GDPR

A civil szervezetekre is érvényesek a GDPR szabályai az ügyfelekkel, adományozókkal, egyéb érintettekkel való kommunikációjuk során. Az alábbi cikkekben áttekintettük, hogy személyes adatok kezelése esetén milyen tájékoztatást kell nyújtani, illetve hozzájárulás jogalap használata esetén hogyan szükséges eljárni, hogyan kell az érintett hozzájárulását kérni.

Jelen cikkünkben azt vesszük végig, hogy hogyan tudja egy civil szervezet bizonyítani egy NAIH ellenőrzés során, hogy a megfelelő tájékoztatás és/vagy a hozzájárulás megtörtént-e.

Az Általános Adatvédelmi Rendelet (röv. „GDPR”) 12., 13. és 14. cikkei alapján az adatkezelő köteles bizonyítani, hogy az érintettek előzetesen megfelelő (tömör, átlátható, és könnyen hozzáférhető formában, világosan és közérthetően ) tájékoztatást kaptak a rájuk vonatkozó adatkezelésről. Tudni kell a későbbiekben igazolni, hogy az érintett/ügyfél a személyes adatainak kezeléséhez már korábban hozzájárult. Ez azt jelenti, hogy ha az érintett/ügyfél a hozzájárulását később visszavonja, vagy hatósági vizsgálat/eljárás esetén az adatkezelő civil szervezet aktív bizonyítási helyzetbe kerülhet azt illetően, hogy az érintett valóban ténylegesen hozzájárult az adatkezeléshez, és ennek tényét visszakereshető módon rögzítette. Egyre több esetben indul NAIH vizsgálat civil szervezettel szemben, tehát elvárható energiát fektetni abba, hogy a jogszerű eljárásainkat bizonyítani is tudjuk. A legnagyobb energiát tehát a jogszerű és hatékony adatkezelési folyamatok kialakítása igényli (hogy hogyan tudunk a szervezethez igazodó rendszert tervezni, itt írtunk) . Ennek fényében szükséges az, hogy kellő odafigyeléssel megfelelően dokumentáljuk az adatkezelési folyamatokat és szerezzük be a vonatkozó érintetti nyilatkozatokat.

Milyen formában tudjuk bizonyítani?

Az Adatkezelési Tájékoztatás esetén: A tájékoztató dokumentum megléte és annak igazolása, hogy annak tartalmát hozzáférhetővé tették (pl. weboldalon elérhető volt, vagy emailben elküldték). A visszakereshetőséget érintettek számára az alábbi praktikus jó gyakorlatok segítik:

Az elkészített Adatkezelési Tájékoztatók keltezése (pl. Hatályos: 2025 január 1-től visszavonásig, vagy módosításig)
A közzétett tájékoztatókon verziószám elhelyezése (v0, v1,v2,v3 stb.)
A korábban közzétett, de lecserélt verziók megőrzése, archiválása,
A logok (naplófájlok) vagy rendszeradatok tárolása, amelyek alátámasztják, hogy az érintettek a tájékoztatást megtekintették, megnyitották, elfogadták. A log (naplófájl) a számítástechnikában egy olyan fájl vagy bejegyzéssorozat, amely egy rendszer, szoftver vagy eszköz eseményeit, tevékenységeit és hibáit rögzíti. A logok célja az üzemeltetés támogatása, a hibakeresés, a biztonsági ellenőrzés és a teljesítményoptimalizálás.

Hozzájárulás esetén:

Az elektronikus űrlapok (pl. online regisztráció esetén), ahol a hozzájárulás aktív cselekvéssel történik, a checkbox/jelölőnégyzet kipipálása megtörtént. Ezeket az online űrlapok rögzítik, a válaszok közül ne töröljük.
A rendszerbeállításban az e-mailes visszaigazolás kiküldésre került
A log-adatok vagy digitális aláírások rögzítésre kerültek, amelyek igazolják a hozzájárulás megtörténtét.
A tömeges levélküldő alkalmazásokban(pl. MailChimp, Brevo, MailerLite, stb.), vagy a CRM rendszerben a vonatkozó hozzájárulások rögzítése megtörtént.

Milyen adatokat kell megőriznünk?

Adatkezelési tájékoztatás esetén: az adatkezelési tájékoztató tartalmát (dátummal és/vagy verziószámmal), az érintettek által adott visszajelzések bizonyítékait (pl. a tájékoztató elfogadásának logjai vagy űrlapon való tájékoztatás esetén az űrlap jelölőnégyzetének bejelölését alátámasztó digitális dokumentumot).
A hozzájárulás beszerzése esetén: az eredeti hozzájárulási forma (pl. űrlap vagy online regisztráció) adatait, ideértve az érintettek válaszait és az időbélyegzőket.
FONTOS! Gyakran előfordul, hogy az adatok átkerülnek egy másik levelező, hírlevélküldő rendszerbe (pl. Gmail, MS 365, Mailchimp), vagy a szervezet több célra, több levélküldő alkalmazást használ. Ebben az esetben is az eredeti adatokat (log fájlokat) vagy azok hiteles másolatát is meg kell őrizni. Ha ezt nem tesszük meg, akkor a későbbiekben nem fogjuk tudni bizonyítani, hogy pl. az adatkezelési tájékoztatóban jelzett hozzájárulások valóban a birtokunkban vannak.

Hogyan tudja a NAIH ellenőrizni az adatok valódiságát? Milyen dokumentumokat, rendszerhozzáférést kell a NAIH-nak adnunk?

A NAIH hatósági vizsgálata, vagy eljárása során a civil szervezet képviselőjét, vagy bármely munkatársát elektronikus úton, vagy a helyszínen megkeresheti, kikérdezheti, meggyőződhet a közölt tények, információk valódiságáról. Eszközöket lefoglalhat le és tekinthet meg pl. rögzített tartalmak, szerverek, számítógépek. A hatóság emellett:

bekérheti az ügyre vonatkozó Adatkezelési Tájékoztatókat, infromatikai szabályzatot és a vonatkozó kommunikáció módjának bemutatását kérheti,
Log fájlok: a hozzájárulások vagy tájékoztatások közlésének dátumát és módját igazoló rendszer adatokat kérhet, tekinthet meg, vagy foglalhat le.
A hatóság rendszerhozzáférést kérhet a releváns informatikai rendszerek ellenőrzésére (pl. hogyan történt vagy zajlik jelenleg egy adott adatkezelés). Az adatok valódiságát a dokumentumok, ellenőrzése, és az adatkezelési folyamatok részletes bemutatásán keresztül, vagy feltárásával tudják ellenőrizni.

Meddig kell tudni bizonyítani, megőrizni?

A hozzájárulással és tájékoztatással kapcsolatos adatokat és információkat addig kell megőrizni, amíg az adatkezelés célja fennáll, hiszen addig jogszerű a kezelésünk. (Adatkezelés időtartamának meghatározásáról itt írtunk bővebben.) Azonban sokan nem gondolnak bele abba, hogy az adatkezelési cél megvalósulását követően a hozzájárulás és tájékoztatás megtörténtének bizonyítására szolgáló adatokat (pl. egy szerződés teljesítését követően) meghatározott elévülési idő végéig (általában 5 év) is szükséges megőrizni, mert addig nemcsak a hatóság járhat el, de az ügyfél a polgári jog szabályai szerint pert is indíthat, vagy közvetlenül is kérheti az adatok megtekintését, de akár nyomozó hatóság, bíróság is kikérheti a vonatkozó adatokat, infromációkat. Természetesen egy belső szabályzat, vagy jogszabály ennél rövidebb, vagy hosszabb adatkezelési és megőrzési időtartamot is meghatározhat. Például egy pályázat esetén a támogató szervezet meghatározhatja, hogy a civil szervezetnek a pályázat lezárását követő 10 évig is akár meg kell őriznie a teljes pályázati dokumentációt. Ez azt jelenti, hogy az adatokat a pályázat lebonyolításának időtartama a szervezet “használja”, majd azt követően az előírt ideig biztonságosan megőrzi. Minden esetben az adatkezelés cél megvalósítását követő előírt megőrzési idő világos meghatározása segíthet a szervezetet abban, hogy tényleges meddig is kell megőriznie a tárolt digitális, vagy papír-alapú adatokat.

Milyen egyéb kérdés lehet még itt, amire figyelni kell?

A NAIH az alábbi elvek megvalósulását is ellenőrizheti, ezért az alábbiak bizonyítására is képesnek kell lenni:

Az adattakarékosság elve szerinti működés: az adattakarékosság elve azt jelenti, hogy a szervezet kizárólag meghatározott célból csak a feltétlenül szükséges személyes adatokat kezeli és tárolja. Az adatgyűjtés során minden esetben mérlegelni kell, hogy az adott adat valóban elengedhetetlen-e az adatkezelés céljának eléréséhez. Egy online hírlevél kiküldéséhez elegendő a feliratkozó neve és email címe. Ha azonban van olyan adatkezelési cél, ami azt indokolja, hogy a feliratkozó melyik településről érkezett, megkérhetjük, hogy pl. adja meg a lakóhelyi irányítószámát is. Az elv célja az adatok túlzott gyűjtésének és hosszú távú megőrzésének elkerülése, így csökkentve az adatvédelmi kockázatokat és biztosítva a jogszabályoknak való megfelelést.
Az adatbiztonság érdekében az adatokat megfelelő (számítás)technikai és szervezési intézkedésekkel kell védeni. Ez magában foglalja a hozzáférések szabályozását, az adatok titkosítását, a rendszeres biztonsági mentéseket, valamint a kiberbiztonsági fenyegetések elleni védelmet. Az adatkezelő felelőssége, hogy gondoskodjon arról, hogy az alkalmazottak megfelelő képzésben részesüljenek, és az adatokhoz csak azok férjenek hozzá, akiknek erre valóban szükségük van.
Az érintettek jogainak biztosítása kulcsfontosságú az adatkezelés során. A szervezetnek képesnek kell lennie igazolni, hogy az érintetti kérelmeket – például a tájékoztatás, helyesbítés vagy törlés iránti kérelmeket – megfelelő módon kezelte. Kiemelt figyelmet kell fordítani a hozzájárulás visszavonására irányuló kérelmekre, mivel az adatkezelőnek dokumentálnia kell, hogy az érintett kérését befogadta, és az adatok törlése ténylegesen megtörtént. Ennek hiányában az adatkezelő adatvédelmi bírságot és ezzel párhuzamosan jó hírneve is veszélybe kerülhet.

A NAIH mint hatóság jogköreinek áttekintése

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a GDPR és a hazai jogszabályok alapján rendelkezik ellenőrzési és szankcionálási jogosultságokkal. A hatósági vizsgálatok és eljárások során a NAIH jogköreit a 2011. évi CXII. törvény (Infotv.), valamint a Közigazgatási perrendtartásról szóló 2017. évi I. törvény (Kp.) szabályozza. Ezek a jogszabályok biztosítják a hatóság számára a szükséges hatósági jogkört és eszközöket annak ellenőrzésére, hogy egy adatkezelés megfelel-e a GDPR-nak, illetve a magyar adatvédelmi jogi szabályozásnak.

A hatósági vizsgálat hivatalból vagy panasz alapján indulhat, amelynek során a NAIH széleskörű jogosultságokkal rendelkezik. Az adatkezelő vagy az adatfeldolgozó köteles a hatóság kérésére minden releváns információt rendelkezésre bocsátani. A hatóság kérheti az érintettek és harmadik felek meghallgatását is. A vizsgálat során a NAIH helyszíni ellenőrzéseket is tarthat, amelynek során betekinthet az adatkezelő irodáiba, dokumentumaiba és informatikai rendszereibe. Az adatkezelési folyamatok ellenőrzése is része lehet az eljárásnak, így a hatóság megvizsgálhatja például az adatkezelési nyilvántartásokat, az adatvédelmi hatásvizsgálatok eredményeit vagy az adatvédelmi incidensek nyilvántartását.

A vizsgálat eredményeként a NAIH határozatot hoz, amelyben felszólíthatja az adatkezelőt a jogszerű állapot helyreállítására, ajánlásokat fogalmazhat meg, figyelmeztetést adhat ki, vagy – ha szükséges – kötelezheti az adatkezelőt bizonyos adatkezelési tevékenységek módosítására, korlátozására vagy megszüntetésére. Súlyos jogsértések esetén a hatóság akár pénzbírságot is kiszabhat, amely a GDPR rendelkezései szerint elérheti a 20 millió eurót vagy az érintett vállalkozás éves globális árbevételének 4%-át. Ezen túlmenően a hatóság dönthet úgy is, hogy nyilvánosságra hozza a jogsértést és az adatkezelő nevét.

Amennyiben a hatóság eljárása hatósági határozattal zárul, az érintett adatkezelőnek vagy az ügyben érintett személynek joga van bírósági felülvizsgálatot kérni. A NAIH határozatai ellen közigazgatási per indítható, amelyet a Közigazgatási perrendtartásról szóló törvény szabályoz. A keresetet a határozat közlésétől számított 30 napon belül kell benyújtani, és az eljárást a Fővárosi Törvényszék folytatja le első fokon. A bíróság megvizsgálja, hogy a NAIH döntése megfelelt-e a hatályos jogszabályoknak, és ha jogsértést talál, megsemmisítheti vagy módosíthatja a határozatot. Azonban a bíróság nem dönthet az adatkezelési ügy érdeméről, vagyis nem helyettesítheti a hatóság hatáskörébe tartozó döntéshozatalt.

A hatóság egyes eljárásaiban együttműködhet más hatóságokkal is, például a Gazdasági Versenyhivatallal (GVH) vagy a Nemzeti Média- és Hírközlési Hatósággal (NMHH), ha az ügy jellegéből adódóan más szervek hatáskörét is érinti. Emellett határokon átnyúló adatkezelések esetén más uniós tagállamok adatvédelmi hatóságaival is kapcsolatba léphet, különösen akkor, ha az adatkezelő több tagállamban is működik.

Összességében a NAIH hatósági vizsgálatai és eljárásai során széles jogkörökkel rendelkezik, amelyek biztosítják az adatvédelmi szabályok betartásának ellenőrzését és érvényesítését. Az adatkezelők számára ezért kiemelten fontos, hogy megfelelő adatvédelmi megfelelőséget biztosítsanak, hiszen a hatósági ellenőrzések során nemcsak pénzbírságokat kockáztatnak, hanem üzleti hírnevüket és működésük jogszerűségét is veszélyeztethetik.

Kapcsolódó tartalom

Ajánljuk a mindennapi működtetés téma további tudnivalóit is:

Hogyan tudjuk bizonyítani, hogy az adatkezeléshez való hozzájárulás és/vagy a megfelelő tájékoztatás megtörtént? (GDPR sorozat)

Anyanyelvi Kultúra Kollégiuma pályázata

Anyanyelvi Kultúra Kollégiuma nyílt pályázata

8 nonprofit szálláshely - ahol nyaralás közben civil szervezetet is támogatsz!

Viselkedés alapú marketing