Új NAIH ajánlás az előzetes tájékoztatás követelményeiről

A Nemzeti Adatvédelmi és Információszabadság Hatóság (Hatóság) a közelmúltban tette közzé ajánlását az előzetes tájékoztatás adatvédelmi követelményeiről (Ajánlás). A Hatóság tapasztalata szerint a legtöbb adatkezelő ismeri azon kötelezettségét, hogy adatkezelési tájékoztatót kell alkotnia, azonban az adatkezelési tájékoztatók sok esetben nem felelnek meg bizonyos alapvető alkotmányos követelményeknek és a magánszemélyek az alapján nem tudják felismerni, hogy az adatkezelés milyen hatással van a magánszférájukra. A Hatóság azzal kívánja segíteni az adatkezelőket a helyes gyakorlat kialakításában, hogy Ajánlásában részletesen meghatározza, hogy milyen követelményeket szükséges figyelembe venni az adatkezelési tájékoztatók megalkotása során.

A Hatóság hangsúlyozottan javasolja, hogy az adatkezelők az Ajánlásban foglalt szempontok szerint tekintsék át az adatkezelési tájékoztatókat és végezzék el a szükséges módosításokat. Továbbá az Ajánlás szerint javasolt évente egy alkalommal az adatkezelési tájékoztatót felülvizsgálni, mivel az egyes adatkezelési körülmények, illetve a vonatkozó jogszabályi előírások időről időre megváltozhatnak.

Jogszabályi háttér

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) 20. § (2) bekezdése alapján az adatkezelőknek előzetesen, egyértelműen és részletesen tájékoztatniuk kell a magánszemélyeket az adatok kezelésével kapcsolatos minden tényről. Ez a rendelkezés példálózóan felsorolja, hogy a tájékoztatásnak mit kell tartalmaznia (adatkezelés jogalapja, célja, időtartama stb.), azonban lényeges, hogy ez nem egy kimerítő felsorolás. Az Ajánlás felhívja a figyelmet arra, hogy az Infotv. más rendelkezései is figyelembe veendőek az előzetes tájékoztatás megadásával kapcsolatban. Így például figyelemmel kell lenni az Infotv. 15. § (1) bekezdésére, mely az utólagos, a magánszemély kérelmére történő tájékoztatás tartalmát szabályozza. A Hatóság véleménye szerint az itt meghatározottakat is tartalmaznia kell az előzetes tájékoztatásnak, így annak ki kell terjednie a kezelt adatok körére, az adatok forrására, valamint az adatfeldolgozó nevére, címére és az adatkezeléssel összefüggő tevékenységére. Továbbá az Infotv. 11. § (2) bekezdésére is figyelemmel kell lenni, amely az automatizált adatfeldolgozással hozott döntés esetére határoz meg további tájékoztatási kötelezettséget.

Milyen formában szükséges megadni a tájékoztatást?

Az Ajánlás értelmében a tájékoztatás történhet írásban és egyéb módokon, így szóban is. Azonban lényeges, hogy az adatkezelőnek igazolnia kell tudnia a tájékoztatás megtörténtét, így az írásbeli, dokumentált tájékoztatási forma a főszabály. Fontos, hogy egységes formaszöveg az előzetes tájékoztatásra nem határozható meg, ugyanis a tájékoztatásnak figyelemmel kell lennie az egyedi adatkezelési körülményekre.

A Hatóság álláspontja alapján – az Infotv. 4. §-ában meghatározott tisztességes adatkezelés alapelvéből következően – a tájékoztatásnak közérthetőnek, könnyen elérthetőnek és áttekinthetőnek kell lennie. Az Ajánlás hangsúlyozza, hogy pusztán az Infotv. egyes rendelkezéseinek a szó szerinti idézésével az adatkezelők nem teljesítik megfelelően az előzetes tájékoztatási kötelezettséget. Fontos, hogy a tájékoztató rövid mondatokkal, hétköznapi életben használatos szavakkal írja körül az adatkezelési körülményeket. Javasolt példákon keresztül bemutatni az adatkezelést. Ajánlott, hogy megfelelő tördeléssel, felsorolással, pontokba szedéssel segítse az adatkezelő a tájékoztató áttekinthetőségét. Végül lényeges, hogy a tájékoztató az adatkezelés megkezdése előtt, valamint lehetőség szerint a legfontosabb adatkezelési lépések mindegyikénél elérhető legyen. Ezen túlmenően, a Hatóság szerint elvárható az is, hogy a tájékoztató folyamatosan elérhető legyen az adatkezelő honlapjának nyitóoldalán. Amennyiben az általános szerződési feltételek tartalmazzák az adatkezelési tájékoztatót, úgy azt a szövegben jól elkülönítetten kell megjeleníteni.

Mire kell kiterjednie a tájékoztatásnak?

Adatkezelő: meg kell adni az adatkezelő nevét és elérhetőségeit, beleértve a postai címet, email címet, honlap címet és a telefonszámot. Többes adatkezelés, illetve adattovábbítás esetén minden adatkezelő nevesítése szükséges.

Adatkezelés célja: fontos, hogy az adatkezelési cél illetve célok megjelölése kellően konkrét, pontos és közérthető legyen. A Hatóság álláspontja szerint nem elegendő például megadni azt, hogy marketing célból kezelik az adatokat, mert ez a marketing számos megvalósulási formájára utalhat. A célt ilyenkor konkrétabban szükséges meghatározni, például a “reklámlevelek küldése emailen keresztül” már elfogadható. Bonyolultabb adatkezelés esetén (például több adatkezelési cél esetén) az adatkezelés célját a kezelt adatok körével összefüggésben kell megadni. Lényeges, hogy a magánszemély a valós adatkezelési célról kapjon tájékoztatást, így például egészségnapnak álcázott termékbemutatók esetén nem megfelelő a pusztán egészségügyi adatkezelési cél megjelölése.

Adatkezelés jogalapja: hozzájáruláson, illetve jogszabályi rendelkezésen alapuló adatkezelés esetén röviden utalni kell a jogalap sajátosságaira, valamint meg kell jelölni az adott jogszabályhelyet is. Az Infotv. más jogalapjainál (jogi kötelezettség teljesítése, jogos érdek) is szükséges a jogalap rövid bemutatása. Fontos, hogy a jogos érdek érvényesítése céljából történő adatkezelés esetén az adatkezelőknek ún. érdekmérlegelési tesztet kell elvégezniük és a teszt eredményéről is tájékoztatni kell az érintetteket.

A kezelt adatok köre: pontosan fel kell sorolni azokat a személyes adatokat, amelyekre az adatkezelés kiterjed. Nem elégséges gyűjtőfogalmak használata (így például személyazonosító adatok, elérhetőségi adatok). Bonyolultabb adatkezelés esetén (például több adatkezelési cél esetén) a kezelt adatok körét az adatkezelési céllal, illetve célokkal összefüggésben szükséges meghatározni.

Adatkezelés időtartama: a célhoz és a kezelt adatok köréhez kapcsolódóan kell tájékoztatást adni az adatkezelés időtartamáról. Amennyiben az adatkezelés időtartama tekintetében valamely jogszabály előírást tartalmaz, úgy azt a tájékoztatóban fel kell tüntetni.

Adatfeldolgozó: meg kell adni az adatfeldolgozó nevét és elérhetőségeit, beleértve a postai címet, email címet, honlap címet és a telefonszámot. Nem elegendő azt megjelölni, hogy az adatkezelő az adatkezelés során adatfeldolgozót vesz igénybe. Továbbá a Hatóság elvárja, hogy a tájékoztató tartalmazza azt, hogy az adatfeldolgozó pontosan milyen tevékenységet lát el, illetve, hogy az adatfeldolgozó milyen személyes adatokhoz, milyen időtartamra fér hozzá.

Az adatok megismerésére jogosultak köre: szükséges annak részletezése, hogy az adatokhoz ki, milyen módon férhet hozzá. Munkakör illetve szervezeti egység szerint kell megadni az egyes személyes adatokhoz hozzáférő személyeket, szervezeteket és szükséges arra is kitérni, hogy ezek milyen adatkezelési műveletet hajthatnak végre.

Adatbiztonsági intézkedések: röviden és közérthetően ismertetni kell a főbb adatbiztonsági intézkedések lényegét. Nem megfelelő az, ha a tájékoztatóban szó szerint idézik az Infotv. 7. §-át.

Infotv. 6. § (5) bekezdése szerinti adatkezelés: elkülönítetten kell tájékoztatást adni az Infotv. 6. § (5) bekezdése szerinti adatkezelésről (azaz ha a személyes adatok felvételére az érintett hozzájárulásával került sor, jogi kötelezettség teljesítése illetve az adatkezelő vagy harmadik személy jogos érdekének érvényesítése céljából a személyes adat további külön hozzájárulás nélkül, illetve a hozzájárulás visszavonását követően is kezelhető). Ehelyütt az Ajánlás hivatkozik az Európai Unió Adatvédelmi Munkacsoportjának 6/2014-es számú véleményére, miszerint a jogos érdek érvényesítése céljából történő adatkezelés esetén az adatkezelőknek ún. érdekmérlegelési tesztet kell elvégezniük és a teszt eredményéről is tájékoztatni kell az érintetteket.

Az érintettek jogai, jogérvényesítési lehetőségei: részletesen tájékoztatni kell az érintetteket az egyes jogaikról (tájékoztatás kérése; helyesbítés, törlés, zárolás kérése; tiltakozás joga). Ki kell térni arra, hogy milyen elérhetőségen keresztül, mennyi időn belül lehet a jogokat érvényesíteni, továbbá célszerű kifejteni az egyes érintett jogok tartalmát (akár példákon keresztül). A jogorvoslati lehetőségekkel kapcsolatban tájékoztatni kell a Hatóság előtti eljárás, valamint a bírósághoz fordulás lehetőségéről. A tájékoztatóban meg kell adni a Hatóság hivatalos email címét, postai címét, telefonszámát, valamint honlapjának címét. A bírósági jogorvoslattal kapcsolatban ki kell térni arra, hogy az érintett dönthet úgy, hogy a pert a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt indítja meg.

Milyen hatással lehet a nem megfelelő előzetes tájékoztatás az adatkezelés jogszerűségére?

A hozzájárulás alapján történő adatkezelés esetén a nem megfelelő tájékoztatás azt eredményezi, hogy a hozzájárulás egyik lényeges feltétele nem teljesül, azaz a hozzájárulás nem lesz megfelelő tájékoztatáson alapuló. Az Ajánlás értelmében amennyiben a tájékoztatás hiányosságai jelentősen befolyásolták a személyeket akaratuk kinyilvánításában és emiatt az adatkezelés hatásait jelentősen korlátozottan ismerhették fel, akkor az adatkezelő nem rendelkezik megfelelő jogalappal, így az adatkezelése jogellenes lesz. Jogszabályi rendelkezésen alapuló adatkezelés esetén egyrészt pontosan meg kell jelölni az érintett jogszabályhelyet, másrészt a Hatóság álláspontja szerint a tisztességes adatkezelés alapelvéből levezethető, hogy részletes tájékoztatásra is szükség van. A jogos érdeken alapuló adatkezelés esetén az érdekmérlegelési teszt elvégzése és az erről való tájékoztatás a jogszerű adatkezelés feltétele.

A fenitek alapján egyértelmű, hogy a Hatóság véleménye szerint a megfelelő előzetes adatkezelési tájékoztatásnak kiemelkedő jelentősége van az adatkezelés egészének jogszerűségét illetően, így javasolt megfelelő időt és energiát fordítani az adatkezelési tájékoztatók elkészítésére, azok rendszeres felülvizsgálatára, szükség szerinti módosítására.

dr. Tarján Zoltán
ügyvéd
zoltan.tarjan@twobirds.com
Tel.: +36 1 799 2000
Knight Bird & Bird Iroda



Kategóriák:Adatvédelem, Egyéb

Címkék:, , , , , ,