Szonda László
kereskedelmi menedzser

Személyes adatok védelme

Már nem mai a történet, amit ma papírra vetek, de emlékezetes történés volt a munkám során, ami ma sem vesztette el az aktualitását.

Még egy éve sincs, hogy szerződésközeli állapotba kerültünk a SmartEvents® termékünkkel kapcsolatban. Már túl voltunk az „ismerkedés – ajánlat – jó lesz ez nekünk – küldjük a szerződést”stációkon, mikor ügyfelünk – egy nagymúltú és nagytekintélyű ipari cég – közölte, hogy szerződéskötést megelőzően várják az adatkezelési nyilatkozatot.

Hm ... ilyennel addig nem rendelkeztünk.

Valahonnan tudtam (mondták?), hogy adatkezelési engedélyt kell kérni a NAIH-tól. Ezen ne múljon: megkértem. Gyorsan meg is jött a válasz. A lényege az volt, hogy mivel az adatkezelés mind olyan személyeket érint, akik az ügyfeleink, így ezt a Hatóság nem tartja nyilván.

Ismét … hm.

Ez egy olyan válasz volt, amire nem számítottam, bele is tette a bogarat a fülembe. Elkezdtem magam beásni a témába. Az első lépés nálam jellemzően az, hogy csak megnézem, mit is ír a jogszabály. Előkaptam tehát az online jogtárat, és végigolvastam a kérdéses jogszabályt, a 2011. évi CXII. tv. az információs önrendelkezési jogról és az információszabadságról.

Ahogy olvastam, egyre több lett a kétség bennem: „biztos, hogy jól értelmezem a szöveget? hisz mégiscsak jogászoktól jött az info, ők meg csak nem tévedhetnek  – vagy mégis?”

Visszatérve a jogszabályra – az adatkezelő és az adatfeldolgozó definíciója kezdett el izgatni: itt nem fért a fejembe valami. Láttam, hogy az adatkezelő nagyobb felelősséggel viseltetik, több a feladata is, mint adatkezelő, így egyáltalán nem volt mindegy, hogy mi melyik „kalapba” tartozunk.

A kérdésre, hogy hogyan is jutottam erre az álláspontra, csak egy tényszerű és száraz összefoglalóval tudok válaszolni. Ez akár át is ugorható – ott a végén a konklúzió. Azonban akit érdekelnek a részletek, annak ajánlom ezt az összefoglalót, amit anno ügyfelünknek is átküldtem (… és a hitelesség miatt itt most szó szerinti idézet jön):

  1. Az, hogy mi a személyes adat, ki az érintett, azt a tv. 3.§-a határozza meg. Ez semmilyen különbséget nem tesz aközött, hogy az érintett az adatkezelő alkalmazottja-e vagy sem. Számomra teljesen adekvát pl., hogy az én személyes adataimat az UniOffice – ahol alkalmazott vagyok – kezeli.
    3.§
    1. érintett: bármely meghatározott, személyes adat alapján azonosított vagy - közvetlenül vagy közvetve - azonosítható természetes személy;
    2. személyes adat: az érintettel kapcsolatba hozható adat - különösen az érintett neve, azonosító jele, valamint egy vagy több fizikai, fiziológiai, mentális, gazdasági, kulturális vagy szociális azonosságára jellemző ismeret -, valamint az adatból levonható, az érintettre vonatkozó következtetés;
  2. Szintén ugyanez a paragrafus jellemzi (a 10. pontban), hogy mi az adatkezelés. Ez elsőre csalóka lehet, mert a hétköznapi értelemben véve ez mind olyan dolog, amit a SmartEvents® végez, ugyanakkor ezt mi csak technikai értelemben tesszük. Ez fontos, mivel a 3.§ 17. (adatfeldolgozás) és 18. (adatfeldolgozó) pontok pontosan megállnak a SmartEvents®-re – azaz az adatgyűjtést kizárólag az Önök (mint véleményünk szerint adatkezelő) szerződéses megbízása alapján végezzük e technikai feladatot.
    3.§
    10. adatkezelés: az alkalmazott eljárástól függetlenül az adaton végzett bármely művelet vagy a műveletek összessége, így különösen gyűjtése, felvétele, rögzítése, rendszerezése, tárolása, megváltoztatása, felhasználása, lekérdezése, továbbítása, nyilvánosságra hozatala, összehangolása vagy összekapcsolása, zárolása, törlése és megsemmisítése, valamint az adat további felhasználásának megakadályozása, fénykép-, hang- vagy képfelvétel készítése, valamint a személy azonosítására alkalmas fizikai jellemzők (pl. ujj- vagy tenyérnyomat, DNS-minta, íriszkép) rögzítése; Az UniOffice adatkezelést nem végez. A SmartEvents® alkalmazása során történő adatgyűjtés kizárólag adatkezelő szerződéses megbízása alapján történik.
    17. adatfeldolgozás: az adatkezelési műveletekhez kapcsolódó technikai feladatok elvégzése, függetlenül a műveletek végrehajtásához alkalmazott módszertől és eszköztől, valamint az alkalmazás helyétől, feltéve hogy a technikai feladatot az adaton végzik; A SmartEvents® alkalmazása kimeríti ennek fogalmát.
    18. adatfeldolgozó: az a természetes vagy jogi személy, illetve jogi személyiséggel nem rendelkező szervezet, aki vagy amely szerződés alapján - beleértve a jogszabály rendelkezése alapján kötött szerződést is - adatok feldolgozását végzi; Az UniOffice beleesik ebbe a kritériumba: adatok feldolgozását kizárólag (adatkezelővel) kötött szerződés alapján végezzük.
  3. Szintén fontos, hogy a SmartEvents® működése során kizárólag az Önök megbízása (szerződése) alapján járunk el. Minden adatot Önöktől kapunk (nevek, emailcímek, telefonszámok stb.) – semmi olyan adatot nem gyűjtünk be, amivel Önök ne rendelkeznének. (Ld. 10.§)
    10.§
    (1) Az adatfeldolgozónak a személyes adatok feldolgozásával kapcsolatos jogait és kötelezettségeit e törvény, valamint az adatkezelésre vonatkozó külön törvények keretei között az adatkezelő határozza meg. Az általa adott utasítások jogszerűségéért az adatkezelő felel. Az UniOffice Rendszerház kizárólag az adatkezelővel kötött szerződés szerint jár el az adatfeldolgozás során.
    (2) Az adatfeldolgozó az adatkezelő rendelkezése szerint vehet igénybe további adatfeldolgozót. Ugyanaz, mint a 8.§ (1) esetében: a SmartEvents® használata és üzemeltetése során semmilyen további adatkezelővel való kapcsolat nem szükséges.
    (3) Az adatfeldolgozó az adatkezelést érintő érdemi döntést nem hozhat, a tudomására jutott személyes adatokat kizárólag az adatkezelő rendelkezései szerint dolgozhatja fel, saját céljára adatfeldolgozást nem végezhet, továbbá a személyes adatokat az adatkezelő rendelkezései szerint köteles tárolni és megőrizni. Az UniOffice Rendszerház – mint adatfeldolgozó – és az adatkezelő közti szerződés rögzíti, hogy a SmartEvents® alkalmazása során milyen adatkezelési folyamatok zajlanak. Az UniOffice Rendszerház ezen kívül további adatkezelési tevékenységet nem végez.
    (4) Az adatfeldolgozásra vonatkozó szerződést írásba kell foglalni. Az adatfeldolgozással nem bízható meg olyan szervezet, amely a feldolgozandó személyes adatokat felhasználó üzleti tevékenységben érdekelt. A SmartEvents® felhasználása minden esetben írásos szerződés alapján történik.
    A bekezdés második mondata nem vonatkozik az UniOffice Rendszerházra, mivel a személyes adatokat felhasználó szervezet (azaz adatkezelő) üzleti tevékenységében nem vagyunk érdekeltek.
  4. NAIH nyilvántartás. Amikor még „tudatlanok” voltunk, kértünk egy adatkezelési engedélyt a NAIH-tól. (Majd meg is kaptuk a választ, amely tulajdonképpen elindított bennünket azon az úton, hogy alaposabban is megismerjük a tv.-t.) A válasz lényege az volt, hogy mivel az adatkezelés mind olyan személyeket érint, akik az ügyfeleink, így ezt a Hatóság nem tartja nyilván. Később megtudtuk, hogy ezt a 65. §. (3) írja le. Tehát nem azt mondja, hogy nem folyik ez esetben adatkezelés, csupán azt, hogy ez olyan adatkezelés, melyet nem kell a Hatóság részére bejelenteni. Ez jelen esetben azt jelenti, hogy Önöknek, mint adatkezelőnek nem kell ezt az adatkezelést bejelenteni, mivel azon az Önökkel (vagy leányvállalatukkal) munkaviszonyban lévők vesznek részt.
    65.§
    (1) Az adatkezelő személyes adatokra vonatkozó adatkezeléseiről, az érintettek tájékozódásának elősegítése érdekében a Hatóság hatósági nyilvántartást (a továbbiakban: adatvédelmi nyilvántartás) vezet, amely - a (2) bekezdésben meghatározott kivételekkel - tartalmazza
    a) az adatkezelés célját,
    b) az adatkezelés jogalapját,
    c) az érintettek körét,
    d) az érintettekre vonatkozó adatok leírását,
    e) az adatok forrását,
    f) az adatok kezelésének időtartamát,
    g) a továbbított adatok fajtáját, címzettjét és a továbbítás jogalapját, ideértve a harmadik országokba irányuló adattovábbításokat is,
    h) az adatkezelő, valamint az adatfeldolgozó nevét és címét, a tényleges adatkezelés, illetve az adatfeldolgozás helyét és az adatfeldolgozónak az adatkezeléssel összefüggő tevékenységét,
    i) az alkalmazott adatfeldolgozási technológia jellegét,
    j) a belső adatvédelmi felelős alkalmazása esetén annak nevét és elérhetőségi adatait.
    Ad.1 – ez csak az adatkezelő feladata
    Ad.2 – a 65.§ (3) alapján nem kell a hatósághoz bejelentkezni
    (3) Nem vezet adatvédelmi nyilvántartást a Hatóság arról az adatkezelésről, amely
    a) az adatkezelővel munkaviszonyban, tagsági viszonyban, óvodai nevelésben való részvételre irányuló, tanulói vagy tanulószerződéses jogviszonyban, kollégiumi tagsági viszonyban vagy – a pénzügyi szervezetek, közüzemi szolgáltatók, elektronikus hírközlési szolgáltatók ügyfelei kivételével - ügyfélkapcsolatban álló személyek adataira vonatkozik;
    Mivel a SmartEvents® alkalmazása során olyan érintettekről (ld. 3.§) van szó, akik az adatkezelővel ügyfélkapcsolatban állnak, így erről nem vezet adatvédelmi nyilvántartást a Hatóság. Erről az UniOffice Rendszerháznak hivatalos dokumentuma van a NAIH-tól.

    (Kivétel lehet ez esetben az UniOffice (adatfeldolgozó) olyan (adatkezelő) szerződéses partnere, mely pénzügyi szervezetnek, közüzemi szolgáltatónak vagy elektronikus hírközlési szolgáltatónak minősül, azonban ebben az esetben is nekik, és nem az UniOffice Rendszerháznak kell a nyilvántartásba bejelentkezni!)

Ügyfelünk korábban kiemelte, hogy …

„… nem mi vagyunk az adatkezelők, és ezért nem a mi feladatunk a nyilatkozat elkészítése. Hiszen nem cégünk biztosítja saját munkavállalóit arról, hogy az adatokat bizalmasan kezeljük – hanem Önök mint külsős partner, és mint ilyen, akik az adatokhoz hozzáférnek és azokat kezelik."

Amikor ezt olvastam, nekem rögtön az jutott eszembe, hogy miért ne biztosítaná Ügyfelünk saját munkavállalóit, hogy a személyes adataikat bizalmasan kezelik? (Kizártnak tartottam, hogy egy ekkora cégnek ne lenne – akár csak elvi szinten – valamilyen utasítása, szabályzata, hogy kinek és hogyan lehet odaadni pl. a dolgozók listáját vagy bármilyen szenzitív adatot.) Jogi képviselőnktől tudtam, hogy ők is számtalan adatvédelmi szabályzatot készítettek, mert munkaügyi ellenőrzések miatt a cégeknek szüksége lett rá. Véleményem tehát az lett – és ebben a Tv. 3.§ is megerősített –, hogy ügyfelünk az, aki adatot kezel akkor is, ha saját alkalmazottról van szó. Amikor erről egyeztettem jogi képviselőnkkel, ő így jellemezte a helyzetet (és ezt külön kiemelem, hisz mottónak is jó!):

„Alapvetően az adatkezelő és az adatfeldolgozó közötti határvonal ott húzható meg, hogy kinek az érdekében történik az adatgyűjtés. Amennyiben az adatgyűjtés kizárólag az UniOffice partnereinek érdekében történik, úgy ilyen esetben ők lesznek az adatkezelők, az UniOffice pedig az adatfeldolgozó”.

Végezetül álljon itt az, amit összegzésképp – mintegy végső érvként – megosztottam ügyfelünkkel:

„Érdemes még egy egyszerű „vizsgálat” elvégzése is. Vonjuk ki ebből az egész történetből az UniOffice-t és a SmartEvents® rendszert, és tegyük fel a kérdést, hogy ettől még lesz rendezvény? lesznek meghívottak? kommunikálnak velük emailben vagy papíron? beszélnek velük, hívják őket telefonon? lesz résztvevői lista? ... ergo KEZELIK AZ ADATAIKAT? – ... és ha erre – vélelmezhetően – mind IGEN a válasz, akkor bizony a 2011. évi CXII. törvény alapján Önök adatkezelők, függetlenül attól, hogy papíron vagy elektronikusan (avagy mindkét módon) kezelik azokat. Mi csak additív módon jövünk képbe, mint adatfeldolgozók. És attól, hogy mi belépünk egy quasi elektronikus támogatással, attól nem fog megváltozni az adatkezelő kiléte.”

… és ami miatt igazán emlékezetes maradt-e történet az az, hogy nem jogászként elértem, hogy ügyfelünk jogászai érveimet elfogadták, és végül nem cégünknek kellett az adatkezelési nyilatkozat elkészíteni.

Az üzlet megköttetett, a rendezvény sikeresen lezajlott.