Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A NAIH tájékoztatójában áttekintette az Erzsébet táborokban felvett kérdőívek adatkezelési vonatkozásait.
A sajtóban számos állítás fogalmazódott meg az Erzsébet a Kárpát-medencei Gyermekekért Alapítvány (a továbbiakban: Alapítvány) által szervezett táborokban bevezetett kérdőíves adatgyűjtés kockázatairól, illetve azzal kapcsolatban több beadvány is érkezett a Nemzeti Adatvédelmi Hatósághoz.
A NAIH ezért a gyermekeket érintő, kutatási célú névtelen adatgyűjtések kapcsán fel kívánja hívni a figyelmet az adatok valóban anonim gyűjtéséhez, felhasználásához, kezeléséhez kapcsolódó adatvédelmi követelményekre.
A GDPR (26) preambulum-bekezdése értelmében azokat az adatokat, amelyeket további információ felhasználásával valamely természetes személlyel kapcsolatba lehet hozni, azonosítható természetes személyre vonatkozó álnevesített (pszeudonim) személyes adatnak kell tekinteni, kezelésükre vonatkozóan az adatvédelmi előírásokat alkalmazni kell.
Fentiek alapján személyes adatként védendőek azok az álnevesített adatok, amelyek egyenként nem, azonban összességükben–egy adatbázis sorban történő rögzítésük eredményeképpen, vagy az adatok begyűjtésének módjára, az abban résztvevő személyekre tekintettel–egy konkrét személyhez rendelhetők, kapcsolatuk az érintettel még helyreállítható.
Anonim–tehát az álnevesített(pszeudonim)adatokkal ellentétben személyes adatnak nem minősülő –adatok létrehozásához tehát sok esetben nem elegendő csupán az érintett adatainak megadásától eltekinteni, esetleg nevüket kitakarni, hanem gondoskodni kell a személyes adatok és az érintett kapcsolatának helyreállíthatatlanságáról is.
Az Erzsébet-táborokban alkalmazott kérdőíves adatgyűjtésesetében az anonim kérdőíves felmérésszervezési intézkedésekkel garantálható lehet, például oly módon, hogyha a kérdőívek kitöltetése kapcsán közreműködő, azt felügyelő személyek köre elkülönül a kérdőívek feldolgozását, kiértékelését végző személyi körtől, valamint ha a táborba jelentkezők jelentkezési lapját, az azokban tárolt adatokat a kérdőívek kiértékelését, az abban foglalt adatok rögzítését végzők nem jogosultak megismerni.
E vonatkozásban megfelelő lehet minden olyan intézkedés, amely biztosítja, hogy a kérdőíveket úgy gyűjtsék össze, hogy a kérdőívet ne lehessen a kitöltőjével kapcsolatba hozni (pl. gyűjtőládákat helyeznek ki, melyekbe a táborozók be tudják dobni a kitöltött kérdőíveket) és a helyszínen a gyermekekkel foglalkozó, napi szinten kapcsolatot tartó–így személyazonosságukat, esetleg családi körülményeiket ismerő –személyek ne tekinthessenek be a begyűjtött kérdőívekbe.
Ennek érdekében előzetesen szükséges meghatározni, hogy a kitöltött kérdőívekhez, a táborba jelentkező gyermekek egyéb adataihoz mely szervezetek, mely munkakört ellátó személyek és milyen célból férhetnek hozzá, valamint azt is, hogy ha elektronikus úton kerülnek az adatok begyűjtésre, akkor azokat hol tárolják, meddig maradnak a levelező rendszerben, ha papír alapon, akkor hogyan választják el azokat az eltérő megőrzési idejű, esetleg a gazdasági elszámolással kapcsolatos adatoktól.
Amennyiben a kérdőívek kiosztásában, összegyűjtésében és feldolgozásában, kiértékelésében részt vevő személyek sem tudják az érintetthez rendelni a kérdőívet, tehát az alkalmazott eljárásrend teljes mértékben megszakít minden kapcsolatot az érintettel, és a kérdőívek pusztán statisztikai adatként használhatók fel, valamint a továbbra is rendelkezésre álló adatok összessége segítségével sem lehet a konkrét személyhez kapcsolni a kérdőívet és annak tartalmát, a keletkező adat anonim adatnak tekinthető, mely adatok kezelésére már nem kell alkalmazni a személyes adatok védelmére vonatkozó szabályokat.
Eltérő esetekben, így például, ha az adatok összerendezése útján a rendelkezésre álló részinformációk teljességéből, akár egy konkrét csoporton belül meg lehet állapítani, hogy az egyes kérdőívek mely természetes személyekhez kapcsolódnak, akkor azok kezelése továbbra is a személyes adatok védelmére vonatkozó szabályok hatálya alá tartozik, így alkalmazni kell a GDPR adatvédelmi alapelveit és egyéb előírásait.
(naih.hu)
