A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) április 11-én újabb, összesen 11 állásfoglalását tette közzé honlapján (www.naih.hu) az Európai Unió új adatvédelmi rendeletével (GDPR) kapcsolatos különböző kérdésekben. A legfontosabb kérdésekből válogattunk, mely összeállításában dr. Horváth Katalin, a Sár és Társai Ügyvédi iroda partnere volt a segítségünkre.
1. A GDPR egyéni vállalkozókra is vonatkozik
A NAIH megerősítette, hogy a GDPR vonatkozik egyéni vállalkozókra, magánszemélyekre és társas vállalkozásokra is, akik a GDPR hatálya alá tartozó adatkezelést végeznek, vagyis nem tesz a rendelet különbséget aszerint, hogy egyéni vagy társas vállalkozó végez adatkezelést. A NAIH azt is kifejtette, hogy a GDPR alkalmazása nem függ attól, hogy az adott vállalkozás hány főt foglalkoztat, vagyis munkavállaló nélküli cégre is vonatkozik, ha egyébként a GDPR hatálya alá tartozó adatkezelést végez.
2. Adatvédelmi szabályzat helyett adatvédelmi tájékoztató
A NAIH több állásfoglalásában is kitért arra, hogy az eddig adatvédelmi szabályzatnak nevezett dokumentumok megszűnnek, helyükbe az adatkezelési tájékoztató lép, amelyet könnyen érthető módon kell elkészíteni és jól látható helyen kell elhelyezni. Adatvédelmi szabályzat készítési kötelezettséget a GDPR önmagában nem ír elő, de tájékoztató készítési kötelezettséget igen. Ettől függetlenül adatvédelmi szabályzatot a belső adatvédelmi folyamatokra annak a vállalkozásnak érdemes készítenie, ahol a végzett adatkezelés jellegével az arányos – emelte ki a NAIH.
3. Adatvédelmi tisztviselő informatikus mérnök is lehet
A NAIH ismét megerősítette, hogy az adatvédelmi tisztviselői pozíciót betöltheti munkavállaló vagy külsős vállalkozás/magánszemély is megbízás alapján. Az adatvédelmi tisztviselőnek nem kell felsőfokú végzettséggel rendelkeznie, de szakértői szintű, komplex szakmai ismeretekkel kell rendelkeznie az adatvédelem jogi és gyakorlati előírásairól, és alkalmasnak kell lennie a pozíció betöltésére, így bármilyen végzettséggel, például informatikusi diplomával is lehet valaki adatvédelmi tisztviselő megbízási szerződés alapján. A NAIH kiemelte, hogy az adatvédelmi tisztviselőkről a jövőben is nyilvántartást fog vezetni.
4. A szakmai kamarák adatkezeléséhez nem kell hozzájárulás
A NAIH részletesen foglalkozott a szakmai kamarák által végzett adatkezeléssel és azzal, hogy ahhoz kell-e a kamarai tagoktól hozzájárulást kérni. Egészségügyi szakmai kamara esetében megerősítette, hogy ezen kamarák adatkezelése jogszabályon nyugszik, így amennyiben a jogszabályban meghatározott célra végeznek adatkezelést, ahhoz a kamarai tagok hozzájárulása nem szükséges. Ha azonban ezen céloktól eltérő célú adatkezelést is végeznek, ezekhez már külön hozzájárulást kell kérni a tagoktól. Ezzel kapcsolatban a NAIH azt is kiemelte, hogy a szakmai kamaráknak a jogszabály alapján végzett adatkezelésük körében nem kell biztosítaniuk az adathordozhatósági jogot, a hozzájárulás alapján történő automatizált adatkezelések esetében azonban igen.
5. Az adatkezelési tájékoztatónak a honlapon a helye, nem válasz e-mailben vagy felugró ablakban
A NAIH úgy ítélte meg állásfoglalásában, hogy nem felel meg a GDPR előírásainak, ha az adatkezelési tájékoztatót egy válaszlevél láblécében küldi meg az adatkezelő, vagy ha elektronikus ügyintézés keretében egy felugró ablakban jeleníti meg. Ehelyett jó gyakorlatnak a NAIH a honlapon külön menüpontban történő megjelenítését ajánlja.
6. A GDPR nem írja elő adattérkép készítését
A NAIH egyik állásfoglalásában az adattérkép készítéssel foglalkozott. Ebben kiemelte, hogy azt a GDPR nem írja elő, azonban annak megállapításához, hogy mi szükséges a GDPR-ra való felkészüléshez, az adattérkép elkészítését, az adatkezelési tevékenységek feltérképezését hasznosnak és jó gyakorlatnak tartja.
7. A GDPR papír alapon tárolt adatokra is kiterjed
Több megkeresés is érkezett a NAIH-hoz azzal kapcsolatban, hogy a GDPR vajon kiterjed-e azokra az adatokra, amelyeket papír alapon tárolnak. A NAIH állásfoglalásaiban részletesen kitért a GDPR ezzel kapcsolatos szabályaira, és megerősítette, hogy a GDPR vonatkozik azokra a papír alapú adatokra is, amelyeket nyilvántartási céllal vagy egy nyilvántartás részeként kezelnek, tárolnak. A GDPR nyilvántartás fogalmába pedig mindazon papír alapú listák, jegyzékek beletartoznak, amelyek valamilyen módszer alapján kereshetők – így például, ha abc rendben szerepelnek benne az adatok. A NAIH több állásfoglalásában is kiemelte, hogy a nem nyilvántartás részeként papír alapon kezelt adatokra ugyan nem terjed ki a GDPR, de az Infotv. tervezett, és várhatóan nyáron hatályba lépő módosítása a GDPR alkalmazását fogja ezekre is előírni, így valamennyi papíron tárolt adatra ugyanazok a szabályok és adatvédelmi szintek fognak vonatkozni.
8. Tavaszra ígérik az Infotv. módosítását
A NAIH állásfoglalásaiban többször érintette azt a kérdést, hogy vajon a mikorra várható az Infotv. módosítás parlamenti elfogadása. A NAIH tájékoztatása szerint még nem került benyújtásra a parlament elé a törvényjavaslat, arra várhatóan idén tavasszal kerül sor úgy, hogy az országgyűlés még a május 25-i GDPR alkalmazási határidő előtt szavazni tudjon az elfogadásáról. Az adatvédelmi hatásvizsgálattal kapcsolatos jegyzéket azonban ezen dátumig biztosan nem fogja kiadni a NAIH, így a cégeknek még várniuk kell arra, hogy mi minősül magas kockázatú adatkezelésnek, amely a hatásvizsgálat elvégzését kötelezővé teszi.