Profilalkotás és cookie-sáv? – Csak a kattintásomon keresztül!

 Az általános adatvédelmi rendeletet (a továbbiakban: GDPR) a jogalkotók négy éven át írták, majd végül 2018. május 25-én lépett hatályba. A rendeletet a mai napig nagy ellentmondások övezik a közbeszédben. Vannak, akik 20 millió eurós bírságot látnak benne, míg mások az adatvédelem és a digitális gazdaság új korszakának tekintik.

A rendelet hatálya (bővebben: 3. cikk) kötelező az összes cégre, egyéni vállalkozásra és civil szervezetre is, amelynek legalább 1 munkavállalója, vagy 1 ügyfélkapcsolata van az Európai Unión belül. A GDPR szabályait kell majd alkalmaznia minden, az EU-ban tevékenységi hellyel rendelkező adatkezelőnek, függetlenül attól, hogy az adatkezelés az Unió területén történik-e vagy sem. Ilyen adatkezelésnek minősül például az öszes e-mail, a munkavállalói és ügyféladatok és a Facebook-os játékokon résztvevők profiljai is.

Korábban egy 1995 óta érvényes irányelv (95/46/EK) szolgált az EU-s adatvédelem alapjául, amelyet minden ország szabad mérlegelés után ültetett át a maga jogrendszerébe.
A GDPR (2016/679) viszont már egy rendelet, így nem csak a magyar szabályozás, hanem minden más Európai Uniós tagországban is a nemzeti törvények felett álló, közvetlenül alkalmazandó norma lett.
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvényt (a továbbiakban: Infotv.) így jogharmonizációs céllal módosítani kellett, ami szintén ez év július 26-án lépett hatályba. A módosítás során az itthoni szabályozás is lehetővé tette a GDPR végrehajtását, és kijelölte azt a keretet, amely a NAIH működését is biztosítja.

Fontos kitétel, hogy a GDPR-előírások jogalkalmazói gyakorlata jelenleg még nem teljesen kidolgozott. Így a rendelet értelmezésénél érdemes mindig a NAIH állásfoglalásait figyelembe venni és követni az esetleges további módosításokat.

Személyes adat a GDPR értelmében:

A személyes adat meghatározása tág értelmezési keretet kapott a rendeletben, mivel személyes adatnak minősül az azonosított vagy azonosítható természetes személyre („érintettre”) vonatkozó bármely információ. A definíciót tovább fejtve léteznek konkrét adatok (pl. név, telefonszám, e-mail-cím), és lehetnek olyan adatok, amikből csak következtethetünk az adott személy kilétére (pl. online azonosító vagy fiziológiai és szellemi azonosságára vonatkozó tényezők).

A különleges adat:

A személyes adatokon belül külön kategóriát képez a különleges adat fogalma (bővebben: 9. cikk), amiknek a kezelése főszabály szerint tilos. A rendeletben felsorolt külön kivételek esetében – mint pl. a szakszervezeti, egyesületi vagy egészségügyi adatkezelés – az ilyen adatok tárolása is megengedett, a külön „biztonsági intézkedések” betartása mellett. A különleges adat szubhalmazán belül a három legfontosabb terület a genetikai adatok (vele született adottságok), a biometrikus adatok (fotó- vagy kamerafelvétel, külső fizikai megjelenés) és az egészségügyi adatok (laboreredmények, betegségek, gyógyszerek) védelme.

A rendelet a kockázatkezelés és a számon kérhetőség miatt csak kevés tényleges eltérést, illetve könnyítést tartalmaz a KKV-kra nézve. Ilyen könnyítés például, hogy a 250 főnél kevesebb főt foglalkoztató vállalkozásoknak főszabály szerint – 30. cikk (5) bekezdése  – nem kell adatkezelési nyilvántartást vezetniük.
Ha viszont a főszabálytól eltérően az adatkezelés valószínűsíthető veszéllyel jár, nem alkalmi jellegű vagy ha az adatkezelés kiterjed a személyes adatok 9. cikk (1) bekezdésében említett különleges kategóriáinak a kezelésére, akkor már kötelező adatkezelési nyilvántartást vezetniük a 250 főnél kevesebb főt foglalkoztató KKV-nak is.

A fenti két megkötés értelmében vajon milyen adatvédelmi előírások vonatkozhatnak az egyéni vállalkozóként dolgozó szexuálterapeuta praxisára?
A NAIH állasfoglalása alapján egy szexuálterapeutának ha a GDPR 9. cikk (1) bekezdése alá tartozó – szexuális életre vagy szexuális irányultságra vonatkozó – különleges adatokat kezel, akkor kötelessége adatkezelési nyilvántartást vezetnie, aminek az adattartalmát a 30. cikk (1) bekezdése határozza meg.

Az adatkezelés:

Adatkezelésnek minősül a személyes adatokon vagy adatállományokon végzett automatizált vagy nem automatizált bármilyen művelet vagy műveletek összessége. A személyes adatok létezése, megtekintése, csoportosítása és átalakítása (pl. nyomtatás) is az adatkezelés kategóriájába tartozik.

Azt, hogy a GDPR-t mely adatkezelésekre kell alkalmazni, a 2. cikk – azaz a tárgyi hatály – alapján lehet eldönteni. Ezek értelmében a rendeletet a személyes adatok olyan kezelésére kell alkalmazni, amikor részben vagy egészben automatizált módon történik adatkezelés. Emellett az olyan nem automatizált, tehát kézi – pl. papírra írott – adatkezelésre is, amely során az adatok valamilyen nyilvántartási rendszer (pl. jegyzék, lista) részét képzik. A személyes adat fogalmának a teljes körű kifejtését pedig a 4. cikk (1) bekezdésében találjuk. Összefoglalóan: a GDPR minden adatkezelőre és adatfeldolgozóra vonatkozik, függetlenül a “méretüktől”, így a KKV-knak is kötelező megfelelniük azoknak az előírásoknak, amiket a Google és a Facebook adatkezelésére szabtak meg.

Adatkezelő és adatfeldolgozó:

A szerepkörök pontos meghatározásakor el kell különíteni az adatkezelőt, az adatfeldolgozót és az adatvédelmi tisztviselőt. Adatkezelő az, aki az Európai Unió területén élő személyek részére szolgáltatást nyújt vagy rájuk vonatkozó megfigyelést végez.

Ebből következően a GDPR-szabályozást egy csupán öt főt foglalkoztató kft. esetében is alkalmazni kell, ha a kft. adatkezelési tevékenysége megfeleltethető a GDPR 1-3. cikkeiben megfogalmazott tárgyi és területi hatályoknak. Így akár egy sima pékségnek vagy egy kisboltnak is kötelessége lehet a GDPR-kompatibilitás.

Az adatkezelésért a cég vezetője/ügyvezetője a felelős, még akkor is, ha van a cégnél adatvédelmi tisztviselő, mivel a felelősség nem áthárítható. Az adatfeldolgozó az adatkezelővel szemben csak technikailag és szervezésileg vesz részt az adatkezelésben.

A GDPR egyik kiemelkedő újdonsága, hogy bevezeti az adatvédelmi tisztviselő jogintézményét.  Azt, hogy milyen esetben kell adatvédelmi tisztviselő kijelölni, a 37. cikk határozza meg, a tisztviselő pontos feladatairól pedig a 39. cikk rendelkezik.

Az érintett jogai:

A GDPR 6. cikk (1) bekezdésének a)-f) pontjai hat különböző jogalapot biztosítanak az adatkezelőknek az adatkezelés során. A különböző adatkezelési jogalapokhoz pedig eltérő érintetti jogok társulnak. Az adatkezelőnek tehát ügyelnie kell arra, hogy melyik jogalapra hivatkozva tárol és kezel személyes adatokat, mivel az érintetti jogosultságok jogalaponként változnak.

A törléshez való jog például nem vonatkozik arra az esetre, ha az adatkezelés szükséges a személyes adatok kezelését előíró, az adatkezelőre alkalmazandó uniós vagy tagállami jog szerinti kötelezettség teljesítése, illetve közérdekből vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása keretében végzett feladat végrehajtása céljából. A rendszer logikus, hiszen gondoljunk csak bele, hogy ha ugyan azon a jogalapon működne a NAV, mint pl. a UPC, akkor bizonyára sokan élnének az elfeledtetéshez való joggal, amire az előbbi esetében sajnos nincsen lehetőség.
A példából érzékelhető tehát, hogy a NAV más célból végez adatkezelést, mint mondjuk egy bank vagy egy telekommunikációs vállalat, ezért ehhez mérten az általuk választott jogalapok és az ebből következő érintetti jogok is különbözőek lesznek.

A megfelelő jogalap fennállása esetén viszont minden érintettnek joga van a róla nyilvántartott adatokhoz hozzáférni, amit a hozzáférési jog garantál.

Megilleti még a helyesbítéshez való jog, amely esetében kérésére az adatkezelő azonnal kijavítja az ügyfélre vonatkozó hibás adatokat, és az érintett jogosult arra is, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.

Az adatkezelés korlátozásához való jog kapcsán az érintett kérésére az adatkezelő korlátozza az adatkezelést, bizonyos feltételek teljesülésekor.

A törléshez, „elfeledtetéshez” való jog a GDPR egyik legnagyobb újítása, aminek a keretében ha egy adatot már nem szükséges a cél érdekében tovább tárolni, akkor azt törölni kell. Ha ez automatikusan nem valósul meg, akkor maga az érintett is kérheti az adat eltávolítását a meghatározott feltételek esetében. Az elfeledtetéshez való jog a Google és a Facebook túlzott adatkezelési hatalma ellen született a magánélet védelme érdekében. A felmerülő kérdés természetesen az, hogy vajon mennyire megvalósítható ez az előírás. Az adatkezelőnek törölnie kell az érintett összes adatot, miközben szintén képesnek kell lennie arra is, hogy bizonyítsa azt, hogy törölte az adatokat. Ez a jelen technikai rendszerek alapján egy nagyon komoly informatikai és jogi kihívásnak tűnik.

Az adathordozhatósághoz való jog alapján az érintett jogosult arra, hogy a rá vonatkozó személyes adatokat kikérje. Ilyenkor tagolt, széles körben használt, géppel olvasható formátumban kell megkapni az adatait. Ez az előírás vonatkozik arra, amikor egy bankból kikérjük az adatainkat, akár elektronikus, akár bármilyen más formátumban.

Megillet minket továbbá a panasztételhez való jog, amelynek alapján az adatvédelmi hatósághoz fordulhatunk, de bizonyos esetekben akár a bíróságon kártérítési kérelmet is benyújthatunk.

Élhetünk a tiltakozáshoz való joggal, ahol az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a kezelése ellen. A direkt marketing vagy profilalkotás során a cég üzletszerzés céljából felhasználhatja az ügyfél adatait. Ezt a törvény nem tiltja, de külön megállapodást és hozzájárulást igényel, és az ügyfélnek joga van ezeket megtagadnia. Profilalkotásnak nevezzük azt a módszert, amikor automatizált adatkezelés során vonnak le következtetéseket a személyes adatok kezelésével érintett személyről, és próbálják meghatározni a preferenciáit. Ennek az engedélyezése már csak a megfelelő garanciák mellett történhet, vagyis csak akkor jogszerű, ha az érintett és az adatkezelő közötti szerződés megkötése vagy teljesítése érdekében van rá szükség, vagy ha az érintett ahhoz előzetes és kifejezett hozzájárulását adta.

Emellett egy feliratkozás vagy ÁSZF esetén külön hozzá kell járulnia az érintettnek ahhoz, hogy részére direkt marketing útján hirdetéseket küldjenek. Ez például a gyakorlatban egy bejelölő négyzet elhelyezésével oldható meg, amit nem lehet előre kipipáltként felajánlani.

ÁSZF és Adatvédelmi szabályzat:

Az Általános Szerződési Feltételek az ügyfél és a cég kapcsolatát szabályozzák. Az ÁSZF az adatvédelmi szabályok mellett a cégre vonatkozó összes általános szabályt is tartalmazza. Ezen kívül létezik még az adatvédelmi szabályzat, amelynek egy érthető kivonata az adatvédelmi tájékoztató. Az adatvédelmi tájékoztató információt nyújt az érintettnek arról, hogy mi fog történni a személyes adataival. Ezután az érintett eldönti, hogy ad-e adatvédelmi hozzájárulást vagy nem. Az adatkezelési tájékoztatók „élő” dokumentumok, amik elkészülte után a jogtudatosság mentén folyamatosan frissíteni kell azokat.

Az adatvédelmi incidens:

Adatvédelmi incidensről vagy adatsérelemről akkor beszélünk, ha hiba történik az adatkezelésben. Ez bekövetkezhet az adatok sérülése, nyilvánosságra kerülése, eltűnése és meghackelése okán is. Ekkor az adatkezelőnek kell felelnie a károkért, és listáznia kell az eseményeket. Jegyzőkönyvet kell felvennie arról, hogy milyen adatok, milyen mennyiségben és hogyan sérültek.

Az Infotv. alapján korábban a NAIH-nak kellet felkutatnia és bizonyítania az adatvédelmi jogsértéseket. A GDPR ezt a felállást is megváltoztatta mivel a rendelet alapján az adatkezelőknek a személyes adatokkal történő jogsértések, balesetek esetén – 72 órán belül – bejelentési kötelezettsége van az adatvédelmi incidensről a NAIH felé. A bejelentés után pedig az adatfeldolgozónak kell azt bizonyítania, hogy az incidens ellenére ő az előírásoknak megfelelő módon kezelte és tárolta a személyes adatokat.

Összefoglalva elmondhatjuk, hogy a világ egyre digitalizálódik és globalizálódik, amely folyamatok eltüntetik a határokat. A technológia fejlődése emellett könnyebbé tette az adatok gyűjtését, és lehetségessé a profilalkotást. Emiatt volt arra szükség, hogy egy nemzetközi összefogás keretében a személyes adatok kezelése egy személetmód-váltáson menjen keresztül. A rendelet két legfontosabb alapelve az átláthatóság és a számon kérhetőség. A rendelet közvetlen célja így az, hogy adatvédelmet nyújtson a globális óriáscégekkel szemben, hogy visszaállítsa az üzletmenetbe vetett bizalmat, és hogy elősegítse a digitális gazdaság fellendítését.

A cikk megírásához az Arsboni a Jogtár adatbázisát használta.

Irodalomjegyzék

Gyakornoki Programunk támogatói:

***

Ha nem szeretnél lemaradni a további írásainkról, kövesd az Ars Bonit a facebookon.