Átláthatóság biztosítása
Az érintetteknek alapvető joga tudni, hogy ki kezelő az ő adataikat, milyen célokkal és így tovább [1]. Ennek eszköze az a rövid irat, amit adatkezelési tájékoztatónak hívunk (vagy néhol adatvédelmi tájékoztató, szabályzat és más néven is emlegetik [2]). A papírmunkák közül a legfontosabbak közé tartozik, ezzel tudjuk biztosítani az érintettek részére az elvárt transzparenciát.
A tájékoztató a rendelet által pontosan előírt kötelező elemekből áll [3]. Továbbá, alapvető elvárás, hogy érthető, hétköznapi nyelven legyen megfogalmazva (kerülve a jogi sallangokat). A dokumentumnak rövidnek és átláthatónak kell lennie, a sok-tíz oldalas tájékoztató nem lesz megfelelő.
Aki saját maga szeretné ezt a tájékoztatót megfogalmazni, könnyedén megteheti, hisz egy hétköznapi nyelvezetű tájékoztató írást kell elkészítenie. A következő felsorolásban megemlékezünk arról, hogy milyen kötelező információkat kell tartalmazni ennek a dokumentumnak:
- Az adatkezelő kiléte és elérhetőségei (cégnév, cím, email, telefonszám).
- Ha van adatvédelmi tisztviselő, az ő elérhetősége (erre a legtöbb vállalkozásban nem lesz szükség, erről részletesen máshol).
- A személyes adatok tervezett kezelésének célja és jogalapja. Azaz jelöljük meg mire használjuk az adatot (pl foglalkoztatással összefüggésben). Nem kell megijednünk a „jogalap” kifejezéstől, ez más szóval megfogalmazva „indokot” jelent, azaz az adatkezelés mögé valamilyen egyértelmű indokot kell rendelnünk. Ebből négy általános eset van, amit a kapcsolódó leírásban részletesen bemutatunk.
- Ha jogos érdek alapján történik az adatkezelés (ez a választott jogalap), akkor ennek az érdeknek a megjelölése.
- A személyes adatok címzettjei (vagy azok kategóriái). Címzettek azok a harmadik felek akiknek az adatokat továbbítjuk, például ha egy könyvelő iroda végzi a bérszámfejtést, akkor részére a foglalkoztatással kapcsolatos adatokat továbbítjuk.
- Harmadik országba vagy nemzetközi szervezetnek történő adattovábbítás ténye és címzettjei.
- Tájékoztatás az érintett jogairól. (Erről még értekezünk a jogbiztosítás kapcsán.)
- Adatkezeléshez kapcsolódó kérések kapcsán, hova küldheti az érintett a kéréseit.
- Ha hozzájárulás alapján kezeljük az adatait, akkor a hozzájárulás visszavonásának lehetőségéről és módjáról.
- Az érintett személyes adatok kategóriái. (A kategóriákat nem határozza meg rendelet, helyette az adatok általunk meghatározott közérthető besorolásáról van szó, például foglalkoztatás céljából „elérhetőségek” kezelése.)
- Adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai. Például a számlán szereplő név, cím tárolása a számviteli törvénynek megfelelő időtartamig fog történni.
- A felügyeleti hatósághoz címzett panasz benyújtásának joga.
Ez első olvasatra egy ilyesztően hosszú listának tűnik, de gyakorlatra lefordítva ezek nagyon egyszerű szövegek. A példa tájékoztatókban ezt be is mutatjuk.
A tájékoztató nyelve kapcsán érdemes emlékeznünk rá, hogy az átláthatósághoz az is hozzátartozik, hogy a célközönség anyanyelvén készítjük el ezt. Egy hazai bolt esetén a magyar tájékoztató elég lesz (még ha be is eshetnek külföldi vevők, akkor is). Olyan vállalkozásnak, amely célzottan más országból érkező külföldieknek szolgáltat (például egy osztrák kuncsaftokra speciálizálódott fogászat), a tájékoztatót ezen ügyfelek anyanyelvén is el kell készítenie.
Referenciák
[1] GDPR 12/1.: Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni.
[2] A rendelet nem nevezi meg, hogy mi legyen a tájékoztató neve. Személyes véleményünk szerint, az adatkezelési tájékoztató megnevezés fedi megfelelően a szükséges dokumentum jellegét és szabályzatnak hívni ezt félrevezető. A szabályzat sokkal inkább olyan dokumentum, amely szabályokat hoz létre azzal kapcsolatban, hogy az adatkezelésben résztvevő munkatársak hogyan dolgoznak az adatokkal. A rendelet által támasztott átláthatósági követelmények között ilyen belső szabályzat létrehozása nem szerepel, a legtöbb adatkezelő számára felesleges és jellemzően értelmetlen is kidolgozni.
[3] GDPR 13.: Rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik
(1) Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:
a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) a 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
e) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.
(2) Az (1) bekezdésben említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:
a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
c) a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
f) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
(3) Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.
(4) Az (1), (2) és (3) bekezdés nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal.