Május 25-e óta alkalmazandó a GDPR (Általános Adatvédelmi Rendelet), de a jogalkalmazáshoz kapcsolódó kérdések száma még mindig nagyon magas (sőt talán növekszik). Éppen ezért minden hatósági iránymutatásnak, ajánlásnak nagy jelentősége van. A NAIH az elmúlt időszakban újabb állásfoglalásokat jelentetett meg a honlapján, amelyek közül néhányat az alábbiakban röviden ismertetek. 

1. Adatkezelési nyilvántartások

A NAIH már több alkalommal foglalkozott az adatkezelők által vezetendő adatkezelési nyilvántartással. Legfrissebb állásfoglalása alapján a GDPR 30. cikke szerinti nyilvántartást magyarországi székhelyű vállalkozás idegen nyelven is vezetheti. Ugyanakkor hatósági vizsgálat esetén a hiteles fordítás rendelkezésre bocsátása az adatkezelő kötelezettsége (és költsége) lesz. 

Szintén a nyilvántartási kötelezettségnél maradva, a NAIH értelmezte a GDPR 30. cikk (5) bekezdése által biztosított kivételt, amely szerint a 250 főnél kevesebb személyt foglalkoztató szervezetek bizonyos feltételekkel mentesülhetnek a nyilvántartás vezetése alól. A nyilvántartás vezetésétől nem lehet eltekinteni, ha az adatkezelés „valószínűsíthetően kockázattal jár” vagy nem „alkalmi jellegű”. Az adatkezelés „alkalmi jellegének” megítélésére a NAIH állásfoglalása alapján "a nyelvtani értelmezést lehet alapul venni. Továbbá figyelembe lehet venni azt is, hogy a GDPR 5. cikk (2) bekezdésében írt „elszámoltathatóság elve” alapján az adatkezelőnek képesnek kell lennie a megfelelés igazolására, amelyhez a nyilvántartás adatai megfelelő alapul szolgálnak. Mindezek alapján a Hatóság álláspontja szerint e mentesített körbe valóban csak az egyedi, egyszeri, kivételes adatkezeléseket folytató kis- és középvállalkozások tartozhatnak, más esetben nem lehet eltekinteni a nyilvántartás vezetésétől." (Az "alkalmi jelleget" tehát szűken kell értelmezni.)

A GDPR 30. cikk (5) bekezdése kapcsán érdemes a WP29 vonatkozó iránymutatását is áttanulmányozni. Az "alkalmi jelleg" kapcsán ott ezt olvashatjuk: "Példának okán egy kis szervezet alighanem nyilvántartja alkalmazottait. Ennélfogva a nyilvántartását nem tekintheti „alkalminak”, és ezért nyilvántartást kell vezetnie erről az adatkezelési tevékenységéről. Az egyéb, valóban nem rendszeres adatkezelési tevékenységekről azonban nem kell nyilvántartást vezetni, ha valószínűsíthetően nem járnak kockázattal azérintettek jogaira és szabadságaira nézve, vagy nem terjednek ki a különleges kategóriákra, illetve a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatokra." A foglalkoztatáshoz kapcoslódó adatkezelés tehát mindenképpen maga után vonja a nyilvántartási kötelezettség teljesítését is. 

Szexuálterapeuta egyéni vállalkozó adatkezelése kapcsán rögízti azt a Hatóság, hogy a nyilvántartás vezetésére vonatkozó kivétel a különleges adatok (szexuális életre vagy szexuális irányultságra vonatkozó adatok) kezelése miatt nem alkalmazható. 

(A nyilvántartással kapcsolatban érdemes megemlíteni azt is, hogy a Hatóság által vezetett adatvédelmi nyilvántartásba történő bejelentkezésre május 25. óta nincs szükség. Lásd pl. ezt az állásfoglalást.)

2. Kell-e a háziorvosnak adatvédelmi tisztviselőt kineveznie?

A GDPR meghatároz kötelező eseteket, amikor az adatkezelőknek, illetve adatfeldolgozóknak adatvédelmi tisztviselőt kell kinevezniük. Ezek az esetek a következők (lásd GDPR 37. cikk):

a) az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
b) az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
c) az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.

Alaposan körüljárva a kérdést a NAIH arra jutott, hogy a háziorvos nem tartozik a fenti a) pontban meghatározott körbe. Hozzáteszik azonban, hogy "a háziorvosi tevékenységhez kötődően azonban ugyanezen cikk b) és c) pontjaiban írt esetekben továbbra is felmerülhet az adatvédelmi tisztviselő kijelölésének kötelezettsége ...."

Egy adott szakorvos, egészségügyi szakember betegei egészségügyi adatainak kezelése nem esik a b), illetve c) pont hatálya alá, azaz nem minősül "nagymértékű" vagy "nagy számban történő" adatkezelésnek. (Itt érdemes a WP29 adatvédelmi tisztviselőkre vonatkozó iránymutatását is figyelembe venni.)

Az állásfoglalás azonban utalást tesz ebben a körben a NAIH által kívánatosnak tekintett gyakorlatra is: "A fentiek alapján előfordulhat, hogy a GDPR 37. cikk (1) bekezdés alapján a háziorvosnak nem kötelező az adatvédelmi tisztviselő kijelölése. A (75) preambulumbekezdés alapján kiemelt kockázatnak tekinthető – egyebek mellett – az egészségügyi adatok és a kiszolgáltatott személyek (különösen gyermekek) adataiank kezelése a természetes személyek jogainak és szabadságainak érintettsége szempontjából, így a Hatóság álláspontja szerint helyes gyakorlat, ha a helyi önkormányzat adatvédelmi tisztviselője rálátással bír az egészségügyi alapellátás körében felmerülő adatkezelési kockázatokra is, miután annak biztosításáért végső soron az önkormányzat felelős." 

(A NAIH korábbi, az adatvédelmi tisztviselővel kapcsolatos állásfoglalásairól itt írtam.)

3. Munkahely elektronikus megfigyelőrendszer (kamerák)

Fontos megállapítást tesz a Hatóság, amikor rögzíti, hogy 

A kamerás adatkezelés GDPR szerinti jogalapja lehet a 6. cikk (1) a) pontja szerinti érintetti hozzájárulás, valamint az f) pont szerinti jogos érdek érvényesítése is.

(Emlékeztetőül: a Vagyonvédelmi törvény 30. § (2) bekezdése a ráutaló magatartást határozza meg jogalapként.)

A jogos érdek, mint adatkezelési jogalap meghatározása az elektronikus megfigyelőrendszerekkel kapcsolatban külkönösen fontos, mert a gyakorlatban a hozzájárulás, mint jogalap lényegében nem tud érvényesülni. Egyrészt azért, mert, ha munkavállalókat (is) érint a megfigyelés, akkor a hozzájárulás önkéntessége a gyakorlat szerint megkérdőjelezhető, másrészt azért, mert a hozzájárulás velejárója többek között az, hogy a hozzájárulás bármikor visszavonható. Ugyanakkor a hozzájárulás visszavonása például egy vagyonvédelmi rendszer esetében a rendszer működtetésének az értelmét kérdőjelezné meg. 

A NAIH az állásfoglalásban - nagy vonalakban - kitér a jogos érdeken alapuló kamerás megfigyeléssel kapcsolatos követelményekre, többek között az érdekmérlegelési teszt elvégzésének szükségességére. Egyúttal az állásfoglalás utal rá, hogy a korábbi munkahelyi elektronikus megfigyelőrendszerekkel kapcsolatos ajánlást továbbra is alkalmazandónak tekinti. (Ugyanúgy, ahogy a munkahelyi adatkezelésekkel kapcsolatos tájékoztatót.) 

A konkrét megkeresés kapcsán pedig azt is rögízti a Hatóság, hogy "[...] a munkafolyamatok minőségbiztosítási célú megfigyelése, mint kamera általi megfigyeléséhez kapcsolódó adatkezelési cél kétséges lehet." Mégpedig azért, mert "a minőség ellenőrzésének más eszközei is lehetségesek, melyek feltételezhetően alkalmasabbak lehetnek a minőség megállapítására (pl: alapanyag, késztermék ellenőrzése,  mintavétel, munkafolyamatok alkalomszerű ellenőrzése), valamint kevésbé korlátozzák a munkavállalók magánszféráját." 

4. Kapcsolattartói adatok kezelése

A GDPR felkészülés során számos adatkezelő küzdött a kérdéssel, hogy a szerződésekben szereplő kapcsolattartói adatok milyen jogalapon kezelhetők (a gyakorlati megoldások ráadásul elég széles spektrumon szóródtak...). 

A NAIH egyik állásfoglalása e kérdésben is segítséget jelenthet: (i) természetes személyekkel vagy egyéni vállalkozókkal kötött szerződés esetén, ha a szerződéskötő fél a kapcsolattartó is, akkor a szerződés teljesítése lesz a jogalap (GDPR 6. cikk (1) bekezdés b) pontja), míg (ii) egyéb jogalanyokkal kötött szerződések esetén a jogos érdek (GDPR 6. cikk (1) bekezdés f) pontja). Utóbbi esetben nem szabad viszont megfeledkezni a jogos érdekhez kapcsolódó dokumentálási kötelezettségről (érdekmérlegelési teszt). 

5. GDPR és civil szervezetek 

Két állásfoglalás is vizsgálja a civil szervezetek kötelezettségeit a GDPR alapján. Egyrészt azt elemzi a Hatóság, hogy milyen esetekben terjed ki a GDPR hatálya a civil szervezetekre: 

Amennyiben tehát a civil szervezet tevékenysége során a személyes adatokat részben vagy egészben automatizált módon, vagy nem automatizált módon nyilvántartási rendszerben kezeli, akkor a GDPR hatálya alá tartozik.  

(Egyéb esetekben, azaz amikor nem automatizált módon és nem nyilvántartás részeként történik az adatkezelés, akkor arra - a remélhetőleg rövidesen módosításra kerülő - Infotv. vonatkozik majd.)

Másrészt egyesületek afatkezelése kapcsán azt javasolja a Hatóság, hogy "célszerű lehet az egyesület alapszabályában megadni a megfelelő tájékoztatást az adatkezelésről, és a belépés feltételévé tenni ennek kifejezett elfogadását."