személyes adatok kezelésének céljait és eszközeit. Ennek megfelelően adatkezelőnek minősül tehát mindenki, aki az általa meghatározott célok alapján és eszközökkel mások személyes adatait kezeli. A meghatározásból jól látszik, a személyek és szervezetek igen széles köre köteles betartani a GDPR szabályait.

Itt olvashatja a témában a Piac & Profit összes cikkét!

Kép: Pixabay

A GDPR megértéséhez, a kötelezettségek teljesítéséhez szem előtt kell tartani a legfontosabb alapelveket. Személyes adatot csak célhoz kötötten, meghatározott, egyértelmű és jogszerű célból lehet kezelni. Az adattakarékosság elvét szem előtt tartva, a személyes adatok kezelésének a szükségesre kell korlátozódniuk. Ez más megközelítésből az ún. készletező adatgyűjtés tilalma, amelyet az adatvédelmi hatóság akár az adatok törlésére kötelezéssel és bírsággal is szankcionálhat. Ha tehát egy vállalkozás olyan személyes adatokat is kezel, amelyek az adatkezelés szempontjából nem indokoltak, úgy az általa folytatott adatkezelés jogellenes, és az eset körülményeinek függvényében bírságolást vonhat magával. A GDPR egyik legfőbb újdonsága az alapelvek szintjén mégis az elszámoltathatóság, amely gyakorlatilag az adatkezelőkre telepíti a GDPR elveinek való megfelelés igazolhatóságát.

Főszabály szerint a GDPR csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé az adatkezelést. Némi mozgásteret mégis kap az adatkezelő a korlátozott tárolhatóság kapcsán: megfelelő technikai és szervezési intézkedések mellett a feltétlenül szükségesnél tovább tárolhat adatokat, ha a személyes adatok kezelésére közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül sor. Ezt azonban mindenképp az érdekek mérlegelésével kell megállapítani, szembeállítva az adatkezelő érdekeit az érintettek jogaival. Ez tehát esetenként, a konkrét feltételek ismeretében vizsgálandó.

A dokumentum- és iratkezelés – akár digitális, akár papíralapú iratok kezeléséről legyen szó – a GDPR alkalmazásával új kihívások elé állítja a vállalkozásokat és egyéb adatkezelőket. A személyes adatok kezeléséhez kapcsolódó érintetti jogokat a GDPR megerősítette és kiterjesztette. Az érintetti jogok közül talán a leglényegesebb a törléshez (elfeledtetéshez) való jog (right to be forgotten). Az adatkezelőnek törölnie kell az érintett személyes adatát, ha az érintett azt kéri, de akkor is – automatikusan –, ha például az adatokra már nincs szükség abból a célból, amelyből azokat gyűjtötték vagy kezelték. Ez pedig azt rója az adatkezelőkre, hogy azok gyakorlatilag folyamatosan monitorozzák, illetve rezsimet alakítsanak ki annak vizsgálatára, mely adatok kezelésére, mikortól nincs már szükség. Akkor is törölni kell az adatokat, ha az érintett visszavonja az adatkezeléshez korábban adott hozzájárulását – ennek jól ismert esete a hírlevelekben (többnyire) feltüntetett link, amely lehetőséget ad a hírlevélről való leiratkozásra. A törlési kötelezettség és annak „számontartása” nyilvánvalóan nagy terhet ró az adatkezelőkre, különösen azért, mert mindez egyaránt vonatkozik a digitálisan kezelt és a papíralapú dokumentumokra is.

Az Infotörvény az adatok törlése tekintetében nem állapít meg konkrét, általánosan alkalmazható időtartamot, ugyanakkor az egyes vállalkozásoknak ismerniük kell a tevékenységükre irányadó szektorális jogszabályokat – azok ugyanis gyakran tartalmaznak az adatok tárolására, megőrzésére vonatkozó szabályokat. Lényeges a szektorális szabályozás például pénzügyi és adójogi, egészségügyi vagy például a munkaviszonnyal kapcsolatos adatkezelések kapcsán. Erre tekintettel az adatkezelőknek alaposan át kell gondolniuk adatkezelésüket, és iratkezelési szabályzatukat (és gyakorlatukat) a GDPR szabályainak megfelelően átformálniuk.

Az előbbiek szerint például a követeléskezelést végző cégek saját (hitel- vagy kölcsönnyújtásból, illetve engedményezés útján szerzett) követeléseiknek vagy a megbízóik követeléseinek behajtása során kezelhetnek személyes adatokat. Az engedményezés a jogszerű adattovábbítás egyik jogalapja, amely során az adós adatai az engedményes birtokába kerülnek. Az engedményező részéről az engedményes részére a szerződés megkötésével egyidejű adattovábbítás adatvédelmi szempontból nem kifogásolható. Mint ahogyan a kötelezett hozzájárulása nem szükséges magához az engedményezéshez, nem szükséges azon adatok átadásához sem, amelyeken az engedményezés alapul. Az előbb említett készletező adatgyűjtés tilalmából következően az adatkezelő (követeléskezelő) csak azt az adatot kezelheti, amely közvetlenül kapcsolódik az érintettel (adóssal) való jogviszonyához, s ezen adatok is csak a szükséges mértékben kezelhetők. Kifejezetten tilos tehát az adatok jogalap nélküli kezelése, így például az adatkezelők nem vezethetnek általános nyilvántartást esetleges jövőbeni gazdasági célok megvalósításához, marketing céljából sem.

Más példával élve: egy pénzügyi intézmény köteles például törölni minden olyan, ügyfeleivel, volt ügyfeleivel vagy létre nem jött szerződéssel kapcsolatos személyes adatot, amelynek kezelése esetében az adatkezelési cél megszűnt, vagy amelynek kezeléséhez az érintett hozzájárulása már nem áll rendelkezésre, illetve amelynek kezeléséhez nincs törvényi jogalap. Fontos megjegyezni: a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) gyakorlata alapján az ún. „logikai törlés” (azaz az adatbázisban szereplő adatok elérhetetlenné tétele, amellyel a mező inaktívvá válik, de előfordulhat, hogy valójában mégsem törlik az adatokat) nem tekinthető megfelelő eljárásnak a törlési kötelezettség teljesítéseként.

Többnyire a szektorális jogszabályok határozzák meg, milyen adatot mennyi ideig lehet, illetve kell megőrizni, és a meghatározott idő elteltével az adatokat törölni kell, a papír alapú dokumentumokat pedig meg kell semmisíteni. A munkáltatók számára lényeges, a NAIH iránymutatásaiból is egyértelmű kötelezettség, hogy a munkáltató a fel nem vett jelentkezők önéletrajzait kizárólag kifejezett, egyértelmű és önkéntes hozzájárulás alapján őrizheti meg. Jogellenes a munkáltató részéről úgy eljárni, hogy a jelentkezést elutasító válaszlevélben a jelentkezőt tájékoztatja a pályázat kedvezőtlen elbírálásáról, valamint ezzel egyidejűleg arról, hogy az önéletrajzot a jövőben megnyíló pozíciókról történő értesítés céljából megőrzi. Ebben az esetben ugyanis hiányzik a kifejezett, egyértelmű és önkéntes hozzájárulás a pályázó részéről.

A NAIH véleménye szerint az önéletrajz elküldése nem jelenti egyben azt is, hogy a pályázó az önéletrajzának megőrzéséhez is hozzájárul. Ha a pályázó nem járul hozzá adatai tárolásához, azokat vagy vissza kell neki küldeni, vagy meg kell semmisíteni. Ezzel összhangban tehát a fejvadász cégek is csak a jelentkező által engedélyezett időtartam alatt továbbíthatják az önéletrajzokat a munkáltatóknak.

Összefoglalóan megállapíthatjuk, hogy a GDPR jelentősen kiterjeszti az érintettek jogait, fokozott terhet ró az adatkezelőkre és az eddiginél sokkal magasabb bírságokat vezet be. Az új előírásoknak való megfeleléshez és a rekord mértékű bírság elkerüléséhez pontos tájékozódásra és alapos felkészülésre van szükség, miközben szem előtt kell tartani, a határidő rohamosan közeleg.

Szerző:

Dr. Dömők Adrienn

jogász,

CHSH Dezső és Társai Ügyvédi Iroda