Átláthatóság a gyakorlatban: a NAIH elvárásai az adatkezelési tájékoztatóval szemben

Bevezetés

Amennyiben általános adatvédelmi rendelet (a továbbiakban: GDPR vagy Rendelet) 4. cikk 1. pontja szerint személyes adat vonatkozásában bármilyen művelet megvalósul, úgy azt főszabály szerint adatkezelésnek kell minősíteni. Ilyen műveletnek minősül különösen érintett adatainak gyűjtése, rögzítése, tárolása, felhasználása, közlése és továbbítása is.

Az adatkezelési tájékoztató legtöbb társaságnál a mai napig olyan sablon dokumentumként jelenik meg, amelyet a honlapon közzé kell tenni vagy az érintetteknek át kell adni. Azonban ez a megközelítés félrevezető.

A GDPR rendszerében ez az adatkezelési tájékoztató a jogszerű, tisztességes és átlátható adatkezelés megvalósulásának egyik legfontosabb eszköze. A Rendelet 5. cikk (1) bekezdés a) pontja egyértelműen rögzíti, hogy minden személyes adat kezelését jogszerűen, tisztességesen, illetve az érintettek számára átlátható módon szükséges a társaságoknak végezni. Ezzel összhangban a GDPR 12-14. cikk konkrét tartalommal tölti fel az átláthatósági követelményt, hogy pontosan miről és milyen minőségben, milyen szerkezetben és milyen hozzáférhetőséggel kell az érintetteket tájékoztatni.

A 29. cikk szerinti, egyéneknek a személyes adatok feldolgozása tekintetében való védelmével foglalkozó munkacsoport által kiadott az (EU) 2016/679 rendelet szerinti átláthatóságról szóló iránymutatás (a továbbiakban: Iránymutatás) három központi területtel foglalkozik: a tisztességes adatkezeléssel kapcsolatos tájékoztatás nyújtásával, az érintettek jogaival kapcsolatos tájékoztatás megvalósulásával, illetve azzal, hogy az adatkezelő milyen módon segíti elő az érintettek jogainak gyakorlását.

A kérdés valójában tehát nem az, hogy a társaság rendelkezik-e adatkezelési tájékoztatóval, hanem az, hogy az alkalmas-e a GDPR által meghatározott funkció betöltésére, tehát érintett az alapján megértheti-e, hogy mi történik az adataival, előre láthatja-e az adatkezelés következményeit, valamint megismerheti-e belőle a jogait és azokkal ténylegesen élhet-e.

Az átláthatóság, mint alapelv

A GDPR rendszerében az átláthatóság alapelvi rangú kötelezettség. A Rendelet kimondja, hogy személyes adatok kezelését kizárólag jogszerűen, tisztességesen és az érintettek által átlátható módon lehet végezni. Tehát az átláthatóság a jogszerű adatkezelés strukturális eleme.

Az átláthatóság elvét a Rendelet 12-14. cikke tölti fel tartalommal. Azt, hogy az adatkezelőnek milyen információkat kell közölnie az érintettekkel a 13 és 14. cikk rögzíti, míg a 12. cikk egyértelműen deklarálja az elvárást, hogy ezen információkat hogyan kell közölni. Az adatkezelési tájékoztatásnak tömörnek, átláthatónak, érhetőnek és könnyen hozzáférhetőnek, míg a benne foglaltaknak világosnak és közérthetőnek kell lennie.

Fentiekből következően a Rendelet tájékoztatással szembeni elvárásként tartalmi minimumot és minőségi követelményt Azonban a puszta információk közlése nem meríti ki a tájékoztató funkcióját, a tájékoztatás mindezeken túlmenően az érintetti joggyakorlás előfeltétele is, tehát az adatkezelőnek az érintetteket elő is kell segítenie a Rendelet 15-22. cikkében szereplő jogok gyakorlásában.

Az adatkezelési tájékoztató tehát nem önálló dokumentumként, hanem a jogszerű, tisztességes és átlátható adatkezelés egyik legjelentősebb eszközeként értelmezendő.

Tartalmi minimum és minőségi követelmény

A Rendelet értelmében konjuktív feltétel, hogy a tájékoztatás egyszerre feleljen meg a GDPR 13-14. cikkben megjelölt tartalmi minimumoknak és a 12. cikk szerinti minőségi elvárásoknak is. Tehát egyértelműen rögzítésre kerül, hogy a tájékoztató önmagában attól nem válik megfelelővé, hogy az adatkezelő felsorolja a kötelező információkat.

A GDPR 13. és 14. cikk értelmében az adatkezelő köteles különösen az alábbi információkat érintettek rendelkezésére bocsátani (tartalmi minimum):

• az adatkezelő (és adott esetben képviselője, adatvédelmi tisztviselője) azonosítása és elérhetőségei,
• az adatkezelés célja és jogalapja,
• jogos érdek jogalap esetén az adatkezelő vagy harmadik fél jogos érdeke,
• a személyes adatok címzettjei vagy a címzettek kategóriái,
• adattovábbítás harmadik országba, illetve annak garanciái,
• az adatkezelés időtartama vagy annak meghatározási szempontjai,
• az érintetti jogok (hozzáférés, helyesbítés, törlés, korlátozás, tiltakozás, adathordozhatóság),
• a hozzájárulás visszavonásának lehetősége (ha releváns),
• a felügyeleti hatósághoz fordulás joga,
• az adatszolgáltatás kötelező vagy önkéntes jellege és következményei,
• automatizált döntéshozatal és profilalkotás ténye és logikája (ha alkalmazandó).

A 12. cikk értelmében pedig a fenti információk közlésének az alábbi elvárásoknak kell megfelelnie (minőségi követelmény):

• tömör,
• átlátható,
• érthető
• könnyen hozzáférhető, valamint
• világos és közérthető nyelvezetű.

A gyakorlatban tehát nem fogadható el olyan tájékoztató, amely

• túl általános, konkrétumokat nélkülöz,
• jogalapot indoklás nélkül jelöl meg,
• egymástól nem különíti el adatkezelési célókat, azokat egyben kezeli,
• nehezen hozzáférhető vagy több helyen szétszór információkat.

A Rendeletben megjelölt tájékoztatási kötelezettség célja tehát egyértelműen nem az információk formális közlése, hanem az, hogy az adatkezelő az érintettek részére egy valós képet nyújtson a személyes adataiknak kezeléséről.

A jogalap és a tájékoztatás elválaszthatatlansága

A személyes adatok kezelésének jogalapjait a Rendelet 6. cikke rögzíti. A jogalap és az átláthatóság egyértelműen nem különíthető el az átláthatóság követelményétől. A jogalap megfelelősége önmagában nem elegendő az adatkezelés jogszerűségéhez, ha az adatkezelő által nincsen megfelelően biztosítva a tisztességes és átlátható adatkezelés, valamint az tartalmilag és minőségileg is megfelelő tájékoztatás.

A tájékoztató nem kizárólagosan a jogalap megnevezésére szolgál, hanem annak érdemi bemutatására, annak alátámasztására, hogy az adott adatkezelés miért minősül jogszerűnek. Ennek megfelelően a jogalap hibás vagy formális megjelölése szükségképpen a tájékoztatás hiányosságát eredményezi, az adatkezelés átláthatóságának sérelméhez vezet.

Az alábbiakban példálózó jelleggel kerülnek jogalapok bemutatásra.

A Rendelet 6. cikk (1) bekezdés f) pontja rögzíti a „jogos érdek” jogalapot, amely alkalmazása az egyik leggyakoribb, de egyben a gyakorlatban leginkább hibásan hivatkozott jogalap. A jogos érdek jogalap alkalmazásának sajátossága, hogy minden esetben egyedi mérlegelést igényel adatkezelőtől, amelynek eredményét dokumentálnia is kell (érdekmérlegelési teszt). Az érdekmérlegelési teszt során adatkezelő összeveti a saját érdekét az érintett alapvető jogaival, majd ezen összevetés alapján döntik el, hogy az adatkezelés jogszerű-e. Ezen érdekmérlegelési tesztet nem szükséges adatkezelési tájékoztatóban rögzíteni, azonban - a GDPR 5. cikk (2) bekezdése szerinti elszámoltathatóság elvére tekintettel - javasolt a tesztnek és eredményének írásbeli rögzítése, hogy adatkezelő képes legyen igazolni érintett vagy NAIH irányába adatkezelés jogszerűségét.

A GDPR 6. cikk (1) bekezdés a) pontja szerinti hozzájárulás gyakran alkalmazott jogalap, azonban kizárólag akkor tekinthető érvényesnek, ha megfelel a 7. cikkben meghatározott feltételeknek. A hozzájárulás kizárólag abban az esetben érvényes, amennyiben

• adatkezelő képes annak megtörténtét igazolni,
• a hozzájárulás megkülönböztethető módon elkülönül más nyilatkozatoktól,
• tájékoztatás világos, közérthető és előzetes,
• az érintett a hozzájárulását bármikor és indoklás nélkül visszavonhatja, olyan módon, mint ahogyan megadta.

A hozzájárulás csak akkor minősül önkéntesnek, ha az érintett számára valódi választási lehetőség áll fenn, és a hozzájárulás megtagadása vagy visszavonása nem jár számára hátrányos következményekkel. Ennek megfelelően a hallgatás, az előre bejelölt jelölőnégyzet vagy a nem cselekvés nem minősül érvényes hozzájárulásnak. A tájékoztatásnak ebben az esetben egyértelműen ki kell terjednie arra is, hogy az érintett pontosan milyen adatkezeléshez adja hozzájárulását, milyen célból, milyen következményekkel, valamint hogyan gyakorolhatja a visszavonás jogát. Az olyan megoldások, amelyekben a hozzájárulás „beépül” egy szerződés rendelkezésébe vagy a szolgáltatás igénybevételének feltételeként jelenik meg, rendszerint nem felelnek meg a GDPR követelményeinek.

A GDPR 6. cikk (1) bekezdés b) szerinti szerződés és c) pontja szerinti jogi kötelezettség jogalapok esetében az adatkezelés jogszerűségének központi eleme a szükségesség.

Szerződéses jogalap esetén az adatkezelőnek világosan be kell mutatnia, hogy az adatkezelés valamely konkrét szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy a szerződés megkötését megelőző, az érintett kérésére történő lépések megtételéhez szükséges. E jogalap nem alkalmazható olyan adatkezelések igazolására, amelyek a szerződés teljesítéséhez nem szükségesek; ilyen esetekben más jogalap – tipikusan hozzájárulás vagy jogos érdek – alkalmazása indokolt.

Jogi kötelezettség jogalap esetén az adatkezelőnek azt kell egyértelműen megjelölnie, hogy mely uniós vagy tagállami jogszabály írja elő az adatkezelést, és az milyen terjedelemben szükséges. Ennek hiányában az érintett nem tudja megítélni az adatkezelés indokoltságát, ami az adattakarékosság elvének sérelméhez vezethet.

A fentiek alapján megállapítható, hogy a jogalap nem pusztán formális jogi kategória, hanem az adatkezelés egyik olyan központi eleme, amelynek a tájékoztatásban érdemi és ellenőrizhető módon „láthatóvá kell válnia”.

Az adatkezelési tájékoztató akkor felel meg a GDPR követelményeinek, ha az érintett számára egyértelműen rekonstruálható:

• miért történik az adatkezelés,
• milyen jogi alapon,
• és milyen feltételek, korlátok és garanciák mellett.

Ennek hiányában a jogalap puszta megjelölése nem elegendő, és az adatkezelés nem tekinthető átláthatónak, amely a GDPR 5. cikk (1) bekezdés a) pontjának sérelmét eredményezi.

NAIH gyakorlata: példák nem megfelelő adatkezelési tájékoztatókra

A Nemzeti Adatvédelmi és Információszabadság Hatóság gyakorlata következetesen azt mutatja, hogy a tájékoztatási kötelezettség megsértése ritkán elkülönült hiba. A hiányos vagy nem megfelelő adatkezelési tájékoztató jellemzően együtt jár a jogalap hibás megválasztásával, a célhoz kötöttség sérelmével, valamint az érintetti jogok gyakorlásának korlátozásával.

A következő ügyek jól szemléltetik, hogy a hatóság milyen tartalmi és minőségi elvárásokat támaszt az adatkezelési tájékoztatóval szemben.

Sziget-ügy: a tájékoztatás hiánya az adatkezelés egészét érintheti

A Sziget Fesztivál szervezője olyan beléptetési rendszert vezetett be, amely a résztvevők arcképfelvételén alapuló azonosítást alkalmazott. A rendszer használata a fesztiválra történő belépés feltétele volt, így az érintettek ténylegesen nem tudták elkerülni az adatkezelést.

• A NAIH 2019/55/5. számú határozatában megállapította, hogy:
• a hozzájárulás nem volt önkéntes, mivel az érintettek nem rendelkeztek valós alternatívával,
• az adatkezelés célja nem volt egyértelműen és konkrétan meghatározva (pl. több, egymással nem kellően összefüggő cél),
• az érintettek nem kaptak megfelelő előzetes tájékoztatást az adatkezelés lényeges körülményeiről (időtartam, adatfeldolgozók, adatkezelési logika),
• továbbá felmerült a különleges adatok kezelésének jogszerűsége is.

A hatóság hangsúlyozta, hogy a tájékoztatás hiánya és a jogalap hibája egymást erősítő jogsértések.

Jogkövetkezmény: a NAIH jelentős összegű adatvédelmi bírságot szabott ki (több tízmillió forintos nagyságrend), valamint kötelezte az adatkezelőt az adatkezelési gyakorlat átalakítására.

Tanulság: ha az adatkezelés „kényszerhelyzetben” történik, a hozzájárulás tipikusan nem alkalmazható, és a tájékoztatásnak különösen részletesnek kell lennie.

Forbes-ügy: a leggazdagabb magyarok lista és jogos érdek hibás alkalmazása

A Forbes Magyarország listát publikált Magyarország leggazdagabb magánszemélyeiről, amely során természetes személyekre vonatkozó, részben becslésen alapuló vagyoni adatokat kezelt és tett közzé. Az adatkezelő a jogos érdek jogalapjára hivatkozott.

A NAIH 2020/838/2. számú határozatában megállapította, hogy:

• az adatkezelő nem végzett megfelelő érdekmérlegelést,
• nem vizsgálta kellően az érintettek jogait és érdekeit (különösen a magánszféra védelmét),
• nem mutatta be, hogy az adatkezelés szükséges és arányos,
• valamint az érintetteket nem tájékoztatta megfelelően sem a jogos érdek tartalmáról, sem az őket megillető jogokról (különösen a tiltakozási jogról).

A hatóság kiemelte, hogy a jogos érdek jogalap nem alkalmazható automatizmusként, különösen nem olyan esetekben, amikor az adatkezelés az érintettek magánszféráját jelentősen érinti.

Jogkövetkezmény: a NAIH több millió forintos adatvédelmi bírságot szabott ki, és kötelezte az adatkezelőt az adatkezelési gyakorlat felülvizsgálatára.

Tanulság: a jogos érdek alkalmazásához nem elegendő egy általános hivatkozás; az adatkezelőnek az érintett szempontjait is érdemben mérlegelnie és ezt a tájékoztatásban megjelenítenie kell.

Kamerás megfigyelés: utólagos „papírozás” nem elegendő

Az ügyben egy gazdasági társaság kamerarendszert üzemeltetett, amely munkavállalók és látogatók megfigyelésére is alkalmas volt. A rendszer működéséhez kapcsolódóan nem készült előzetes, megfelelő dokumentáció.

Az adatkezelő a hatósági eljárás során utólag próbálta pótolni a hiányosságokat:

• érdekmérlegelési tesztet készített,
• adatvédelmi hatásvizsgálatot végzett,
• belső szabályzatokat alkotott.

A NAIH 3748-1/2021. számú határozatában azonban megállapította, hogy:

• az adatkezelés szükségessége nem volt megfelelően alátámasztva,
• a jogalap nem volt igazolt,
• az érintettek nem kaptak megfelelő, előzetes és közérthető tájékoztatást,
• és az utólagos dokumentáció nem alkalmas a jogszerűség visszamenőleges igazolására.

Jogkövetkezmény: a hatóság bírságot szabott ki (több millió forintos nagyságrend), és kötelezte az adatkezelőt az adatkezelés jogszerű feltételeinek megteremtésére.

Tanulság: az adatkezelés megfelelőségét nem lehet utólag „rendbe tenni”; az átláthatóságnak és a jogalapnak már az adatkezelés megkezdésekor fenn kell állnia.

Ügyfélelégedettség-mérés: rejtett adattovábbítás

Az ügyben egy szolgáltató az ügyfelei adatait ügyfélelégedettségi felmérés céljából egy harmadik fél részére továbbította. Az érintettek ugyan szerződéses kapcsolatban álltak az adatkezelővel, azonban nem kaptak megfelelő tájékoztatást arról, hogy adataik ilyen célból és ilyen módon felhasználásra kerülnek.

A NAIH 2857-20/2021 számú határozatában megállapította, hogy:

• az adatkezeléshez nem állt rendelkezésre megfelelő jogalap,
• az érintettek nem kaptak egyedi, célhoz kötött tájékoztatást,
• az adattovábbítás körülményei nem voltak átláthatók (különösen a címzettek és az adatkezelési cél tekintetében).

A hatóság kiemelte, hogy az adattovábbítás önálló adatkezelési művelet, amely külön tájékoztatást igényel.

Jogkövetkezmény: a NAIH bírságot szabott ki, és kötelezte az adatkezelőt az adatkezelési tájékoztató és gyakorlat módosítására.

Tanulság: az érintettnek pontosan tudnia kell, hogy az adatai kinek és milyen célból kerülnek továbbításra; ennek hiánya az átláthatóság súlyos sérelme.

Források:

A 29. cikk szerinti munkacsoport Iránymutatás az (EU) 2016/679 rendelet szerinti átláthatóságról

a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) szóló AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 RENDELETE

NAIH 2019/55/5. számú határozata: A Sziget Zrt. által szervezett rendezvényeken folyatott, beléptetéssel összefüggő adatkezelések vizsgálata

NAIH 2020/838/2. számú határozata

NAIH 3748-1/2021. számú határozata

NAIH 2857-20/2021 számú határozata

https://www.nonprofit.hu/tudastar/Jogos-erdek-mint-jogalap---mikor-es-hogyan-hasznalhato-GDPR-sorozat

dr. Osztopáni Krisztián (NAIH, vizsgáló): Jogalapok rendszere a GDPR-ban (https://naih.hu/files/3_osztopani_k_jogalapok_gdpr.pdf)

https://www.edpb.europa.eu/sme-data-protection-guide/process-personal-data-lawfully_hu

Kollár Gergő - Az adatkezelési jogalapok alkalmazhatóságával kapcsolatban bekövetkezett változások a GDPR hatályba lépése óta (https://real.mtak.hu/136100/1/KOZIGINFOKOMM%202021%281%29%20KG.pdf)

Az adatkezelés jogalapjairól általában (https://jogaszvilag.hu/szakma/az-adatkezeles-jogalapjairol-altalaban/)