Az alábbi cikk külső tartalom, nem frissített.
Civil szervezetek és az adatvédelmi megfelelőség
Barabás Tamás llm.
adatbiztonsági és adatvédelmi szakjogász
PILnet Alapítvány - Ügyvédek a közjóért
Kapcsolat: tbarabas@pilnet.org , www.probonougyved.hu
Az alábbi tájékoztató nem minősül jogi tanácsadásnak!
A bevezetőben és válaszokban jelölt „GDPR” rövidítés az Európai Parlament és a Tanács 2016/679-es Általános Adatvédelmi Rendeletének szövegére utal, melynek hiteles fordítása csak itt érhető el. Csak ezt a szövegverziót használjuk, mivel számos honlap tartalmaz megtévesztő hivatkozásokat a rendeletet illetően!
Az adományozás adatvédelmi kérdései kapcsán azt gondolom, hogy mielőtt a konkrét kérdéseket válaszolnánk meg, tisztáznunk kell néhány fogalmat.
A civil szervezetek elemi érdeke, hogy működésük átlátható legyen. Az átláthatóság úgy garantálható, hogy a szervezet működése során hatékony szervezeti folyamatokat, „munkafolyamatokat” hoz létre. A hatékony működés pedig eredményekben mutatkozik meg. Az eredmények mérhetők, számszerűsíthetők és a nyilvánossággal is megoszthatók. Ebből a szempontból az adományozási kampányok eredményei nem függetlenek az adott szervezet hatékonysági mutatóitól. A transzparensen és hatékonyan működő szervezet bizalmat sugároz, melyet az adományozók honorálnak.
Ebben a kontextusban a szervezet nem csupán a tevékenységéről kell, hogy átlátható képet nyújtson, hanem arról is, hogy amikor valaki megismerkedik a szervezet munkájával, egyúttal tájékozódhasson arról is, hogy milyen módon, módokon kapcsolódhat a szervezethez mint támogató. Az üzleti világban ezt "consumer journey"-nek nevezzük, amivel arra az útra utalunk, ahogy a vállalkozás képletesen kézen fogja az érdeklődőt és a kezdeti érdeklődés kielégítésével az áru, szolgáltatás vásárlójává tesz bennünket. Ezen az úton világos üzeneteket kell kommunikálni, hogy a "fogyasztói utazás" a spontán érdeklődéstől a vásárlásig (sőt a márkahűség kialakításáig) örömteli legyen. Ehhez azonban egy jól kidolgozott terv kell. Meg kell terveznünk azt, hogy milyen úton és módon (utcán, interneten, hírlevélben, nyomtatott sajtó, stb.) fogjuk a különféle támogatásra buzdító üzeneteinkkel megcélozni a potenciális adományozókat, milyen adataikat kérjük el, és ezt megelőzően milyen tájékoztatást kapnak a szervezetünk által folytatott adatkezelésről.
Az adományozói utazás és az adatvédelem
- Ha a szervezet már hozzákezdett egy adományozói stratégia, vagy a szezonális kampányterv megírásához, akkor már az első lépek során érdemes bevonni a munkába (ha van) adatvédelmi tisztviselőjét, vagy külső adatvédelmi tanácsadót, hogy a GDPR-ban megfogalmazott, a szervezeti folyamatokhoz kapcsoló alapértelmezett (privacy by default) és a kampánytervezésbe beépített (privacy by design) adatvédelem megvalósuljon. Ez azt jelenti, hogy a szervezetnek működése során "adatvédelem-tudatosnak" kell lennie, vagyis a tevékenységei tervezése során olyan alapelvekre is kell figyelnie mint az adattakarékosság (a tervezett feladatot a lehető legkevesebb személyes adat felhasználásával), a célhoz kötöttség (amit mondunk, arra és csak is arra a célra használjuk fel a begyűjtött személyes adatokat), és a pontosság (pl. az adatfelvétel és tárolás során). A vonatkozó további alapelveket, szám szerint hetet a GDPR 5. cikke tartalmazza!
- Ha az adománygyűjtés megtervezésének már kezdeti szakaszában így járunk el, akkor jelentősen egyszerűbb dolgunk lesz, mivel nem egy kész kampány, vagy már zajló kampány célon túlterjeszkedő adatkezelését kell valahogy utólag korrigálni, hanem a kampány megalkotásakor egyre tisztábban látunk azzal kapcsolatban, hogy milyen személyes adatokat, milyen célból fogunk gyűjteni és ehhez kapcsolódóan milyen tájékoztatási, adatvédelmi, adatbiztonsági feladatunk lesz.
Mi lehet a jogalapja az adománygyűjtésnek?
A GDPR-nak, vagyis az adatvédelem európai-szintű és egyben hazai adatvédelemi rendeletének fontos eleme, hogy meg tudjuk határozni mi az adományozáshoz kapcsolódó adatkezelés jogalapja. A legismertebb adatkezelési jogalap a hozzájárulás. Sokan ismerik jogalapként azt a helyzetet is, amikor az adatkezelés szerződés előkészítéséhez és teljesítéséhez szükséges. A jogalapok felsorolásáról, értelmezéséről részben a GDPR preambulumában, illetve a GDPR 6. cikk (1) a-f pontjaiban olvashatunk részletesebben!
Gyakran ismételt kérdések:
Adományozók – kötelező tájékoztatás- kapcsolatfelvétel-beszámolók/jelentések küldése
Milyen tájékoztatást kell nyújtanunk az adományozóknak a GDPR alapján?
A személyes adatok kezelésének jogszerűnek és tisztességesnek kell lennie. Az adományozó természetes személyek számára átláthatóvá, megismerhetővé kell az adományozást követő adatkezelést úgy, hogy az illető tulajdonképpen bármikor megismerhesse azt, hogy a személyes adatait hogyan kezelik. Az átláthatóság alapelve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás könnyen hozzáférhető és közérthető nyelven legyen megfogalmazva, például egy honlapon, ami egyúttal kerüli a nehezen érthető jogi szakzsargont. Minimum elvárást is megfogalmaz a jogszabály: az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatása alapkövetelmény. (részletesebben: GDPR, Preambulum 39.)
Hogyan vehetem fel egy korábbi adományozóval a kapcsolatot?
Ahogy fentebb említettem az adományozó személyes adatait csak valamilyen jogalap (fontos: csak egy és nem több!) alapján kezelhetem. Az adományozás esetében lehetséges, hogy az adományozó korábban hozzájárult az adományozói státuszának rögzítéséhez, így a jogalap a hozzájárulás lesz, de az is lehetséges, hogy mivel már a GDPR alkalmazhatóságát megelőzően is rendszeres adományozó volt, ezért a szervezet a karitatív tevékenység folytonosságának fenntartása érdekében jogos érdekének tekinti az adományozó-adományozott közötti kapcsolat fenntartását. Mindenképpen a legtisztább és legvilágosabban megindokolható jogalapot válasszunk az adatkezelésünkhöz. Ha az adatkezelés jogalapja a hozzájárulás, azt az elszámoltathatóság alapelvének megfelelve dokumentálni kell, hiszen a jövőben egy esetleges hatósági vizsgálat/eljárás esetén be kell tudnom mutatni, hogy mi alapján kezeltem személyes adatokat. Amennyiben az adatkezelés jogalapját a szervezet a jogos érdekére mint jogalapra építi fel, akkor egy úgynevezett Érdekmérlegelési tesztben (ÉMT, angolul LIA – Legitimate Interest Test) el kell tudnunk magyarázni, hogy miért is kezelünk bizonyos személyes adatokat, és ezen adatkezelés miért arányos az érintettet megillető jogok és szabadságok, illetve érdekével összevetve.
Küldhetek neki az adománnyal kapcsolatban beszámolót?
Ha rendelkezünk az adományozó hozzájárulásával, a személyes adatai kezelését illetően az annak köszönhető, hogy a GDPR 13. cikke alapján számára korábban bemutattuk, hogy ki az adatkezelő, mit tesz a személyes adatokkal és miért, milyen célból tesszük mindezt. A tájékoztatásnak tömörnek, könnyen hozzáférhetőnek, könnyen érthető legyen, valamint hogy azt világos és közérthető nyelven kerüljön megfogalmazásra. Amikor tájékoztatunk, akkor egyúttal kérhetünk is pl. felajánljuk az adományozónak, hogy ha szeretné, a szervezet hírlevelet, adományozói jelentést vagy éves jelentést is küldhet. Az adományozó ezt a hozzájárulását online felületen egy jelölőablakba tett „X” vagy „√” hozzájárulás megadásával is megteheti. Ha a tartós adományozói kapcsolatunkat a szervezet jogos érdekére alapoztunk mindenképpen lehetővé kell tennünk, hogy az adományozó bármikor gyakorolhassa érintetti jogait, azaz adatai törlését, módosítását stb. kérhesse. Ezért a tartós adományozók speciális csoportjának érdemes külön adatkezelési tájékoztatót készíteni.
A szervezet egyéb programjairól küldhetek neki információt?
Először mindig emlékeztetnünk kell magunkat arra, hogy megnézzük milyen célú adatkezeléshez kértünk korábban a támogatók hozzájárulását. Ha korábban nem nyilatkoztattuk akkor előbb ezt meg kell tennünk, hogy jogszerűen tudjuk információkkal ellátni.
Ha nem, akkor mit kell tennem, hogy a továbbiakban küldhessek?
A korábban ismertetettek alapján minden esetében érdemes részletesen tájékoztatnunk az adományozónkat az adományozás tényéhez kapcsolódó adatkezelésekről és be kell szereznünk az adományozó hozzájárulását.
Későbbi adománygyűjtésekkor megkereshetem, hogy adományozzon számomra?
Minden kampánytervezés során a beépített és alapértelmezett adatvédelem elvei alapján előzetesen fel kell mérni és összefoglalni, hogy mi a kampány célja, milyen adatkezelés kapcsolódik hozzá. Javasolt jógyakorlat lehet, hogy a korábbi adománygyűjtéskor beszerezzük az adományozó hozzájárulását azt illetően, hogy jövőbeli kampányok alkalmával is megkeresi a szervezet. Ezt a hozzájárulást érdemes eltenni, mert egy esetleges hatósági ellenőrzés, vagy vizsgálat során, de egy érintetti panasz esetén is jó, ha vissza tudjuk keresni azt, hogy az érintett adományozó korábban hozzájárult az őt érintő adatkezeléshez.
Hírlevelet küldhetek-e?
Amennyiben valaki kellő tájékoztatást követően (ld. adatkezelési tájékoztató) például a szervezet honlapján megadja az e-mail címért abból a célból, hogy hírlevelet kaphasson: az számunkra azt jelenti, hogy ameddig ezirányú hozzájárulását nem vonja vissza, a hírlevelet küldhetünk neki. Itt nagyon fontos, hogy a szervezet az automatizált hírlevelében egyértelműen feltüntesse a leiratkozás lehetőségét és megadja a szervezet azon elérhetőségét, melyen keresztül a hírlevélre feliratkozott személy érintetti jogait (pl. e-mail cím változás, törlési kérelem, egyéb nyilatkozatok) gyakorolhassa.
Mit kell tennem, hogy egy adományozóval a későbbiekben egyéb programok kapcsán felvehessem a kapcsolatot, kérést, hírlevelet küldhessek?
Az adományozót érdemes jól átgondolt, a korábban említett ún. „fogyasztói utazásokra” meghívni. Ez azt jelenti, hogy ha egy éves kommunikációs startégiában meghatározunk pl. egy tavaszi és egy téli adományozói kampányt, akkor az év elején abban kérjük a potenciális adományozó hozzájárulását, hogy a szervezet szezonális adományozói kampányairól tájékoztatást küldhessünk mindaddig amíg ezirányú hozzájárulását vissza nem vonja.
Köteles vagyok-e az adománygyűjtés során biztosítani, hogy valaki anonim adományozzon?
Igen, hiszen az adományozó kérése ilyen szempontból „szent”. Az adományozónak viszont tudnia kell, hogy pénzügyi és számviteli, adójogi jogszabályok alapján a civil szervezet mégis kénytelen bizonyos adatait megőrizni pl. a számviteli bizonylatok kötelező megőrzését jogszabály írja elő. Ha belegondolunk, a teljes anonimitás felvethetné pl. a pénzmosás, vagy akár terrorizmus finanszírozásának gyanúját is.
Mikor tehetem nyilvánossá az adományozó nevét, adományát?
Amennyiben az adományozó ehhez kifejezetten hozzájárult.
Milyen adatot kezelhetek egy adományozóról? És milyen adatot biztosan nem? Pl. életkor?
Az adattakarékosság alapelvének megfelelve, az adományozóval kapcsolatos adatkezelésnek csak a szükségesre kell korlátozódnia. Adatvédelmi szakértők gyakran hasonlítják a személyes adatokat képletesen a radioaktív anyagok őrzéséhez. Lehetőség szerint kerüljük el a személyes adatok kezelését, ha ez nem lehetséges, akkor az adatkezelés a tevékenység ellátásához feltétlenül szükséges mértékig történjen, a lehető legrövidebb ideig. Természetesen ha az adományozó hozzájárulását beszerezzük a korábban említett adatkezelési tájékoztató megismerése után, akkor nincs akadálya az életkor rögzítésének, de el kell tudnunk mondani számára, hogy miért is van erre az adatra szükségünk.
Ha egy adományozó egyéb programjaimban is részt vett, kezelhetem-e ezeket az adatokat együtt?
Az adományozáshoz kapcsolódó adatkezelés eltérő adatkezelési célnak minősül attól, hogy az adományozónak hírlevelet, vagy pl. pólóméret alapján jutalom reklámpólót küldünk. Fontos, hogy ha az adatkezelések célja eltérő ezek mindegyikéről megfelelően tájékoztassuk és ha szükséges, kérjünk hozzájárulást.
Ha tudomásomra jut egy személyes tulajdonság az adományozómról, belerakhatom-e az adatbázisba? (pl. hogy nemrég született gyereke)
Csak olyan személyes adatokat kezelhet a szervezet, amelyekhez az adományozó hozzájárult, amiről korábban tájékoztatót kapott. Ha új adatkategóriákat szeretne meghatározni a szervezet, valamilyen indokkal, pl. bővíteni az adatbázist új típusú adatokkal, akkor ehhez hozzájárulást kell kérni az illető személytől. A hozzájárulás kérése előtt érdemes átgondolni, hogy az elérni kívánt cél esetleg oly módon is elérhető, ami nem jár személyes adatok kezelésével. Természetesen lehetséges, hogy ha pl. a szervezet adományozói számára baba- klubbot hirdet meg, és az ott megjelentek nyilatkoznak arról, hogy szeretnének a jövőben kisgyermekes adományozói csoportban részt venni, vagy szeretnének kismamaként önkénteskedni, akkor az adataik kezelése jogszerű lehet - az eset összes körülményére tekintettel.
Milyen adatok alapján csoportosíthatom az adományozókat, hogy személyesebb megkeresést tudjak nekik küldeni? (pl. lakhely, kor, kisgyerekes szülő, nagyobb gyereket nevelő szülő, nyugdíjas, stb.)
A megfelelő tájékoztatás alapján és hozzájárulás birtokában kezelek adatokat, akkor tulajdonképpen célhoz kötötten is kezelem azokat. Az adatvédelmi szabályozás alapján a meghatározott kritériumok alapján végzett szűrés azt a benyomást keltheti, hogy az eredeti adatkezelési céltól elérően profilozást, azaz adatalanyokról profilalkotást végzünk. A GDPR megfogalmazásában: „profilalkotás” a személyes adatok automatizáltan (ld. számítógépes) kezelésének bármely olyan formája, amelynek során a személyes adatokat valamely természetes személyhez fűződő bizonyos személyes jellemzők értékelésére, különösen a munkahelyi teljesítményhez, gazdasági helyzethez, egészségi állapothoz, személyes preferenciákhoz, érdeklődéshez, megbízhatósághoz, viselkedéshez, tartózkodási helyhez vagy mozgáshoz kapcsolódó jellemzők elemzésére vagy előrejelzésére használják. Ez alapján az adatkezelési tájékoztatóban fel kell hívni az érintett figyelmét, hogy az általa szolgáltatott személyes adatok alapján profilalkotás történik, kitérve az alkalmazott logikára és arra, hogy az ilyen adatkezelés milyen jelentőséggel, várható következményekkel bír rá nézve.
Kell-e tárolni bizonyítékot arra vonatkozóan, hogy megadta az adományozó az adatát, mikor és milyen adatot, milyen célból adott meg?
A GDPR elszámoltathatósági alapelve alapján igen, ugyanis hasznos ha tudjuk igazolni egy esetleges hatósági vizsgálat/ellenőrzés során, vagy az érintett érdeklődésére, hogy az adatkezeléshez korábban már megadta a hozzájárulását, vagy ha más jogalapon kap tájékoztatást, pl. egy korábbi adatbázis alapján, akkor a GDPR követelményeinek megfelelő adatkezelési tájékoztatót megkapta és bármikor érvényesítheti érintetti jogait. Adatbázis építésekor mindig a GDPR 5. cikkében felsorolt alapelvek figyelembevételével kell eljárni. Az adattakarékosság alapelve alapján az adatkezelés céljának relevánsnak kell lennie és a szükségesre kell korlátozódnia. A pontosság alapelve alapján pl. minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
Ha igen, akkor milyen formában kell tárolni és meddig?
A GDPR alapelvei közül az alapelvek királyának is nevezzük az elszámoltathatósági alapelvet. Ez azt jelenti, hogy amennyiben az adatkezelést az érintett (adományozó, feliratkozó, tag, stb.) hozzájárulásához kötöttük, akkor ezt a hozzájárulást dokumentálnunk kell. A hozzájárulás tartalma fontos, de formája tetszőleges. A lényeg, hogy egy esetleges hatósági megkeresés, vagy érintetti panasz esetén előhívható legyen és tudjuk igazolni, hogy a hozzájárulás valóban megtörtént. A GDPR 4. cikkében pontos meghatározást találunk arra, hogy mi is a hozzájárulás jogi fogalma: " a hozzájárulás az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson (ld. korábban az adatkezelési tájékoztatóról írtakat) alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. A meghatározásban minden szónak jelentősége van. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik (GDPR Preambulum 32).
Ha azt szeretnénk, hogy a civil szervezet által folytatott adatkezelésekről megfelelő áttekintéssel rendelkezzünk, szükséges egy ún. adatkezelési nyilvántartást készíteni. Ennek a dokumentumnak nincs kifejezett formai követelménye (lehet MS Word, vagy Excel vagy egyéb dokumentum formátumban), de tartalmilag a GDPR 30. cikkében foglaltak irányadók. Ez alapján többek között a nyilvántartásból ki kell derüljön pl. az adatkezelő neve és elérhetősége, az adatkezelés céljai, az érintettek kategóriái, valamint a személyes adatok kategóriái stb.