Vezetői felelősség az adatkezeléshez kapcsolódóan

2018. március 28.

2018 májusától gyökeresen megváltozik az adatkezelések rendje. Az Európai Unió Általános Adatvédelmi rendelete, ami hazánkban közvetlenül hatályosul ettől az időponttól új szabályokat határoz meg, és kiegészítésképpen – abban a körben amelyben az Általános Adatvédelmi Rendelet („GDPR”) nem tartalmaz szabályozást –, módosított tartalommal kell majd a jelenlegi magyar törvényt alkalmazni (ez a jogszabály az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény, tehát az ún. „Infó törvény”). A megváltozott szabályozás leginkább érzékelhető változása a szankciókat érinti: 2018 májusától az adatkezelési szabályok megszegéséért akár 20 millió EUR összegnek megfelelő magyar forintnyi bírság (vagy, amennyiben vállalatcsoport előző évi nettó árbevétele esetleg magasabb, az árbevétel 4%-a) szabható ki adatvédelmi bírságként.

Az alábbiakban áttekintjük a szabályozás legfontosabb tudnivalóit.

Az adat és az adatkezelés fogalma

Működése során minden vállalat rengeteg személyes adatot kezel, akkor is, ha ügyfelekkel (természetes személyekkel) nem kerül közvetlen kapcsolatban. Tipikus adatkezelési tevékenységek: a társaság honlapjának az üzemeltetése, a munkavállalók adatainak kezelése vagy a gazdasági társaság üzletfelei munkatársainak a személyes adatai (kapcsolattartási adatok például).

A személyes adat fogalma nagyon tág, bármely információ személyes adatnak minősül, amelyből következtetést lehet levonni az érintett személyére, szokásaira. Személyes adat tehát a név, a lakcím, a telefonszám, az e-mail cím, de akár az arckép is.

Adatkezelésnek tekinthető a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett „bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés”.  Minden olyan cselekmény ebbe a körbe tartozik tehát, amelynek nyomán személyes adat keletkezik, megváltozik vagy megsemmisül, adatkezelés továbbá az adatok tárolása illetőleg a továbbítása. Tipikusan adatkezelés lehet valamely adatnak számítógépes programból történő lehívása vagy lemásolása. Az adatkezelés ún. veszélyes üzemi tevékenység, azaz csak nagyon kivételes körben mentesülhet az adatkezelést végző vállalkozás a jogellenesen okozott károk megtérítése alól.

Azoknak a részfeladatoknak az ellátói, akik, pl. külső megbízottként, más közreműködő vállalkozásként az adatkezelő munkáját segítik (például a tárhelyszolgáltatók, hírlevélküldők, vagy akár a futárok) az ún. adatfeldolgozók. Az új szabályok azt vezetik be, hogy az adatfeldolgozó hibájáért (például a futár rossz címre kézbesíti a küldeményt, vagy a promóciós játékot szervező ügynökség weboldalát hacker támadás éri) is maga az adatkezelő vonható felelősségre.

A tisztességes és jogszerű adatkezelés feltételei

Minden adatkezelési tevékenység esetében a legfontosabb elvárás az, hogy az adatkezelő tudatában legyen az adatkezelés alapinformációinak (milyen adatot, milyen célból és mennyi ideig kezel / tárol). Ezeket az alapinformációkat belső nyilvántartásban kell rögzíteni (a vonatkozó hatósági nyilvántartás 2017 májusától megszűnik). A belső nyilvánosságot (a szabályozott rendszert) bármikor számon kérheti a hatóság (ezt hívják elszámoltathatóságnak), illetőleg bármely természetes személy, akinek az adatát kezelik. A tájékoztatás legtöbbször az ún. adatvédelmi szabályzattal valósul meg, de bármilyen más alkalmas formája is lehet.

Minden egyes adat (adatkategória) esetében meg kell tudni jelölni az adatkezelés célját (ennek tisztességesnek és az adatkezeléssel arányos mértékűnek kell lennie). A cél mellett meg kell tudni határozni az adatkezelés jogalapját is, vagyis azt a viszonyrendszert, ami meghatározza, hogy miért kezeli az adatkezelő az adatot. A jogalap hatféle lehet, amelyek közül a piaci adatkezelők számára mindössze négy releváns. Jogalap lehet (és legtöbb esetben ez szolgál az adatkezelés alapjául): szerződés, vagy azt megelőző tevékenység (például ajánlattétel, álláspályázat), az érintett hozzájárulása, jogi kötelezettség teljesítése (tipikusan például a munkáltatói adattárolások és adatszolgáltatások) illetőleg az érdekmérlegelés. Az érdekmérlegelés azt jelenti, hogy hozzájárulás vagy szerződés nélkül is lehet jogszerűen személyes adatot kezelni, ha az adatkezelő bizonyítja, hogy valamely jogos érdekének gyakorlásához az adatkezelés feltétlenül szükséges volt (tipikusan ilyen lehet valamely követelés érdekében tett lépés a követelés behajtására, vagy a biztonsági érdekből végzett megfigyelések).

Amennyiben megfelelő jogalapja és célja van az adatkezelésnek, további alapelveket kell betartani, ezek közül három nagyon fontos van: adatbiztonsági követelményeket kell teljesíteni, az adatok pontosságát és jó minőségét kell fenntartani (például, ha az ügyfél címe megváltozik, a módosított címet kell tárolni és a régi törlendő), illetve az érintettek számára biztosítani kell, hogy a jogaikat megfelelően és könnyen tudják gyakorolni.

Az érintettek jogai

A legkiemeltebben az érintettek jogait szabályozza az új jogszabály, bármilyen ezzel kapcsolatos jogsértés a legsúlyosabb kategóriába tartozik (legmagasabb bírságokat ebben a körben lehet kiszabni).

Az érintettek jogai: a folyamatos tájékoztatáskérés, az adat megváltoztatásának joga. Az érintett kérheti továbbá az adatainak törlését (elfeledtetéshez való jogként lett híres ez a jogosultság). A törlési kérelem azonban csak azokra az adatokra vonatkozhat, amelynek az érintett hozzájárulása a jogalapja, a jogi kötelezettség teljesítése érdekében (például számlaadatok), vagy az érdekmérlegelés alapján kezelt adatok (ügyfélszolgálati hangfelvétel vagy kamerafelvétel) esetében törlés nem kérhető.

További érintetti jog a megismerés és a hozzáférés joga, sőt, egyes esetekben az érintett kérheti az adatainak a hordozhatóságát is biztosítani (például, ha igénybe vett egy szolgáltatást, kérheti, hogy az ezzel kapcsolatosan keletkezett összes adatot egy versenytárs részére adjon át a vállalkozás). Az adathordozhatóság joga, akárcsak a törlés joga nem korlátlan, bonyolult és körültekintő vizsgálat szükséges mielőtt ezeket a kéréseket az adatkezelő teljesítené, hiszen az adatvesztés vagy az adat versenytárs számára történő előadása önmagában is okozhat üzleti károkat.

Újdonság a magyar szabályozásban (más tagállamoktól eltérően), hogy elhunyt személyek esetén a hozzátartozókat is megilletik ezek a jogok. A magyar jogszabálytervezet szerint[1] az örökösök közokirat felmutatásával fordulhatnak majd információért az adatkezelőkhöz.

Az adatkezelők kötelezettségei

A 2018. május 25-én életbe lépő szabályok szerint (szűk kivétellel), minden adatkezelőnek nyilvántartást kell vezetnie az általa folytatott adatkezelési és adattovábbítási tevékenységekről (adatvagyon leltár). Az ún. adatvagyonleltárt felhívásra meg kell az érintetteknek és a hatóságnak mutatni.

A nyilvántartási kötelezettség mellett, egyes adatkezelőknek külön tisztviselőt kell kinevezniük az adatvédelmi folyamatok felügyeletére, amelynek részleteivel következő írásunk foglalkozik majd.

A cikk szerzője:
dr. Soós Andrea Klára
ügyvéd, adatvédelmi tisztviselő
a Magyar Könyvvizsgálói Kamara Oktatási Központjának oktatója
andrea.soos@dataprotection.eu
 


[1] Az információs önrendekezési jogról és információszabadságról szóló 2011. évi CXII. törvény módosítását a minisztérium 2017. augusztus 28-án hozta nyilvánoságra. Azóta társadalmi egyeztetés és tárcakörözés folyik, a Parlamenthez még nem került a tervezet benyújtásra.