hello@compactszolg.hu
+36 30 446 2562

A személyes adat fogalma

13/04/2023

Már az adatkezelés tervezési szakaszában, tehát még a tényleges adatkezelés megkezdése előtt fontos tisztázni, hogy mit jelent a személyes adat fogalma, mit kell érteni személyes adaton, a saját vállalkozásunk milyen típusú adatokat fog kezelni, azok személyes adatnak minősülnek vagy sem.

Maga a GDPR definiálja, hogy mit kell érteni személyes adat fogalma alatt, de érdemes ezt egy kicsit részletesebben megvizsgálni, mert érhetnek minket meglepetések is.

Személyes adatról csak és kizárólag élő természetes személyek vonatkozásában beszélhetünk.

A GDPR előírásai nem terjednek ki az olyan adatkezelésekre, amelyek jogi személyek adataira (például korlátolt felelősségű társaság, betéti társaság, alapítvány, egyesület, lakásszövetkezet stb.), illetve olyan vállalkozások adataira vonatkoznak, amelyeket jogi személyként hoztak létre, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

  • Ez a rendelkezés azt az alapelvet fogalmazza meg, hogy a személyes adatok védelme kizárólag a természetes személyek adataival kapcsolatban értelmezhető, a jogi személyek különböző adatait (például cégnév, székhely, cégjegyzékszám, adószám stb.) nem illeti meg az ilyen típusú védelem.
  • Ugyanakkor a jogi személy képviseletét ellátó természetes személy (pl. ügyvezető, vezérigazgató, elnök, igazgatósági tag, meghatalmazott stb.) esetében ismételten fennáll a védelem.
Az egyéni vállalkozók adatai tekintetében a NAIH 2019. január 25. napján NAIH/2018/5233/4/V. számon adott ki tájékoztatást. Röviden összefoglalva, az alábbiakat érdemes tudni az egyéni vállalkozókkal kapcsolatban.

Az egyéni vállalkozó külön törvény alapján jogosult természetes személyként üzletszerű gazdasági tevékenységet végezni. A tevékenység megkezdésének feltétele, hogy a természetes személy erre irányuló szándékát bejelentse, és a nyilvántartást vezető szerv (jelenleg NAV) a természetes személyt egyéni vállalkozóként nyilvántartásba vegye.

A törvény részletesen meghatározza, hogy milyen adatokat kell a nyilvántartásba vételi kérelem során megadni és azt is előírja, hogy mit kell ingyenes elérhetővé tenni.

Jelenleg az alábbi linken bárki hozzáférhet az egyéni vállalkozók ezen adataihoz. A keresésre nyilvántartási szám vagy adószám alapján van lehetőség.

https://www.nyilvantarto.hu/evny-lekerdezo/

Mivel törvény írja elő, hogy milyen adatokat kell közzétenni (többek között név, székhely, adószám, tevékenységi kör, statisztikai számjel stb.) ezért ezek az adatok ún. közérdekből nyilvános adatok, ugyanakkor egyben személyes adatok is.

Teljesen logikus, a nyilvántartásból lekérhető adatok összegzésével azonosítható az egyéni vállalkozói tevékenységet végző természetes személy, ráadásul az esetek jelentős részében a székhelye egyben a lakóhelye is.

Mire kell tehát figyelni? Amennyiben az adatkezelő egyéni vállalkozó adatait kezeli, akkor be kell tartani a GDPR-ban foglalt rendelkezéseket is.

A személyes adat fogalma a GDPR szerint a következő.

"személyes adat": azonosított vagy azonosítható természetes személyre ("érintett") vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;

A GDPR érintettnek hívja a természetes személyeket. Célszerű ezt a megjelölést elsajátítani és a szervezet adatkezelési folyamatai, a felügyeleti hatósággal folytatott kapcsolattartás során használni is.

Mint láthatjuk lényegében bármely információ személyes adatnak minősülhet, ha abból egy vagy több felhasználásával a természetes személyes azonosított (pl. név és képmás alapján), de legalább közvetlenül vagy közvetve azonosítható.

Mi következik ebből? Az, hogy az azonosíthatóság fennállása már önmagában elegendő ahhoz, hogy az adott információ az érintett személyes adatának minősüljön, vagyis nem kell, hogy az érintettet az adatkezelő név szerint azonosítsa vagy azonosítani tudja.

  • A közvetlenül azonosíthatóság azt jelenti, hogy például egy szolgáltató ügyintézője ügyfélkód vagy partnerkód alapján azonosítani tudja az ügyfelet.
  • A közvetett azonosíthatóság azt jelenti, hogy bizonyos információk összegzése alapján meghatározható a személy kiléte.

Ha nem állapítható meg legalább az azonosíthatóság valamely formája, akkor nem beszélhetünk személyes adatról sem.

Ugyanakkor a mai világban elég nehéz olyan adatot mondani, ami biztos, hogy nem minősülhet személyes adatnak. Ilyenek lehetnek például az üzleti titok körébe eső adatok.

A természetes személy nevétől az életviteli szokásait tükröző információkon és az általa használt számítógép IP-címén át a felhasználó ujjlenyomatáig hosszú, és a technológia fejlődésével egyre bővülő a személyes adatok sora.

A személyes adatok skálája tehát rendkívül széles: a természetes személyazonosító adatok (név és lakcím, születési hely és idő, anyja neve) mellett minden olyan információ, jellemző is személyes adatnak minősül, amely az érintettel kapcsolatba hozható.

  • Ilyen például a hitelbírálat során a jövedelmi helyzet, egészségügyi vizsgálatok adatai, a választási kampányban a szimpatizánsi adatbázisba felveendő telefonszám, e-mail cím mellett annak ténye is, hogy egy adott pártot a választópolgár nem támogat.
Általánosságban minden olyan információt személyes adatnak tekintünk, amely kötődik az egyénhez, és helyzetét valamilyen módon befolyásolja vagy befolyásolhatja. Az információ tehát, mivel kihat az egyén helyzetére, személyes adat marad.

Például a keresőmotorok által keresett, indexált és tárolt, illetve a keresőmotorok felhasználói számára hozzáférhetővé tett adatok között is vannak azonosított vagy azonosítható természetes személyre vonatkozó információk, vagyis személyes adatok.

  • A keresőmotorokkal kapcsolatos további probléma, hogy olyan módon rendszerezik és csoportosítják a neten elérhető információkat, hogy ha a szolgáltatást igénybe vevő a keresést egy természetes személy neve alapján végzi, akkor a találati lista egy rendszerezett összefoglalót nyújt az adott természetes személlyel kapcsolatban, tehát kvázi egy részletes profilt hoz létre a keresőmotor az érintettről.

De ugyanilyen személyes adatnak minősül a felhasználó végberendezésére (számítógép, laptop, notebook, telefon) telepített fájlok cookiek adattartalma is, ha legalább az azonosíthatóság egyik esete megállapítható.

Végezetül fontos különbséget tenni az érintett azonosítása/azonosíthatósága és személyazonossága között.

Előbbi esetben a kezelt adatok lehetővé teszik az érintett szeparálását környezetétől vagy az ott lévő harmadik személyektől. Az azonosítás/azonosíthatóság arra a kérdésre ad választ tehát, hogy a kezelt információk mely személyhez tartoznak a csoporton belül.

Ezzel szemben a személyazonosság annak megállapítását teszi lehetővé, hogy pontosan ki is az adott egyén. Az adatkezelő ezáltal felismeri az érintettet. Az érintett identitásának megállapításához jellemzően jogszabályokban meghatározott különféle azonosítókat alkalmaznak az adatkezelők.

A Nemzeti Adatvédelmi és Információszabadság Hatóság által a személyes adatoknak a Google keresőmotorjának találati listájából való eltávolításával kapcsolatos ügyek megítélése során figyelembe vett szempontokról szóló tájékoztatójában a következőket emelte ki.

"Az érintett azonosítása/azonosíthatósága és személyazonossága közötti különbség abból a szempontból releváns, hogy a magyar jogi gondolkodásban és a hétköznapi gyakorlatban is az gyökeresedett meg, hogy csak abban az esetben beszélhetünk személyes adatokról, amennyiben azáltal az érintett abszolút módon – minimálisan névvel, esetleg még egy vagy több további információ révén – azonosított.

Ez azonban rendkívüli módon leszűkítené a személyes adat fogalmát, ezáltal pedig az egyén magánéletének háborítatlanságát biztosító adatvédelmi garanciák alkalmazásának körét. Ahogy arra az Irányelv 29. cikke alapján létrehozott Adatvédelmi Munkacsoport a személyes adat fogalmáról szóló 4/2007. szánú véleményében (WP136)1 rámutatott – az érintett azonosíthatóságát nem csak egyedi, kizárólag az adott személyhez köthető információk tehetik lehetővé. Bizonyos adatok egyedi kombinációja révén ugyanis az adatkezelő képes közvetve azonosítani az érintett személyt. "Azokban az esetekben, ahol a hozzáférhető azonosítók kiterjedése első látásra nem teszi senki számára lehetővé az adott személy kiválasztását, attól még e személy 'azonosítható' lehet, mivel az említett információ más információkkal összekapcsolva (ez utóbbi akár megvan az adatkezelőnél, akár nincs) az egyént másoktól megkülönböztethetővé teszi."

Elmondható tehát, hogy nagyon körültekintően kell eljárni annak megállapítása során, hogy milyen információk minősülhetnek személyes adatnak.

A személyes adatoknak van különleges kategóriája is

Ezek a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a genetikai adatok, a természetes személyek egyedi azonosítását célzó biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok.

Hogy tovább cizelláljuk, a GDPR egyesével megmagyarázza a fogalmi elemeket.

  1. genetikai adat: egy természetes személy örökölt vagy szerzett genetikai jellemzőire vonatkozó minden olyan személyes adat, amely az adott személy fiziológiájára vagy egészségi állapotára vonatkozó egyedi információt hordoz, és amely elsősorban az említett természetes személyből vett biológiai minta elemzéséből ered;
  2. biometrikus adat: egy természetes személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó minden olyan sajátos technikai eljárásokkal nyert személyes adat, amely lehetővé teszi vagy megerősíti a természetes személy egyedi azonosítását, ilyen például az arckép vagy a daktiloszkópiai adat;
  3. egészségügyi adat: egy természetes személy testi vagy pszichikai egészségi állapotára vonatkozó személyes adat, ideértve a természetes személy számára nyújtott egészségügyi szolgáltatásokra vonatkozó olyan adatot is, amely információt hordoz a természetes személy egészségi állapotáról;

Különleges adatok kezelése főszabály szerint tilos. Persze mint minden tiltás esetében, itt is találunk kivételeket, ráadásul szép számmal. Ilyen kivételt jelent például ha az érintett kifejezett hozzájárulását adta valamely különleges adatának meghatározott célból történő kezelésére.

Nagyon könnyen belefuthat ilyen esetbe például egy étrend-kiegészítőket, gyógynövény készítményeket kínáló weboldalt üzemeltető adatkezelő is, mondjuk ha arra kéri a látogatókat, hogy töltsenek ki egy az egészségi állapotukra, táplálkozási szokásaikra vonatkozó állapot felmérő kérdőívet, amiért cserébe mondjuk kedvezményben részesülnek.

A személyes adatok különleges kategóriáiról bővebben lesz még szó egy másik cikkben.

Jelen cikk nem teljes körű és nem minősül szakmai állásfoglalásnak vagy tanácsadásnak. Jelen ismeretanyag az adatkezelők/adatfeldolgozók alapvető tájékozódását szolgálja.