Melyek a mindennapi adatkezelési folyamatok során leggyakrabban felmerülő és adott esetben bírságot eredményező hatósági döntések? – Cikkünk összefoglalja a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elmúlt években nyilvánosságra hozott határozataiból levonható tendenciákat és tanulságokat.
A weboldalon elhelyezett sütik
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egy vizsgálata során 2022. évben egy eljárás alá vonttal szembeni, az egyes weboldalakkal kapcsolatos adatkezelések vizsgálatára vonatkozó adatvédelmi hatósági eljárásában megállapította, hogy a weboldalakon szereplő tájékoztatás nem volt megfelelő, az oldalak működéséhez szükséges és nem szükséges adatok kezelése nem különült el egymástól világosan, valamint a sütikhez kért hozzájárulás nem felelt meg az általános adatvédelmi rendelet (GDPR) rendelkezéseinek. Az összefoglaltakra tekintettel a NAIH 10 millió forint összegű bírságot szabott ki az adatkezelővel szemben.
A NAIH határozatában több elvárást is megfogalmazott mind a tájékoztatási kötelezettség, mind pedig a sütihasználat jogszerűsége kapcsán. E körben a NAIH kifejtette, hogy
az adatkezelő a hozzájárulás megszerzése előtt köteles olyan tájékoztatást nyújtani az érintett részére, amely alapján tájékozott hozzájárulás adható.
Az adatkezeléshez történő érintetti hozzájárulás csak akkor lehet érvényes, ha azt konkrét célokra – célonként külön megadhatóan – kérik, és előtte megfelelő tájékoztatást nyújtanak, amely olyan helyzetbe hozza az érintettet, hogy megfelelő döntést tudjon hozni a hozzájárulás megadásáról, és megfelel az általános adatvédelmi rendeletben előírt valamennyi egyéb érvényességi követelménynek. A GDPR rendelet szerint az adatkezelőnek az érintett számára olyan segítséget kell nyújtania, hogy az minden érintetti jogát tájékozottan tudja gyakorolni.
A tájékoztatást tömör, átlátható, érthető és közérthető, valamint könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtani az érintettek számára.
A rendkívül hosszú tájékoztató szöveg a képernyő indokolatlanul kicsi területén, mely egyszerre néhány soronként olvasható, nem megfelelő.
A személyes adatokat és a sütiket tételesen meg kell jelölni, a sütik célját pontosan meg kell határozni,
valamint helytelen az, ha a hozzájárulás és jogos érdek jogalapú sütik esetén érdemben azonos célok kerülnek feltüntetésre.
A sütik segítségével történő adatkezelés jogszerűsége kapcsán a NAIH leszögezi, hogy
a megfelelő tájékoztatás hiányában főszabály szerint a hozzájárulásra alapított adatkezelés önmagában jogszerűtlen.
Az érvényes hozzájáruláshoz minimum követelményként szükség van a tájékoztatóban az adatkezelő kilétének, az adatkezelés céljának, a gyűjtött adatok típusának meghatározására, valamint fel kell hívni az érintett figyelmét a hozzájárulás visszavonásához való jogára, adott esetben fel kell tüntetni az adatok automatizált döntéshozatal céljából történő felhasználására vonatkozó tájékoztatást, illetve az adattovábbításoknak a megfelelőségi határozat és a GDPR 46. cikkben ismertetett megfelelő garanciák hiányából fakadó lehetséges kockázatait. Ezen minimum követelményeken felül szükség van továbbá minden olyan információ megadására is, amely fontos lehet egy tipikus érintett döntésénél.
Kiemelendő továbbá, hogy a hozzájárulás visszavonásának ugyanolyan egyszerűnek kell lennie, mint a hozzájárulás megadásának, valamint, amennyiben az adatkezelés jogalapjaként jogos érdek kerül megjelölésre, úgy minden esetben érdekmérlegelési tesztet kell készíteni.
Az adatkezelési tájékoztató
Egy 2020. augusztusi határozatában a NAIH figyelmeztetésben részesített egy adatkezelőt az adatkezelési tájékoztató valósággal nem egyezőségére, illetve az abban fellelhető hiányokra tekintettel.
A határozatból egyértelműen kiderül, hogy
az adatkezelési tájékoztatónak meg kell felelnie a valóságnak,
azaz abban kizárólag az adatkezelő gyakorlatban ténylegesen megvalósuló adatkezelését kell leképezni, a valóságban nem folytatott adatkezelésekre vonatkozó részek törlendőek az adatkezelési tájékoztatójából.
Az adatkezelés jogalapját egyértelműen, az egyes kezelt adattípusokhoz és célokhoz rendelten kell meghatározni. A GDPR rendeletben taxatívan felsorolt jogalapok egyikén kell, hogy alapuljon minden egyes személyes adat minden egyes célból történő kezelése. Az érintetti jogok gyakorlásáról – különös tekintettel a hozzáférési és törlési jogra –, valamint az érintett jogorvoslati jogairól (a NAIH-hoz vagy bírósághoz fordulás lehetősége és módja) az adatkezelési tájékoztatónak minden esetben tömör, de informatív tájékoztatást kell nyújtania.
A NAIH egy korábbi, 2018. évi ügyben rögzítette, hogy az érintett hozzájárulása csak abban az esetben kerülhet megjelölésre az adatkezelés jogalapjaként, ha az megfelelő előzetes tájékoztatáson alapul, azaz ha a tájékoztatás alapján az érintett képes felismerni, hogy az adott adatkezelés milyen hatással van az információs önrendelkezési jogára és a magánszférájára. Ezen megfelelő tájékoztatás lényeges feltétele, hogy az igazodjon az érintettek köréhez és közérthető legyen.
Az Adatvédelmi Munkacsoport iránymutatása alapján, amennyiben megállapítható, hogy egy alkalmazásnak/webhelynek adott országban, pl. Magyarországon élő/tartózkodó címzettjei van – például azért, mert az alkalmazás/webhely ezen a nyelven (magyarul) is hozzáférhető –, elvárható, hogy
az adatvédelmi tájékoztató az adott ország nyelvén (magyarul) is elérhető legyen.
Ennek hiánya a világos és közérhető megfogalmazás követelményének sérelmét jelentheti és a megfelelő tájékoztatás hiánya a GDPR rendelkezéseit sértheti.