Adatvédelmi szabályzat vagy adatkezelési tájékoztató? Segítünk!
Az adatvédelmi szabályzat és az adatkezelési tájékoztató célját, illetve ezek funkcióját tapasztalataink szerint sok adatkezelő összekeveri. Az ezen iratokkal kapcsolatos tévhitek eloszlatása és a bizonytalanságok felszámolása érdekében jelen cikkünkben összefoglaljuk az általunk legfontosabbnak tartott különbségeket, tudnivalókat.
Megnevezések
Az interneten, vagy különféle szerződések megkötése során sokféle elnevezéssel találkozhatunk, amikor adatvédelmi jogi tárgyú dokumentumokról van szó. Ilyenek például a következők: „adatvédelmi nyilatkozat”, „adatvédelmi irányelvek”, „adatkezelési tájékoztató”, „adatvédelmi szabályzat”.
Ezen iratok alapvetően háromféle tartalmat takarhatnak. Lehetnek:
(i) az adatkezelésről szóló tájékoztatók,
(ii) belső adatvédelmi és adatbiztonsági szabályzatok/eljárásrendek, vagy
(iii) az érintett tényleges nyilatkozatát (pl. az adatkezelési tájékoztató megismeréséről vagy hozzájárulás megadásáról) kérő, kitöltendő (beikszelendő) dokumentumok.
A legtöbb zavar és bizonytalanság tapasztalataink szerint az (i) és (ii) kategória szerinti iratok körül van.
Kötelező?
Gyakorlati oldalról feltételezhetően a legelső kérdés, ami felmerül az adatkezelőben, az az, hogy kötelező-e számára ilyen iratok elkészítése.
Az adatkezelésről minden esetben – jogalaptól függetlenül – szükséges az érintetteket tájékoztatni a GDPR 12-14. cikkeiben előírt kötelezettségnek megfelelve. Ez a tájékoztatás értelemszerűen egy adatkezelési tájékoztató érintettekkel való megismertetésével teljesíthető, így adatkezelési tájékoztató készítése általánosságban mindig kötelező az adatkezelők számára.
A fentiekkel ellentétben a GDPR kötelező jelleggel nem írja elő valamennyi adatkezelő számára adatvédelmi szabályzat elkészítését. A 24. cikk (2) bekezdése mindössze annyit mond ki, hogy az adatkezelőnek akkor kell – a személyes adatok védelmének biztosítása céljából megvalósított technikai és szervezési intézkedések részeként – belső adatvédelmi szabályokat alkalmaznia, ha ez az adatkezelési tevékenység vonatkozásában arányos.
Abban, hogy az arányosság vonatkozásában mit szükséges figyelembe venni, különösen a GDPR (74) preambulumbekezdése nyújthat segítséget. Ez alapján azt kell az adatkezelőnek mérlegelnie, hogy az adatkezelés jellegének, hatókörének, körülményeinek és céljainak, valamint a természetes személyek jogait és szabadságait érintő kockázatnak a figyelembevételével „arányosnak” mutatkozik-e adatvédelmi szabályzat vagy más szabályrendszer (pl. utasítás, folyamatleírás, biztonsági szabályzat) elkészítése. Ezt támasztja egyébként alá a NAIH ezen kérdéssel kapcsolatos állásfoglalása is (NAIH/2018/1594/2/K).
Az Infotv. ugyan kötelezően előírja belső adatvédelmi és adatbiztonsági szabályzat alkalmazását adatvédelmi tisztviselő (DPO) igénybevételére kötelezett adatkezelők esetében, ez a rendelkezés [Infotv. 25/A. § (3) bekezdése] azonban az Infotv. 2. §-ban meghatározott hatályánál fogva csak a bűnüldözési, nemzetbiztonsági és honvédelmi célú személyesadat-kezelésekre vonatkozik.
A GDPR hatálya alá tartozó adatkezelésekkel kapcsolatban így kifejezett kötelezést nem találunk adatvédelmi szabályzat készítésére. Közfeladatot ellátó szervek vonatkozásában – a cikk végén kifejtettek szerint – az Infotv. közzétételre vonatkozó szabályaiból mégis (akár) levezethető ilyen szabályzat készítésének kötelezettsége.
A fenti általános, minden adatkezelőre kiterjedő kötelezettség hiánya ellenére szervezeti működés esetén – és különösen nagyobb szervezetek esetén – nehezen elképzelhető, hogy valamilyen, az adatkezeléssel kapcsolatos kérdésekre is kiterjedő belső szabályzat hiányában az adatkezelő meg tudna felelni az adatvédelemmel, és különösen az adatbiztonsággal kapcsolatos jogszabályi követelményeknek, és ezen megfelelést az elszámoltathatóság elve szerint igazolni is képes lenne.
Kinek szól? Mit tartalmaz?
Az adatkezelési tájékoztató és az adatvédelmi szabályzat közötti legalapvetőbb különbség abban rejlik, hogy kiknek szólnak ezek az iratok. Az adatkezelési tájékoztatóban az adatkezelő az érintetteket (pl. az általa kamerával megfigyelt területre belépőket, a vele szerződést kötőket és azok kapcsolattartóit) tájékoztatja az általa végzett adatkezelés részleteiről, valamint az érintettet megillető jogokról, jogorvoslati lehetőségekről és azok érvényesítésének módjáról.
Ehhez képest az adatvédelmi szabályzat az adatkezelésben résztvevőknek (az adatkezelő szervezetének tagjainak, esetlegesen adatfeldolgozóknak, közös adatkezelőknek) szól, és az egyes adatkezeléssel kapcsolatos feladatokat, eljárásrendeket részletezi, a felelősségi kérdéseket rendezi.
Az adatkezelési tájékoztató kötelező tartalmát a GDPR 13-14. cikkei meghatározzák. Legalább az itt felsorolt információkat tartalmaznia kell az adatkezelési tájékoztatónak. Az adatvédelmi szabályzatnak a GDPR-ban felsorolásszinten rögzített kötelező tartalma nincsen, de például az adatvédelmi incidensek kezelésére, az érintettektől érkező kérelmek megválaszolására és teljesítésére, az adatkezeléssel kapcsolatos nyilvántartások vezetésére vonatkozó eljárásrendeket, az ezekért felelős személyek kijelölését mindenképpen indokolt belefoglalni.
Iratok használata, közzététele
Az adatkezelési tájékoztatót szükséges az érintettekkel megismertetni. Ennek módját az adatkezelő szabadon választja meg, a kiválasztott mód az érintettek típusától, az adatkezelőhöz fűződő viszonyától függ.
Szerződéses viszonyokban például az adatkezelő a megkötött szerződéshez mellékelheti a szerződéssel kapcsolatos adatkezelési tájékoztatóját. De amennyiben az érintettek például az adatkezelő vásárlói, ügyfelei, számukra hatékonyabb megoldás lehet az adatkezelési tájékoztató weboldalon történő közzététele.
Ugyanígy értelemszerűen egy weboldal látogatói, mint érintettek, felé az adatkezelő magán a weboldalon teljesítheti az adatkezelésről való tájékoztatás kötelezettségét. Az adatkezelő munkavállalóinak minősülő érintettek esetében az interneten való közzétételre nincsen szükség, a tájékoztató belső csatornákon keresztül is megismertethető az érintettekkel (pl. belső hálózatra való feltöltés, kifüggesztés, munkaszerződéshez csatolás útján).
Az adatvédelmi szabályzat címzettjei elsősorban az adatkezelő szervezetének tagjai. Emellett elképzelhető, hogy közös adatkezelés esetén a másik adatkezelővel, vagy egyébként az igénybe vett adatfeldolgozóval szükséges lehet a szabályzat megismertetése és elfogadtatása. Mindez azonban nem indokolja a szabályzat weboldalon történő közzétételét, hiszen a címzettek számától függetlenül ez elsősorban egy belső használatra készült dokumentum.
Közfeladatot ellátó szervek számára az Infotv. közzétételi kötelezettséget ír elő közérdekű és közérdekből nyilvános adatokkal kapcsolatban. Az Infotv. 1. sz. melléklete tartalmazza az elektronikusan kötelezően közzéteendő adatok listáját (általános közzétételi lista). Ezek közé tartozik az adatvédelmi és adatbiztonsági szabályzat hatályos és teljes szövege (Infotv. 1. melléklet II.1. pontja). Az Infotv. 33. § (2)-(4) bekezdései és 37. § (1) bekezdése szerinti szervek számára tehát kötelező az adatvédelmi szabályzat weboldalon való közzététele, amennyiben ilyennel rendelkeznek.