A soron következő téma a személyes adatok kezelésének elvei. Eddig erről nem esett szó a blogon, viszont nem szabad elfelejteni, hogy a személyes adatok gyűjtése, kezelése során meg kell felelni az adatkezelés elveinek is. A jogszerű adatkezeléshez nem elegendő a megfelelő jogalap, az adatkezelés elveit is be kell tartani.
Az adatkezelési elvek megsértése egyben jogsértést jelent és adatvédelmi bírság szabható ki érte.
A 2018-2021 közötti időszakban az adatvédelmi hatóságok több mint száz esetben hoztak olyan határozatot, mely szerint a GDPR 5. cikkében foglalt adatvédelmi elvekbe ütköző jogszerűtlen adatkezelési tevékenység miatt szabtak ki bírságot. Az összes bírság jelentős hányadát ily módon az alapelvekbe ütköző adatkezelés alapozta meg [forrás: GDPR Enforcement Tracker - list of GDPR fines https://www.enforcementtracker.com/].
Ebben a cikkben felsorolom az adatkezelés elveit és részletesebben ismertetem az első alapelvet, minden további alapelvről külön cikk kerül közzétételre.
A személyes adatok kezelésére vonatkozó elveket a GDPR 5. cikkében találjuk, egy-egy mondatba fogalmazva, ezért szükséges részletesebben tárgyalni a témát.
Ezek az elvek nem csak úgy vannak, amire legyinthetünk adatkezelőként, hanem arra szolgálnak, hogy mindig tartsuk őket szem előtt, vegyük végig a listát és vizsgáljuk meg vajon tényleg megfelelünk-e az egyes elveknek és a megfelelést hogyan tudjuk igazolni.
Nézzük, hogy melyek ezek az elvek.
- jogszerűség, tisztességes eljárás és átláthatóság
- célhoz kötöttség
- adattakarékosság
- pontosság
- korlátozott tárolhatóság
- integritás és bizalmas jelleg
- elszámoltathatóság
A GDPR ebben a sorrendben haladva definiálja az elveket, ezért én is ebben a sorrendben fogok haladni. Fontos megjegyezni, hogy nem elég ebből a 7-ből pár elvnek, az összesnek egyszerre kell megfelelni.
Kezdjük a sort az első elvvel és annak részletesebb magyarázatával.
Jogszerűség, tisztességes eljárás és átláthatóság
A személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni [GDPR 5. cikk (1) a)].
A jogszerűség azt jelenti, hogy az adatkezelés során be kell tartani az összes jogszabályt, magyar és uniós jogot egyaránt, nem elég pusztán a GDPR-nak megfelelni. Például be kell tartani a gazdasági reklámra vonatkozó törvényi előírásokat, az akciózásra vonatkozó vagy az elektronikus kereskedelemre vonatkozó szabályokat, de be kell tartani a magyar adatvédelmi szabályokat is természetesen.
A lista végtelen, mindig az adatkezelő által végzett tevékenység határozza meg, hogy milyen jogszabályoknak kell megfelelni. Erre nincs örök érvényű recept, esetről-esetre kell vizsgálni.
A jogszerűség követelményét jelenti az adatkezelés megfelelő jogalapjának kiválasztása és alkalmazása is.
A tisztességes adatkezelés elve elsősorban az adatkezelő és az érintett közötti jogviszonyra vonatkozik. Az adatkezelés tisztességes volta az emberi méltóság védelmével áll szoros kapcsolatban, a tisztességtelen adatkezelési magatartás az érintetteket nemcsak személyes adataikhoz fűződő jogában - így a helyesbítéshez, törléshez való jogukban -, de emberi méltóságukban is súlyosan sértheti" [Révész Balázs - Somogyvári Katalin (2012): Az információszabadság jelentése, tartalma. In Péterfalvi Attila (szerk.): Adatvédelem és
információszabadság a mindennapokban. HVG-ORAC, Budapest, 180-182.].
A NAIH korábban már kimondta, hogy tisztességtelen és diszkriminatív az olyan algoritmussal manipuláló adatkezelési alkalmazás, amely a vevők között faji alapon különbséget tesz, egyes csoportokat előnyben részesít, másokat diszkriminál, különösen, ha ezt egy általános "marketing célú" tájékoztatás mellett teszi. Szintén jogellenes a vagyonvédelmi célú elektronikus megfigyelőrendszer alkalmazása a munkavállalók munkavégzésének megfigyelésére, munkahelyi viselkedésük befolyásolására (NAIH/2019/51, NAIH/2019/769).
Az átlátható adatkezelés azt jelenti, hogy az adatkezelés minden elemében dokumentált, igazolható, alátámasztható, az érintett személyek az adatkezelés minden szakaszában megfelelő tájékoztatásban részesülnek.
Egyszerűen, röviden, tömören, valós információkról kell tájékoztatást adni. Az adatkezelő eljárása nem lehet megtévesztő, egymásnak ellentmondó, homályos, átláthatatlan és követhetetlen. Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására [GDPR (39) preambulumbekezdés].
Gyakori hiba, hogy az adatkezelők olyan tájékoztatást adnak az érintetteknek, amiből nem egyértelmű, hogy ki az adatkezelő, hiányzik a közvetlen elérhetőség, nem egyértelmű, hogy milyen személyes adataikat, milyen célból és milyen jogalapon kezelik, több jogalapot jelölnek meg, vagy több alkalommal eltérő jogalapra hivatkoznak, nem tudják megfelelően igazolni, hogy mikor és miről tájékoztatták az érintettet, kinek továbbítják a személyes adatait, honnan szerezték meg a személyes adatokat stb.
Az átláthatóság elve azt a követelményt támasztja az adatkezelővel szemben, hogy tegyen meg minden intézkedést annak érdekében, hogy az érintettek minden érdemi tájékoztatást megkapjanak még az adatkezelés megkezdése előtt, az adatkezelés folyamata alatt és azt követően is. Mind az általános tájékoztatás, mind az egyedi kérelmekre adott tájékoztatás megfelelő legyen, érdemi információval szolgáljon az érintett számára, az érintett értse, hogy mi történt és történik a személyes adataival.
Ez maximális együttműködést követel minden adatkezelőtől, még akkor is, ha menet közben maga is rájön, hogy valamit rosszul csinált. A passzivitás, elutasítás soha nem lesz célravezető, csak tetézi a bajt, nem mellesleg akár üzletrontó hatása is lehet hosszú távon, a közösségi felületeken keltett negatív hullám egy esetleges adatvédelmi bírsággal megspékelve, nem fog több bevételt hozni a vállalkozásnak.
Írta: dr. Angelmayer-Szép Bernadett