hello@compactszolg.hu
+36 30 446 2562

Az adatkezelés elvei 3. rész - az adattakarékosság elve

03/12/2023

Folytatva az adatkezelés elvei cikksorozatot, a soron következő elv az adattakarékosság elve, ami szorosan kapcsolódik az adatkezelés céljához, ezért elválaszthatatlan a célhoz kötöttség elvétől.

A célhoz kötött adatkezelésről ITT tudsz bővebben olvasni.

Az adattakarékosság a GDPR értelmében azt jelenti, hogy a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk ([5. cikk (1) bek. c) pont].

Az adattakarékosság csak az adatkezelési cél függvényében értelmezhető, ha az adatkezelő nem határozza meg egyértelműen a célt,  a cél nem jogszerű, konkrét és világos, akkor az adattakarékosság követelményének történő megfelelést sem lehet egyértelműen eldönteni.

Vagyis adatkezelési cél nélkül nem beszélhetünk adattakarékosságról sem. Csak az a személyes adat kezelhető, ami a cél eléréshez szükséges és releváns. Ez azt jelenti, hogy a kezelt személyes adatok körét a minimálisra kell szorítani. 

Már az adatkezelés tervezési szakaszában alaposan meg kell vizsgálni, hogy az elérni kívánt célhoz (legyen az üzleti vagy társadalmi, szociális jellegű cél) valóban szükséges-e személyes adatok kezelése vagy a cél anélkül is elérhető, megvalósítható.

Ha a cél nem érhető el személyes adatok kezelése nélkül, akkor meg kell határozni, azt az adatkört, amire feltétlenül szükség van. Kizárólag annyi és olyan személyes adat kezelhető, ami szükséges és egyben elégséges az adatkezelés céljának eléréséhez.

Az adatkör meghatározás annyit tesz, hogy fel kell sorolni a személyes adatok típusait, pl. családi és utónév, édesanyja neve, lakcím, szállítási cím, telefonszám, e-mail cím, TAJ szám stb. 

Az adatkezelési tájékoztatóban pontosan fel kell sorolni azokat a személyes adatokat, amelyekre az adatkezelés kiterjed. Nem elégséges, ha az adatkezelők gyűjtőfogalommal (például személyazonosító adatok, elérhetőségi adatok) határozzák meg a kezelt személyes adatok körét.

Általában az üzleti és politikai marketing célok esetében értelmezik túl tágan a szükségességet és olyan személyes adatokat is gyűjtenek, ami valójában nem szükséges a cél eléréséhez, ezzel megsértik az adattakarékosság elvét.

Ilyen jogsértés történik például, amikor szerződés teljesítése érdekében több adatot kezelnek, mint amire szükség van (személyazonosító okmányok száma, adószám kezelése stb.), munkáltatóknál előfordulhat, hogy a munkaköri alkalmassági vizsgálat teljes dokumentációját kérik bemutatni, holott csak annyi adatot jogosultak kezelni, hogy a munkavállaló alkalmas vagy nem alkalmas az adott munkakörbe tartozó feladatok ellátására, esetleg lemásolják a bizonyítványokat, erkölcsi bizonyítványt.

De tipikus példa lehet internetes rendeléseknél, hogy címet is kérnek megadni, miközben a vásárló személyes átvételi módot választott.

Állásra történő pályázatnál ilyen hiba többek között, hogy kérik a születési dátumot, lakóhelyet, nemet, családi állapotot, állampolgárságot stb. megadni a karrier portálon.

De hírlevél feliratkozásnál is láttam már olyat, hogy kérték a nemet vagy a várost megadni.

A NAIH az adattakarékosság elvének megsértése miatt egyébként már több bírságot is kiszabott (NAIH/2020/54/4. és NAIH/2020/2546), ezért komolyan kell venni a szükségesség és a relevancia követelményét.

Mivel az adattakarékosság az adatkezelés céljához kapcsolódik, ezért a cél megszűnésével, elérésével az adatkezelést főszabály szerint meg kell szüntetni, törölni vagy anonimizálni kell a személyes adatokat feltéve persze, hogy egyéb jogszabály nem írja elő a további adattárolást, avagy nem merül fel további olyan adatkezelési cél, amely megfelel a célok közötti összeegyeztethetőségnek.

  • Természetesen vannak olyan jogszabályok, amelyek előírnak különböző irat vagy adatmegőrzési kötelezettséget az adatkezelők számára, ezeknek eleget kell tenni és a jogszabályban foglalt ideig, az előírt személyes adatokat meg kell őrizni, tárolni kell őket. Mindezt persze úgy, hogy más célból ne használják fel őket, és a bizalmas jellegűk, integritásuk ne sérüljön, vagyis adatvédelmi incidensre ne kerüljön sor.
  • Ezen kívül lehetnek még olyan különböző történeti, kutatási és statisztikai célú további adatkezelések, amelyek esetén sor kerülhet további adattárolásra, de itt is meg kell szüntetni a személyes és a rá vonatkozó adat közötti közvetlen kapcsolatot és be kell tartani az adatbiztonság követelményeit.

Törvényi szabályozás hiányában maga a GDPR (39) preambulumbekezdése is elvárja, hogy az adatkezelő törlési vagy rendszeres felülvizsgálati határidőket állapítson meg annak biztosítása érdekében, hogy a személyes adatok tárolása a szükséges időtartamra korlátozódjon.

Ezt célszerű éves terv alapján végezni, negyedéves periódusokra lebontva előre meghatározni, azokat a területeket, adatkezelési célokat, ahol adattisztítást kell végezni.


Írta: dr. Angelmayer-Szép Bernadett