A Hétpecsét Információbiztonsági Egyesület 2019. márciusi fóruma Gasparetz András elnök moderálásával zajlott.Az első téma a kiállításokra, rendezvényekre való feliratkozás GDPR vonatkozásait érintette, Mikes Gábor ügyvezető előadásában.
Mindenki szembesül ezzel, amikor cégével megjelenik egy kiállításon, vagy ő maga kiállítás-látogatóként tűnik fel. Adódik a kérdés; milyen szintű adatgyűjtés engedhető meg ilyenkor, s mi az, amire már nemet mondunk.Milyen papír dokumentummal találkozik a látogató egy kiállításra belépve? Többnyire olyannal, amire rá kell írni nevét, címét, e-mail címét, telefonszámát, stb. Több változat létezik, jó részük nem felel meg a GDPR előírásainak. Hasonló a helyzet a honlapokra való feliratkozáskor is.
Ki is a célközönség ilyenkor? Lehet a nagyközönség, lehet a szakmai közönség és lehetnek a gyerekek. Mindhárom esetre eltérő összeállítású adatlapot kell használni. A szakmai közönségnek szánt változatnak akkor is meg kell felelnie a GDPR-nak, ha kifejezetten szakmai fórumról van szó, különösen, ha az elektronikus meghívóban személyes, név szerinti megszólítás szerepel.
Gyerekeknek készített meghívónak további előírásoknak is meg kell felelnie; eldöntendő, hogy az, amire a feliratkozást kérjük, valóban csak gyerek tartalomról szól, vagy más téma is szóba kerül, pl. gazdasági tevékenység.
A feliratkozás eszköze a legtöbb esetben papír alapú, ez tekinthető jelenleg általánosnak. Másik megoldás a számítógépes, asztali gép, laptop, mobiltelefon, weboldal (kiállításon ez a ritkább). Egyre többször lehet találkozni a tabletes megoldással is; ilyenkor egy feliratkozást kérő hosztesszel találkozik a jelentkező. Tapasztalatok szerint, itt érvényesülnek legkevésbé az előírások.
Nem ellenőrizhető, hogy ténylegesen mire iratkozik fel az illető, hiszen a hosztesz kezeli a tabletet, pedig valójában magának a nyilatkozónak kellene kattintással-érintéssel igazolnia, hogy tudomásul vette az adatkezelési tájékoztatót, tudatosan iratkozik fel a lapra. Ez többnyire kimarad. A helyes megoldás az e-mailben küldött rövid levél, amiben a jóváhagyás, hozzájárulás megejthető. Ez a nagyon fontos rész szokott elmaradni.
Két, egymástól céljában is különböző fogalmat szoktak a témában összekeverni, a feliratkozást és a regisztrációt. A jelentkező gyakorlati hozzájárulását mindkettőnél külön be kell kérni. Nem elégséges az, hogy „na most hozzájárultam, mert feliratkoztam”, s közben úgy viszik be az adatokat, mintha regisztráció történt volna. Ezt a részt sokszor nagyon lazán kezelik a rendezvényeken.
Regisztráció többféle lehet. Web-áruházba, honlapra, egy rendezvényre a feliratkozás, ill. regisztráció lehetősége fordulhat elő, a feliratkozás ilyenkor többnyire hírlevélben történik. Ezeket a mozzanatokat általában egy kalap alá veszik, s azt mondják a szervezők, „regisztrált a rendezvényünkre, küldhetjük a hírlevelet”. Ez helytelen gyakorlat, csak akkor küldhetik a hírlevelet, ha előtte külön kérdésként felteszik, feliratkozik-e az illető a hírlevélre, elfogadja-e a hozzá való dokumentumot.
További tényező még az ajánlat kérdése. Kiállításokon gyakori az olyan nyomtatvány, amiben az adott cég termékéhez kérnek valamilyen információt. Sokszor ezt a kérdőívet is úgy kezelik, mintha ez is egyfajta feliratkozás lenne, tehát, ha valaki megadja az adatait, s szeretne bármiféle konkrét termékinformációhoz jutni, a cég máris kezeli és küldhet neki egy hírlevelet. Ez problémás és nem követhető gyakorlat. A hírlevél és egy konkrét ajánlat kérése teljesen más teret jelent, teljesen külön kell kezelni.
Az is előfordul, hogy a cég ilyenkor a lapon feltesz egy külön kérdést, külön lehetőséget a hírlevélre való feliratkozás választható lehetőségéről.
A hírlevélre való feliratkozásnak is vannak tartozékai. Gyakran elmulasztják az adatvédelmi tájékoztató megfogalmazását és csatolását, pedig az adott kiállítás résztvevőjének ezt rendelkezésére kell bocsájtani. A szervezők gyakran hibáznak ebben, úgy gondolják, valahol a honlapon ez rajta van. Ebben az értelemben, amikor a résztvevő kitölti a papírt, akkor már elvileg ismernie kéne a szabályzatot, mert bejelöli, hogy azt tudomásul vette. A gyakorlatban, a helyszínen nem valószínű, hogy honlapot fog böngészni, ezért ott lehetőséget kell biztosítani a szabályzat megismerésére.
Az sem korrekt megoldás, hogy egy tableten felmutatja a szervező az adatvédelmi tájékoztatót. Aki egy kiállítás megrendezésére elkölti a sok pénzt, annak nem okozhat nagy gondot a vonatkozó pár oldal kinyomtatása. Sok cég megteszi, mások nem, vannak akik nem is tudják, hogy erre szükség van.
A kitöltött kérdőíveket valamilyen tárolóeszközbe gyűjtik. Az idevágó követelményekben már látható előrelépés. A rossz gyakorlat, amikor üveggömbbe helyezik a kitöltött kérdőíveket, amiben azok könnyen elolvashatók a kívülállók számára. A helyes megoldás a zárt, olvashatatlan tárolóeszköz alkalmazása. A legrosszabb eset, amikor a kitöltött papírt otthagyják az asztalon, gyakorlatilag bárki odamehet, elolvashatja, tévedésből akár el is viheti.
A nyilvántartások nem a helyszínen, hanem a cégnél kerülnek tárolásra. Megfelelő nyilvántartással kell kezelni a feliratkozókat. A nyilvántartás eleve két összetevőjű; az egyiken ott vannak az alapadatok; név, e-mail cím, a nyilvántartásba vétel (rendezvény, stb.) helye, célszerűen számozott kérdőíven. Itt a nyilvántartásnak azt is fel kell tüntetni, hogy hol adta meg a hozzájárulását az illető, hogy visszakereshető legyen. Kérdőívet kidobni nem szabad, tárolni kell a visszakereshetőség, a hozzájárulást érintő reklamáció kezelésére. A papír alapú megoldáson túl, a nyilvántartás elektronikus is lehet.Gyakran elmulasztják a fiatalkorúakról szóló külön nyilvántartás létrehozását, hazánkban ez a 16 év alattiakat jelenti. A korhatár alattiakat külön kell kezelni, a vonatkozó szülői hozzájárulást is nyilván kell tartani.
Hogyan néz ki egy régi stílusú feliratkozási lap? Név, e-mail cím, telefonszám, esetleg születési év, település, stb. A lapnak azonban elegendő információt kellene tartalmaznia az adatkezelésről; az, hogy melyik cég papírja van előttünk, az nem elég. A születési év bekérése nem biztos, hogy indokolható, az adatvédelmi tájékoztatóban meg kell indokolni kérését, a település bekérése is meggondolandó. Fel kell tüntetni viszont a cég elérhetőségét, s azt, hogy hol lehet leiratkozni.A fenti hibákkal terhelt feliratkozó lap ma már jogszerűen nem alkalmazható. Az a lap, amely nem egy, hanem több feliratkozót kezel, nem alkalmazható. Ragaszkodni kell a személyenként külön kezelt lapokhoz.A név és e-mail cím mellett szerepelnie kell a lapon, hogy tudomásul veszi és hozzájárul a feliratkozó, hogy az adott cég a megadott adatait kezelje, részére elektronikus hírlevelet küldjön. Ajánlott, hogy rajta legyen a lapon a helyszín és a dátum, hogy vissza lehessen keresni. Helyet kell biztosítani a lapon a feliratkozó aláírásának.
Az előadó felmérő összegzést készített két kiállítás kapcsán 25 feliratkozásról, egyik az Utazás 2019. kiállítás volt. Az elemzést elvégezve, két tabletes megoldást talált. A fennmaradó 23-at vizsgálta, hogy arányaiban mennyire felel meg a GDPR előírásainak. Egyáltalán nem felelt meg 8 darab (34,8%), 7 darabnál teljesen hibásan alkalmazták a GDPR előírásait, 3-nál látszott a megfelelésre törekvés, de azért nagyon hiányos volt, további 3-nál könnyen pótolható hiányosságok voltak, 2 volt olyan, ami gyakorlatilag megfelelőnek volt mondható. Siralmas eredmény.A Konyha kiállításon két kategóriában 9 darabot vizsgálva, 2 nem felelt meg, 2 volt megfelelő, átlagosan megfelelőnek kb. 22% minősült.Sok tennivaló van még…
Érdekes példája volt az egyik rendezvényen a feliratkozó lapnak, ahol ajándékot lehetett nyerni, ha vásároltak az egyik cégnél. Itt négy rubrika is volt, az egyik, hogy hozzájárul a feliratkozó a személyes adatainak kezeléséhez (18 éves korhatárral), másik, hogy a feliratkozó megismerte a cég adatvédelmi tájékoztatóját (nem is volt ott semmiféle tájékoztató!), valamint, hogy elfogadja a Nyereményjáték Szabályzat rendelkezéseit. Az illetékesek úgy gondolták, ezzel minden rendben is van.
Nincs rendben, mert hiába tölti ki a feliratkozó ezeket az adatokat, ez hírlevél küldésére nem alkalmas. Még akkor sem, ha a szabályzat tartalmazza azt, hogy hírlevél küldés történik. Az az előírás ugyanis, hogy a hírlevél küldés engedélyezéshez is külön ablakban kell „x”-et jelölnie a feliratkozónak. Emellett itt más-más a cél; egyik a nyereményjátékhoz való adat, a másik a hírlevélhez.
Milyen adatok kellenek végül is egy ilyen hírlevél feliratkozó lapra?
A cég/vállalkozás neve, elérhetősége, kinek adja ki az adatot (vagy senki, vagy az adatfeldolgozó megjelölése), jó ha szerepel a papíron, hogy az adatokat bizalmasan kezelik, néhány további kiemelhető információ. Ezekre a dolgokra gyakorlatilag eddig is szükség volt, de van néhány újdonság. Meg kell jelölni az adatkezelési tájékoztató elérési módját, pl. a standon, vagy a pontos URL-t, ha neten akarja elérni. Közölni kell, hol iratkozhat le a hírlevélről, legyen helye a dátumnak és az aláírásnak, nem elég a kipontozás, legyen odaírva, hogy mi az. Kizárólag indokolható adatok kérhetők, amikről megfelelő dokumentumot kell készíteni. Adatvédelmi tájékoztató legyen, s az adatvédelmi nyilatkozatnak hozzáférhetőnek kell lennie.
A korhatárról szólva; Magyarországon 16 éves kor alatt szülő, gondviselő hozzájárulása szükséges. Az idevágó figyelmeztetést szokták lefelejteni a papírról. Szerepelnie kell; „elmúltam 16 éves”, vagy egy olyan rubrika, ha nem múlt még el, hogy megkapja a szülő, gondviselő hozzájárulását. Ez a papírok 99%-áról hiányzik. Az előírás egyaránt vonatkozik regisztrációra és hírlevélre történő feliratkozásra, kivételt jelent ha az esemény tartalma kifejezetten gyermekeknek szól, s nem kimondottan gazdasági vagy vallási jellegű. Lényeges szempont, hogy felnőtt tartalmakhoz semmiképpen nem férhet hozzá a korhatár alá tartozó, hiába kapta meg a szülőktől a hozzájárulást.
Fontos, hogy a feliratkozónak meg kell engedni, hogy megismerje a vonatkozó jogállási lap tartalmát, akár el is vihesse, érdemi, részletes tájékoztatót kell számára biztosítani.
Kupon kérdése; előfordul, hogy a feliratkozót kuponnal „jutalmazzák”. Nem adják oda a feliratkozó lapot, mert ott van a kupon rajta. Ez nem korrekt megoldás, csak akkor, ha azt mondják, hogy pecséttel, aláírással érvényes a kupon. A résztvevőt viszont ilyenkor tájékoztatni kell erről a körülményről.
Amit ne kérjen be a feliratkoztatást intéző:a nyilatkozó kora (évek száma, vagy konkrét születési dátum), kivételes esetekben kérhető, de nagyon erősen indokolni kell, statisztika számára is kérhető, de másik táblába kell rögzíteni, csak összesítve lehessen használni, megfelelő tájékoztatás mellett a nyilatkozó nemére is a fenti kitételek érvényesek, a nyilatkozó vallására vonatkozóan hasonló az eljárás.
Mi a helyzet, ha valaki jelentkezett egy rendezvényre, de az elmaradt?
Az illető cég akkor jár el korrekten, ha a jelentkező adatait ilyenkor törli, s nem használja fel a továbbiakban.
Az az eljárás is hibás, ha a jelentkező életkori besorolására a jelentkezési oldalon a születési dátumát kérik, ez ellentétes a GDPR-el. Egy házasságközvetítő oldalon ez elfogadható, de máshol a legtöbb esetben nem indokolt. A szülői hozzájárulás indokoltságára szerepelhet kérdés, hogy elmúlt-e 14, ill. 16 évnél idősebb-e a jelentkező. 14 év alatt csak szülői hozzájárulással, 14 és 16 év között megteheti a feliratkozást, regisztrációt, de addig nem lehet kiküldeni a hírlevelet, amíg a szülői-gondviselői hozzájárulás meg nem érkezik.
Dósa Imre (Budapest Bank Zrt.) előadása az adatkezelő és az adatfeldolgozó fogalom gyakorlati elhatárolását taglalta a jog és napi gyakorlat tükrében.
Az adatkezelés és az adatvédelemmel való foglalkozás könnyen beteges méreteket is ölthet, de arra is jó, hogy bizonyos dolgokat megpróbáljunk a józan ész mentén helyrerakni.
A definíciók világa a rómaiak szerint veszélyes, de mégis szükségünk van rá. („Unam definitionen periculosa est” - Minden definíció veszélyes.) Amint meghatározunk valamit, azzal kihagyunk, vagy beleveszünk olyan dolgokat, amiket nem szeretnénk, de azért érdemes erről szólni… A jelen témakörben figyelemre méltó még, hogy más a látszat és más a háttér. Jellemző módon, a szerepek is változhatnak. (Akár egyszerre lehet valaki adatkezelő és adatfeldolgozó.)
Az együttes adatkezelés témakörben az is elhatárolási kérdés, hogy éppen adatkezelőről, adatfeldolgozóról, netán együttes adatkezelőről beszélünk. Nagyon sokféle szerepben jelenhetnek meg az adatkezelők.
Az adattovábbítástól való elhatárolás; gyakori dolog, hogy az ember adatvédelmi tisztviselőként oktatja a többieket, hogy az adattovábbítás nem azonos az adatfeldolgozással, különösen keverik ezt a kettőt a tengeren túl a kollégák, s ebből képtelen helyzetek származnak.
Definíciók szintjén az adatkezelő és az adatfeldolgozó elhatárolása nem is olyan nehéz. Az adatkezelő az, aki, vagy amely szervezet a személyes adatok kezelésének célját és eszközeit önállóan, vagy akár másokkal együtt meghatározza, ill. van egy speciális eset; amikor jogszabály ír elő kötelezően adatkezelést, akkor tipikusan nem az adatkezelő határozza meg a célt, hanem a jogalkotó, tehát itt osztoznak, a jogalkotó megmondja, hogy miért kell kezelni az adatokat, és egyúttal általában kijelöli azt a szervezetet is, amely ezt az adatkezelést már ugyanúgy elszenvedi, de adatkezelői oldalon.
Az adatfeldolgozó az, aki, vagy amely az adatkezelő nevében kezel személyes adatokat. Ez azt jelenti, hogy az adatkezelő érdekében jár el, az adott adatkezelés eredménye az az adatkezelőnél fog jelentkezni, tehát az ő javára dolgozik, s az ő felelősségére is. Tehát, ha valaki adatfeldolgozót von be, azzal ő még nem szabadul meg a felelősségtől, továbbra is az adatkezelő hordozza az adatkezelés minden kockázatát.
Az adatkezelésnek az adatkezelő céljai körében kell maradnia. Csak akkor tudunk jól elhatárolni adatkezelőt és adatfeldolgozót, ha pontosan tudjuk a célokat és minden egyes célról meg tudjuk mondani, hogy az a mi érdekünket szolgálja, ha mi vagyunk éppen az adatkezelő. Oda kell figyelni ilyenkor, hogy a célokon ne terjeszkedjünk túl.
Melyek azok az esetek, amelyekben a jog és a gyakorlat élesen elválik?
A nagy közösségi internetes szolgáltatókra különösen jellemző az előfizetéssel elérhető szolgáltatás-választék. A mikro-vállalkozások különösen kedvelik ezt, mivel viszonylag egyszerű feliratkozós regisztrációval lehet intézni az előfizetést, a bonyolult folyamatok a háttérben zajlanak.
Hallható többektől, hogy előfizettek bizonyos szolgáltatásra, amitől azt várják, hogy a közösségi oldalon a cégnevük, fényképük, stb. megjelenik a hirdetések között, de az előfizető ilyenkor nem nagyon tudja, hogy mire fizet elő, csak valami, számra kedvező szolgáltatást lát benne. Az azonban semmiképpen sem jó, ha úgy fizetünk elő egy ilyen adatfeldolgozási szolgáltatásra, hogy nem értjük pontosan a mögötte lévő dolgokat. Igaz, nagyon nehéz még az adatkezelő számára is utána járni, hogy pontosan mi is történik, mert a leírásokból nem derül ki elég pontosan, mit tehet meg ez az adatfeldolgozó. Olyanokat ír, hogy mindent megtesz annak érdekében, hogy az előfizetői elégedettek legyenek, de hát az adat-alanyoknak nem ezt kell majd elmondani…
Ezek a főállású adatfeldolgozók, pl. a nagy közösségi oldalak, alapvetően ezekből az adatfeldolgozási szolgáltatásokból élnek, ebből származik igazi üzleti hasznuk a komplett üzleti csomag révén.
Adatkezelői és adatfeldolgozói szerep-tévesztés azonban nem csak ebben a kapcsolatban adódhat, hanem az anya-cégek adatfeldolgozói szolgáltatásai esetében is. Jellemző felállás; nagy vállalat több ezer alkalmazottal, 3-5 fős leánycégekkel. A leánycég nyilván nem fog saját könyvelőt, saját bérszámfejtőt, munkavédelmet, stb. alkalmazni, ezeket szolgáltatásként az anyacégtől kapja. Minden ilyen, az anyacégtől szolgáltatásként igénybe vett tevékenység adatfeldolgozói kapcsolatot teremt. A leányvállalatnak (méretétől függetlenül) ilyenkor az anyacég lesz az adatfeldolgozója, s ha az anyacégnél valamit rosszul csinálnak, a kis céget fogják ezért megbüntetni.
Az ilyesfajta kapcsolatok felismerésében sokat segít, ha nyilvánvaló, hogy nincsen saját, az adatkezelő céljától elhatárolható célja ennek a szolgáltatásnak. Az, hogy ő meghatároz egy szolgáltatási szintet, SLA-t, az még nem tekinthető adatkezelési célnak, hiszen az érdekkör az marad az adatkezelő saját érdekkörében. Pl., az anyacég bérszámfejtést végezni nyilván a leánycég munkavállalójának fog, tehát az anyacégnél ilyenkor nincsen adatkezelési cél.
Ebből következik, hogy az adatkezelői felelősséget érintetlenül hagyja az adatfeldolgozó igénybevétele. Nagyon erős jogalkotói szándék volt, hogy ne tudjon kibújni a felelősség alól az adatkezelő, ne tudja azt mondani, hogy „jól kiszerveztem mindent, utána engem hagyjatok békén, menjetek ahhoz, akihez kiszerveztem az adott szolgáltatást”. Éppen a fordítottja érvényes; az érintett adat-alanyok mindig az adatkezelőhöz fordulnak, sőt a hatóság is az adatkezelőt fogja első körben megbüntetni, s azt mondja, „magadra vess, miért nem kötöttél ki olyan feltételeket, amivel biztosítottad magad”.
Ezért is fontos, hogy amikor egy nagy világcégnek az adatfeldolgozási szerződését megnézzük, akkor különösen figyeljünk a felelősség-kizáró szabályokra. Ezek a nagy cégek nagyszámú előfizetővel, szolgáltatást rendelővel számolnak, s számukra az a gazdasági racionalitás, ha erősen minimalizálják a felelősségüket, hiszen pl., egy incidens esetén, ha mindenkinek külön felelősséget vállalnának, akkor abba nagy cég létükre is belerokkannának. Ezt megpróbálják lerázni magukról.
Saját cégünk esetén saját szemszögünkből kell vizsgálnunk, hogy cégünk ki fogja-e bírni azt a terhelést, amit egy incidens során a nagyszámú kártérítési, sérelmi per zúdít a nyakunkba. Hasonlóképpen, még nagy világcégeknek is érdemes utána járniuk, hogy profilozás esetén kinek kell tájékoztatást adni. Alapszabály; nem az adatfeldolgozónak, hanem az adatkezelőnek!
Amennyiben előfizettem a reklám-szolgáltatásra, s valaki megkérdezi, hogy az ő oldalán miért jelenik meg az adott reklám, nem mondhatom, hogy nem tudom, én csak előfizettem. Képesnek kell lennem utánajárni, s legalább azokat a szempontokat közölni a reklamálóval, amelyek lehetővé tették ezt a megjelenést az adott szájton. Pl., vannak közös ismerőseink, az érdeklődési körébe tartozik az én tevékenységem, stb.
A szerződésről szóló döntést követően utána kell járni a részlet kérdéseknek; megvan-e a megfelelő tájékoztatás, felelősség-korlátozás, ez hogyan érvényesül a szerződésben, az incidens kezeléssel kapcsolatban van-e eszköztárunk. Azzal a döntéssel, hogy megkötöttem a szerződést az adatfeldolgozóval, felvállaltam a vonatkozó felelősség-sort.
Könnyen kerülhetünk nehéz helyzetbe, amikor a szerepkörök változnak az adatkezelői-adatfeldolgozói palettán, egy adott adatkezelési-adatfeldolgozási folyamatban. Ez kívülről teljesen egységesnek tűnik, de valójában jogilag jól szakaszolható.
Ilyen eset pl., amikor pénzügyi szolgáltatás-közvetítőhöz, vagy ingatlan-közvetítőhöz fordulunk. Első lépésben ilyenkor az adott cégnél regisztrálunk. Ez teljesen saját célú adatkezelés; ahhoz, hogy ő ingatlanokat tudjon számunkra közvetíteni, adatkezelést kell végeznie. Ez esetben a cég saját döntésén múlik, hogy milyen adatokat kér el tőlünk, a szolgáltatás pedig a saját szolgáltatási körébe tartozik. Jellemző, hogy közvetlen jogviszonyban áll azokkal az érintettekkel, akik regisztráltak hozzá, vagy akikkel szerződött. Amint megtörtént a regisztráció, ez a szerződés átfordul egy adatfeldolgozási szerződésbe.
Pénzügyi tanácsadásnál pl., ő elkezd egy hitelt közvetíteni. Az nem jó, hogy több bank hitelét is közvetíti. Így van ugyan leszerződve, ezért is fordultunk őhozzá, mert bízunk benne, hogy olyan bank ajánlatát fogja kínálni, amely leginkább illeszkedik a mi saját igényeinkhez. Abban a pillanatban, amikor a közvetítő elkezdi kitölteni a hiteligénylést, ő sapkát cserél; hiteligénylőből az adott banknak adatfeldolgozójává válik. Ezen nem változtat az sem, hogy a hiteligényléshez már nem kell kitöltenünk az összes adatot, hanem ő megnyom egy gombot a billentyűzeten és a saját adatbázisából, saját adatkezeléséből az összes adatot átemeli pl. a banki hitelkérelem űrlapjára. Ez a háttérben zajlik, teljesen elektronikus úton, akkor is ha mi nem látjuk. Mindenképpen létezik egy fontos inflexiós pont, ahol az adatok egyik helyről átkerülnek a másikra.
Ugyanebben a jogviszonyban figyelemre méltó, hogy marad egy saját célú adatkezelés. A közvetítőnek saját célból továbbra is nyilván kell tartania az adataimat, hiszen hó végén majd elszámol a megbízóval. Ez az elszámolás olyan, saját célú adatkezelés, amit a saját érdekében csinál, ez már az ő közvetítői díját jelenti. Tehát, átadta ugyan az adatokat, s adatfeldolgozóként működik, de közben ugyanarra az adatkörre vezet egy saját nyilvántartást, ami arra szolgál, hogy majd a hó végén megkapja a megfelelő díjazását. Tehát, az adatfeldolgozó általi nyilvántartás is adatkezelés.
A pénzügyi közvetítőnél eleve jogszabály írja elő a közvetített ügyfélnyilvántartást, de ha nem ebből indulunk ki, akkor is elég jó gyakorlati megoldást jelent, hogy nem természetes azonosító adatokkal tartjuk nyilván az ügyfeleket, hanem valamilyen ügyfél-azonosítót alkalmazunk, ezzel a darabszám megállapítható, de az újra-azonosítás a közvetítői oldalon már nem lehetséges.
Példa rá; az autós világban a rendszám fontos dolog, előzőek szerint tudom, hogy hány autóhitelt közvetítettem, de nem feltétlenül tudom, hogy ki a vásárló.
A munkaerő kölcsönzés jellemzően olyan eset, ahol van saját célú adatkezelés, ami átfordul egy adatfeldolgozásba a kölcsönzőnél, hiszen akinek kikölcsönzi, ott egy saját célú munkaügyi adatkezelés indul el, s még együttes adatkezelés is lesz ugyanebben a szerkezetben.
A gyakorlati elhatárolás nehézségei
Bizonyos felfogás, a „mindenki adatfeldolgozó” szemlélet szerint, a téves címre kézbesített postai levelek is adatvédelmi incidenst okoznak. Ennek alapján Magyarországon, a Posta adatai szerint, évente 2 milliónál is több ilyen bejelentés nélküli incidens állna elő. Ez az állítás azt is jelenti, hogy a Posta valójában az én adatfeldolgozóm.
A Budapest Banknál a bank több olyan vállalati adatfeldolgozója jelentkezett, akik szerettek volna hosszú távú adatfeldolgozói szerződést kötni, mert az ő átutalásaikon, pl. munkabér-utalásaikon a dolgozók neve, beosztása, munkabére megjelenik, tehát a bank az ő munkabér-utalásaiknak az adatfeldolgozója. A Budapest Bank ettől elzárkózott, mondván, a Hitelintézeti Törvény alapján a Bank saját jogán és engedélye alapján nyújtja a pénzforgalmi szolgáltatást, tehát nem adatfeldolgozója a bank, ugyanígy a Posta sem adatfeldolgozó az előző példában, hiszen ő is a postai törvény alapján nyújt postai szolgáltatást.
Korábbiakra visszatérve, az adatfeldogozó az adatkezelő nevében végzi ezt a munkát. Sokszor felmerül a kérdés, vajon a tárhely szolgáltató adatfeldolgozónak tekinthető? A válasz többnyire igen, hiszen a GDPR-ben az adattárolás fel van sorolva az adatkezelési műveletek között, tehát ha egy ilyen műveletet végez, akkor ő mindenképpen adatfeldolgozó. Mi a gond ezzel?
Amikor előfizetek egy felhő-szolgáltatásra s tárhelyet vásárolok egy felhőben, akkor az illető felhő-szolgáltató azt se tudja, milyen adatokra ad el tárhelyet. Lehetnek pénzügyi adatok, de lehet, hogy egyetlen személyes adat sincs közöttük. Ez a helyzet hasonló ahhoz, amikor egy pendrájvval a zsebemben felszállok a buszra, a BKV sem tudja ilyenkor, hogy milyen adatokat tárolok a buszon, s nincs adatfeldolgozói megállapodásom a BKV-val. Mondhatjuk azt is, hogy a felhő szolgáltató képes foglyul ejteni az adataimat, akár le is törölheti, tehát ő mégis adatfeldolgozó. Node, ha a BKV-s példánál kigyullad a busz, az nem vezet adatvesztéshez?
Ezeket a nehéz elhatárolási kérdéseket úgy lehet józanul rendbe tenni, ha azt mondjuk; ha az adatkezelő nevében végzi a kezelő az adatfeldolgozást, akkor az azt is jelenti, hogy az adatokhoz olyan szinten hozzáfér a szerződésszerű teljesítés körében, hogy ő azokba bele is lát. Amennyiben az adatfeldolgozási szerződésben, akárcsak hibajavítás kapcsán szerepel, hogy „válogasd ki nekem a vidékieket és budapestieket, s utóbbiakra más postázási módszert válassz”, akkor neki már nemcsak lehetősége van belelátni az adatokba ( jogellenesen belenézni), hanem értelemszerűen az adatokon végzi a feladatát, tehát akkor biztosan adatfeldolgozó. Amennyiben ettől sokkal távolabb áll és kizárólagosan technikai infrastruktúrát biztosít, pl. 5 gigabájt tárhelyet ad nekem, akkor nehéz érvet találni rá, hogy ő valójában miért is adatfeldolgozó.
A korábban említett, saját név alatt forgalmazott adatfeldolgozási szolgáltatáscsomag is az elhatárolási nehézségek közé tartozik; amikor neve van az adatfeldolgozási csomagnak, ilyenkor úgy tűnik, mintha az adatkezelő lenne az adatfeldolgozó. Pl. a reklámozási szolgáltatásban.
A cégcsoport szintű infrastruktúra és szolgáltatásnál kivétel is tehető; pl., ha a cégcsoport saját tehetséggondozási programot indít, akkor abban a tekintetben már adatkezelő, ha a cégcsoport azt mondja, hogy a leánycégnél dolgozónak én közvetlenül egy másik leánycégnél, vagy az anyacégnél felajánlok egy munkakört, vagy elküldöm vezetői továbbképzésre, stb., akkor ő már adatkezelő.
Addig, amíg csak simán könyvel, bérszámfejt, stb., addig ő megmarad adatfeldolgozónak. Ez pl. a beléptető rendszer kezelésénél lényeges.
Amikor a cégek egymással kötnek szerződéseket, a szerződésben megjelennek a kapcsolattartói adatok. Felvetődött, a kapcsolattartói adatok miatt kössenek egymással adatfeldolgozási szerződést olyan dolgokról, mint pl.; a saját rendszeremben regisztrált idegen dolgozót hogyan tájékoztatom arról, hogy az én rendszeremben az ő regisztrációs adatait miként védem, stb.
Ez a szerződési megoldás nem járható, mert amikor a kapcsolattartó adatait én kezelem, akkor az az én saját célú adatkezelésem, ami azon a jogos érdeken alapul, hogy a szerződést teljesíteni tudjam.
Ebből az is következik, hogy meg kell oldani a törlését, amikor már elment a cégtől, de mi lesz azzal, ha én nem tudok erről a távozásról? Amíg a távozásáról nem szereztem hivatalosan tudomást, addig az én jogos érdekem fennáll.
Az adatfeldolgozás nem egyenlő az adattovábbítással. A GDPR-ban a címzett fogalma az, ami elkente a kettő közötti különbséget. Megnézve azonban a GDPR egyéb adatfeldolgozással, ill. adattovábbítással kapcsolatos szabályait, egyértelművé válik, hogy az adatfeldolgozás és az adattovábbítás két külön világ.
Az együttes adatkezelésről a jogszabály meghatározása: az adatkezelési célok és eszközök közös meghatározása. Akkor van együttes adatkezelés, amikor közös érdekkör jelenik meg az adatkezelési célokban. Pl. együttes adatkezelésről beszélünk, amikor a leánycégnek és az anyacégnek közös érdekét jelenti a vezetői adattovábbképzés egy programban.
Az együttes adatkezelés felismerését segíti, hogy esetében az adat-alany, az adatkezelő és a másik adatkezelő hármas jogviszonyba lép. Közvetlen jogviszonyba kerül az adatalany és a másik adatkezelő. Ez azt jelenti, hogy a háromoldalú jogviszonyban közös felelősség jön létre, a jogok és köteletezségek egyetemlegessége jelenik meg. Pl. a tájékoztatási kötelezettség mentén szerződésben kell meghatározni, hogy kit miről kell tájékoztatni. Ilyen eset akkor is előáll, ha kizárólag az egyik adatkezelő infrastruktúráján valósul meg minden. Pénzügyi példa; ahol az adatkezelő a bank, az adatkezelő és a bank rendszere az, amiben a teljes nyilvántartás történik és egy biztosítási szerződést meg lehet kötni, ott tartják nyilván, stb.
A határesetek kezelésénél az elhatárolás arra is jó, hogy általában felismerjük, mikor beszélhetünk egyáltalán adatfeldolgozásról. Meg kell nézni, hogy személyes adat érintett-e, pl. egy raktárkészlet-nyilvántartás esetében. Technológiailag és szolgáltatás szerint ugyanúgy szállítja nekünk valaki, egy raktárkészlet-nyilvántartás esetén van szolgáltatási szerződés is, de nincs benne személyes adat, termékek vannak, így biztosan nem lesz adatfeldolgozás.
Amikor főkönyvet szolgáltat nekünk egy cég, akár tervezés szintjén, akkor ezek a dolgok nem esnek a GDPR hatálya alá.
Fontos, hogy az adatokon végzi-e a tevékenységét az adott cég. Leginkább a fejlesztő cégeknél fordul elő, hogy ők a programkódon dolgoznak, a kódolt helyeken még olyan teszt-adatbázist is generálnak, hogy ne a saját, éles adatainkon végezze a tesztelést a fejlesztő, s látszik, hogy még a fejlesztő cég sem lesz adatfeldolgozó, nem kell vele ilyen típusú szerződést kötni.
Kérdés, hogy a nevünkben dolgozik-e? Amikor saját jogán, a saját felügyeleti szervétől kapott, saját tevékenységi engedélye alapján dolgozik az adatkezelő, akkor ő nem lehet adatfeldolgozó.
Minden olyan adatkapcsolat, amikor adatot továbbítunk neki, az már adattovábbításnak számít. Példa erre; céges rendezvényünket hajón rendezzük, a cégünknek nincs hajózási engedélye, ez a hajózási vállalatnak van. Amikor a résztvevők névsorát elküldöm a hajózási vállalathoz, ez adattovábbításnak minősül, új adatkezelés kezdődik a hajózási adatkezelési szervezetnél.
Azt is meg kell nézni, nincs-e olyan együttes adatkezelés, ahol ezek az adatkezelési érdekek összeépültek, olyan szolgáltatás-csomagot alakítottunk ki, ami csak együtt vehető igénybe.
Az adattovábbítás fontos jellemzője, hogy egy teljesen új adatkezelés kezdődik annál a cégnél, amelynek továbbítottuk az adatokat, tehát én adatkezelőként, amint elküldtem az adatokat, azzal mindent teljesítettem, amit vállaltam a saját adat-alanyom irányába, minden további az adattovábbítás címzettjének a felelőssége.
Kovács Viktor (Magicom Kft.) a nyílt forráskódú eszközök másolásvédelméről szólt előadásában.
Bíró Gabriella, a Magyar Nemzeti Bank főosztályvezetője a nemzetközi pénzügyi szektor IT érintettségű fejlődési irányzatairól tartotta előadását.
Gélák Róbert (HungaroControl Magyar Légiforgalmi Szolgálat) – A drónokat lelövik, ugye? címmel szólt az aktuális témáról.
Az előadásokat követően zajlott a Hétpecsét Egyesület 2019. évi rendes közgyűlése.
Harmat Lajos
