Meg tudod határozni az adatkezelés jogalapját?
Sok esetben felmerül a kérdés: miért szükséges szakértő segítségét kérni az adatkezelési dokumentumok elkészítéséhez? Vajon szükség van-e jogászra ezen kötelezettségek teljesítéséhez?
Érdemes ilyenkor visszakérdezni, én is ezt szoktam tenni és arra kérem az ügyfelet, hogy gondolja át, hogy önállóan meg tudja-e állapítani azt, hogy a tevékenysége során felmerülő személyes adatkezelési helyzetekben milyen jogalapon kezeli az egyes adatokat. De ami ennél még alapvetőbb kérdés az az, hogy egyáltalán felismeri-e az összes adatkezelési helyzetet, ami a vállalkozásánál előfordul. Tudja-e, hogy ténylegesen mi az, amit szabályozni kell és amiről tájékoztatni kell az érintetteket?
Ha ezekre a kérdésekre megfelelő választ tudsz adni, akkor nagy valószínűség szerint ismered a GDPR (Általános Adatvédelmi Rendelet) rendelkezéseit és lehetséges, hogy képes vagy saját magad elkészíteni az adatkezelési szabályzati dokumentációt, tehát nincs szükséged szakember segítségére.
Lássuk be, hogy kevesen tudnak ezekre a kérdésekre megfelelően válaszolni.
A GDPR szerint a személyes adatok kezelése kizárólag akkor és annyiban jogszerű, ha a rendeletben felsorolt jogalapok közül legalább egyet ki tudunk választani. A rendelet 6 (kicsit jobban megvizsgálva valójában 10) féle jogalapot határoz meg. Ha személyes adatot szeretnénk kezelni, akkor minden egyes adatkezelési célhoz és helyzethez választanunk kell egy-egy jogalapot a rendeletben felsoroltak közül.
Tulajdonképpen a megfelelő jogalap meghatározása az adatvédelmi jogászok munkájának talán legnehezebb része, rögtön azután, hogy át kell világítaniuk az adott vállalkozást annak érdekében, hogy pontos képet kaphassanak a tevékenységről, annak folyamatairól és a felmerülő adatkezelésekről. Ha tisztában vagyunk azzal, hogy egy adott helyzetben miért indokolt az érintett személyes adatainak kezelése, mi a célja a vállalkozónak az adatkezeléssel, akkor meg tudjuk határozni, hogy milyen jogalapon kezeli a személyes adatokat. Ez valóban összetett - adatvédelmi szaktudást igénylő - jogi feladat. A megfelelő tartalmú dokumentáció elkészítése során figyelemmel kell lenni az adatvédelmi rendelet alapelveire és a jogszabályban meghatározott tartalmi előírásokra is.
Azt azonban leszögezhetjük, hogy gyakorlatilag a jogalap meghatározás az Adatkezelési Tájékoztató egyik legfontosabb tartalmi eleme. Megfelelő jogalap nélkül tilos személyes adatot kezelni. A jogalap nélkül végzett adatkezelés jogsértés megállapítását eredményezi. Az elmúlt közel 3 évben a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) számtalan vizsgálata állapított meg jogsértést jogalap nélküli adatkezelés miatt és bírság kiszabásával „jutalmazta” az adatkezelőket.
Gyakran találkozom olyan Adatkezelési Tájékoztatóval, ahol az Info. törvényre hivatkozva kerül kiválasztásra az adatkezelés jogalapja. Ez ma már nem helyes. 2018. május 25. napjától alkalmazandó Magyarországon is a GDPR rendelet (az Info. törvényben meghatározott kiegészítésekkel), melynek rendelkezései szerint a személyes adatok kezelésére ez a jogszabály vonatkozik. Így a személyes adatok kezelésének jogalapja tekintetében is a GDPR szabályai alkalmazandók. Ebből következik tehát, hogy 2018. május 25. napját követően Info. törvényben meghatározott jogalapra jogszerűen hivatkozni nem lehet (néhány kivételtől eltekintve). Könnyen kiszúrható tehát, ha valaki a régi (2018. májusa előtti) szabályok szerint összeállított adatkezelési tájékoztatót alkalmaz. Ha ilyen módon hibás a jogalap meghatározása, akkor ez azt jelenti, hogy nincs jogalapunk a személyes adat kezelésére, jogalap nélküli adatkezelés esete áll tehát fenn, ami egy esetleges ellenőrzés során büntetés kiszabását eredményezheti. Azt pedig a GDPR bevezetése óta jól ismerjük, hogy a bírság tétel hatalmas összegre rúghat, akár 20 millió EUR (vagy akár ezt meghaladó) összeg is lehet.
Ha ezek alapján úgy ítéled meg, hogy megéri saját magadnak elkészíteni a dokumentumokat, ezt természetesen megteheted. Ha segítségre van szükséged, örömmel állok rendelkezésedre.
