Az első két, bevezető-jellegű, de a téma objektív megítéléséhez fontos bejegyzésünk után beugrunk a mélyvízbe és megmutatjuk, hogy hogyan is kell valójában személyes adatokat kezelni.
A témakör kezdetén még egy fogalmat tisztáznunk kell, ez pedig az adatkezelő. A GDPR definíciója alapján adatkezelő a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. Adatkezelő tehát lényegében lehet bárki és bármi, aki „kitalálja” magát az adatkezelést. Félreértés abból szokott adódni, hogy nem szükségszerűen számít azonban adatvédelmi jogilag adatkezelőnek az a személy, aki az adatkezelés részeseként egy-egy adatkezelési műveletet végez. Sok esetben az adatkezelők munkavállalóira is azt mondják, hogy ők adatkezelők, holott ez főszabály szerint nem igaz: ha valaki munkaszerződése vagy egyéb utasítás alapján végzi el az adatkezelés egy-egy műveletét, attól ő még nem lesz adatkezelő. Tehát ha valakinek megmondják, hogy mit kell csinálnia és ebben benne van az adatkezelés is, akkor ő még nem adatkezelő. A szabadúszó újságíró ugyanakkor maga dönt az adatok kezeléséről, ő adatkezelőnek minősül.
Az alapelvek – a cél mindenek fölött
No, de nézzük az alapelveket: ezekből jelenleg hat plusz egy van. Ha ezeket megérti egy adatkezelő és igyekszik nekik megfelelni, olyan nagy hibát már nem követhet el.
A jogszerűség, tisztességes eljárás és átláthatóság elve kissé bár megfoghatatlannak tűnik (kinek mit jelent a tisztességesség?), de zsinórmértékként kijelenthető, hogy a személyes adatok kezelését jogszerűen, valamint az érintett (azaz azon személy, akire a személyes adat vonatkozik) számára átlátható módon kell végezni. Tehát az érintettet megfelelően kell tájékoztatnom, hogy rá vonatkozóan adatkezelés történik, az adatkezelés bármely művelete során kérdést tehet fel az adatkezeléssel kapcsolatosan és erről megfelelő információval kell ellátnom. Alapvetően ez nem tűnik túlzottan ördögtől valónak: azt várja el az adatkezelőtől, hogy ő maga is tisztában legyen azzal a folyamattal, amit adatkezelés címén végez.
Ennél sokkal egzaktabb a célhoz kötöttség elve. Az adatkezelőnek már az adatkezelés megkezdése előtt meg kell határoznia azt a cél, aminek az eléréséhez szüksége van az adatra. A legfontosabb azonban az, hogy minden adat tekintetében tudnia kell azt az adatkezelőnek, hogy valójában miért is van rá szüksége. Csak úgy, mindenféle cél nélkül nem kezelhető egyetlen személyes adat sem, a „jó lesz az még valamire” hozzáállás pedig valóban súlyosan jogsértő. Személyes adat csak és kizárólag előre meghatározott célból, a cél eléréséig kezelhető. Ezzel függ össze szorosan egyébként a korlátozott tárolhatóság elve is: abban a pillanatban, hogy a célt elértem, az adatot törölnöm is kell, nem is kezelhetőek tovább.
Vegyük az egészet végig egy példán keresztül! Tartok egy előadást, a résztvevők számára meg körbeküldök egy fehér A4-es papírt, hogy írják fel rá az e-mail címüket. Jogosan kérdezheti meg bármelyikük, hogy de miért, mi célból. Az ugyanis az e-mail címekre nagyon sok esetbe igaz, hogy személyes adatnak minősülnek. Nem árultam el, hogy milyen célból van szükségem az e-mail címre. Ha elárulom, hogy az e-mail cím arra kell, hogy az előadást követően kiküldjem számukra az előadás diasorát, akkor máris van az adatkezelésnek célja. Ha ezt követően aznap este kiküldöm az e-mailt, akkor a papírt, amin a címek szerepelnek, meg is kell semmisíteni, lévén az adatkezelés a célt elérte. (Zárójelben: sőt, mivel a postafiókban látszódnak a kiküldött levelek, gondoskodnom kell arról is, hogy maga az e-mail is, aminek a csatolmányaként lett kiküldve a ppt, szintén törlődjön, mert az adatkezelés nem ért véget, ha az adat visszaállítható.)
Ami még itt fontos: arra is nagyon kell figyelni, hogy egymás e-mail címét lehetőség szerint ne ismerhessék meg a címzettek, mert arra nem kaptunk felhatalmazást, hogy mindenki címét feltárjuk mindenki előtt. (Bár ebben az esetben már az „egy lapra írja fel magát mindenki” megoldás is hibás, mert ott is látják.) A Nemzeti Adatvédelmi és Információszabadság Hatóság még a kezdeti éveiben több esetben is szabott ki bírságot olyan hiba miatt, mert az e-mail címzettjei látták egymás címét. Hiszen ez pont a célhoz kötött adatkezelés elvét sérti: az adatot abból a célból kaptam, hogy küldjek rá egy e-mailt, nem pedig azért, hogy megosszam másokkal.
Visszakanyarodva az alapelvekhez, a következő elv az adattakarékosság elve. Ez az elv szintén a céllal van összefüggésben: csak olyan adatot kezelhetek, amely a cél szempontjából megfelelő és releváns, valamint az adatkezelés során csak a szükséges adatokra kell korlátoznom a folyamatokat. Magyarul ez azt jelenti, hogy meg kell vizsgálnom, hogy az általam kezelt vagy kezelni kívánt adatok tényleg segítik-e a cél elérését és a cél eléréséhez minden adatra feltétlenül szükségem van-e. Az előző példát továbbfolytatva: ha az a cél, hogy elküldjek egy e-mailt, akkor ehhez az e-mail címen túl semmilyen más adatra nincsen szükségem. Nem kell mellé felíratnom a papírra az illető születési helyét, idejét, lakcímét, kapcsolati státuszát vagy éppen telefonszámát. Aki ezt az elvet megsérti, ún. „készletező adatkezelést” végez: olyan adatokat gyűjt be és tárol, ami aktuálisan semmire nem jó, de talán „majd jó lesz valamire”.
A következő elv a pontosság elve. Ez túl sok magyarázatot nem igényel: a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük, minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
Sokkal izgalmasabb az integritás és bizalmas jelleg elve. Ahogy azt a legelső bejegyzésben is jeleztük, az adatvédelem jogi szakkifejezés, de van informatikai, adatbiztonsági lába is természetesen. Ez az elv testesíti meg a személyes adatok fizikai-logikai-informatikai védelmét: az adatok kezelését ugyanis ez alapján oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen az adatok biztonsága. Ez a biztonság azonban nem csak informatikai, hanem fizikai is! Nagyon leegyszerűsítve a kérdéskört: az adathoz csak az férjen hozzá, akinek az adattal dolga van és az pedig ne férjen hozzá, akinek nincs. Igaz ez papíralapon és egy informatikai rendszerben is. Azt, hogy ezt milyen folyamatokkal, IT-megoldásokkal éri el az adatkezelő, másodlagos, de a lényeg ez. A NAIH első nagy bírsága éppen egy ilyen nem megfelelő biztonság miatt érkezett: ötmillió forintos bírságot kapott egy adatkezelő még 2012-ben, amely egy nyitott, nyílászáró nélküli istállóban tárolta felszámolt szervezetek, köztük egykori állami vállalatok, szövetkezetek iratanyagát, amelyek jelentős része személyes adatot is tartalmazott. Ebben az esetben olyan is hozzáférhetett az adatokhoz, akinek ahhoz semmi köze nem volt.
A bűnösség vélelme
Az „ártatlanság vélelméről” már az is hallott, aki soha életében nem tanult mélyrehatóbban jogot: egészen addig, ameddig az állam jogerősen rá nem bizonyítja valakire, hogy bűncselekményt követett el, ártatlannak kell tekinteni. Hogy jön ez az adatvédelmi alapelvekhez? Úgy, hogy az adatvédelemben nem ártatlanság, hanem bűnösség vélelme van.
Az adatvédelem „új” szuperelve ugyanis az elszámoltathatóság: az adatkezelő felelős az összes fent ismertetett elvnek való megfelelésért, továbbá képesnek kell lennie arra, hogy ezt a megfelelés igazolja is. Ez azt jelenti, hogy egészen addig, ameddig az adatkezelő nem tudja bebizonyítani, hogy mindenben megfelelt a jog elvárásainak és a GDPR előírásainak, valójában bűnösnek tekinthető. Az, akivel szemben már indult NAIH-eljárás, ezt jól tudja: a hatóság küld számára egy levelet, amiben feltesz neki jó pár kérdést az adatkezelési folyamatára nézve. Ha pedig ezekre nem tud helyesen és azt alátámasztóan válaszolni az adatkezelő, akkor sok jóra nem számíthat. Bár ez elsőre nem tűnik túl adatkezelő-barátnak, de ha jobban belegondolunk, teljes mértékben indokolt. Egyrészről azért, mert ha egy adatkezelő jogszerűen kíván adatokat kezelni, úgy kell kialakítsa a folyamatait, hogy átgondolja azokat és megfelel a fenti elveknek. Másrészről azért, mert amikor egy személy adatait egy adatkezelő kezeli, erőviszony-eltolódás van az adatkezelő oldalán: az érintett sok esetben nagyon nehezen tudná rábizonyítani az adatkezelőre, hogy jogellenesen jár el. Bár erre az alapelvre sokan felkapták a fejüket, nem véletlenül tettük idézőjelbe, hogy új lenne: már a 2012-2018 közötti időszakban is szerepelt az akkori adatvédelmi törvényben, hogy az adatkezelés jogszerűségét az adatkezelőnek kell tudnia bizonyítania. Ilyetén tehát semmi sem változott.