Az alábbi cikk külső tartalom, nem frissített.
1. Civil szervezetek belső működése
1.1. A GDPR nem ír elő kifejezetten belső adatvédelmi szabályzatalkotási kötelezettséget az adatkezelők számára. A GDPR 24. cikk (2) bekezdése alapján az adatkezelőnek akkor kell belső adatvédelmi szabályokat is alkalmaznia – a személyes adatok védelmének biztosítása céljából megvalósított technikai és szervezési intézkedések részeként – ha ez az adatkezelési tevékenység vonatkozásában arányos. Ennek a rendelkezésnek az értelmezését a GDPR (78) preambulumbekezdés segíti. Ez alapján azt kell tehát az adatkezelőnek mérlegelnie, hogy a kezelt adatok mennyisége és köre alapján „arányosnak” mutatkozik-e adatvédelmi szabályzat vagy más szabályrendszer (pl. utasítás, folyamatleírás, biztonsági szabályzat) elkészítése. Mindezekre figyelemmel, ha az adatkezelő az adatvédelmi szabályzat elkészítése mellett dönt, úgy a GDPR nem tartalmaz speciális előírást arra vonatkozóan, hogy a szabályzatnak milyen kötelező tartalmi elemei legyenek.
Az azonban, hogy a szabályzat alapján kialakított adatkezelési gyakorlat a GDPR-rel összhangban van-e, az adatkezelő (adatfeldolgozó) felelőssége. Nem a működési forma, hanem a végzett tevékenység számít.
1.2. A tagnyilvántartással kapcsolatban minden személyes adat kezelése meg kell feleljen a GDPR rendelkezéseinek 2018. május 25-től, nemcsak az újonnan az adatbázisba kerülő adatok vonatkozásában érvényesül a GDPR. A GDPR (171) preambulumbekezdés alapján akkor nem szükséges új hozzájárulás, ha már rendelkezésre áll egy olyan nyilatkozat, ami megfelel a GDPR-nek (megfelelő tájékoztatáson alapuló, szabad akaratból, kifejezett, egyértelmű, tevőleges). Ha a tagfelvételi nyilatkozat megfelel ezen feltételeknek, akkor nem szükséges új nyilatkozat beszerzése.
1.3. Az adatvédelmi tisztviselővel összefüggésben a GDPR szűk keretek között enged csak teret a tagállami jogalkotásnak (lásd GDPR 37. cikk (4) bekezdése és 38. cikk (5) bekezdése), így annak eldöntéséhez, hogy kell-e majd adatvédelmi felelőst alkalmaznia egy szervezetnek, a GDPR 37. cikk (1) bekezdésének a) - c) pontjait, valamint az ágazati uniós és tagállami jogi előírásokat kell kiindulópontnak tekinteni. Ehhez segítséget nyújt az Adatvédelmi Irányelv 29. cikke szerint létrehozott adatvédelmi munkacsoport (a továbbiakban: „Munkacsoport”) az adatvédelmi tisztviselőkkel kapcsolatban kibocsátott 243. számú iránymutatása, amely magyarul is elérhető a Hatóság honlapjáról: https://www.naih.hu/29-es-munkacsoport-iranymutatasai.html. Az iránymutatás – egyebek mellett – részletesen foglalkozik a GDPR 37. cikk (1) bekezdésében felsorolt esetkörökkel.
Ez alapján a közhatalmi szerv vagy közfeladatot ellátó szerv fogalmát – a GDPR-ben írt definíció híján – a nemzeti jog szerint kell meghatározni. Az iránymutatás kitér arra is, hogy „[…] a közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv fogalma magában foglalja az országos, regionális és helyi hatóságokat, de a fogalom – az alkalmazandó nemzeti jogszabályok szerint – általában magában foglalja a közjog hatálya alá tartozó más szerveket is.” Az Infotv. 26. § (1) bekezdése alapján közfeladatot ellátó szerv az állami vagy helyi önkormányzati feladatot, valamint jogszabályban meghatározott egyéb közfeladatot ellátó szerv vagy személy. Az adatvédelmi tisztviselő kijelölésével kapcsolatban továbbá felhívom a figyelmét a GDPR 37. cikk (3) bekezdésére, amely szerint ha az adatkezelő vagy adatfeldolgozó közhatalmi szerv vagy egyéb, közfeladatot ellátó szerv, közös adatvédelmi tisztviselő jelölhető ki több ilyen szerv számára. Jelzem továbbá, hogy az adatvédelmi tisztviselővel összefüggésben a Hatóság honlapján számos iránymutatás található: https://www.naih.hu/az-adatvedelmi-reformmal-kapcsolatos-allasfoglalasok.html
1.4. A GDPR 40. cikke értelmében az adatkezelők (adatfeldolgozók) kategóriáit képviselő egyesületek és egyéb szervezetek önszabályozó eszközként magatartási kódexeket dolgozhatnak ki annak érdekében, hogy a rendelet alkalmazásában a különböző adatkezelők egyedi ágazati jellemzői, valamint a mikro-, kis- és középvállalkozások sajátos igényei érvényesülni tudjanak. A felügyeleti hatóságok e folyamatban ösztönzőként és a magatartási kódexek megfelelőségének vizsgálatával vesznek részt, így ha a magatartási kódex megfelel a rendelet szabályainak, a magatartási kódexet jóváhagyják és nyilvántartásba veszik; a felügyeleti hatóságok a magatartási kódex kiadására azonban nem rendelkeznek hatáskörrel. A Hatóságnak a magatartási kódexek jóváhagyására és nyilvántartásba vételére irányuló eljárására nézve a GDPR csupán annyi előírást tartalmaz, hogy a tagállami felügyeleti hatóságnak a határozata meghozatala előtt ki kell kérnie ez Európai Adatvédelmi Testület véleményét, egyebekben az eljárásra a magyar jogi eljárási szabályok alkalmazandóak.
2. A civil szervezetek munkavállalói, megbízási szerződéses dolgozói, tisztségviselői
2.1. A munkavállalói adatok kezelésében a joggyakorlat nem változik, mind a Munkacsoport, mind a Hatóság állásfoglalása eddig is az volt, hogy erős függelmi viszonyokban a hozzájárulás jogcím főszabály szerint nem alkalmazható a személyes adatok kezelésére. Ezt erősítik meg a GDPR rendelkezései és a Munkacsoport egyelőre csak angolul elérhető 259. számú iránymutatása, amely a fenti 1.3. pontban jelzett hivatkozás alatt a Hatóság honlapján is elérhető. Ebből fakadóan a hozzájárulás kérése a munkavállalóktól felesleges, az adatkezelésnek ezen jogviszonyban az érintett hozzájárulása tipikusan nem képezheti érvényes jogalapját. Egyes kivételes esetekben azonban, ha a hozzájárulás szabadon és következményektől mentesen megtagadható, továbbá ha a hozzájárulás nem a munkaviszony fenntartásának feltétele, akkor az adatkezelés jogalapjául az érintett hozzájárulása is szolgálhat. Ilyen eset lehet például, ha filmet forgatnak a munkahelyen és minden érintett szabadon eldöntheti szeretne-e a háttérben látszódni, vagy arra az időre máshol végezheti a munkáját változatlan feltételekkel. Ha a hozzájárulás nélkül az érintett munkaviszonya megszűnik vagy terhesebbé válik, valamely előnytől elesik, vagy egyéb hátrányt szenved el, akkor a hozzájárulás érvénytelen az akaratképzés szabadságának hiánya miatt. Ez a megközelítés minden függő viszonyban lévők közötti adatkezelésnél irányadó, nemcsak munkaviszonyban.
2.2. A fentebb kifejtettekre tekintettel a GDPR alapján a jogi kötelezettség teljesítése lehet érvényes jogcím a jogszabályban meghatározott személyes adatok kezelésére. A jogszabályban kifejezetten nem megjelölt, de a munkaviszonnyal kapcsolatban feltétlenül szükséges további személyes adatok vonatkozásában pedig a munkaszerződés teljesítése jöhet szóba.
2.3. Írásba foglalása nélkül is létrejön az önkéntes és az őt foglalkoztató között a szerződés, kivéve, ha jogszabály, így különösen a közérdekű önkéntes tevékenységről szóló 2005. évi LXXXVIII. törvény alapján kötelező az írásba foglalása. A GDPR szerinti szerződés teljesítéséhez szükséges adatkezelés, mint jogalap nem feltételez írásbeli szerződést. Az adatkezelő felelőssége és kockázata, hogy jogvita esetén írásbeli szerződés hiányában bizonyítani tudja-e az önkéntessel fennálló jogviszonyt, illetve azt, hogy csak a jogviszonyhoz szükséges mértékben és ideig kezelte önkéntesek személyes adatait, és hogy a GDPR szerinti egyéb kötelezettségeinek eleget tett (pl. tájékoztatás stb.). Az adatkezelés tényéről, mértékéről, feltételeiről a GDPR rendelkezései alapján eljárva, igazolhatóan tájékoztatni szükséges az önkéntest is. Ezen kötelezettség teljesítése is számos módon megvalósulhat a gyakorlatban.
2.4. A GDPR 8. cikk (3) bekezdése szerint a kiskorúak esetén a szerződés létrejöttével, annak érvényességével kapcsolatban a tagállami szabályok – mindenekelőtt a polgári törvénykönyvről szóló 2013. évi V. törvény (a továbbiakban: „Ptk.”) – alkalmazandóak (törvényes képviselő hozzájárulása a magyar jog által megkövetelt esetekben).
Mindenképpen ajánlott kiskorú diákok foglalkoztatása esetén a szerződés írásba foglalása. A GDPR a kiskorúak személyes adatainak kezelésével kapcsolatban a fokozott védelem elvét követi. A GDPR 8. cikk (1) bekezdése szerinti 16 éves korhatár csak az ott megjelölt közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában adott hozzájárulásra alkalmazható, minden egyéb esetben a tagállami jogszabályok irányadóak a gyermekek jognyilatkozataira, azok érvényességére.
A közérdekű önkéntesek személyes adatainak kezelésével kapcsolatos általános követelményrendszer sem tér el más munkavégzésre irányuló szerződéses jogviszony tekintetében alkalmazandótól, hiszen az adatkezelés a közérdekű önkéntesi tevékenység végzésének a feltétele csakúgy, mint más munkavégzésre irányuló jogviszonyban. A személyes adat védelméhez való alapjog védelméhez kapcsolódó követelményrendszer pedig független attól, hogy az érintettek milyen jogviszony keretében végeznek munkavégzésre irányuló tevékenységet. A személyes adatok védelmének szintje nem a szerződéses jogviszony típusától függ, hanem a védendő alapjogtól és az érintettek jogait fenyegető kockázatoktól. Emiatt a munkavállalókkal kapcsolatban jelzettek megfelelően irányadók a közérdekű önkéntesek vonatkozásában is.
4. Szerződésekben szereplő kapcsolattartói adatok
A kapcsolattartók adatai a harmadik személy adatkezelő és a kapcsolattartó munkáltatója (megbízója) jogos érdekére hivatkozással a szükséges mértékben kezelhetőek lehetnek harmadik személy által a GDPR 6. cikk (1) bekezdés f) pontja alapján. Ebben az esetben érdekmérlegelési teszt elvégzése szükséges. Ennek – az összes körülménytől, például munkakörtől függő – eredménye lehet, hogy az érintett a munkaköre (vagy megbízása) ellátása során a jogos érdeknél csekélyebb jogkorlátozást szenved el, tekintettel arra, hogy ezen adatok megismerhetőségéhez nyomós közérdek illetve munkáltatói érdek fűződik.
Ezen személyes adatok kezelésének célja a kapcsolatfelvétel lehetővé tétele, így azok megfelelő jogalap mellett az e célhoz szükséges terjedelemben és ideig kezelhetőek.
Ilyenkor a kapcsolattartó megbízója illetve munkáltatója a GDPR 6. cikk (1) bekezdés b) pontja, illetve a munka törvénykönyvéről szóló 2012. évi I. törvény 10. § (1) bekezdése alapján szerzi meg és továbbítja a személyes adatokat a harmadik személy felé, akivel a kapcsolatfelvétel szükséges. Fontos ilyenkor is a kapcsolattartó megfelelő tájékoztatása az adatkezelésről.
5. Pályázati elszámolásokkal kapcsolatos adatkezelési jogalap
A pályázatot kiíró nem kérhet jogszerűen olyan adatot, amely az adatkezelés céljának eléréséhez szükségtelen, arra alkalmatlan vagy annak eléréséhez aránytalan. A pályázatok egy része keretében európai uniós jogi aktus vagy magyar jogszabály írja elő az adott személyes adat kezelését és annak feltételeit, ezen esetben a jogalap a GDPR 6. cikk (1) bekezdés c) pontja lesz. Fontos ugyanakkor megjegyezni azt is, hogy sem az uniós jogi aktus, sem a magyar jogszabály nem írhatja elő olyan adat kezelését, amely nem szükséges az adatkezelés céljához, vagy annak eléréséhez aránytalan mértékű (ez ugyanis a GDPR rendelkezéseibe és adott esetben a tagállami alkotmányok, alaptörvények rendelkezéseibe is ütközne).
Amennyiben nem jogszabály írja elő, de a pályázat teljesítéséhez vagy ellenőrzéséhez feltétlenül szükséges személyes adatról van szó, akkor a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek lehet alkalmazható, amennyiben az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. Ilyenkor a jogszerű adatkezeléshez a pályázatot kiíró által elvégzett érdekmérlegelési teszt megfelelő – a jogalapra hivatkozást megalapozó – eredménye szükséges.
6. Civil szervezetek rendezvényein vezetett jelenléti ívek
Személyes adat a GDPR alapján csak megfelelő tájékoztatás mellett, konkrét célból és a GDPR-ben felsorolt egyik jogalap igazolása mellett kezelhető, megfelelve a GDPR valamennyi feltételének. A készletező adatgyűjtés, „adatfelhalmozás” a GDPR-t megelőző jogszabályi környezetben is jogellenes volt, ez nem változik. Az Alkotmánybíróság már a 15/1991. (IV.13.) határozatában kimondta, hogy „[a]z Alkotmánybíróság megállapítja, hogy személyes adatok meghatározott cél nélküli, tetszőleges jövőbeni felhasználásra való gyűjtése és feldolgozása alkotmányellenes.”. A Hatóság ezzel kapcsolatos gyakorlata nem változik érdemben a GDPR miatt. Ennek megfelelően akkor jogszerű a rendezvényeken a jelenléti ívek vezetése, ha van konkrét, jogos adatkezelési cél, megfelelő tájékoztatás és igazolható, GDPR-nek megfelelő hozzájárulás.
7.1. A honlapot működtető, illetve hírlevelet kiküldő civil szervezetek másokkal azonos feltételek mellett működhetnek, azaz személyes adatot csak a GDPR szerinti valamely jogcím alapján kezelhetnek. Hírlevél esetén ez jellemzően a hozzájárulás, melynek főbb elemei a fentiekben lettek kifejtve.
7.2. Attól, hogy egy adott cél érdekében nyilvánosan elérhetőek, a személyes adatok nem esnek ki az alapjogi védelem alól és válnak bárki által szabadon felhasználhatóvá. A GDPR 5. cikk (1) bekezdés b) pontjában meghatározott célhoz kötöttség elve és a GDPR általános
szabályai változatlanul alkalmazandóak ilyen esetben is. A cél, a jogalap és egyéb feltételek tekintetében a fenti 6. pontban írtak irányadóak itt is. A honlapokról történő „összeollózás” szerzői jogi kérdéseket is felvet, azonban annak vizsgálata nem tartozik a Hatóság hatáskörébe.
7.3. Olyan képek és videók közzététele esetén, ahol harmadik személyek felismerhetőek és eddig nem volt sem hozzájárulás, sem más jogalap a kezelésükre és nyílvánosságra hozatalukra, az adatkezelés jogszerűsége tekintetében érdemi változásra nem kerül sor, az ilyen adatkezelés korábban is jogellenes volt, és 2018. május 25. után is az marad.
7.4. Megfelelő adatvédelmi tájékoztatást kell adni az érintetteknek, akár a honlapon közzétéve, akár más igazolható módon. A belső szabályzat a jobb átláthatóság érdekében készíthető és közzétehető, de erre nincs konkrét kötelezés a GDPR-ben.
7.5. Adatvédelmi tájékoztatás minta nem készíthető mindenkire általános jelleggel. Adott tevékenységeket végző adatkezelő az adott célok érdekében különböző adatokat kezel, adott jogalapra hivatkozva és egyedi feltételekkel (szükséges időtartam konkrét leírása stb.).
Az adatkezelő szervezetek olyan sokfélék, hogy ez általános jelleggel nem írható le. A Hatóság tapasztalata szerint az általános adatvédelmi tájékoztató mintát átvevő adatkezelők tényleges gyakorlata sokszor nagyon eltér a leírtaktól, így a minta alkalmazása sokszor inkább félrevezeti az érintetteket, és éppen ez teszi jogellenessé az adatkezelést. Az adatkezelési tájékoztató jogszabályi célja, hogy a konkrét adatkezelést bemutassa, nem egy általános elméletet, ez pedig adatkezelőnként vizsgálható csak. Bár a tájékoztatás tartalmát illetően a GDPR irányadó 2018. május 25. után, de az előzetes tájékoztatás formai és minőségi követelményeivel kapcsolatban továbbra is lényegében változatlanul irányadónak tekinthető a Hatóság alábbi hivatkozás alatt elérhető ajánlása: https://www.naih.hu/files/tajekoztato-ajanlas-v-2015-10-09.pdf
7.a. Elektronikus vagy postai úton kiküldött hírlevél, meghívó, illetve ügyféladatbázis
7.a.1. 2018. május 25-től minden adatkezelésnek meg kell felelnie a GDPR-nek, a 2018. május 25. előtt a hírlevélre feliratkozásokkal kapcsolatban adott hozzájárulások sem képeznek kivételt ez alól. A GDPR (171) preambulumbekezdés alapján akkor nem szükséges az érintett ismételt hozzájárulása, ha a korábban adott hozzájárulása megfelel a GDPR-nek (megfelelő tájékoztatáson alapuló, szabad akaratból, kifejezett, egyértelmű, tevőleges, utólag igazolható), vagy egyéb jogalap fennáll a további adatkezelésre és erről megfelelően az adatkezelő megfelelően tájékoztatja az érintetteket. A további adatkezelés kizárólag az adatgyűjtés céljával összeegyeztethető célból, a GDPR 6. cikk (4) bekezdésében meghatározottak alapján elvégzett teszt elvégzését és pozitív eredményét követően tekinthető jogszerűnek.
7.a.2. A természetes személy e-mail címe önmagában is személyes adat. A személyes adat minőséghez nem szükséges az, hogy az adott adat önmagában és közvetlenül legyen alkalmas a konkrét személy azonosítására, ilyennek minősül az adat akkor is, ha közvetetten és/vagy más adatokkal együtt alkalmas az egyén azonosítására. A GDPR tehát – összhangban a korábbi magyar jogi környezettel – kiterjesztően értelmezi a személyes adat fogalmát. A technikai fejlődés következtében az érintettek azonosítása és profilozása számos eszközzel és módszerrel elvégezhető, ebből fakadóan a GDPR nyújtotta védelem jelentéktelenné válhatna, ha az csak olyan adatok kezelésére lenne alkalmazandó, amelyek önmagukban elégségesek az azonosításra.
7.a.3. A hírlevélküldés céljára az adatkezeléshez a GDPR-nek megfelelő hozzájárulást nem szükséges időszakosan az érintetteknek megerősíteni, ha a feliratkozás – megfelelő tájékoztatás nyomán – határozatlan időre történt (a hozzájárulás alapjául szolgáló tájékoztatás, az abban foglalt lényegi elemek nem változtak meg). Minden egyes hírlevélben meg kell adni az akadálymentes leiratkozás lehetőségét, mely nem lehet időigényesebb vagy bonyolultabb, mint a feliratkozás (tipikus a hivatkozás vagy e-mail küldés, de bármilyen megoldás elfogadható lehet, amely teljesíti a fenti feltételt és nem okoz szükségtelen többletterhet az érintettnek).
7.a.4. Csak olyan személyes adat kezelhető 2018. május 25-től, amelynek kezelése megfelel a GDPR rendelkezéseinek. Amely személyes adat kezelése nem feleltethető meg e rendelkezéseknek, azt törölni kell, és erről tájékoztatni kell az érintettet. Ugyanazon követelményeknek kell megfelelnie a már működő adatbázisnak, mintha abban kizárólag GDPR hatálya alatt gyűjtött adat lenne.
8.1. A GDPR 89. cikke szerint – többek között – a közérdekű archiválás céljából folytatott adatkezelések tekintetében, megfelelő garanciák mellett, tagállami jog állapíthat meg a GDPR alóli kivételeket, könnyítéseket. Amennyiben a tagállami jog ilyet nem állapít meg, vagy az adott archiválás a tagállami jog szerint nem minősül „közérdekű archiválás”-nak, akkor a GDPR általános szabályai alkalmazandóak változatlanul az archivált adatokra, adatbázisokra is. Amennyiben nem közérdekű archívumról van szó, csak a fentiekben kifejtett „készletező adatgyűjtésről”, az a fenti 6. pontban kifejtettek szerint korábban sem volt jogszerű, és a GDPR alapján sem vált jogszerűvé.
8.2. A törlési jogról az adatkezelési tájékoztató keretében vagy az adat felvételekor, vagy régebbi adatkezelés esetén legkésőbb 2018. május 25-ig kell tájékoztatni az érintetteket. Az esetleges kivételeket a tagállami jogszabályok kell, hogy tartalmazzák közérdekű archívum esetén. Emellett természetesen a GDPR 17. cikk (3) bekezdése, annak a törlést kizáró rendelkezései is alkalmazandóak.
9. Fotókhoz/mozgóképekhez kapcsolódó személyiségi jogok
9.1. A rendezvényen résztvevőket előzetesen, megfelelő formában, igazolhatóan tájékoztatni szükséges a felvételkészítésről és annak jogalapjáról. Ha a rendezvényre nem lehet belépni úgy, hogy a kép/videó készítése kizárható lenne, akkor önkéntes hozzájárulás a GDPR alapján nem adható, jogszabályi előírás híján az adatkezelő vagy harmadik személy jogos érdeke lehet a jogalap megfelelő érdekmérlegelési teszt és tájékoztatás mellett. A tájékoztatásban pontosan meg kell határozni ki, milyen célból és milyen felületen teszi közzé vagy használhatja fel, milyen címzettek részére adhatja át a felvételeket, és mennyi ideig kezelheti azokat. A célnak megfelelő feltételek, tárolási idő meghatározása az érdekmérlegelési tesz pozitív eredményéhez és az adatkezelés jogszerűségének biztosításához szükséges.
9.2. A GDPR-t 2018. május 25-től minden, a tárgyi és területi hatálya alá tartozó személyes adat kezelésére alkalmazni kell, függetlenül a személyes adat forrásától és az adatgyűjtés időpontjától. Ha nem tájékoztatható az érintett a kapcsolat hiánya miatt, akkor a személyes adatát tartalmazó felvételt vagy törölni, vagy anonimizálni kell (a felvételt személyazonosításra alkalmatlanná kell tenni, mint például a Google street view felvételeken).
9.3. A munkahelyen alkalmazott kamerákkal kapcsolatban a főbb elvek nem változtak (célhoz kötöttségnek megfelelő látószög, megfelelő jogalap stb.). Ezen szempontok a Hatóság honlapján elérhető alábbi ajánlásban és tájékoztatóban kerülnek kifejtésre:
https://www.naih.hu/files/Ajanlas-a-munkahelyi-kameras-megfigyelesr-l.pdf
https://www.naih.hu/files/2016_11_15_Tajekoztato_munkahelyi_adatkezelesek.pdf
10.1. Az adatvédelmi incidenst főszabályként be kell jelenteni a Hatóságnak. A GDPR 33. cikk (1) bekezdése alapján csak akkor mellőzhető a bejelentés, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve. Ezt előre általános jelleggel nem lehet megállapítani, csak az adott incidens részleteinek ismeretében. Kétség esetén az adatkezelő felelőssége, ha mellőzi a bejelentést és nem a Hatóságra bízza annak eldöntését, hogy az incidens mennyire volt kockázatos.
10.2. A bírságolási gyakorlatot az összes tagállam adatvédelmi hatósága és az az általános adatvédelmi rendelet alkalmazásáért felelős uniós szerv, az Európai Adatvédelmi Testület, valamint a hatóságok határozatait felülvizsgáló tagállami bíróságok, végső soron az Európai Unió Bírósága alakítják ki. A Hatóság a saját gyakorlatát erre tekintettel alakítja ki a GDPR rendelkezéseire figyelemmel. Hangsúlyozandó ugyanakkor, hogy a GDPR célja nem a bírságolás, hanem az eddig tagállamonként eltérő szintű alapjogi védelem megteremtése és minél teljesebb körű érvényesülése érdekében eredményes kikényszerítése. . Ebben a szabályozásban a bírság is a lehetséges jogkövetkezmények egyik – igaz adott esetben leginkább hátrányos – fajtája. A GDPR 83. cikke erre is tekintettel írja elő, hogy a bírság megállapításakor az eset összes körülményét figyelembe kell venni, így különösen, hogy az adatkezelő kellő körültekintéssel járt-e el, biztosította-e az adott helyzetben adott személyes adatkezeléssel kapcsolatban általában elvárható fizikai, szabályozási és szervezeti adatvédelmi garanciák meglétét és a megfelelő tájékoztatást, tett-e ésszerű lépéseket a jogszabályi kötelezettségek teljesítésére. Minél nagyobb az érintettekre a jogellenes adatkezelésből adott esetben bekövetkező hátrány, illetve az ilyen hátrány bekövetkezésének kockázata, továbbá minél kevésbé korrigálható a helyzet, annál szigorúbb elvárásokra, és ebből következően szigorúbb jogkövetkezményekre számíthat az adatkezelő, illetve az adatfeldolgozó. Nagyszámú személyes adat kezelése csak akkor végezhető jogszerűen akár profitszerzési akár más céllal, ha az adatok védelme megfelelő.
A kevés anyagi forrás önmagában nem mentesít a kárfelelősség alól, ha nagyszámú és nagy értékű személyes adatot kezel egy civil szervezet. Az alapjogi védelem az érintettek jogait fenyegető kockázatok, nem pedig az adatkezelő személyének függvénye. Egyes szervezeteknek célszerű lehet olyan adatfeldolgozót igénybe venni, amely a megfelelő feltételeket szavatolni tudja, mivel adott esetben ez költséghatékonyabb lehet egy saját rendszer alkalmazásánál. Kisebb civil szervezetek jellemzően kisszámú, nem is feltétlenül különleges adatot tartanak nyilván a tevékenységükkel összefüggésben, így valószínűleg ilyenkor nem okozhat jelentős költséget a GDPR-nek való megfelelés biztosítása.
Amennyiben egy kisebb civil szervezet nem biztos abban, hogy a nyilvántartási rendszere a szükséges biztonsági követelményeknek eleget tesz, célszerű lehet egy egyszeri informatikai szakértői véleményt beszerezni, mivel ez elsősorban technikai kérdés.
10.3. A GDPR alapján a Hatóság mind érintetti panasz alapján, mind hivatalból jogosult eljárni. A Hatóság a GDPR szerinti kötelezettségeit a fenti eljárások szükség szerinti alkalmazásával látja el a rendelkezésére álló erőforrásainak keretén belül.
10.4. A fentiek alapján a Hatóság a bírságolás során az eset összes körülményét figyelembe veszi, nem célja sem a civil, sem más szervezetek működésének ellehetetlenítése. A Hatóság a GDPR 83. cikke figyelembevételével hatékony, arányos és visszatartó erejű bírságot alkalmaz, amelynek mértéke eltérő lehet egyes adatkezelőknél, de a felelősség és a bírság szükségességének megállapítása független az adatkezelő személyétől a fentiekben kifejtettek szerint.
11.1. A 18 év alattiak főszabály szerint a magyar jogszabályok – mindenekelőtt a Ptk. – rendelkezései szerint, az ott meghatározott feltételekkel tehetnek jognyilatkozatokat, kivéve az információs társadalommal összefüggő szolgáltatások vonatkozásában adott hozzájárulást, amelynek feltételeit a GDPR 8. cikke állapítja meg. Ezzel kapcsolatban a fenti 2.4. pontban kifejtettek irányadóak.
11.2. A GDPR (32) preambulumbekezdése nyújt támpontot a ráutaló jellegű hozzájárulás feltételeivel kapcsolatban. Eszerint az adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. Ilyen hozzájárulásnak minősül az is, ha az érintett valamely internetes honlap megtekintése során bejelöl egy erre vonatkozó négyzetet, az információs társadalommal összefüggő szolgáltatások igénybevétele során erre vonatkozó technikai beállításokat hajt végre, valamint bármely egyéb olyan nyilatkozat vagy cselekedet is, amely az adott összefüggésben az érintett hozzájárulását személyes adatainak tervezett kezeléséhez egyértelműen jelzi (ezzel összefüggésben azonosítható, hogy pontosan milyen tájékoztatás alapján milyen terjedelmű adatkezeléshez járul hozzá). A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik.
11.3. Az „önkéntesség” követelménye a hozzájárulással kapcsolatban azt jelenti, hogy semmilyen hátrány elszenvedésének kilátásba helyezése, annak kockázata nem motiválhatja a döntést, amely követelményt a GDPR 7. cikke és a Munkacsoport 259. számú iránymutatása is rögzítenek. Annak megállapítása során, hogy a hozzájárulás önkéntes-e, a lehető legnagyobb mértékben figyelembe kell venni azt a tényt, egyebek mellett, hogy a szerződés teljesítésének – beleértve a szolgáltatások nyújtását is – feltételéül szabták-e az olyan személyes adatok kezeléséhez való hozzájárulást, amelyek nem szükségesek a szerződés teljesítéséhez illetve a szolgáltatás nyújtásához. A hozzájárulás csak akkor érvényes, ha az tájékozott és szabad elhatározáson alapul, valódi választási lehetőség áll az érintett rendelkezésére, és nem áll fenn a becsapás, a megfélemlítés, a kényszerítés vagy más jelentős negatív következmény veszélye a hozzájárulás megtagadása esetén. Amennyiben a hozzájárulás következményei aláássák az egyén választási szabadságát, a hozzájárulás nem minősül önkéntesnek.
11.4. A „kifejezettség” követelménye a hozzájárulással kapcsolatban azt jelenti, hogy – formájától függetlenül – félreérthetetlen, egyértelmű, tevőleges cselekmény szükséges az érintett részéről, a hallgatás, az előre kipipált jelölőnégyzet tudomásul vétele önmagában nem elég.
11.5. A kiküldetési rendelvény olyan bizonylat, amellyel a hivatali, illetve üzleti utazásokat van lehetőség elszámolni magángépjárműre, méghozzá bizonyos feltételek teljesítésével adómentesen. Mivel ennek adattartalmát az adózással kapcsolatos jogszabályok határozzák meg, az adatkezelés a jogszabály által az elszámoláshoz feltétlenül megkövetelt személyes adatok tekintetében – kizárólag ezen célból és az adózással kapcsolatos jogszabályokban megjelölt időtartamra –a jogszabályi kötelezettség teljesítése jogcím alapján lehet jogszerű.
Az érintett megfelelő tájékoztatása itt sem mellőzhető, például a kezelt adatok köréről, az adatkezelés céljáról, jogalapjáról (az ezt előíró jogszabályi rendelkezésről) és időtartamáról, valamint arról, hogy ilyen esetben őt milyen jogok illetik meg (törlést nem kérhet stb.).
11.6. A számla kiállításával és az azon szereplő személyes adatok kezelésével kapcsolatban a fenti 11.5. alpontban kifejtettek megfelelően irányadóak, ezen jogviszonyokban is alkalmazandó a GDPR.
2018. június
Forrás: NAIH
További információ a GDPR civileknek útmutatóban és hozzá kapcsolódó GYIK-okban található.