GDPR alapfogalmak: ki az adatkezelő, mi az adat?

A GDPR alapfogalmai szinte megegyeznek a hatályos Info. törvény alapfogalmaival. Érdemes megismerkednünk az adatvédelem alapvető fogalmaival, hogy válaszoljunk arra a kérdésre, adatkezelő vagyok egyáltalán? És ha igen, milyen adatokat kezelek, mi minősül egyáltalán adatnak?

Az adat bármilyen információ lehet: fénykép, videó- vagy hangfelvétel, személyi azonosító adatok, lakcím, aláíráskép, stb.

Csak az az információ minősül adatnak viszont, ami azonosított vagy azonosítható természetes személyre vonatkozik. Ez a fogalom pontosan amiatt ilyen elvont, hogy valamennyi – természetes személlyel kapcsolatba hozható – információ bekerüljön abba a körbe, amit a jog védelemben részesít.

Adatkezelő lehet az, aki a személyes adatok tekintetében meghatározza az adatkezelés célját és eszközeit, illetve adatfeldolgozó az, aki az adatkezelő nevében adatkezelést végez. Az adatkezelés pedig bármely művelet lehet (lekérdezés, megváltoztatás, összegyűjtés, rögzítés, tárolás, stb.). Adatkezelő (vagy –feldolgozó) lehet így egy munkáltató, egy webshop, egy olyan személy (cég), aki ügyfelekkel áll kapcsolatban, egy óvoda vagy egy orvosi rendelő, egy színház vagy egy sportklub is.

Ebből következően például abban a mindennapi esetben, ha egy egyszerű kisbolt (vagy nagyáruház) kamerával figyeli meg az eladóteret (ahol a vásárlók – azok a személyek is, akik nem vásárolnak, de a kamerafelvételen láthatóak – megfordulnak), az adatkezelést a szabályoknak megfelelően kell végeznie, a vásárlóit (a boltban megforduló természetes személyeket) erről tájékoztatnia kell. Sőt, a tájékoztatás tényét, és azt, hogy az érintett ennek tudatában lépett be a bolt területére (hogy ott róla videófelvétel készül) a boltnak kell tudnia igazolni.

Egy másik példával megvilágítva: egy olyan szervezetnél, cégnél, ahol a munkavállalók adatait kezelik, az adatkezelőnek be kell tartania a következő szabályokat:

  • kifejezetten csak azokat az adatokat tárolhatja a munkavállalóról, ami munkáltatóként ahhoz szükséges, hogy a jogszabályoknak eleget téve teljesítse a munkaszerződés ráeső részét (lásd: olyan személyes adatok mint az azonosító adatok, gyermekek száma, stb., ami alapján a bérszámfejtés és az adók, járulékok levonása zajlik);
  • ha a fentieken kívül kezel adatokat (pl. a munkavállaló teljesítményére vonatkozó adatokat), az adatkezeléshez való kifejezett hozzájárulást a munkavállalótól be kell szereznie és biztosítania kell a munkavállaló ezzel kapcsolatos jogait (tájékoztatáshoz, törléshez, helyesbítéshez való jog, stb);
  • az adatkezelésekről nyilvántartást kell készítenie;
  • felelős a rendelet egyéb szabályainak betartásáért (adattovábbítás korlátai, adatfeldolgozás szabályai, adatbiztonsági szabályok betartása, adatvédelmi incidens kezelése).

Fontos különbség van az Info. törvény és a GDPR adatvédelmi incidens fogalmai között. Az Info. törvény szerint az adatvédelmi incidens személyes adat jogellenes kezelése (ilyennek tekinti a törvény a jogosulatlan hozzáférést, a jogosulatlan megváltoztatást, stb.). A GDPR szerint ezzel szemben az adatvédelmi incidens egy biztonsági sérülés, amely jogellenes közlést, hozzáférést vagy más hibát eredményez. A GDPR viszont nem csak az adat jogellenes megsemmisítését, elvesztését, megváltoztatását tekinti adatvédelmi incidensnek, hanem azt is, ha ezek VÉLETLENÜL történnek (ez a rendelet szóhasználata). Ebből azt a nyilvánvaló következtetést vonhatjuk le, hogy az adatkezelő jogszerű magatartása nem elegendő, az adatbiztonságot az adatkezelőnek folyamatosan monitoroznia kell (folyamatosan figyelnie kell az adatvédelmi incidensekre, azok elhárítására).

A hatályos Info. törvény alapján az adatkezelőnek az érintett felé a tájékoztatási kötelezettsége az érintett kérelme után áll be. A GDPR szerint az adatvédelmi incidensről haladéktalanul tájékoztatnia kell az érintettet (akkor is, ha az annak ellenére következik be, hogy jogszerűen járt el – tehát véletlen az eset).

Nehéz példát hozni a véletlen esetekre, az azonban biztos, hogy a jövőben a GDPR hatósági és bírósági gyakorlata során nagy arányban alakulnak ki viták a „jogszerű de véletlen” és a „jogszerűtlen” esetek határvonalánál.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.