GYIK és RHK, avagy GYAKRAN ISMÉTELT KÉRDÉSEK és RITKÁN HALLOTT VÁLASZOK az adatvédelemről

Személyes adatnak minősül egy céges e-mail cím?

Abban az esetben, ha egy embert azonosít vagy azonosíthat, akkor igen. A személyes adat definíciója nem tesz különbséget az adatok között atekintetben, hogy az adat a személyt magánemberként vagy munkavállalóként, cégtulajdonosként azonosíthatja: ha azonosít, akkor személyes adat. Így tehát személyes adatnak minősül a vezetéknév.keresztnév@cégnév.hu e-mail cím is, függetlenül attól, hogy ezt egyébként csak munkavégzésre használhatja Vezetéknév Keresztnév. Sőt, abban az esetben, ha az info@cégnév.hu e-mail címet egyetlen ember használja és használhatja csak, akkor akár még ez is számíthat személyes adatnak. Tehát csak azért, mert valami „céges” adat, attól még lehet egyben személyes adat is. A probléma nem is ebben rejlik, hanem abban, hogy az üzleti adatok üzleti kezelése is a GDPR hatálya alá tartozik, így ezeket ugyanúgy kell védeni, mint egy egyértelműen tényleg magánjellegű személyes adatot. A jogalkotó nem vonta a GDPR hatálya alá a természetes személyek által kizárólag személyes vagy otthoni tevékenységük keretében történő adatkezeléseket (így a magántelefonunk névjegyzéke is egy adatbázis, de ha csak személyes célokból használjuk, úgy nem a GDPR-nak kell megfelelnünk, hanem csak általában a polgári jog szabályainak) – az üzleti adatok üzleti kezelését azonban nem vonta ki. Így emiatt állhat fel olyan faramuci helyzet, hogy A Kft. és B Kft. üzleti kapcsolatuk során elkezdik tájékoztatni egymás munkavállalóit arról, hogy az üzleti kapcsolatukkal kapcsolatosan megszerezték a munkavállalók nevét, e-mail címét, céges telefonszámát.

Hogyan készíthetek fényképfelvételt és hogyan használhatom fel?

Hosszan gondolkodtunk róla, hogy önálló bejegyzést szenteljünk-e a fényképfelvételekkel kapcsolatos kérdéskörnek, de a téma még mindig annyira forr (már a Polgári Törvénykönyvünk 2013-as újraalkotása óta), hogy biztonsággal még mindig nem lehet semmit kijelenteni. A kérdés megint csak nem pusztán adatvédelmi – sőt, igazából főleg nem az. Mert bár adatkezelés zajlik, hiszen a fényképen az érintettet azonosító adatok (képmás, tartózkodási hely, ruházat stb.) láthatók, de ez inkább személyiségi joggal és a véleménynyilvánítás szabadságához és a tájékozódás szabadságához való joggal van összefüggésben. Itt is igaz az a főszabály, amit az előző kérdésnél már idéztünk: a GDPR (4) preambulumbekezdése kimondja, hogy a személyes adatok védelméhez való jog nem abszolút jog, azt a többi jog viszonyrendszerében kell tudnunk értelmezni. A Ptk.-nk kimondja, hogy felvétel (a tömegfelvételen, amely nem egy konkrét személyre fókuszál, valamint a közszereplőről készült felvételen kívül) csak az érintett hozzájárulásával készíthető és használható fel. Sok esetben azonban nagyon nehezen megoldható, hogy például egy nyilvános rendezvényen mindenkitől beleegyező nyilatkozatot szerezzen be a fotós, főleg, ha esetleg a képen szereplő személy esetleg még gyermek is egyben. A NAIH persze, mint adatvédelmi hatóság, adatvédelmi oldalról, a személyiségi joggal foglalkozó bíróság pedig személyiségi jogi oldalról közelíti a kérdéskört (zárójelben: a személyes adatok védelméhez való jog is személyiségi jog, ámbátor itt a képmáshoz fűződő személyiségi jog a zsinórmérték). Mi azonban úgy véljük, abban az esetben, ha a képen szereplő személy kapcsán nem sértő a felvétel és a véleménynyilvánítás szabadságához vagy a tájékozódás szabadságához kapcsolódóan hordoz többletértéket, úgy az érintett hozzájárulásán túl is készíthető felvétel. De zsinórmértékként megint csak azt mondanánk: akkor készítsünk/publikáljunk egy felvételt, hogy ha mi vagy a gyermekünk, egyéb szerettünk lenne rajta, akkor sem zavarna minket. Ebben az esetben igen kicsi a jogsértés (de legalább is a szankció) esélye.

Belenézhet-e a céges e-mailek tartalmába a munkáltató?

Erre a kérdésre egyértelmű nemmel vagy igennel felelőtlenség válaszolni, mert nagyon is helyzetfüggő. Azt azonban le kell szögezni, hogy 2019. április 26-ával nagyot fordult a világ a munkáltató munkavállalókra vonatkozó adatkezelését tekintve. Míg korábban csak abban az esetben volt kizárólag céges célokra használható a munkáltató által biztosított számítástechnikai eszköz (az e-mail címtől a laptopig), ha azt külön megtiltotta, most a munka törvénykönyve már úgy rendelkezik, hogy főszabály szerint tilos. A törvény megadja a jogot a munkáltatónak, hogy a munkaviszonnyal összefüggő magatartása körében ellenőrizze a munkavállalóját és ehhez a munkáltató az ellenőrzése során a munkaviszony teljesítéséhez használt számítástechnikai eszközön tárolt, a munkaviszonnyal összefüggő adatokba is betekinthet. Márpedig abban az esetben, ha a munkavállaló nem használhatta magáncélra az eszközt, akkor a munkáltató jóhiszeműen azt feltételezheti, hogy bármit is talál a gépen, a levelezésben, az mind összefügg a munkavállalással – így pedig azt a munka törvénykönyvéből fakadóan pedig ellenőrizheti is. Szóval a családi nyaralás képeit ne a céges eszközön tároljuk.

Szabad-e okmányt fénymásolni?

Erre nagyon egyszerű és rövid a válasz: nem! Ám ha bárki meg akarja keresni az ezirányú tiltást a jogrendszerünkben, így nem fogja megtalálni. Ám már az adatvédelmi ombudsmani éra óta konzekvensek tiltja mindegyik ombudsman az okmányok fénymásolásának gyakorlatát, ezt pedig a NAIH is folytatta. A szabály egyébként több elvből és törvényből vezethető le: egyrészről nehezen bizonyítható bármilyen olyan cél, amely a fénymásolat nélkül nem érhető el, másrészről az egész okmány lefénymásolása az adattakarékosság elvét is sérti, mert a célhoz valószínűleg elegendőek a rajta szereplő adatok, harmadrészt pedig azokban az esetekben, amikor valaki okmányt fénymásolhat (kötelezően), ott a törvény ezt konkrétan elő is írja. (Lásd a pénzmosás elleni törvényünk azon részét, amikor a bank az ügyfél-azonosítás során erre köteles.) Jogalkotásilag is alátámasztható egyébként a folyamat: míg a magyar jogrendszer harmonizációjához szükséges jogalkotás első körében a munka törvénykönyvének első olvasatában még szerepelt az a javaslat, hogy a munkáltató a számára bemutatott okiratokról fénymásolatot készíthet, a második, elfogadott és hatályba lépett verzióból ez már kikerült. Az persze más kérdés, hogy okmányfénymásolásért a Sziget Zrt. 2019-es 30 milliós bírságát megelőzően a NAIH még senkit sem büntetett meg.

Mi az az adatvédelmi incidens?

Visszautalva egy korábbi bejegyzésre: az adatvédelem során garantálnom kell az adatok biztonságát is. Márpedig ha sérül a biztonság, akkor úgynevezett adatvédelmi incidens történik. Nagyon egyszerűen fogalmazva adatvédelmi incidens az, amikor valaki olyan nem fér hozzá az adathoz, akinek kellene vagy amikor valaki olyan fér hozzá az adathoz, akinek nem kellene. Az adatvédelmi incidens független attól, hogy az adatot az adatkezelő papíron vagy egy számítógépes rendszerben tárolta, hogy az incidens a papírral vagy a számítógéppel, esetleg a rendszerrel történt. Ilyen esetben három kötelezettsége van az adatkezelőnek: amint tudomást szerez róla, azonnal ki kell vizsgálnia az esetet és a vizsgálatból levont tanulságok alapján helyesbítő intézkedéseket kell végrehajtania, hogy az eset a jövőben ne ismétlődhessen meg. Emellett ha az incidens bármilyen kockázattal járt azon személyekre nézve, akiknek az adatait érintett az incidens, az incidenst jelenteni kell a felügyeleti hatóságnak (idehaza ugye a NAIH-nak). Sőt, ha ez a kockázat valószínűsíthetően magas, akkor az összes érintett személyt is tájékoztatnia kell az adatkezelőnek.

Miről kell tájékoztatást kapnom adatkezeléskor?

Mindenről. Mivel az adatvédelem egyik alapelve, hogy az érintett számára átláthatók legyenek az adatkezelések, ezért nagyon sok információt kell megosztani azzal a személlyel, akinek az adatát kezeli az adatkezelő. Míg korábban az adatvédelmi törvény egy példálózó felsorolást adott, addig a GDPR a 13. és 14. cikkeiben nagyon is konkrétan felsorolja, hogy mi az a minimum, amit az érintett tudomására kell hozni. Ezek között szerepel az, hogy el kell árulni az adatkezelő személyét az érintettnek, a jogalapot, az adatkezelés tervezett célját, azt, hogy kihez kerül el még az adatkezelőtől az adata, hova fordulhat jogorvoslat miatt. Tizenkét tagú az a felsorolás, amin végighaladva minimum tájékoztatást kell adni az érintettnek. Márpedig ha ezt az érintett nem kapja meg az adatkezelés megkezdésekor (ha pedig ő dönthet az adatkezelésről, mert az adatkezelés jogalapja az ő hozzájárulása, akkor nyilván már korábban), akkor biztosan sérültek a jogai.

De a GDPR kezeli azt a helyzetet is, amikor az adatkezelő nem közvetlenül az érintettől jut az adat birtokába, hanem azt kapja valaki mástól: erről szól a 14. cikk. A tájékoztatást ebben az esetben is meg kell adnia azzal a különbséggel, hogy ezt a tájékoztatást az adat megszerzését követő egy hónapon belül kell megadja. És csak zárójelben: a GDPR elvárja, hogy a tájékoztatás mindezek mellett tömör, de egyben könnyen érthető is legyen.

Az egész logikája egyébként természetesen az, hogy az ember mindig tudhassa, éppen ki, mi célból és miért kezel róla adatot.

Kihez fordulhatok, ha jogellenesen kezelik az adataimat?

Bármennyire is furcsán hangzik, de elsősorban az adatkezelőhöz! Mivel nem kell minden adatkezelőről automatikusan feltételezni, hogy galád és direkt jogsértő, ezért először az adatkezelővel érdemes tisztázni a kérdéskört. Azt, hogy pontosan milyen jogai vannak az érintettnek, a GDPR 15-22. cikkek tartalmazzák, így kérheti a felvilágosítását a rá vonatkozó adatkezelésről („hozzáférési jog”), de tiltakozhat az adatkezelés ellen és kérheti az adatai törlését is. Az adatkezelőknek egy hónapjuk van arra, hogy az érintett számára biztosítsák a kérésüknek megfelelő megoldást – „másodfokra” akkor érdemes lépni, ha az érintett nem elégedett a válasszal vagy ha az adatkezelő egyáltalán nem is tesz semmit. Ilyenkor két út áll az érintett előtt: panaszt címezhet az adatkezelő eljárásával szemben a felügyeleti hatósághoz, hazánkban a Nemzeti Adatvédelmi és Információszabadság Hatósághoz. Illetve, tekintettel arra, mert a személyes adatok védelméhez való jog egy személyiségi jog, fordulhat közvetlenül is a bírósághoz a személyiségi jogának megsértése miatt. Ezek az utak nem zárják ki egymást, akár párhuzamosan is működhetnek, annál is inkább, mert a NAIH nem ítélhet meg semmilyen kártérítést az érintettnek, ő „csak” az adatkezelőt büntetheti meg, míg a bíróság ezzel szemben megítélhet úgynevezett sérelemdíjat az érintettnek, ha megsértették a jogait.

Fontos azonban kiemelni, hogy az érintett nem köteles a jelenlegi jogszabályi előírások alapján először az adatkezelővel egyeztetni és egyezkedni, fordulhat egyből a bírósághoz és a NAIH-hoz is. Utóbbi egyébként sokáig konzekvensen nem foglalkozott azokkal az ügyekkel, amelyekben az érintett nem az adatkezelőt kereste meg először, az elmúlt időszakban azonban ez a NAIH-hozzáállás azonban már változott.

Mi az a biometria és miért fontos?

Vannak úgynevezett különleges személyes adatok a „sima” személyes adatok halmazán belül: ezek olyan adataink, amelyek valamilyen szempont alapján nagyobb védelmet kaptak a jogalkotótól, mint a „sima” személyes adatok. Ezek közé tartozik az egészségügyi adatok, a genetikai adatok, a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre, de akár a szakszervezeti tagságra vonatkozó adatok. Ezek olyan adatok, hogy ezeket még kevésbé szeretnénk, hogy mások tudják, mert ezek miatt még könnyebben érhet minket hátrány, mint egy „sima” adatból. De azért is kerülhet ide egy adat, mert nehezen vagy egyáltalán nem változtatható meg: ilyen a biometrikus adat is, amely egy személy testi, fiziológiai vagy viselkedési jellemzőire vonatkozó adat is. Ide tartoznak az ujjnyomatok, de a Fradi stadionja óta talán az idehaza legismertebb biometrikus adatkezelés a „vénaszkenner”. (Ami helyesen egyébként egy vénaszenzoron alapuló biometrikus beléptető rendszer, a tenyérvéna mintázat alapú azonosítás egyik válfaja.) Nagyon sok cég vezetett be az elmúlt évtizedben biometrikus azonosító rendszert leginkább beléptető rendszerek részeként, ezek között is az ujjnyomatolvasók a leggyakoribbak (az ujjnyomat és az ujjlenyomat nem azonos kifejezés!), bár azért zárójelben jegyezzük meg, hogy manapság már a legtöbben az okoskészülékük képernyőzárját is valamilyen biometrikus adatuk alapján nyitják.

Ezzel szemben a(z adatvédő) jogász főszabály szerint tiltja az ilyen adatkezelést: a GDPR kerek perec ki is mondja, hogy ezen adatok főszabály szerinti kezelése tilos… Bár ezt maga a GDPR egy bekezdéssel lejjebb puhítja, azt az esetkört, amikor mégis lehet ezen adatokat kezelni, csak nagyon precízen megfogalmazott és szűk körben engedélyezi. A biometrikus adatok kapcsán egyébként tagállami szabályozást is lehetővé tett az Unió: a magyar jogalkotó pedig élt is a lehetőséggel. A munkáltatók a munka törvénykönyvében meghatározott esetben, de szintén csak nagyon szűk körben üzemeltethetnek biometrikus azonosító rendszereket – az már más kérdés, hogy nagyon sokan ezzel a 2019. április 26-a óta hatályban lévő szabállyal nem találkoztak és nem tennénk rá nagy összeget, hogy a legtöbb adatkezelő megfelel az Mt. előírásainak.

Mi volt a valaha volt legnagyobb bírság adatvédelemben?

A GDPR egyszerre vált alkalmazandóvá 2018. május 25-én az Unió összes tagállamában (zárójelben: rengetegen, még szakmai körökben is, állandóan elrontják, de a GDPR hatályba már 2016-ban hatályba lépett. 2018-ban már „csak” alkalmazandóvá vált), így a legnagyobb bírságot az azóta elmúlt bő egy évben érdemes keresni. A nyilvánosságra hozott információk szerint a legnagyobb bírságot a Google kapta a francia adatvédelmi hatóságtól (CNIL), 50 millió eurót, azaz mintegy 16,5 millió forintos bírságot szabtak ki a franciák. (Alkalmazva a 20 millió forintos bírságplafon melletti bírság kiszabási lehetőséget: az éves világszintű árbevétel alapján kiszámított tételt.) Magyarországon jelen bejegyzés megírásáig a legnagyobb GDPR-bírságot a Sziget Zrt. kapta 30 millió forintos értékben a fesztiválokon történő adatvédelmileg jogellenes beléptetési gyakorlat miatt. (Még 2017 karácsonya előtt kapott a Szcientológia Egyház 40 millió forint büntetést, de ez mégsem a legtöbb, ugyanis az két szervezet – a Magyarországi Szcientológia Egyház és Szcientológia Egyház Központi Szervezet 20-20 millió forintos bírsága volt valójában, még ha egy ügyben is vizsgálva és kiszabva.)