Ma már gyakorlatilag az élet minden területén jelen vannak a szoftveres megoldások, kezdve a számítógépünk, telefonunk operációs rendszerétől, egy cég core rendszeréig, haladva egészen a legspecifikusabb üzleti felhasználású szoftverekig, mint például egy banki ATM vagy egy MÁV-os jegykiadó automata szoftvere. Az alkalmazások már szintén egy specifikusabb dologra jönnek létre, feltételezve egy mögöttes operációs rendszert, ahová telepíthetőek. – De miért van szükség a szoftverek, alkalmazások adatvédelmi megfeleltetésére? Milyen szerepek és feladatok jellemzőek a szoftverekkel, alkalmazásokkal végzett adatkezelésben?

Mind a szoftvereket, mind az alkalmazásokat emberek használják, emberekkel lépnek interakciókban, vagy az adott szoftvereket, alkalmazásokat profiljukon keresztül használó emberek lépnek kapcsolatba más, hasonlóan eljáró emberekkel, mint természetes személyekkel, ezért az esetek túlnyomó többségében elkerülhetetlenül személyes adatokat kezelnek, így az az általuk végzett adatkezelés a GDPR[1] hatálya alá esik[2]. Innen már egyenesen következik, hogy a szoftver, alkalmazás tervezőjének (aki nem szükségszerűen lesz adatkezelő[3], hiszen egy szoftvert, alkalmazást, akár megrendelésre is lehet készíteni) a tervezési folyamat során figyelemmel kell lenni a GDPR 25. cikkében [4] meghatározott beépített és alapértelmezett adatvédelemre (privacy by design), amivel kapcsolatban egyebekben az Európai Adatvédelmi Testület (EDPB) külön iránymutatást is adott ki 4/2019 számon. [5]

Szerepek meghatározása a szoftverekkel, alkalmazásokkal végzett adatkezelésben

Első és legfontosabb dolog, annak meghatározása, hogy ki, milyen szerepet fog betölteni az adott szoftverrel, alkalmazással végzett adatkezelés során, ha az majd elkészül és „élesben” működni fog. A legjellemzőbb gyakorlat, hogy egy cégnek felmerül az üzleti igénye egy bizonyos funkciót betöltő szoftverre, alkalmazásra, amit saját maga nem tud megtervezni és elkészíteni, hiszen az speciális programozási szakértelmet igényel. Ezért keres egy ilyen speciális szaktudással rendelkező alvállalkozót, aki megtervezi, elkészíti, majd a későbbiekben supportálja a már elkészült alkalmazást. Ebből következik, hogy

  • a szoftver megrendelője lesz az adatkezelő,
  • az alvállalkozó pedig az adatfeldolgozó[6].

Miután tisztáztuk a szerepeket, fontos, hogy az adatkezelő és az adatfeldolgozó között létrejöjjön egy úgynevezett adatfeldolgozási szerződés, ami – azon túl, hogy meg kell felelni a GDPR 28. cikk (3) bekezdésében[7] foglaltaknak – arra szolgál, hogy szabályozza az adatkezelő és az adatfeldolgozó közötti, személyes adatok kezelésére vonatkozó jogviszonyt. Ez a gyakorlatban, jogtechnikailag úgy szokott kinézni, hogy ez az adatfeldolgozási szerződés az adatkezelő és az adatfeldolgozó közötti vállalkozói szerződés mellékleteként jelenik meg. Az adatfeldolgozási szerződés minimális tartalmi elemeit pedig a GDPR 28. cikk (3) bekezdése elég egzaktan meghatározza. (De természetesen szerződésbe lehet foglalni ezeken felüli kitételeket is)

Adatvédelmi szakértő közreműködése a tervezés során

Amikor elindul egy szoftver, alkalmazás tervezése, jellemzően létrejön rá egy projekt szervezet, ami áll

  • a megrendelő üzleti területének képviselőiből, hiszen Ők tudják, hogy pontosan milyen üzleti célt szeretnének elérni az adott szoftver, alkalmazás által – például, hogy az adott szoftver, alkalmazás, mire legyen alkalmas, milyen funkciókkal rendelkezzen stb.,
  • a vállalkozó szakembereiből, akik megtervezik és elkészítik az adott szoftvert, alkalmazást,
  • a megrendelő egyéb, úgynevezett projekttámogató szakértőiből, akik között lehetnek pénzügyesek, jogászok, informatikusok – attól függően, milyen speciális szakértelemre van szükség az adott szoftver, alkalmazás vonatkozásában – és itt kap szerepet az adatvédelmi szakértő is.

Az adatvédelmi szakértőnek a projekt során keletkezett dokumentumok, mint például projektalapító dokumentum, szoftver, alkalmazás műszaki leírása, funkcionális és nem funkcionális specifikáció stb. tanulmányozása során azonosítania kell, hogy

  • milyen adatkezelési célok fognak megvalósulni, azok valóban mind indokoltak-e – célhoz kötöttség elvének[8] érvényesítése;
  • milyen személyes adatokat fog kezelni a szoftver, alkalmazás, azok valóban mind indokoltak-e és a feltétlenül szükségesre szorítkoznak, nem valósul meg úgynevezett „készletező” adatgyűjtés – adattakarékosság elvének[9] érvényesítése;
  • a szoftver, alkalmazás által kezelt adatokat meddig és miért addig kell megőrizni (pl. bizonylat adásnál a számviteli törvény bizonylatmegőrzési előírásait kell alkalmazni) – korlátozott tárolhatóság elvének[10] érvényesítése.

A fentieken túl azt is meg kell állapítani, hogy a szoftver, alkalmazás által végzett adatkezeléseknek mi lesz a jogalapjuk, hiszen az egyes GDPR 6. cikk (1) bekezdésben definiált jogalapok más-más előkészületeket igényelnek. Például, ha van olyan adatkezelés, aminek jogalapja a GDPR 6. cikk (1) bekezdés a) pontja[11], azaz az érintett hozzájárulása, akkor esélyesen szükségünk lesz a megfelelő helyre checkbox elhelyezésre abból a célból, hogy igazolni tudjuk, hogy az érintett tevőleges magatartással adta meg a hozzájárulását, valamint annak kigondolása is fontos feladat, hogy az érintett hogy lesz képes visszavonni a hozzájárulását. Vagy ha olyan adatkezelést végez a szoftver, applikáció, aminek jogalapja a GDPR 6. cikk (1) bekezdés f) pontja[12], azaz az adatkezelő vagy az érintett jogos érdeke, abban az esetben szükséges az adatkezelés megkezdése előtt elvégezni az úgynevezett érdekmérlegelési tesztet és biztosítani az érintettek részére a GDPR 21. cikke[13] szerinti tiltakozáshoz való jogot.

Tájékoztatási kötelezettség

A szoftvereket, alkalmazásokat a cégek vagy belső – tehát munkavállalók, szerződéses partnerek stb. – vagy külső – jellemzően ügyfelek – felhasználók számára készítik. Azonban mindkét csoportban közös, hogy adatvédelmi szempontból érintetteknek minősülnek, így mindenképpen szükséges számukra megadni a tájékoztatást az adatkezelés megkezdése előtt. Az adatkezelésről való tájékoztatás tartalmi elemeit meglehetősen egzakt módon definiálják a GDPR 12-14. cikkei. Ez azonban nem jelenti azt, hogy minden egyes pontnak megfelelő adatkezelési tájékoztatót kell készíteni. Fel kell mérni, hogy az adott szoftver, alkalmazás adatkezelése mely pontokat érint (például elképzelhető, hogy nem kell a törléshez való jogról tájékoztatni az érintetteket, mert nincs GDPR 6. cikk (1) bekezdés a) pont szerinti adatkezelés, viszont van GDPR 6. cikk (1) bekezdés f) pont alapján végzett, ami még profilalkotást is megvalósít) és a szerint szükséges elkészíteni az adatkezelési tájékoztatót, ami tulajdonképpen a szoftver, alkalmazás fejlesztés, mint projekt szempontjából az adatvédelmi szakértő egyik, ha nem a legfontosabb eredményterméke lesz. Továbbá egy nagyon fontos szempont az is, hogy az érintetteket nem elég tájékoztatni, hanem a GDPR 5. cikk (2) bekezdésében[14] definiált elszámoltathatóság elvének való megfelelés érdekében igazolható módon kell az érintettek számára a tájékoztatást megadni. Ez jellemzőn a gyakorlatban egy checkbox, ami a szoftver, alkalmazásba való regisztráció utolsó lépéseként fogad el az érintett.


[1] AZ EURÓPAI PARLAMENT ÉS A TANÁCS 2016. április 27-i (EU) 2016/679 RENDELETE a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről.

[2] GDPR 4. cikk 2. pont: a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége, így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés;

[3] GDPR 4. cikk 7. pont: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza; ha az adatkezelés céljait és eszközeit az uniós vagy a tagállami jog határozza meg, az adatkezelőt vagy az adatkezelő kijelölésére vonatkozó különös szempontokat az uniós vagy a tagállami jog is meghatározhatja;

[4] (1) Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába. (2) Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára. (3) A 42. cikk szerinti jóváhagyott tanúsítási mechanizmus felhasználható annak bizonyítása részeként, hogy az adatkezelő teljesíti az e cikk (1) és (2) bekezdésében előírt követelményeket.

[5] EDPB_Guidelines_20201020_Art25DataProtectionbyDesignbyDefault_V2.0_HU_CLEAN.docx (europa.eu)

[6] GDPR 4. cikk 8. pont: az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel;

[7] Az adatfeldolgozó által végzett adatkezelést az uniós jog vagy tagállami jog alapján létrejött olyan – az adatkezelés tárgyát, időtartamát, jellegét és célját, a személyes adatok típusát, az érintettek kategóriáit, valamint az adatkezelő kötelezettségeit és jogait meghatározó -szerződésnek vagy más jogi aktusnak kell szabályoznia, amely köti az adatfeldolgozót az adatkezelővel szemben.

[8] GDPR 5. cikk (1) bekezdés b) személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztet-hetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés.

[9] GDPR 5. cikk (1) bekezdés c) személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk.

[10] GDPR 5. cikk (1) bekezdés e) személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé; a személyes adatok ennél hosszabb ideig történő tárolására csak akkor kerülhet sor, amennyiben a személyes adatok kezelésére a 89. cikk (1) bekezdésének megfelelően közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból kerül majd sor, az e rendeletben az érintettek jogainak és szabadságainak védelme érdekében előírt megfelelő technikai és szervezési intézkedések végrehajtására is figyelemmel.

[11] az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;

[12] az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.

[13]Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

[14] Az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”).