Az alkalmazásfejlesztés adatvédelmi vonatkozásai

Ma már gyakorlatilag az élet minden területén jelen vannak a szoftveres megoldások, kezdve a számítógépünk, telefonunk operációs rendszerétől, egy cég core rendszeréig, haladva egészen a legspecifikusabb üzleti felhasználású szoftverekig, mint például egy banki ATM vagy egy MÁV-os jegykiadó automata szoftvere. Az alkalmazások már szintén egy specifikusabb dologra jönnek létre, feltételezve egy mögöttes operációs rendszert, ahová telepíthetőek. – De miért van szükség a szoftverek, alkalmazások adatvédelmi megfeleltetésére? Milyen szerepek és feladatok jellemzőek a szoftverekkel, alkalmazásokkal végzett adatkezelésben?

Mind a szoftvereket, mind az alkalmazásokat emberek használják, emberekkel lépnek interakciókban, vagy az adott szoftvereket, alkalmazásokat profiljukon keresztül használó emberek lépnek kapcsolatba más, hasonlóan eljáró emberekkel, mint természetes személyekkel, ezért az esetek túlnyomó többségében elkerülhetetlenül személyes adatokat kezelnek, így az az általuk végzett adatkezelés a GDPR[1] hatálya alá esik[2]. Innen már egyenesen következik, hogy a szoftver, alkalmazás tervezőjének (aki nem szükségszerűen lesz adatkezelő[3], hiszen egy szoftvert, alkalmazást, akár megrendelésre is lehet készíteni) a tervezési folyamat során figyelemmel kell lenni a GDPR 25. cikkében [4] meghatározott beépített és alapértelmezett adatvédelemre (privacy by design), amivel kapcsolatban egyebekben az Európai Adatvédelmi Testület (EDPB) külön iránymutatást is adott ki 4/2019 számon. [5]

Szerepek meghatározása a szoftverekkel, alkalmazásokkal végzett adatkezelésben

Első és legfontosabb dolog, annak meghatározása, hogy ki, milyen szerepet fog betölteni az adott szoftverrel, alkalmazással végzett adatkezelés során, ha az majd elkészül és „élesben” működni fog. A legjellemzőbb gyakorlat, hogy egy cégnek felmerül az üzleti igénye egy bizonyos funkciót betöltő szoftverre, alkalmazásra, amit saját maga nem tud megtervezni és elkészíteni, hiszen az speciális programozási szakértelmet igényel. Ezért keres egy ilyen speciális szaktudással rendelkező alvállalkozót, aki megtervezi, elkészíti, majd a későbbiekben supportálja a már elkészült alkalmazást. Ebből következik, hogy

a szoftver megrendelője lesz az adatkezelő,
az alvállalkozó pedig az adatfeldolgozó[6].

Miután tisztáztuk a szerepeket, fontos, hogy az adatkezelő és az adatfeldolgozó között létrejöjjön egy úgynevezett adatfeldolgozási szerződés, ami – azon túl, hogy meg kell felelni a GDPR 28. cikk (3) bekezdésében[7] foglaltaknak – arra szolgál, hogy szabályozza az adatkezelő és az adatfeldolgozó közötti, személyes adatok kezelésére vonatkozó jogviszonyt. Ez a gyakorlatban, jogtechnikailag úgy szokott kinézni, hogy ez az adatfeldolgozási szerződés az adatkezelő és az adatfeldolgozó közötti vállalkozói szerződés mellékleteként jelenik meg. Az adatfeldolgozási szerződés minimális tartalmi elemeit pedig a GDPR 28. cikk (3) bekezdése elég egzaktan meghatározza. (De természetesen szerződésbe lehet foglalni ezeken felüli kitételeket is)

Adatvédelmi szakértő közreműködése a tervezés során

Amikor elindul egy szoftver, alkalmazás tervezése, jellemzően létrejön rá egy projekt szervezet, ami áll

a megrendelő üzleti területének képviselőiből, hiszen Ők tudják, hogy pontosan milyen üzleti célt szeretnének elérni az adott szoftver, alkalmazás által – például, hogy az adott szoftver, alkalmazás, mire legyen alkalmas, milyen funkciókkal rendelkezzen stb.,
a vállalkozó szakembereiből, akik megtervezik és elkészítik az adott szoftvert, alkalmazást,
a megrendelő egyéb, úgynevezett projekttámogató szakértőiből, akik között lehetnek pénzügyesek, jogászok, informatikusok – attól függően, milyen speciális szakértelemre van szükség az adott szoftver, alkalmazás vonatkozásában – és itt kap szerepet az adatvédelmi szakértő is.

Az adatvédelmi szakértőnek a projekt során keletkezett dokumentumok, mint például projektalapító dokumentum, szoftver, alkalmazás műszaki leírása, funkcionális és nem funkcionális specifikáció stb. tanulmányozása során azonosítania kell, hogy

milyen adatkezelési célok fognak megvalósulni, azok valóban mind indokoltak-e – célhoz kötöttség elvének[8] érvényesítése;
milyen személyes adatokat fog kezelni a szoftver, alkalmazás, azok valóban mind indokoltak-e és a feltétlenül szükségesre szorítkoznak, nem valósul meg úgynevezett „készletező” adatgyűjtés – adattakarékosság elvének[9] érvényesítése;
a szoftver, alkalmazás által kezelt adatokat meddig és miért addig kell megőrizni (pl. bizonylat adásnál a számviteli törvény bizonylatmegőrzési előírásait kell alkalmazni) – korlátozott tárolhatóság elvének[10] érvényesítése.

A fentieken túl azt is meg kell állapítani, hogy a szoftver, alkalmazás által végzett adatkezeléseknek mi lesz a jogalapjuk, hiszen az egyes GDPR 6. cikk (1) bekezdésben definiált jogalapok más-más előkészületeket igényelnek. Például, ha van olyan adatkezelés, aminek jogalapja a GDPR 6. cikk (1) bekezdés a) pontja[11], azaz az érintett hozzájárulása, akkor esélyesen szükségünk lesz a megfelelő helyre checkbox elhelyezésre abból a célból, hogy igazolni tudjuk, hogy az érintett tevőleges magatartással adta meg a hozzájárulását, valamint annak kigondolása is fontos feladat, hogy az érintett hogy lesz képes visszavonni a hozzájárulását. Vagy ha olyan adatkezelést végez a szoftver, applikáció, aminek jogalapja a GDPR 6. cikk (1) bekezdés f) pontja[12], azaz az adatkezelő vagy az érintett jogos érdeke, abban az esetben szükséges az adatkezelés megkezdése előtt elvégezni az úgynevezett érdekmérlegelési tesztet és biztosítani az érintettek részére a GDPR 21. cikke[13] szerinti tiltakozáshoz való jogot.

Tájékoztatási kötelezettség

A szoftvereket, alkalmazásokat a cégek vagy belső – tehát munkavállalók, szerződéses partnerek stb. – vagy külső – jellemzően ügyfelek – felhasználók számára készítik. Azonban mindkét csoportban közös, hogy adatvédelmi szempontból érintetteknek minősülnek, így mindenképpen szükséges számukra megadni a tájékoztatást az adatkezelés megkezdése előtt. Az adatkezelésről való tájékoztatás tartalmi elemeit meglehetősen egzakt módon definiálják a GDPR 12-14. cikkei. Ez azonban nem jelenti azt, hogy minden egyes pontnak megfelelő adatkezelési tájékoztatót kell készíteni. Fel kell mérni, hogy az adott szoftver, alkalmazás adatkezelése mely pontokat érint (például elképzelhető, hogy nem kell a törléshez való jogról tájékoztatni az érintetteket, mert nincs GDPR 6. cikk (1) bekezdés a) pont szerinti adatkezelés, viszont van GDPR 6. cikk (1) bekezdés f) pont alapján végzett, ami még profilalkotást is megvalósít) és a szerint szükséges elkészíteni az adatkezelési tájékoztatót, ami tulajdonképpen a szoftver, alkalmazás fejlesztés, mint projekt szempontjából az adatvédelmi szakértő egyik, ha nem a legfontosabb eredményterméke lesz. Továbbá egy nagyon fontos szempont az is, hogy az érintetteket nem elég tájékoztatni, hanem a GDPR 5. cikk (2) bekezdésében[14] definiált elszámoltathatóság elvének való megfelelés érdekében igazolható módon kell az érintettek számára a tájékoztatást megadni. Ez jellemzőn a gyakorlatban egy checkbox, ami a szoftver, alkalmazásba való regisztráció utolsó lépéseként fogad el az érintett.

[1] AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről.

[2] GDPR 4. cikk 2. pont: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

[3] GDPR 4. cikk 7. pont: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

[4] (1) Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába. (2) Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára. (3) A 42. cikk szerinti jóváhagyott tanúsítási mechanizmus felhasználható annak bizonyítása részeként, hogy az adatkezelő teljesíti az e cikk (1) és (2) bekezdésében előírt követelményeket.

[5] EDPB_Guidelines_20201020_Art25DataProtectionbyDesignbyDefault_V2.0_HU_CLEAN.docx (europa.eu)

[6] GDPR 4. cikk 8. pont: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

[7] Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó -szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben.

[8] GDPR 5. cikk (1) bekezdés b) személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztet-hetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.

[9] GDPR 5. cikk (1) bekezdés c) személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk.

[10] GDPR 5. cikk (1) bekezdés e) személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.

[11] az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

[12] az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

[13]Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

[14] Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).

Süti	Időtartam	Leírás
COOKIE_SUPPORT	1 year	Ezt a sütit a Liferay állítja be. Ez a süti annak ellenőrzésére szolgál, hogy a látogató böngészője támogatja-e a sütiket.
JSESSIONID		JSP-ben írt webhelyek használják. Általános célú platform-munkamenet sütik, amelyek a felhasználók állapotának az oldalletöltések közötti fenntartására szolgálnak.
PHPSESSID		Ez a süti a PHP-alkalmazásokban található. A cookie a felhasználók egyedi munkamenet-azonosítójának tárolására és azonosítására szolgál a felhasználói munkamenet kezelése céljából a weboldalon. A munkamenet-süti a böngésző összes ablakának bezárásakor törlődik.
SERVERID		Ez a süti arra szolgál, hogy a felhasználót egy adott szerverhez rendelje, így jobb és gyorsabb szerveridőt biztosít. Emlékszik arra, hogy melyik szerver szállította az utolsó oldalt a böngészőnek. Segít a terheléselosztásban is.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Süti	Időtartam	Leírás
Gdyn	1 year 1 month	Ezt a sütit a Gemius szolgáltató állítja be. Ezt a sütit a MOSS és a fejlett webstatisztikák technikai munkamérésének végrehajtásához használják.
GUEST_LANGUAGE_ID	1 year	Ez a süti a látogatók által preferált nyelvi azonosító tárolására szolgál.

Süti	Időtartam	Leírás
_ga	2 years	Ezt a sütit a Google Analytics telepíti. A cookie-t a látogatói, munkamenet- és kampányadatok kiszámítására és a webhely használatának nyomon követésére használják a webhely analitikai jelentéséhez. A cookie-k névtelenül tárolják az információkat, és egy véletlenszerűen generált számot rendelnek hozzá az egyedi látogatók azonosításához.
_gat_UA-112481-1	1 minute	Ez a Google Analytics által beállított mintatípusú cookie, ahol a névben lévő mintaelem tartalmazza a fiók vagy a weboldal egyedi azonosító számát, amelyre vonatkozik. Ez a _gat cookie egy változata, amelyet a Google által rögzített adatok mennyiségének korlátozására használnak a nagy forgalmú webhelyeken.
_gid	1 day	Ezt a sütit a Google Analytics telepíti. A süti arra szolgál, hogy információkat tároljon arról, hogy a látogatók hogyan használják a weboldalt, és segít a weboldal teljesítményéről szóló elemzési jelentés elkészítésében. Az összegyűjtött adatok között szerepel a látogatók száma, a forrás, ahonnan érkeztek, és a meglátogatott oldalak névtelen formában.
UID	2 years	No description available.

Süti	Időtartam	Leírás
_goa3session	2 days	Ezt a sütit a szolgáltató Adverticum állítja be. Ezt a sütit a hirdetések kiszolgálásának folyamatához és a hirdetők számára statisztikai adatok gyűjtéséhez használják.
fr	3 months	A sütit a Facebook állítja be, hogy releváns hirdetéseket jelenítsen meg a felhasználóknak, valamint mérje és javítsa a hirdetéseket. A cookie a felhasználó viselkedését is nyomon követi az interneten keresztül azokon az oldalakon, amelyek Facebook pixellel vagy Facebook social pluginnal rendelkeznek.
Gtest	1 year 1 month	Ezt a sütit a felhasználói viselkedés és a weboldalon végzett tevékenységek gyűjtésére használják a weboldal optimalizálása érdekében. Segít továbbá a Google Ads és a Google Analytics számára a látogatói információk marketing célú összeállításában.
i	1 year	Nincs információ.
IDE	1 year 24 days	A Google DoubleClick használja, és információkat tárol arról, hogy a felhasználó hogyan használja a weboldalt és minden más hirdetést a weboldal meglátogatása előtt. Ezt arra használják, hogy a felhasználóknak a felhasználói profilnak megfelelő, számukra releváns hirdetéseket jelenítsenek meg.
mc	1 year 1 month	Ez a cookie a Quantserve-hez kapcsolódik, hogy anonim módon nyomon követhesse, hogy a felhasználó hogyan lép kapcsolatba a weboldallal.
test_cookie	15 minutes	Ezt a sütit a doubleclick.net állítja be. A cookie célja annak megállapítása, hogy a felhasználó böngészője támogatja-e a cookie-kat.
VISITOR_INFO1_LIVE	5 months 27 days	Ezt a sütit a Youtube állítja be. A weboldalon beágyazott YouTube-videók információinak nyomon követésére szolgál.
YSC	session	Ezt a sütit a Youtube állítja be, és a beágyazott videók megtekintésének nyomon követésére szolgál.

Süti	Időtartam	Leírás
_goa3test	2 years	No description available.
_ia_uid	5 months 27 days	No description
_ia_version	5 months 27 days	No description
CONSENT	16 years 6 months	No description
INX_CHECKER2	16 years 6 months	No description available.
legacy-psid		No description available.
nxdigitolvasosession		No description
psid	session	Nincs elérhető információ.
yt-remote-connected-devices	never	No description available.
yt-remote-device-id	never	No description available.

Az alkalmazásfejlesztés adatvédelmi vonatkozásai

Kapcsolódó tartalmak

A személyes adatok védelme a polgári peres eljárásban

Aggályos gyakorlatok az online piacterek és alkalmazások üzemeltetése során – Közös európai fellépés a Vinteddel és a Tinderrel szemben – Szakértői összefoglaló!

290 millió euróra bírságolta az Ubert a holland adatvédelmi hatóság – Több mint két éven át súlyosan sértette a fuvarmegosztó közlekedési vállalat a GDPR-t

Mesterséges intelligencia a párizsi olimpián – Technológiai diadal vagy adatvédelmi rémálom?

Hallgatótársai ösztöndíjkifizetéseit irányította saját bankszámlájára és oktatói fiókjaiban garázdálkodott az adathalász diák – A bíróság elredelte a fiatal férfi letartóztatását

Mit tud rólam a telefonom, a Google, a Facebook?! – Cookie bar, avagy mit kezdjünk a sütikkel? – Szakértői jótanácsok!

Állásra jelentkezők személyes adatainak megőrzése

Az uniós parlament megszavazta a pénzügyi adatokhoz való hozzáférés rendeletét módosító javaslatát

Nem nyilvánosak a kegyelmi-ügy iratai – De mivel is indokolja döntését a Fővárosi Törvényszék?