Az adatvédelem napjaink digitális világában kiemelt jelentőséggel bír, hiszen személyes adataink – mint például nevünk, lakcímünk, egészségügyi információink vagy online tevékenységeink – szinte minden pillanatban valamilyen formában feldolgozásra kerülnek. Ezek az adatok azonban nemcsak kényesek, hanem értékesek is, így a visszaélések lehetősége egyre nő. Az adatvédelem célja, hogy biztosítsa ezen információk biztonságát, megakadályozza jogosulatlan hozzáférésüket, valamint hogy mindenki maga rendelkezhessen arról, hogyan, milyen célra és mennyi ideig használhatják fel azokat. A tudatos adatkezelés és az adatvédelmi szabályok betartása nemcsak jogi, hanem erkölcsi felelősség is, amely a magánszféra tiszteletben tartását szolgálja. [regens.com]
2007 óta január 28-át az adatvédelem világnapjaként tartjuk számon, amelynek célja, hogy ráirányítsa a figyelmet a személyes adatok védelmének jelentőségére. [naih.hu]
Jelen cikkünkben az adatvédelem kiemelt szerepére hívjuk fel a figyelmet, különös tekintettel a személyes adataink biztonságára. Emellett bemutatunk 4 gyakori hibát, amelyek elkerülésével jelentősen mérsékelhetjük az adatainkat fenyegető kockázatokat.
GDPR
Az Európai Unió 2016-ban fogadta el, majd 2018 májusában lépett hatályba az általános adatvédelmi rendelet (General Data Protection Regulation – GDPR), melynek célja, hogy egységesen szabályozza az EU-n belül a személyes adatok védelmét, és erősítse az egyének adatkezeléssel kapcsolatos jogait, mert a természetes személyek személyes adatainak védelmét alapvető jognak tekinti. Ezen felül szigorúbb kötelezettséget ír elő azok számára, akik személyes adatot kezelnek. [szerzi.hu, eur-lex.europa.eu]
A rendelet elsősorban rögzíti a személyes adatok fogalmát, miszerint a személyes adatok azok az információk, amelyek által egy személy közvetlenül vagy közvetve is azonosítható. Ezek az információk nemcsak együtt, hanem külön-külön is azonosíthatnak egy személyt, tehát bármilyen formában személyes adatnak minősülnek. Ezek a:
- név, lakcím, személyi igazolvány szám,
- e-mail cím, IP cím, jármű rendszáma,
- egyének képei, videó/hangfelvételei,
- osztályzat az iskolában vagy vizsgálati eredmények. [edpb.europa.eu]
Az adatkezelés pedig minden olyan művelet, amiket ezekkel a személyes adatokkal végezhetnek, például gyűjthetik, tárolhatják, módosíthatják, továbbíthatják vagy törölhetik azokat. Továbbá a rendelet különbséget tesz az adatkezelő és az adatfeldolgozó között is;
- az adatkezelő határozza meg az adatkezelés célját és eszközeit,
- míg az adatfeldolgozó az adatkezelő megbízásából végzi az adatkezelést.
Annak érdekében, ne tudjanak visszaélni a személyes adatainkkal, fokozott figyelmet kell fordítani arra, hogy kivel, hogyan és mit osztunk meg. Azonban ha megtörtént a probléma, fontos tisztában lenni a jogainkkal és az adatkezelők kötelezettségeivel, melyeket az alábbiakban ismertetem.
Jogok
A GDPR alapján az érintetteknek joga van:
- tájékoztatást kérni arról, hogy milyen adatokat kezelnek róluk,
- hozzáférni ezekhez az adatokhoz,
- kérni az adatok helyesbítését vagy törlését (utóbbit gyakran „az elfeledéshez való jogként” emlegetik),
- korlátozni az adatkezelést,
- adataikat másik szolgáltatóhoz átvinni (adathordozhatóság),
- valamint tiltakozni az adatkezelés ellen.
Kötelezettségek
Az adatkezelőnek a személyes adatokkal való munkája során szigorú kötelezettségeket kell teljesítenie, melyek közül az egyik legfontosabb az úgynevezett elszámoltathatóság elve, amely szerint az adatkezelőnek képesnek kell lennie igazolni, hogy tevékenysége megfelel a rendelet előírásainak. Ezen kívül köteles még:
- adatkezelési tájékoztatót biztosítani az érintettek számára, ami magában foglalja többek között az adatkezelés célját, a kezelt adatok körét, a jogalapot, az adattárolás időtartamát, az érintettek jogait, és az esetleges adatfeldolgozók vagy továbbítások részleteit.
- biztosítani az érintettek jogait, például hogy hozzáférhessenek az adataikhoz, kérhessék azok helyesbítését, törlését, korlátozását vagy tiltakozhassanak az adatkezelés ellen.
- biztosítani a rá bízott adatok biztonságát a jogosulatlan hozzáférések vagy megsemmisülés ellen, például titkosítással, hozzáférések korlátozásával vagy rendszeres biztonsági mentések készítésével.
- bejelenteni az adatvédelmi incidenseket (pl. lopás, adatvesztés) a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), illetve az érintett felé.
Következmények
Az általános adatvédelmi rendeletet megszegő, nem teljesítő adatkezelőket az illetékes közigazgatási hatóság (Magyarországon a NAIH) akár 20 millió euróra vagy vállalkozások esetén az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összegre büntetheti. A Hatóságnak a bírság megállapítása során szem előtt kell tartania, hogy a bírságnak hatékonynak, arányosnak és visszatartó erejűnek kell lennie.
Esetek a valóságból
Orvosnál
Egy beteg a daganatos megbetegedésére hivatkozva a személyes adatai kiadását kérte a természetgyógyásztól, akinek korábban igénybe vette egyes szolgáltatásait. A természetgyógyász azonban adatbiztonsági okokra hivatkozva megtagadta a kérést, tehát nem adta ki az általa végzett mérések, vizsgálatok anyagait. Az adatkezelő (természetgyógyász) nem tett közzé az adatkezelésről tájékoztatást, így a Kérelmezőnek nem volt rálátása a folyamatban lévő adatkezelésre és érintetti jogaira. A Hatóság felkérésére az adatkezelő egymásnak ellentmondó nyilatkozatokat tett a mérési eszközökkel végzett adatkezelési műveleteivel kapcsolatban és adatkezelési tájékoztatót sem tudott felmutatni. Ebben az esetben a Hatóság 1 millió forintra büntette a szolgáltatót. [gdprbirsagok.hu]
Munkahelyen
A munkavállaló felmondott a munkahelyén és leadta a munkáltatója által biztosított laptopot. A munkáltató a laptop ellenőrzésekor a böngészőt megnyitva betekintést nyert a volt munkavállaló magáncélú e-mail fiókjába (ekkor még azt hitte egy másodlagos céges fiókról van szó, mivel ez bevett gyakorlat volt náluk). A volt munkavállaló céges fiókja a munkaviszony megszűnését követően nem került megszüntetésre, csak archiválták, ezért sérelmezte, hogy a fiókja még aktív, állítása szerint magán e-mail címére is kapott innen továbbított leveleket, ezért a Hatósághoz fordult. Az email fiók archív megőrzését a Hatóság elfogadta, de az eszköz átvizsgálása a volt munkavállaló jelenlétében lett volna jogszerű, mivel jelezni tudta volna, hogy a látott e-mail fiók magánjellegű. A volt munkavállalót nem tájékoztatták a vizsgálatról és belső szabályzatuk sem volt az eszközök használatáról. Ennek következtében a munkáltatót kétmillió forintos bírságra büntette a hivatal. [gdprbirsagok.hu]
Internetes vásárlás
Egy magánszemély webáruházból vásárolt, mely során feliratkozott az áruház hírlevelére. Később a hírlevélben található automatikus leiratkozó linken kérte személyes adatai törlését, melynek sikerességét egy e-mailben erősítették meg. Azonban ezek után is kapott hírlevelet. A webáruház az esetet azzal magyarázta, hogy egy hackertámadás miatt helyreállították az adatbázist, és a hírlevélküldő rendszer frissítésekor visszaszinkronizálták a bejelentő adatait is, ezért kaphatott újabb levelet. Bár a bejelentő ismételt kérésére törölték a személyes adatait, a Hatóság a vizsgálat során mégis megtalálta a telefonszámát és email címét a webáruház rendszerében. Ezek az adatok nem tartoznak azok közé, amelyeket a vásárlás miatt kötelező lenne megőrizni. Ezután a Hatóság tesztregisztrálást és tesztvásárlást folytatott le, melynek során nem találták megfelelőnek a GDPR-t. A webáruházra 500 000 forintos pénzbírságot szabott ki a Hatóság, hiszen még technikai problémák vagy zavarok esetén is gondoskodnia kell az adatkezelőnek arról, hogy a személyes adatok végleges törlésére irányuló kérések maradéktalanul és tartósan teljesülnek. [gdprbirsagok.hu]
A biztonsági kamera kérdése
A személyes adatok védelmével kapcsolatban sokaknak legelőször a biztonsági kamera jut eszébe, hiszen a felvételek alapján azonosítható egy személy. Magánszemélyként fontos figyelnünk a kamera megfelelő beállítására, hogy a tulajdonunk védelmében elhelyezett kamerák csak a magántulajdonunkról készítsenek felvételeket. Egy munkahelyen a munkavállalók vagy a munkaszerződésükből vagy egy külön aláírandó dokumentumból tájékozódhatnak a biztonsági kamerák elhelyezéséről, rendeltetéséről és működéséről, melybe a munkavállaló a munkaszerződés aláírásával beleegyezik.
Kamera lopás ellen
Egy magánszemély biztonsági kamerát helyezett az ingatlanjára, de a kamera úgy volt felhelyezve, hogy a megfigyelés nemcsak a magánterületetre, hanem a kerítésen kívüli közterületre és az ott tartózkodó személyekre is kiterjedt. Következésképpen a közterületen tartózkodó személyek a GDPR hatálya alá tartoztak. A magánszemély a lopások megelőzése céljából helyezte fel a kamerát, de a probléma az volt, hogy nem csak a magánterületére terjedt, tehát személyi adatot sértett, mert nem történt elégséges tájékoztatás a közterületen tartózkodó személyek irányába. A súlyosító tényező az volt, hogy a közterületen kiskorúak is tartózkodhatnak. A Hivatal 50 000 forintos pénzbírságra büntette a magánszemélyt, mert nem tudta igazolni, hogy tevékenysége megfelelt az adatvédelmi előírásoknak, tevékenysége nem felelt meg a személyes adatok jogszerű kezelési feltételeinek, és nem tájékoztatta az érintetteket többek között az adatkezelés céljáról, módjáról. [gdprbirsagok.hu]
Lehallgatás a szálláshelyen?
A biztonsági kamerákkal kapcsolatos adatvédelmi kétségek általában a szálláshelyekkel kapcsolatban merülnek fel, hiszen egy szállásra az emberek pihenni vagy adott esetben üzleti ügyekben járnak el. Ezek rendkívül érzékeny szituációk, hiszen akár üzleti titok is elhangozhat egy megbeszélésen. A következő esetben egy szállóvendég aggodalmát keltette fel az egyik szálláshely megfigyelőrendszere, és mint utólag kiderült, jogosan. Egy balatoni szálláshelyen két, egymástól elkülönült kamerarendszer működött. Az egyik csak élő képet közvetített a parkolóról, a másik hangrögzítést is támogatott a recepció, étkező, belső udvar és jakuzzi megfigyeléséhez. Az adatkezelő (Szálláshely) szerint a megfigyelés célja a személy- és vagyonvédelem volt. A Hatóság a parkolót figyelő kamerát és a recepción lévő kamerát jogszerűnek találta, azonban a hangrögzítést jogellenesnek állapította meg, mivel a céllal nem arányos. A vendégek nem tudtak a hangrögzítésről és nem is következtethettek rá. A Hatóság úgy ítélte meg, hogy az étkezőben, a belső udvaron és a jakuzzi környékén elhelyezett kamerák nem felelnek meg a vendégek elvárásainak, mivel pihenés, étkezés és intimebb szituációk közben nem tudták, hogy hangrögzítő kamerákkal figyelik meg őket. A Hatóság 3 millió forintos pénzbírságot szabott ki a szálláshelyre. [gdprbirsagok.hu]
Tanulságok
A fenti esetekből néhány alapvető következtetést vonhatunk le, melyeket fontos észben tartanunk, hogy megőrizzük személyes adataink védelmét.
- Felhasználóként mindig olvassuk el figyelmesen az adatvédelmi tájékoztatókat, hogy tisztában legyünk a jogainkkal.
- Fontos, hogy csak olyan feltételeket fogadjunk el, amelyek érthetők és szabályosak, a problémák elkerülése érdekében.
- Ha szabálytalanságot gyanítunk, akkor álljunk ki az adataink védelme mellett, és akár jelentsük a hatóságnál a visszaéléseket, hogy azok a jövőben elkerülhetők legyenek.
- Adatkezelőként ügyeljünk arra, hogy az adatkezelési tájékoztató pontos és szabályos legyen, továbbá érthetően tartalmazza az adatkezelés körülményeit.
- Figyeljünk a technikai problémák időben történő helyreállítására, főleg ha érzékeny adatokat is érint. Az észlelt szabálytalanságokat pedig minél előbb jelentsük az adatvédelmi hatóságnál, a büntetések elkerülése érdekében.
Kérjen segítséget a Szerzin!
Amennyiben bármi kérdése merül fel a személyes adatai védelmével kapcsolatban, forduljon bizalommal a Szerzi platformján regisztrált megbízható ügyvédekhez. Online jogi tanácsadás keretében bármilyen jogi témában felteheti kérdéseit.
