Civilek és a GDPR
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Az egyházi, nemzetiségi és civil társadalmi kapcsolatokért felelős helyettes államtitkár levélben fordult a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) és kérte a civil szervezetekre vonatkozó adatvédelmi kérdései megválaszolását.
A NAIH levelében a civil szervezetek belső működésével, a megbízottakkal, munkavállalókkal és tisztségviselőkkel, a közérdekű önkéntesekkel, a szerződésben feltüntetett kapcsolattartókkal, a pályázati eljárások adatkezelésével, a civil szervezetek rendezvényein vezetett jelenléti ívekkel, az ezen szervezetek által üzemeltetett honlapokkal, közösségi médiafelületekkel, hírlevelekkel, meghívókkal, ügyféladatbázisokkal, archívumokkal, fotózás és videózás során történő adatkezeléssel, illetve a bírságokkal kapcsolatos kérdésekre válaszolt.
Civil szervezetek belső működése
A NAIH kifejtette, hogy nem kötelező adatvédelmi szabályzatot alkalmazni, kivéve, ha ez arányos. Az adatkezelőnek kell mérlegelnie, hogy a kezelt adatok mennyisége és köre alapján „arányosnak” mutatkozik-e adatvédelmi szabályzat vagy más szabályrendszer (pl. utasítás, folyamatleírás, biztonsági szabályzat) elkészítése.
Amennyiben az adatkezelő az adatvédelmi szabályzat elkészítése mellett dönt, a szabályzat alapján kialakított adatkezelési gyakorlatnak a GDPR-ral összhangban kell lennie, amely az adatkezelő, adatfeldolgozó felelőssége. Nem a működési forma, hanem a végzett tevékenység számít tehát.
A tagnyilvántartásoknak is meg kell felelniük a GDPR követelményeinek. A tag hozzájáruló nyilatkozatának tartalmaznia kell a megfelelő tájékoztatáson alapuló, szabad akaratból, kifejezett, egyértelmű, tevőleges nyilatkozatát, amellyel hozzájárul az adatkezeléshez. Az új belépőkre ezt mindenképpen alkalmazni kell, de, ha ez a jelenlegi tagok esetében nem felel meg a GDPR-nak, akkor velük is új nyilatkozatot kell aláíratni.
A civil szervezetek munkavállalói, megbízási szerződéses dolgozói, tisztségviselői
A munkavállalói adatok kezelésére a hozzájárulás jogcím nem alkalmazható, ezért felesleges a hozzájárulás beszerzése. Egyes kivételes esetekben azonban, ha a hozzájárulás szabadon és következményektől mentesen megtagadható, továbbá ha a hozzájárulás nem a munkaviszony fenntartásának feltétele.
A GDPR alapján a munkaszerződés szerinti jogi kötelezettség teljesítése is lehet érvényes jogcím a jogszabályban meghatározott személyes adatok kezelésére. A jogszabályban kifejezetten meg nem jelölt, de a munkaviszonnyal kapcsolatban feltétlenül szükséges további személyes adatok vonatkozásában pedig a munkaszerződés teljesítését lehet jogalapként megjelölni.
A közérdekű önkéntes tevékenységről szóló 2005. évi LXXXVIII. törvény alapján kötelező a szerződés írásba foglalása, de szerződés teljesítéséhez szükséges adatkezelés, mint jogalap alkalmazásának nem feltétele az írásbeli szerződés. Az adatkezelő felelőssége és kockázata, hogy jogvita esetén írásbeli szerződés hiányában tudja-e bizonyítani az önkéntessel fennálló jogviszonyt, illetve azt, hogy csak a jogviszonyhoz szükséges mértékben és ideig kezelte az önkéntesek személyes adatait, és hogy a GDPR szerinti egyéb kötelezettségeinek eleget tett. Az adatkezelés tényéről, mértékéről, feltételeiről a GDPR rendelkezései alapján eljárva, igazolhatóan tájékoztatni szükséges az önkéntest is. Az önkéntesekre vonatkozó szabályozás a továbbiakban nem tér el a munkavállalókra irányadó rendelkezésektől, mivel a személyes adatok védelmének szintje nem a szerződéses jogviszony típusától függ, hanem a védendő alapjogtól és az érintettek jogait fenyegető kockázatoktól.
Mindenképpen ajánlott kiskorú diákok foglalkoztatása esetén a szerződés írásba foglalása. A GDPR a kiskorúak személyes adatainak kezelésével kapcsolatban a fokozott védelem elvét követi. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg.
[htmlbox gdpr_komm]
Szerződésekben szereplő kapcsolattartói adatok
Ezen személyes adatok kezelésének célja a kapcsolatfelvétel lehetővé tétele, így a kapcsolattartók adatait a harmadik személy adatkezelő és a kapcsolattartó munkáltatója, megbízója, jogos érdekére hivatkozással a szükséges mértékben kezelhetőek. Ebben az esetben érdekmérlegelési teszt elvégzése szükséges. A teszt eredménye alapján meg kell állapítani, hogy az érintett személyes adatainak kezelése a munkaköre vagy megbízása, ellátása során a munkáltató, megbízó, jogos érdekénél csekélyebb jogkorlátozást szenved el, tekintettel arra, hogy ezen adatok megismerhetőségéhez nyomós munkáltatói, megbízói, érdek fűződik.
Pályázati elszámolásokkal kapcsolatos adatkezelési jogalap
A pályázatok egy része keretében európai uniós jogi aktus vagy magyar jogszabály írja elő az adott személyes adat kezelését és annak feltételeit, ezen esetben a jogalap az adatkezelőre vonatkozó jogi kötelezettség teljesítése lesz.
Amennyiben nem jogszabály írja elő, de a pályázat teljesítéséhez vagy ellenőrzéséhez feltétlenül szükséges személyes adatról van szó, akkor az adatkezelő jogos érdeke alapján kezelhetők a személyes adatok, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. Ilyen esetben érdekmérlegelési tesztet kell végezni.
Civil szervezetek rendezvényein vezetett jelenléti ívek
A készletező adatgyűjtés, „adatfelhalmozás” a GDPR-t megelőző jogszabályi környezetben is jogellenes volt, ez nem változik. Ennek megfelelően akkor jogszerű a rendezvényeken a jelenléti ívek vezetése, ha van konkrét, jogos adatkezelési cél, megfelelő tájékoztatás és igazolható, GDPR-nak megfelelő hozzájárulás.
Honlap, közösségi média
A honlapot működtető, illetve hírlevelet kiküldő civil szervezetek másokkal azonos feltételek mellett működhetnek, azaz személyes adatot csak a GDPR szerinti valamely jogcím alapján kezelhetnek. Hírlevél esetén ez jellemzően a hozzájárulás.
Attól, hogy egy adott cél érdekében nyilvánosan elérhetőek, a személyes adatok nem esnek ki az alapjogi védelem alól és válnak bárki által szabadon felhasználhatóvá.
Olyan képek és videók közzététele esetén, ahol harmadik személyek felismerhetőek és eddig nem volt sem hozzájárulás, sem más jogalap a kezelésükre és nyilvánosságra hozatalukra, az adatkezelés jogellenes. Megfelelő adatvédelmi tájékoztatást kell adni az érintetteknek, akár a honlapon közzétéve, akár más igazolható módon.
Adatvédelmi tájékoztatás minta nem készíthető mindenkire általános jelleggel. A Hatóság tapasztalata szerint az általános adatvédelmi tájékoztató mintát átvevő adatkezelők tényleges gyakorlata sokszor nagyon eltér a leírtaktól, így a minta alkalmazása sokszor inkább félrevezeti az érintetteket, és éppen ez teszi jogellenessé az adatkezelést.
Hírlevél
Nem szükséges az érintett ismételt hozzájárulása, ha a korábban adott hozzájárulása megfelel a GDPR-nak, vagy egyéb jogalap fennáll a további adatkezelésre és erről megfelelően tájékoztatja az az adatkezelő az érintetteket. A hírlevélküldés célú adatkezeléshez a GDPR-nak megfelelő hozzájárulást nem szükséges időszakosan az érintetteknek megerősíteni, ha a feliratkozás határozatlan időre történt. Minden egyes hírlevélben meg kell adni az akadálymentes leiratkozás lehetőségét, mely nem lehet időigényesebb vagy bonyolultabb, mint a feliratkozás. Ugyanazon követelményeknek kell megfelelnie a már működő adatbázisnak, mintha abban kizárólag GDPR hatálya alatt gyűjtött adat lenne.
[htmlbox Jogászvilág_hírlevél]
Archívum
A közérdekű archiválás céljából folytatott adatkezelésekre, megfelelő garanciák mellett, tagállami jog állapíthat meg a GDPR alóli kivételeket, könnyítéseket. Amennyiben a tagállami jog ilyet nem állapít meg, vagy az adott archiválás a tagállami jog szerint nem minősül „közérdekű archiválás”-nak, csak „készletező adatgyűjtésnek” az nem jogszerű.
Fotókhoz és mozgóképekhez kapcsolódó személyiségi jogok
A rendezvényen résztvevőket előzetesen, megfelelő formában, igazolhatóan tájékoztatni szükséges a felvételkészítésről és annak jogalapjáról.
Ha a rendezvényre nem lehet belépni úgy, hogy a kép, vagy videó készítése kizárható lenne, akkor önkéntes hozzájárulás a GDPR alapján nem adható, jogszabályi előírás híján az adatkezelő vagy harmadik személy jogos érdeke lehet a jogalap megfelelő érdekmérlegelési teszt és tájékoztatás mellett. A tájékoztatásban pontosan meg kell határozni ki, milyen célból és milyen felületen teszi közzé vagy használhatja fel, milyen címzettek részére adhatja át a felvételeket, és mennyi ideig kezelheti azokat. Ha nem tájékoztatható az érintett a kapcsolat hiánya miatt, akkor a személyes adatát tartalmazó felvételt vagy törölni, vagy anonimizálni kell.
Bírságok/Hatóság
A bírságolási gyakorlatot az összes tagállam adatvédelmi hatósága és az az általános adatvédelmi rendelet alkalmazásáért felelős uniós szerv, az Európai Adatvédelmi Testület, valamint a hatóságok határozatait felülvizsgáló tagállami bíróságok, végső soron az Európai Unió Bírósága alakítják ki. A Hatóság a saját gyakorlatát erre tekintettel alakítja ki a GDPR rendelkezéseire figyelemmel.
Minél nagyobb az érintettekre a jogellenes adatkezelésből adott esetben bekövetkező hátrány, illetve az ilyen hátrány bekövetkezésének kockázata, továbbá minél kevésbé korrigálható a helyzet, annál szigorúbb elvárásokra, és ebből következően szigorúbb jogkövetkezményekre számíthat az adatkezelő, illetve az adatfeldolgozó.
A kevés anyagi forrás önmagában nem mentesít a kárfelelősség alól, ha nagyszámú és nagy értékű személyes adatot kezel egy civil szervezet. Egyes szervezeteknek célszerű lehet olyan adatfeldolgozót igénybe venni, amely a megfelelő feltételeket szavatolni tudja, mivel adott esetben ez költséghatékonyabb lehet egy saját rendszer alkalmazásánál.
Amennyiben egy kisebb civil szervezet nem biztos abban, hogy a nyilvántartási rendszere a szükséges biztonsági követelményeknek eleget tesz, célszerű lehet egy egyszeri informatikai szakértői véleményt beszerezni, mivel ez elsősorban technikai kérdés.
Egyebek
A ráutaló jellegű hozzájáruláson alapuló adatkezelésre csak akkor kerülhet sor, ha az érintett egyértelmű megerősítő cselekedettel, például írásbeli – ideértve az elektronikus úton tett –, vagy szóbeli nyilatkozattal önkéntes, konkrét, tájékoztatáson alapuló és egyértelmű hozzájárulását adja a természetes személyt érintő személyes adatok kezeléséhez. A hallgatás, az előre bejelölt négyzet vagy a nem cselekvés ezért nem minősül hozzájárulásnak. A hozzájárulás az ugyanazon cél vagy célok érdekében végzett összes adatkezelési tevékenységre kiterjed. Ha az adatkezelés egyszerre több célt is szolgál, akkor a hozzájárulást az összes adatkezelési célra vonatkozóan meg kell adni. Ha az érintett hozzájárulását elektronikus felkérést követően adja meg, a felkérésnek egyértelműnek és tömörnek kell lennie, és az nem gátolhatja szükségtelenül azon szolgáltatás igénybevételét, amely vonatkozásában a hozzájárulást kérik. Amennyiben a hozzájárulás következményei aláássák az egyén választási szabadságát, a hozzájárulás nem minősül önkéntesnek.
A kiküldetési rendelvény olyan bizonylat, amellyel a hivatali, illetve üzleti utazásokat van lehetőség elszámolni magángépjárműre, méghozzá bizonyos feltételek teljesítésével adómentesen. Mivel ennek adattartalmát az adózással kapcsolatos jogszabályok határozzák meg, az adatkezelés a jogszabály által az elszámoláshoz feltétlenül megkövetelt személyes adatok tekintetében a jogszabályi kötelezettség teljesítése jogcím alapján lehet jogszerű. Az érintettet ebben az esetben is tájékoztatni kell a kezelt adatok köréről, az adatkezelés céljáról, jogalapjáról, az ezt előíró jogszabályi rendelkezésről, és időtartamról, valamint arról, hogy ilyen esetben őt milyen jogok illetik meg. Ezek a szabályok a számla kiállításával és az azon szereplő személyes adatok kezelésével kapcsolatos adatkezelésre is irányadóak.
(naih.hu)