A Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban: NAIH) adatvédelmi reformmal kapcsolatos állásfoglalásai, (korábbi) ajánlásai és az egyedi ügyekben hozott határozatai iránytűként szolgálhatnak az Európai Unió általános adatvédelmi rendeletének (General Data Protection Regulation – GDPR) való jogi megfelelésben, a helyes adatkezelési gyakorlat kereteinek kialakításában.
A NAIH már a GDPR alkalmazását megelőzően is kimunkált gyakorlattal rendelkezett az érintett hozzájárulása alapjául szolgáló adatkezelési tájékoztató formai és tartalmi követelményeit érintően, de 2018. május 25. napja után is több hatósági állásfoglalás érintette ezt a témakört. Jelen cikkben a NAIH legfontosabb megállapításait foglaljuk össze.
Kiindulópont: adatkezelési tájékoztató nélkül az érintett hozzájárulása nem felel meg a GDPR-nak
A GDPR 4. cikk 11. pontja szerint a hozzájárulás az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. Azaz az érintett hozzájáruló nyilatkozata csak akkor felel meg a GDPR-nak, ha azt az érintett előzetes tájékoztatás alapján tette. Fontos kiemelni, hogy az előzetes tájékoztatás megtörténtének tényét – az elszámoltathatóság elvére tekintettel – az adatkezelőnek kell tudnia bizonyítani. Ennek egyik legjobb eszköze, ha a hozzájáruló nyilatkozat – folyamatos oldalszámozás mellett, a lapok összetűzésével – követi az adatkezelési tájékoztatót.
Az adatkezelési tájékoztató legfontosabb formai követelményei
A NAIH elvárja, hogy az adatkezelési tájékoztató jól olvasható (megfelelő betűméret) és átlátható, megfelelően strukturált legyen. Jó gyakorlat a NAIH álláspontja szerint a táblázatos forma alkalmazása. Segítheti az adatkezelési tájékoztató érintett által történő megértését az is, ha annak felépítésében az adatkezelő a kérdezz-felelek formát követi. Fontos követelmény, hogy az adatkezelési tájékoztató hozzáférhető legyen az érintett számára (pl. egy weboldalon láblécben elhelyezve).
Az adatkezelési tájékoztató legfontosabb tartalmi követelményei a GDPR-ban rögzített kötelező tartalmi elemeken túlmenően
A NAIH álláspontja szerint – összhangban a GDPR preambulumával (58. pont) és a GDPR 12. cikk (1) bekezdésével – a tájékoztatás többek között akkor megfelelő, ha figyelemmel van az érintettek körére (csoport-specifikus ismérvekre), megfogalmazása világos és közérthető. A gyakorlatban előforduló tipikus hiba többek között az adatkezelési tájékoztató túl általános vagy túl bonyolult megszövegezése, a példák mellőzése vagy az érintettek életkorának (mint csoport-specifikus ismérv) figyelmen kívül hagyása.
A világos és közérthető megfogalmazás követelménye azt is jelenti, hogy az adatkezelési tájékoztató nyelvileg is hozzáférhető az érintett számára. A NAIH korábbi álláspontja szerint is, „amennyiben az adatkezelő szándéka szerint az adatkezelés eleve kiterjed külföldi állampolgárok személyes adataira (például egy hostel vendégkönyve, külföldieknek szóló pályázat), az adatkezelőnek biztosítania kell azt, hogy az adatkezelési tájékoztató legalább angol nyelven elérhető legyen”. A NAIH a 95/46/EK irányelv 29. cikke alapján létrehozott Adatvédelmi Munkacsoport által kibocsátott, a GDPR alkalmazását és értelmezését segítő, az átláthatóságról szóló WP260 rev.01. iránymutatás alapján pedig úgy fogalmazott, hogy „amennyiben megállapítható, hogy egy alkalmazásnak adott országban, így pl. Magyarországon élő/tartózkodó érintettek is a címzettjei – például azért, mert a webhely ezen a nyelven is hozzáférhető –, akkor elvárható, hogy az adatvédelmi tájékoztató magyar nyelven is elérhető legyen, és ebben az esetben a világos és közérthető megfogalmazás követelményének sérelmére enged következtetni ennek hiánya. Ebben az esetben az adatkezelés a megfelelő tájékoztatás hiánya miatt a GDPR 13. cikkét sértené.”
Az adatkezelőnek az adatkezelési tájékoztató megszövegezésekor és annak alkalmazása során a NAIH fenti megállapításait javasolt figyelembe venni, és azokat adatkezelési gyakorlatába beépíteni, hiszen a NAIH egy esetleges vizsgálat során – összhangban a GDPR-ral – a fentieknek megfelelő adatkezelést fogja megkövetelni az adatkezelőtől.
Amennyiben Önt is érdekli, hogy cége adatkezelési gyakorlata megfelel-e a GDPR követelményeinek, lépjen velünk kapcsolatba, egy adatvédelmi átvilágítás során szívesen áttekintjük jelenlegi helyzetét!
