Tapasztalataink szerint sok adatkezelő – legyen szó kisvállalkozásról, nagyobb cégről vagy akár intézményről – gyakran összekeveri az adatvédelmi szabályzat és az adatkezelési tájékoztató fogalmát, célját és funkcióját. Ez nemcsak félreértésekhez vezethet, hanem akár jogszabálysértést is eredményezhet, ha az érintettek nem kapnak megfelelő, világos tájékoztatást az adatkezelés részleteiről.
Annak érdekében, hogy segítsünk eloszlatni a gyakran felmerülő tévhiteket, és hozzájáruljunk az adatkezeléssel kapcsolatos bizonytalanságok felszámolásához, jelen cikkünkben részletesen bemutatjuk az általunk legfontosabbnak tartott különbségeket és tudnivalókat a két dokumentumtípussal kapcsolatban. Célunk, hogy minden adatkezelő számára világossá tegyük: mikor, mire, és milyen tartalommal van szükség adatvédelmi szabályzatra, illetve adatkezelési tájékoztatóra.
Különféle megnevezések és azok jelentése – tisztázzuk az adatvédelmi dokumentumok típusait
A digitális világban számos olyan dokumentummal találkozhatunk, amelyek az adatvédelem témakörébe tartoznak. Ezek a dokumentumok sokféle elnevezéssel jelennek meg.
A leggyakrabban előforduló elnevezések közé tartoznak például:
– adatvédelmi nyilatkozat
– adatvédelmi irányelvek
– adatkezelési tájékoztató
– adatvédelmi szabályzat
– hozzájáruló nyilatkozat
– adatkezelési nyilatkozat
Ezek az elnevezések első pillantásra akár hasonlónak is tűnhetnek, azonban tartalmuk, céljuk és jogi jelentőségük tekintetében lényeges különbségeket hordoznak.
Három fő típus – mit takarnak ezek a dokumentumok valójában?
A gyakorlati tapasztalatok alapján az adatvédelmi jogi dokumentumok alapvetően három fő tartalmi kategóriába sorolhatók. Fontos megjegyezni, hogy bár az elnevezések változatosak lehetnek, minden ilyen dokumentum végső soron az alábbi három cél valamelyikét szolgálja:
1. Adatkezelési tájékoztatók
Ez az egyik legfontosabb dokumentumtípus az Európai Parlament és a Tanács (EU) 2016/679 Rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (továbbiakban: általános adatvédelmi rendelet vagy GDPR) szempontjából. Az adatkezelési tájékoztató célja, hogy az érintettek – például ügyfelek, partnerek, weboldallátogatók, alkalmazottak – világos és részletes információkat kapjanak arról, hogy az adatkezelő miként kezeli a személyes adataikat.
Az ilyen típusú dokumentum kötelező eleme a legtöbb adatkezelésnek, és tartalmaznia kell többek között:
– az adatkezelő és az esetleges adatfeldolgozók adatait,
– az adatkezelés jogalapját (pl. hozzájárulás, szerződés teljesítése, jogos érdek stb.),
– az adatkezelés célját és időtartamát,
– az érintetti jogokat és azok gyakorlásának módját,
– az esetleges adattovábbításokat, különösen harmadik országokba,
– a panasztételi lehetőségeket (pl. NAIH-hoz fordulás joga).
Ez a dokumentum külső célközönségnek készül, és a transzparencia biztosítása érdekében minden olyan ponton elérhetőnek kell lennie, ahol személyes adat gyűjtése történik (pl. weboldal, űrlap, szerződéskötés során).
2. Belső adatvédelmi és adatbiztonsági szabályzatok
A második típus a belső szabályozási dokumentumok csoportja. Ezek nem az érintettek tájékoztatására szolgálnak, hanem arra, hogy az adatkezelő szervezeten belül meghatározza, milyen elvek, szabályok, felelősségi körök és technikai megoldások alapján történik az adatkezelés és adatvédelem.
A belső adatvédelmi szabályzat – más néven adatkezelési szabályzat vagy adatbiztonsági szabályzat – leginkább egyfajta eljárásrend, amely részletesen lefekteti:
– ki jogosult az adatok kezelésére,
– milyen eljárást kell követni adatvédelmi incidens esetén,
– hogyan történik a hozzáférések szabályozása,
– miként valósul meg a fizikai és informatikai adatbiztonság,
– milyen adatkezelési nyilvántartásokat kell vezetni,
– milyen képzéseken kell részt venniük az adatkezelésben részt vevő munkatársaknak.
Ez a dokumentum tehát belső használatra készül, és nélkülözhetetlen eszköze annak, hogy egy szervezet megfeleljen a GDPR elvárásainak, különösen, ha kiterjedt adatkezelést folytat.
3. Nyilatkozatok (érintetti hozzájárulások, elismerések, visszajelzések)
A harmadik kategóriába azok a dokumentumok tartoznak, amelyekben az érintett valamilyen formális visszajelzést ad – például elismeri, hogy megismerte az adatkezelési tájékoztatót, vagy hozzájárulását adja bizonyos típusú adatkezelésekhez (például marketing célú adatkezeléshez).
Ezek a dokumentumok gyakran beikszelendő nyilatkozatok, online vagy papír alapú űrlapok részei, és olyan helyzetekben szükségesek, ahol az adatkezelés kizárólag az érintett hozzájárulásán alapul.
Jellemző megnevezéseik: Hozzájáruló nyilatkozat, Adatkezelési nyilatkozat, Nyilatkozat az adatkezelési tájékoztató megismeréséről.
Bár ezek formailag egyszerűbbek, jogi szempontból mégis kiemelten fontosak, mivel ezek bizonyítják az adatkezelés jogszerűségét hozzájárulás esetén.
Hol keletkezik a legtöbb félreértés?
Tapasztalataink szerint a legtöbb bizonytalanság és félreértés az adatkezelési tájékoztató és a belső adatvédelmi szabályzat körül alakul ki. Gyakori például, hogy egy szervezet az adatkezelési tájékoztatót összetéveszti a belső szabályzattal, vagy fordítva: a belső dokumentumot próbálja megérthető tájékoztatóként tálalni a felhasználók felé.
Kötelező ilyen dokumentumok elkészítése?
Az adatvédelmi dokumentációs kötelezettségek kapcsán az adatkezelők részéről az egyik leggyakrabban felmerülő kérdés, hogy valójában kötelező-e számukra adatkezelési tájékoztató vagy belső adatvédelmi szabályzat elkészítése. A válasz ennél összetettebb, ezért érdemes külön vizsgálni a két dokumentumtípust, figyelembe véve a GDPR előírásait.
Az adatkezelés során – a jogalapra tekintet nélkül – az érintettek részére történő tájékoztatás minden esetben kötelező, a GDPR 12–14. cikkeiben foglalt előírásoknak megfelelően. E kötelezettség teljesítésének eszköze jellemzően az adatkezelési tájékoztató megismertetése az érintettekkel, így az adatkezelési tájékoztató elkészítése az adatkezelők számára általános jelleggel kötelező.
A GDPR rendelkezései alapján – az adatkezelési tájékoztatóval ellentétben – az adatvédelmi szabályzat elkészítését nem írja elő kötelező jelleggel valamennyi adatkezelő számára. A rendelet 24. cikk (2) bekezdése értelmében az adatkezelő köteles belső adatvédelmi szabályokat alkalmazni, amennyiben az a személyes adatok védelmének biztosítását célzó technikai és szervezési intézkedések részeként az adott adatkezelési tevékenység szempontjából arányosnak tekinthető.
Az arányosság megítéléséhez iránymutatást különösen a GDPR (74) preambulumbekezdése nyújt. Ennek alapján az adatkezelőnek mérlegelnie kell, hogy az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogait és szabadságait érintő kockázatok figyelembevételével indokolt-e adatvédelmi szabályzat vagy más belső szabályrendszer (például eljárásrend, utasítás vagy biztonsági szabályzat) kialakítása.
Annak ellenére, hogy a jogszabályok nem írják elő általános jelleggel minden adatkezelő számára belső adatvédelmi szabályzat elkészítését, szervezeti működés – különösen közepes vagy nagyobb méretű szervezetek esetében – mellett aligha biztosítható a vonatkozó adatvédelmi és különösen adatbiztonsági jogszabályi előírásoknak való megfelelés ilyen belső szabályozás hiányában. Emellett e megfelelés igazolása az elszámoltathatóság elvének megfelelően is csak akkor valósulhat meg hitelesen, ha az adatkezelő rendelkezik az adatkezelési gyakorlatot átfogóan rögzítő, belső szabályozó dokumentumokkal.
Az adatvédelmi dokumentumok közzététele
A személyes adatok kezelésére vonatkozó átláthatóság és jogszerűség biztosítása érdekében az adatkezelők kötelesek gondoskodni arról, hogy az érintettek megfelelő módon, időben és hozzáférhető formában tájékozódhassanak az adatkezelés részleteiről. E kötelezettség teljesítése szorosan összefügg az adatkezelési tájékoztató megfelelő elérhetővé tételével, valamint – adott esetben – az adatvédelmi szabályzat megfelelő körben történő ismertetésével.
1. Adatkezelési tájékoztató
Tekintettel arra, hogy az adatkezelési tájékoztató célja, hogy a természetes személyek részletes információt kapjanak személyes adataik kezelésének körülményeiről, a tájékoztatónak közérthető, átlátható formában el kell jutnia az érintettekhez, az adatkezelés megkezdését megelőzően vagy azzal egyidejűleg.
Az adatkezelő maga határozza meg, hogy milyen módon kívánja a tájékoztatót elérhetővé tenni, azonban a választott forma nem lehet formális, csupán jelképes, az érintettek tényleges tájékozódási lehetőségét kell biztosítania. Ennek megfelelően a közzétételi forma megválasztásakor figyelembe kell venni az adatkezelés jellegét, az érintettek típusát, valamint az adatkezelő és az érintett közötti kapcsolat természetét.
Példák:
– Szerződéses kapcsolatokban: a tájékoztató csatolható a szerződéshez mellékletként vagy önálló dokumentumként, amelyet az érintett a szerződéskötés során kézhez kap.
– Fogyasztók, ügyfelek esetén: amennyiben az adatkezelés például egy webáruház, szolgáltatói felület vagy más online platform révén történik, célszerű és elvárt, hogy az adatkezelési tájékoztató a weboldalon jól látható, könnyen elérhető módon kerüljön közzétételre.
– Munkavállalók mint érintettek esetén: ebben az esetben a tájékoztató belső csatornákon keresztül is eljuttatható az érintettekhez – például belső intranetre való feltöltéssel, papír alapon történő átadással, munkaszerződéshez történő csatolással vagy kifüggesztéssel a munkahelyi tájékoztató táblákon. Külső (pl. internetes) közzététel nem szükséges.
2. Adatvédelmi szabályzat
Az adatvédelmi szabályzat – ellentétben az adatkezelési tájékoztatóval – nem az érintetteknek szóló dokumentum, hanem az adatkezelő belső szabályozó eszköze, amely a szervezet adatvédelmi és adatbiztonsági gyakorlatát, eljárásrendjeit és kötelezettségeit rögzíti.
Címzettjei elsősorban:
– az adatkezelő munkavállalói, vezetői, illetve az adatkezelési folyamatban részt vevő szervezeti egységek;
– közös adatkezelés esetén a partner adatkezelő(k);
– adott esetben az adatfeldolgozó(k), akikkel az adatkezelő szerződéses kapcsolatban áll.
Bár előfordulhat, hogy a szabályzatot egyes külső felekkel is ismertetni kell (pl. adatfeldolgozói együttműködés során), ez nem indokolja annak nyilvános (pl. weboldalon történő) közzétételét. Az adatvédelmi szabályzat jellemzően belső dokumentumként funkcionál, és nem képezi közvetlenül az érintetteknek szánt tájékoztatás részét.
Összegzés
Ahogy a cikk különböző részeiben részletesen bemutattuk, az adatkezelési tájékoztató és az adatvédelmi szabályzat két eltérő célú, tartalmú és címzettű dokumentum. Míg az előbbi a külső érintettek – például ügyfelek, felhasználók, munkavállalók – tájékoztatását szolgálja és minden adatkezelő számára kötelező, addig az utóbbi a belső szervezeti működés szabályozására szolgál, és elkészítése csak bizonyos esetekben válik jogszabály alapján kötelezővé.
A két dokumentumtípus közötti világos különbségtétel nem csupán formai vagy elméleti kérdés: gyakorlati és jogi szempontból is elengedhetetlen az adatkezelés átláthatóságának, jogszerűségének és az elszámoltathatóság elvének biztosításához. Az adatkezelőknek tehát célszerű tudatosan felülvizsgálni, hogy megfelelő tartalmú és rendeltetésű dokumentumokkal rendelkeznek-e, illetve azokat a címzettek számára megfelelő módon elérhetővé tették-e.
Dr. Miklós Péter, adatvédelmi ügyvéd
Amennyiben adatvédelem területén segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu