Adatvédelmi megfelelés és tévhitek

Az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (továbbiakban: GDPR) 2018-as alkalmazandóvá válásával sok szervezet azt gondolta, hogy az adatvédelmi megfelelés egy szabályzat és egy tájékoztató elkészítéséből áll. Azóta már sokan eljutottak odáig, hogy felmérjék, a GDPR-nak való megfelelés ennél sokkal összetettebb követelményeket és komoly energiák megmozgatását igényli, azzal, hogy a 100 %-os megfelelés sok esetben lehetetlennek tűnik. Mégis egy objektív, kockázatarányos megközelítésen alapuló adatvédelmi megfelelés kiépítésével élhető kockázatot teremthet maga számára minden adatkezelő. Egy ilyen megközelítés alapján ugyanis pótolhatók a legnagyobb kockázattal járó adatvédelmi hiányosságok és kiépíthető egy alapvető adatvédelmi tudatosság. Ehhez azonban az adatkezelőnek nem szabad alapvető tévhitekben hinnie. Melyek is ezek a tévhitek? A következőkben a teljesség igénye nélkül, nézzünk meg néhányat.

Ismerős az, hogy adatregiszter?

Ön például tudja, hogy a GDPR megfelelés legelső lépése nem az adatvédelmi szabályzat? Bizony még így 2020-ban is sok adatkezelőnek új információ, hogy az adatvédelmi megfelelés legelső lépése a GDPR 30. cikk szerinti adatkezelési nyilvántartás (adatregiszter) elkészítése, amelyben a szervezet az összes adatkezelésével kapcsolatos fontosabb információkat rögzíti. Ezen dokumentum tartalmát elnézve érthetővé válik, hogy miért is élvez ilyen előkelő helyet a megfelelés lépéseiben. Az adatregiszterrel ugyanis az adatkezelők tisztába kerülhetnek minden személyes adatok kezelését magába foglaló folyamataikkal, és azok adatvédelmileg lényeges kérdéseivel, úgymint az adatkezelés célja, jogalapja, kezelt adatok kategóriái és így tovább. Az adatkezelők ezen információk alapján tudják meghatározni, hogy egyáltalán jogszerűen kezelnek-e személyes adatokat vagy milyen egyéb intézkedéseket kell megtenniük, hogy a jövőben jogszerűen kezeljék a személyes adatokat.

Kell egy hozzájárulás és minden rendben van!

Ismerős az a megközelítés, hogy szerezzük meg az érintett hozzájárulását és minden rendben van? Kérjük munkáltatóként a munkavállaló hozzájárulását a munkahelyi ellenőrzéséhez, alkoholszint méréséhez, alkalmassági vizsgálathoz, személyiségjegyeket is felmérő tesztek kitöltetéséhez és akkor védve vagyunk?

A GDPR előtti időszakból megmaradt megközelítés a hozzájárulás mindenhatósága. A mostani adatvédelmi gyakorlat azonban csak kivételes esetekben tartja elképzelhetőnek az érvényes munkavállalói hozzájárulást, tekintettel arra, hogy annak egyik alapvető feltétele az önkéntesség. A munkavállaló és a munkáltató között megfigyelhető alá-fölérendeltségi viszony miatt azonban csak rendkívül kivételesen képzelhető el munkaviszonyban, hogy az adott adatkezeléshez a munkavállaló önkéntesen, mindenféle befolyásolás, nyomás vagy hátránytól való félelemtől függetlenül adja hozzájárulását.

Egyértelmű, hogy jogos érdekem fűződik az adatkezeléshez!

A GDPR egyik nagy újítása a jogos érdek jogalapjának általánosabbá tétele, ugyanis a magyar Infotv.[1] szabályai kivétel jelleggel ismerték e jogalapot. Ebből is adódik, hogy a magyar adatvédelmi gyakorlatban még a mai napig kevéssé ismert és alkalmazott a jogos érdek jogalapja és még kevésbé az azt alátámasztó érdekmérlegelési teszt és annak tartalma. Olyan tévhit is elterjedt kezdetben, hogy az érdekmérlegelési teszt elvégzése nem is kötelező olyan esetekben, amikor a jogos érdek egyértelműen megállapítható. Ez természetesen az elszámoltathatóság elvéből adódóan és abból, hogy ezen dokumentum támasztja alá a jogos érdek tényleges fennállását meglehetősen téves konklúzió. Különösen, ha még ehhez hozzávesszük az Mt. 9. § (2) bekezdését, amely előírja, hogy a munkavállaló személyiségi joga korlátozásának módjáról, feltételeiről és várható tartamáról, továbbá szükségességét és arányosságát alátámasztó körülményekről a munkavállalót előzetesen írásban tájékoztatni kell. Ez pedig gyakorlatilag az érdekmérlegelési teszt írásos formában való átadását jelentheti.

A biztonság kedvéért legyen meg!

Az Ön szervezetében még mindig gyakorlat, hogy adatot nem törlünk? Bizony néhány adatkezelő még mindig nem határozza meg egyes adatok megőrzési idejét és azt a végtelenségig tárolja, mert bármikor szükség lehet rá. Vagy továbbra is azt gondolja, hogy azért begyűjti azt az adatot, jól jöhet az még, illetve még mindig fénymásolja az igazolványokat régi szokásjog alapján.

Mindezek olyan alapvető tévhitek és adatvédelmi szempontból erősen kifogásolható gyakorlatok, amelyek az adatvédelmi megfelelés alapvető hibáinak tekinthetők. Bármelyik gyakorlat, megközelítés ismerősen hangzik, akkor az Ön szervezete valószínűleg teljesíthetne sokkal jobban is az adatvédelem terén. De vajon kell-e jobban teljesítenie? Az adatvédelmi megfelelés annyi nyűggel, kiadással jár, de miért jó ez az adatkezelőnek?

Adatvédelem szerepe, felfogása

Bizony az adatvédelem sokszor és sokaknak okoz fejtörést, problémát a gyakorlatban, hiszen a gyakorlat és az általános jelleggel szabályozó európai uniós követelmények között még meglehetősen nagy a szakadék. A sok szabályzat, tájékoztató és egyéb dokumentum elkészítése közepette pedig sokan elfeledkeznek arról vagy nem is tudják, hogy miről is szól az adatvédelem igazából. Az érinettek azon alapvető alkotmányos jogát juttatja érvényre, hogy eldönthesse mikor, mit és kivel oszt meg (információs önrendelkezéshez való jog) és az adatainak kezelése felett kontrollt gyakorolhasson.

Ezt figyelembe véve minden, magára valamit is adó szervezet törekszik az adatvédelem betartására. Ugyanis egy igényes, minőségi terméket, szolgáltatást nyújtó szervezet nem engedi meg magának, hogy üzleti kapcsolataiban, munkavállalói adatainak kezelésekor ne jó adatvédelmi gyakorlatot folytasson.

Emellett természetesen az adatvédelmi hatóságok bírságolási jogköre is igen nagy motiváló erővel bír az adatkezelők számára, hiszen a kiszabható bírság mértéke akár 10.000.000 EUR is lehet.

[1] 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról