Személyes adatok védelme

Személyes adatok védelme


Szonda László @ 2018.04.10 15:16


Már nem mai a történet, amit ma papírra vetek, de emlékezetes történés volt a munkám során, ami ma
sem vesztette el az aktualitását.

Még egy éve sincs, hogy szerződésközeli állapotba kerültünk a SmartEvents®
termékünkkel

kapcsolatban. Már túl voltunk az „ismerkedés – ajánlat – jó lesz ez nekünk – küldjük a
szerződést”stációkon, mikor ügyfelünk – egy nagymúltú és nagytekintélyű ipari cég – közölte, hogy
szerződéskötést megelőzően várják az adatkezelési nyilatkozatot.

Hm … ilyennel addig nem rendelkeztünk.

Valahonnan tudtam (mondták?), hogy adatkezelési engedélyt kell kérni a NAIH-tól. Ezen ne múljon: megkértem. Gyorsan meg is jött a
válasz. A lényege az volt, hogy mivel az adatkezelés mind olyan személyeket érint, akik az
ügyfeleink, így ezt a Hatóság nem tartja nyilván.

Ismét … hm.

Ez egy olyan válasz volt, amire nem számítottam, bele is tette a bogarat a fülembe. Elkezdtem magam
beásni a témába. Az első lépés nálam jellemzően az, hogy csak megnézem, mit is ír a jogszabály.
Előkaptam tehát az online jogtárat, és végigolvastam a kérdéses jogszabályt, a
2011. évi CXII. tv. az információs
önrendelkezési jogról és az információszabadságról.

Ahogy olvastam, egyre több lett a kétség bennem: „biztos, hogy jól értelmezem a szöveget? hisz
mégiscsak jogászoktól jött az info, ők meg csak nem tévedhetnek  – vagy mégis?”

Visszatérve a jogszabályra – az adatkezelő és az adatfeldolgozó definíciója kezdett el izgatni: itt
nem fért a fejembe valami. Láttam, hogy az adatkezelő nagyobb felelősséggel viseltetik, több a
feladata is, mint adatkezelő, így egyáltalán nem volt mindegy, hogy mi melyik „kalapba” tartozunk.

A kérdésre, hogy hogyan is jutottam erre az álláspontra, csak egy tényszerű és száraz
összefoglalóval tudok válaszolni. Ez akár át is ugorható – ott a végén a konklúzió. Azonban akit
érdekelnek a részletek, annak ajánlom ezt az összefoglalót, amit anno ügyfelünknek is átküldtem (…
és a hitelesség miatt itt most szó szerinti idézet jön):


  1. Az, hogy mi a személyes adat, ki az érintett, azt a tv. 3.§-a határozza meg. Ez semmilyen
    különbséget nem tesz aközött, hogy az érintett az adatkezelő alkalmazottja-e vagy sem.
    Számomra
    teljesen adekvát pl., hogy az én személyes adataimat az UniOffice – ahol alkalmazott vagyok

    kezeli.

    3.§
    1. érintett: bármely meghatározott, személyes adat alapján azonosított vagy –
    közvetlenül vagy közvetve – azonosítható természetes személy;
    2. személyes adat: az érintettel kapcsolatba hozható adat – különösen az érintett
    neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális,
    gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az
    adatból levonható, az érintettre vonatkozó következtetés;

  2. Szintén ugyanez a paragrafus jellemzi (a 10. pontban), hogy mi az adatkezelés. Ez elsőre
    csalóka lehet, mert a hétköznapi értelemben véve ez mind olyan dolog, amit a SmartEvents®
    végez, ugyanakkor ezt mi csak technikai értelemben tesszük. Ez fontos, mivel a 3.§ 17.
    (adatfeldolgozás) és 18. (adatfeldolgozó) pontok pontosan megállnak a SmartEvents®-re – azaz
    az adatgyűjtést kizárólag az Önök (mint véleményünk szerint adatkezelő) szerződéses
    megbízása alapján végezzük e technikai feladatot.

    3.§
    10. adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely
    művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése,
    rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása,
    nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és
    megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-,
    hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai
    jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése;
    Az UniOffice adatkezelést nem végez. A SmartEvents® alkalmazása során történő
    adatgyűjtés kizárólag adatkezelő szerződéses megbízása alapján történik.
    17. adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok
    elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és
    eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az
    adaton végzik;
    A SmartEvents® alkalmazása kimeríti ennek fogalmát.
    18. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel
    nem rendelkező szervezet, aki vagy amely szerződés alapján – beleértve a jogszabály
    rendelkezése alapján kötött szerződést is – adatok feldolgozását végzi;
    Az UniOffice beleesik ebbe a kritériumba: adatok feldolgozását kizárólag
    (adatkezelővel) kötött szerződés alapján végezzük.

  3. Szintén fontos, hogy a SmartEvents® működése során kizárólag az Önök megbízása (szerződése)
    alapján járunk el. Minden adatot Önöktől kapunk (nevek, emailcímek, telefonszámok stb.) –
    semmi olyan adatot nem gyűjtünk be, amivel Önök ne rendelkeznének. (Ld. 10.§)

    10.§
    (1) Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és
    kötelezettségeit e törvény, valamint az adatkezelésre vonatkozó külön törvények
    keretei között az adatkezelő határozza meg. Az általa adott utasítások
    jogszerűségéért az adatkezelő felel.
    Az UniOffice Rendszerház kizárólag az adatkezelővel kötött szerződés szerint jár el
    az adatfeldolgozás során.
    (2) Az adatfeldolgozó az adatkezelő rendelkezése szerint vehet igénybe további
    adatfeldolgozót.
    Ugyanaz, mint a 8.§ (1) esetében: a SmartEvents® használata és üzemeltetése során
    semmilyen további adatkezelővel való kapcsolat nem szükséges.
    (3) Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására
    jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja
    fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az
    adatkezelő rendelkezései szerint köteles tárolni és megőrizni.
    Az UniOffice Rendszerház – mint adatfeldolgozó – és az adatkezelő közti szerződés
    rögzíti, hogy a SmartEvents® alkalmazása során milyen adatkezelési folyamatok
    zajlanak. Az UniOffice Rendszerház ezen kívül további adatkezelési tevékenységet nem
    végez.
    (4) Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az
    adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes
    adatokat felhasználó üzleti tevékenységben érdekelt.
    A SmartEvents® felhasználása minden esetben írásos szerződés alapján történik.
    A bekezdés második mondata nem vonatkozik az UniOffice Rendszerházra, mivel a
    személyes adatokat felhasználó szervezet (azaz adatkezelő) üzleti
    tevékenységében nem vagyunk érdekeltek.

  4. NAIH nyilvántartás. Amikor még „tudatlanok” voltunk, kértünk egy adatkezelési engedélyt a
    NAIH-tól. (Majd meg is kaptuk a választ, amely tulajdonképpen elindított bennünket azon az
    úton, hogy alaposabban is megismerjük a tv.-t.) A válasz lényege az volt, hogy mivel az
    adatkezelés mind olyan személyeket érint, akik az ügyfeleink, így ezt a Hatóság nem tartja
    nyilván. Később megtudtuk, hogy ezt a 65. §. (3) írja le. Tehát nem azt mondja, hogy nem
    folyik ez esetben adatkezelés, csupán azt, hogy ez olyan adatkezelés, melyet nem kell a
    Hatóság részére bejelenteni. Ez jelen esetben azt jelenti, hogy Önöknek, mint adatkezelőnek
    nem kell ezt az adatkezelést bejelenteni, mivel azon az Önökkel (vagy leányvállalatukkal)
    munkaviszonyban lévők vesznek részt.

    65.§
    (1) Az adatkezelő személyes adatokra vonatkozó adatkezeléseiről, az érintettek
    tájékozódásának elősegítése érdekében a Hatóság hatósági nyilvántartást (a
    továbbiakban: adatvédelmi nyilvántartás) vezet, amely – a (2) bekezdésben
    meghatározott kivételekkel – tartalmazza

    a) az adatkezelés célját,

    b) az adatkezelés jogalapját,

    c) az érintettek körét,

    d) az érintettekre vonatkozó adatok leírását,

    e) az adatok forrását,

    f) az adatok kezelésének időtartamát,

    g) a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a
    harmadik országokba irányuló adattovábbításokat is,

    h) az adatkezelő, valamint az adatfeldolgozó nevét és címét, a tényleges
    adatkezelés, illetve az
    adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő
    tevékenységét,

    i) az alkalmazott adatfeldolgozási technológia jellegét,

    j) a belső adatvédelmi felelős alkalmazása esetén annak nevét és elérhetőségi
    adatait.

    Ad.1 – ez csak az adatkezelő feladata

    Ad.2 – a 65.§ (3) alapján nem kell a hatósághoz bejelentkezni

    (3) Nem vezet adatvédelmi nyilvántartást a Hatóság arról az adatkezelésről, amely

    a) az adatkezelővel munkaviszonyban, tagsági viszonyban, óvodai nevelésben való
    részvételre irányuló, tanulói vagy tanulószerződéses jogviszonyban, kollégiumi
    tagsági viszonyban vagy – a pénzügyi szervezetek, közüzemi szolgáltatók,
    elektronikus hírközlési szolgáltatók ügyfelei kivételével – ügyfélkapcsolatban álló
    személyek adataira vonatkozik;

    Mivel a SmartEvents® alkalmazása során olyan érintettekről (ld. 3.§) van szó, akik
    az adatkezelővel ügyfélkapcsolatban állnak, így erről nem vezet adatvédelmi
    nyilvántartást a Hatóság. Erről az UniOffice Rendszerháznak hivatalos dokumentuma
    van a NAIH-tól.


    (Kivétel lehet ez esetben az UniOffice (adatfeldolgozó) olyan (adatkezelő)
    szerződéses partnere, mely pénzügyi szervezetnek, közüzemi szolgáltatónak vagy
    elektronikus hírközlési szolgáltatónak minősül, azonban ebben az esetben is
    nekik, és nem az UniOffice Rendszerháznak kell a nyilvántartásba
    bejelentkezni!)

Ügyfelünk korábban kiemelte, hogy …

„… nem mi vagyunk az adatkezelők, és ezért nem a mi feladatunk a nyilatkozat elkészítése. Hiszen
nem cégünk biztosítja saját munkavállalóit arról, hogy az adatokat bizalmasan kezeljük – hanem
Önök mint külsős partner, és mint ilyen, akik az adatokhoz hozzáférnek és azokat kezelik.”

Amikor ezt olvastam, nekem rögtön az jutott eszembe, hogy miért ne biztosítaná Ügyfelünk saját
munkavállalóit, hogy a személyes adataikat bizalmasan kezelik? (Kizártnak tartottam, hogy egy ekkora
cégnek ne lenne – akár csak elvi szinten – valamilyen utasítása, szabályzata, hogy kinek és hogyan
lehet odaadni pl. a dolgozók listáját vagy bármilyen szenzitív adatot.) Jogi képviselőnktől tudtam,
hogy ők is számtalan adatvédelmi szabályzatot készítettek, mert munkaügyi ellenőrzések miatt a
cégeknek szüksége lett rá. Véleményem tehát az lett – és ebben a Tv. 3.§ is megerősített –, hogy
ügyfelünk az, aki adatot kezel akkor is, ha saját alkalmazottról van szó. Amikor erről egyeztettem
jogi képviselőnkkel, ő így jellemezte a helyzetet (és ezt külön kiemelem, hisz mottónak is jó!):

„Alapvetően az adatkezelő és az adatfeldolgozó közötti határvonal ott húzható meg, hogy kinek az
érdekében történik az adatgyűjtés. Amennyiben az adatgyűjtés kizárólag az UniOffice partnereinek
érdekében történik, úgy ilyen esetben ők lesznek az adatkezelők, az UniOffice pedig az
adatfeldolgozó”.

Végezetül álljon itt az, amit összegzésképp – mintegy végső érvként – megosztottam ügyfelünkkel:

„Érdemes még egy egyszerű „vizsgálat” elvégzése is. Vonjuk ki ebből az egész történetből az
UniOffice-t és a SmartEvents® rendszert, és tegyük fel a kérdést, hogy ettől még lesz
rendezvény? lesznek meghívottak? kommunikálnak velük emailben vagy papíron? beszélnek velük,
hívják őket telefonon? lesz résztvevői lista? … ergo KEZELIK AZ ADATAIKAT? – … és ha erre –
vélelmezhetően – mind IGEN a válasz, akkor bizony a 2011. évi CXII. törvény alapján Önök
adatkezelők, függetlenül attól, hogy papíron vagy elektronikusan (avagy mindkét módon) kezelik
azokat. Mi csak additív módon jövünk képbe, mint adatfeldolgozók. És attól, hogy mi belépünk egy
quasi elektronikus támogatással, attól nem fog megváltozni az adatkezelő kiléte.”

… és ami miatt igazán emlékezetes maradt-e történet az az, hogy nem jogászként elértem, hogy
ügyfelünk jogászai érveimet elfogadták, és végül nem cégünknek kellett az adatkezelési nyilatkozat
elkészíteni.

Az üzlet megköttetett, a rendezvény sikeresen lezajlott.