Fő a személyes adatok védelme: mindent az adatvédelmi nyilatkozatról

Mit jelent az adatvédelmi nyilatkozat és hol találkozhatunk vele a mindennapokban? 

A GDPR egyik sajátossága, hogy annak hatálya minden olyan személyre és szervezetre kiterjed, akik uniós állampolgárok adatait kezelik. Ha erre az Európai Unió területén kívül – akár az Egyesült Államokban vagy Kínában – kerülne sor, székhelytől függetlenül a rendelet ebben az esetben is kötelező érvényű és alkalmazandó lenne. 

Mint uniós állampolgároknak, minden magyar felhasználó adatainak kezelése is a rendelet hatálya alá tartozik, bárhol is kerüljön arra sor ténylegesen. Nem csak az online világra kell gondolnod: egy banknak (akkor is, ha az ügyintézés a bankfiókban, személyes úton történik) vagy egy munkaerő-közvetítő cégnek ugyanúgy be kell tartani a hatályos adatvédelmi rendelkezéseket, akárcsak egy online webshopnak. 

Bár a jogszabályok betűről betűre ezt nem tartalmazzák, ezeknek a rendelkezéseknek való megfelelés elfogadott módja az adatvédelmi tájékoztató közzététele és az adatvédelmi nyilatkozat megtétele. Ezekkel a dokumentumokkal az élet számos területén találkozhatsz, mostani cikkünkben mi elsősorban az online adatkezelésre helyezzük a hangsúlyt. 

Milyen jogszabályok vonatkoznak az adatvédelmi nyilatkozatra?

Az Európai Unió folyamatos fejlődése magával hozta a személyes adatok határokon átnyúló áramlását is. Az online világban pedig az emberek egyre nagyobb mértékben tesznek elérhetővé rájuk vonatkozó adatokat – sok esetben testsúlyukat, magasságukat, családi állapotukat vagy politikai hovatartozásukat is. Ezek az adatok korábban tagállami szinten eltérő védelmet élveztek, eltérő típusú szabályozások vonatkoztak rájuk.

Ez hívta életre a GDPR-t, amely a személyes adatok kezelésének uniós kereteit, minimumszabályait kívánja megadni. Meghatároz alapelveket, az érintetteket megillető jogosultságokat vagy az ellenőrzésre, a hatósági felügyeletre vonatkozó szabályokat. Ugyanakkor lehetőséget ad arra is, hogy bizonyos részletszabályokat a nemzeti jogszabályok állapítsanak meg. Így Magyarországon a GDPR rendelkezéseit az információs önrendelkezési jogról és információszabadságról szóló 2011. évi CXII. törvénnyel (a továbbiakban: Infotörvény) együtt kell alkalmazni 

Mi az adatkezelés célja? Kik az adatkezelés résztvevői?

Az adatkezelési folyamat során végig figyelemmel kell lenni a GDPR által megfogalmazott (és az Infotörvény által is alkalmazott) alapelvekre. Ennek megfelelően, az adatkezelés megkezdése előtt 

• az érintett felet közérthető, világos és egyértelmű módon tájékoztatni kell a kezelt adatok köréről, az adatkezelés céljáról és a módjáról – azaz kik, hogyan és miért gyűjtik, használják fel az általa megadott adatokat, valamint
• meg kell szerezni az érintett személy önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását ezen adatok kezeléséhez. Azt, hogy a megfelelő tájékoztatásra és beleegyezésre sor került, az adatkezelőnek kell bizonyítania. De nézzük meg először, hogy mit jelentenek ezek a fogalmak, kik az adatkezelés résztvevői!

Kik vesznek részt az adatkezelésben?

Adatkezelés során mindig van egy fél, akinek az adatait gyűjtik és egy másik fél, aki ezeket az adatokat gyűjti. Bizonyos esetekben pedig egy harmadik fél is, aki a gyűjtött adatokat feldolgozza.

• Az érintett az a személy, akinek a személyes adatait gyűjtik. Érintett uniós állampolgár természetes személy lehet. Így jogi személyek, mint kft.-k vagy bt.-k nem minősülnek ilyennek akkor sem, ha rájuk vonatkozó adatokat – például adószámot vagy cégjegyzékszámot – gyűjtenek.
• Az adatkezelő az a személy vagy szervezet, aki az érintettre vonatkozó személyes adatokat gyűjti. Például a webshopnak vagy annak a fórumnak az üzemeltetője, ahol a felhasználó regisztrációja során személyes adatokat ad meg. Az adatkezelő áll kapcsolatban az érintett személlyel – ő teszi közzé az adatvédelmi tájékoztatót és az adatvédelmi nyilatkozatot is. Neki kell bizonyítania, hogy az érintett tájékoztatására megfelelő módon sor került és hozzájárulását az előírások szerint megadta.
• Az adatfeldolgozó pedig az, aki tárolja és feldolgozza az adatokat az adatkezelő megbízásából. Nem minden esetben beszélünk külön adatfeldolgozóról, lehet, hogy az adatkezelő végzi ezeket a – jellemzően az adatkezeléshez kapcsolódó technikai – feladatokat is. Ha viszont az adatfeldolgozó személye elkülönül, akkor közte és az adatkezelő között valamilyen szerződéses megállapodásban kell rögzíteni együttműködésük feltételeit. Az adatfeldolgozás egyik tipikus esete a különböző IT-megoldások nyújtása, mint például a felhőalapú tárolás.

Ki az adatvédelmi tisztviselő és mi a feladata?

Adatvédelmi tisztviselő alkalmazása akkor kötelező, ha a jogszabályok ezt előírják. Ekkor az adatkezelőnek vagy az adatfeldolgozónak a személyes adatok védelmével kapcsolatos bizonyos szakmai kérdésekben adatvédelmi tisztviselőt kell igénybe venniük, aki nem kötelező, hogy alkalmazottjuk is legyen. Az Infotörvény nem teszi képzettségtől függővé az ilyen pozíció betöltését, azt azonban előírja, hogy az ilyen feladatot ellátó személynek a személyes adatok védelmére vonatkozó jogi előírások és jogalkalmazási gyakorlat megfelelő szintű ismeretével rendelkeznie kell.