NAIH: Szabályzatok, eljárásrendek melyeket elvár a Hatóság
Sorravesszük, hogy a NAIH elmúlt időszakban nyilvánosságra hozott határozataiban milyen megállapításokat tett arra vonatkozóan, hogy milyen eljársárendek, szabályzatok meglétét várja el az egyes adatkezelőktől, illetve azokat milyen tartalommal szükséges elkészíteniük.
A GDPR 24. cikkének (1) bekezdése az adatkezelő általános kötelezettségeként határozza meg, hogy az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajtson végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése a GDPR-al összhangban történik.
A 25. cikkben nevesített beépített és alapértelmezett adatvédelem követelménye alapján továbbá az adatkezelő köteles mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket végrehajtani, amelyek célja egyrészt az adatvédelmi elvek, másrészt a Rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
Habár kifejezett eljárásrendek, szabályzatok meglétét a Rendelet nem írja elő, azonban a 24. cikk (2) bekezdése kimondja, hogy amennyiben az az adatkezelési tevékenység vonatkozásában arányos, a meghozott intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is köteles alkalmazni. Ezen belső adatvédelmi szabályok kialakítására vonatkozó további részletszabályokat azonban a GDDPR nem tartalmaz.
A 24. és 25. cikken túl a belső szabályzatok meglétének követelménye levezethető továbbá az 5. cikk (2) bekezdésében foglalt elszámoltathatóság elvéből is, mely, mint az egyik legfontosabb alapelv megköveteli az adatkezelőtől, hogy a tevékenysége folytatása során mindvégig megfelelően igazolni tudja, hogy a személyes adatok kezelése a Rendeletben foglaltak szerint történik. Arra a kérdésre azonban, hogy milyen esetekben szükséges az adatkezelőknek külön belső eljárásrenddel, szabályzattal rendelkezniük akár csak egy-egy adatkezelési tevékenységekre nézve, az elszámoltathatóság elve sem ad önmagában választ. A GDPR alkalmazása óta azonban a NAIH már több hatósági eljárásában is vizsgálta a megfelelő belső szabályozás meglétét és adott esetben azok hiányát, illetve nem megfelelő voltát a Rendelet 24. és 25. cikkének, illetve a 5. cikk megsértéseként értékelte.
Jelen cikkünkben olyan hatósági határozatokat mutatunk be, amelyek útmutatásul szolgálhatnak az adatkezelők részére a tekintetben, hogy mikor és milyen tartalommal szükséges egy-egy belső eljárásrendet, szabályzatot kialakítaniuk.
1. Az érintetti jogok kezelésére vonatkozó belső eljárásrend
Az érintetett a GDPR III. fejezetében nevesített jogok illetik meg személyes adatainak kezelése tekintetében, mely jogok gyakorlását a 12. cikkének (2) bekezdése alapján az adatkezelő köteles megfelelően elősegíteni.
Ahhoz, hogy az adatkezelő e jogok gyakorlását képes legyen megfelelően elősegíteni, szervezeti szinten kell megfelelő ismerettel rendelkeznie az egyes érintetti jogokról, illetve arról, hogy amennyiben az érintett e jogai gyakorlására kérelmet nyújt be
- milyen intézkedések lehetségesek/szükségesek a kérelem teljesítése érdekében,
- a kérelmet milyen határidőben kell teljesíteni,
- milyen esetekben tagadhatja meg az adatkezelő a kérelem teljesítését, illetve mikor számíthat fel díjat a kérelem teljesítésért, továbbá azt, hogy
- a kérelem megtagadása esetén milyen további teendőket ír elő a Rendelet.
Egy megfelelő eljárásrend/belső szabályzat, amely megismerteti a Rendelet vonatkozó szabályait minden, az adatkezelési folyamatban részt vevő munkavállalóval, szervezeti szinten – az adatkezelő sajátosságait figyelembe véve – kialakítja az érintetti joggyakorlás belső szabályait, valamint kijelöli a felelős személyeket, megfelelő szervezési intézkedés lehet annak érdekében, hogy az érintettek joggyakorlása a GDPR előírásai szerint biztosított legyen.
A Hatóság ezzel kapcsolatos álláspontját a NAIH/2020/2204/8. számú határozatában találhatjuk. A határozatban ismertetett eljárás – egyebek mellett – annak vizsgálatára irányult, hogy az adatkezelő a vizsgált időszakban a GDPR előírásainak megfelelően kezelte-e a hozzá beérkező érintetti kérelmeket, illetve az érintetti joggyakorlás kezelésére kialakított gyakorlata megfelelt-e a Rendeletben foglaltaknak.
A vizsgált ügyben az adatkezelő üzleteiben kamerarendszert üzemeltetett. Az érintett olyan, az üzletben történt vásárlására vonatkozó kamerafelvételt kívánt utóbb kikérni, mellyel kapcsolatban korábban fogyasztói panaszt is tett. A panasztételt követően az adatkezelőhöz intézett levelében kérte az adatkezelőt, hogy tegye lehetővé számára a kamerafelvétel megtekintését, illetve a kamerafelvételt addig ne töröljék, amíg a fogyasztói panaszában kifogásolt eset nincs kivizsgálva. Az adatkezelő válaszlevelében arról tájékoztatta a vásárlót, hogy kamerafelvételt csak a rendőrség részére – hivatalos rendőrségi megkeresésre – áll módjukban kiadni, a vásárlók részére nem. Az érintett ezt követően rendőrségi feljelentést tett, azonban a rendőrségi eljárás során a megkeresés idejében a kamerafelvétel már nem állt az adatkezelőnél rendelkezésre.
A vásárló kérelme egyértelműen a Rendelet 15. cikk (1) bekezdése szerinti hozzáférési kérelemnek minősült, amely alapján az adatkezelő a személyes adatokhoz való hozzáférést olyan módon lett volna köteles biztosítani, hogy az érintett a róla készült felvételekbe betekinthessen, továbbá az egyben a 18. cikk (1) bekezdés c) pontja szerinti korlátozási kérelemnek is minősült, mely alapján meg kellett volna tennie a szükséges intézkedéseket annak érdekében, hogy a felvételek az érintett részére az alapértelmezett törlési határidőt követően is rendelkezésre álljanak. Ezen intézkedések meghozatalára nem került sor, mivel az adatkezelő nem ismerte fel, hogy a beérkezett kérelem adatvédelmi tárgyú és az a Rendelet III. fejezetében foglalt érintetti jogok gyakorlására irányult – állapította meg a vizsgálat során a Hatóság.
A Hatóság kiemelte, hogy „a GDPR 25. cikke konkretizálja a 24. cikkben megfogalmazott általános kötelezettségeket: az e cikkben szabályozott beépített és alapértelmezett adatvédelem alapelve kifejezetten megköveteli, hogy érintettek jogainak védelméhez szükséges garanciákat az adatkezelő már az adatkezelés folyamatába beépítse, azaz az adatvédelmi szempontok már a tervezés során megjelenjenek, és ne már a kialakított gyakorlatot követően kerüljön sor a szükséges intézkedések meghozatalára.
Mindez azt jelenti, hogy a Társaságnak már a kamerás adatkezelés tervezése, kialakítása során – azaz még a kamerák üzembe helyezése előtt – meg kellett volna hoznia azokat a szervezési, illetve technikai intézkedéseket, amelyek az érintettek GDPR III. fejezetében szereplő jogait biztosítani tudják.
Ezen intézkedések körébe tartozik egyrészt az érintetti jogok kezelésére vonatkozó belső eljárásrend kialakítása, így többek között kijelölni azt a személyt, aki felelős az érintetti kérelmek kezeléséért; kialakítani azon csatornákat, ahol a Társaság az érintetti kérelmeket fogadni tudja; adott esetben adatvédelmi tisztviselő kijelölése; kialakítani az érintetti joggyakorlás szabályait (pl. a Társaság az üzletekben készült kamerafelvételhez való hozzáférési jogot személyesen, postai úton vagy elektronikus úton tudja biztosítani); megfelelő adatbiztonsági intézkedéseket hozni; vezetni a 30. cikk szerinti adatkezelési nyilvántartást.”.
A Hatóság kiemelte továbbá, hogy mivel az adatkezelő az ország területén több, mint 100 üzletében üzemeltet kamerát, a GDPR 24. cikk (2) bekezdésének eleget téve arányos elvárás, hogy megfelelő, írásban dokumentált belső adatvédelmi szabályokat is alkalmazzon. Kiemelte továbbá, hogy „E körben szükséges lett volna a Társaság valamennyi, ügyfelekkel dolgozó alkalmazottjának – így különösen az eladótérben, illetve az ügyfélszolgálaton dolgozók – kitanítása arról, hogy a GDPR alapján kamerás adatkezelés esetén milyen érintetti kérelmek fordulhatnak elő, hogyan lehet felismerni és elkülöníteni e kérelmeket az egyéb beadványoktól, panaszoktól, hogyan kell kezelni e kérelmeket, a Társaságon belül mely szervezeti egységhez kell továbbítani e kérelmeket.”
Mindezen intézkedések hiánya vezetett a Hatóság megállapítása szerint ahhoz, hogy az adatkezelő nem ismerte fel, hogy a vásárlótól érkező kérelem a GDPR 15. cikk (1) bekezdése szerinti hozzáférési, illetve a 18. cikk (1) bekezdés c) pontja szerinti korlátozási kérelemnek minősült, és nem engedett betekintést a kamerafelvételbe, illetve azt nem is korlátozta az érintett kérelmére.
2. Adatvédelmi incidenskezelési eljárásrend
Amennyiben az adatkezelő adatvédelmi incidenst észlel, köteles a Rendelet 33. és 34. cikkében meghatározott egyes intézkedéseket meghozni. Ez többek között magában foglalja az incidensek megfelelő kivizsgálását, a szükséges kárenyhítési intézkedések megtételét, adott esetben az incidens felügyeleti hatósághoz történő bejelentését, illetve az érintettek közvetlen értesítését és az incidenssel kapcsolatos intézkedések megfelelő dokumentálását, nyilvántartását.
Ahhoz, hogy ezen intézkedéseket az adatkezelő képes legyen a Rendelet előírásainak megfelelően megtenni, szervezeti szinten szükséges, hogy
- felismerje azt, hogy adatvédelmi incidenst történt,
- bekövetkezett incidens esetén az incidenst késedelem nélkül értékelje, kivizsgálja, intézkedjen a megszüntetésről, továbbá gondoskodjon a szükséges kárenyhítési intézkedések megtételéről,
- amennyiben azt állapítja meg, hogy a Rendelet 33. cikkének megfelelően szükséges a NAIH felé a bejelentés, azt határidőben megtegye,
- amennyiben azt állapítja meg, hogy a Rendelet 34. cikkének megfelelően szükséges az incidenssel érintett személyek értesítése a bekövetkezett incidensről, azt késedelem nélkül megtegye,
- valamint az elszámoltathatóság elvének megfelelően az incidenst dokumentálja és nyilvántartásba vegye.
Megfelelő szervezési intézkedés lehet az adatkezelő részéről egy, az adatvédelmi incidenseket ismertető, az incidensek kezelésének belső szabályait kialakító és az egyes intézkedések megtételéért felelős személyeket kijelölő belső szervezeti eljárásrend/szabályzat kialakítása annak érdekében, hogy adatvédelmi incidensek megfelelő kezelése az adatkezelő szervezetén belül biztosított legyen.
Ezt támasztja alá a Hatóság alábbi két eljárásban hozott határozata is, melyekben a vizsgálat a NAIH részéről az adatvédelmi incidensek kezelésére vonatkozó belső eljárásrend meglétére, illetve annak megfelelő voltára irányult.
A NAIH/2019/2485/20 számú határozatban az adatkezelő egy, a GDPR szerint adatvédelmi incidensnek minősülő esetet nem minősített adatvédelmi incidensnek, és erre tekintettel nem tette meg az által elvárt intézkedéseket (így többek között a hatósághoz való bejelentést és az érintettek értesítését). A vizsgálat során a Hatóság megállapította, hogy az adatkezelő incidensről való tudomásszerzés időpontjában nem rendelkezett az adatvédelmi incidensek kezelésére vonatkozó belső eljárásrenddel.
A Hatóság álláspontja szerint „az adatkezelés biztonságát szolgáló megfelelő szervezési intézkedésnek tekinthető az, ha az adatkezelő az adatvédelmi incidensek kezelésére vonatkozó belső szabályzatot alakít ki és azt következetesen betartatja. A belső felelősségi köröket, a kivizsgálás és jelentés rendjét részletesen lefektető és valamennyi érintett munkatárs számára ismert szabályzat megléte esetén az adatkezelő gyorsabban és hatékonyabban tudja kezelni a személyes adatokat is érintő biztonsági eseményeket és tudja végső soron garantálni az adatkezelés biztonságának való megfelelést (pl. megtenni azon intézkedéseket, hogy a jövőben lehetőleg hasonló incidens ne forduljon elő).”
A Hatóság kihangsúlyozta továbbá, hogy „a belső incidenskezelési szabályzat elkészítése – a rendelet 24. cikk (1) bekezdésére tekintettel – akkor várható el az adatkezelőtől, ha az az adatkezelési tevékenység vonatkozásában arányos.” A vizsgált adatkezelőnél a Hatóság álláspontja szerint elvárható lett volna a belső szabályzat megléte tekintettel arra, hogy az ország egyik legnagyobb egészségügyi intézményeként, fő tevékenysége keretein belül nagy számban kezel a Rendelet 9. cikke szerinti különleges (egészségügyi) adatokat.
„Az adatvédelmi incidensekre való reagálás, azok kivizsgálása és a szükséges intézkedések megtétele szempontjából egy ilyen érzékeny adatokat nagy számban kezelő intézménynél elvárható a belső szabályzat megléte. Ennek hiányában, már csak a szervezet méretéből adódóan is, csúszhat a hatékony reagálás és a biztonságos helyzet helyreállítása egy adatvédelmi incidenssel kapcsolatban. Ez az Ügyfél részéről általánosságban akkor is elvárható, ha jelen ügyben egyébként különleges adatokat az incidens nem érintett.” – áll a Hatóság határozatában.
A Hatóság azt, hogy az adatkezelő nem alakított ki időben belső incidenskezelési szabályzatot úgy értékelte, hogy az adatkezelő nem tett eleget a Rendelet 32. cikk (1) bekezdésében, továbbá a 24. cikk (1) és (2) bekezdéseiben foglaltaknak.
A NAIH/2020/1137. számú határozatban ismertetett eljárásban is egy bekövetkezett adatvédelmi incidenssel kapcsolatos vizsgálatban került sor az adatvédelmi incidensek kezelésére vonatkozó belső eljárásrend értékelésére a Hatóság által. Ebben a vizsgálatban az adatkezelő rendelkezett belső eljárásrenddel, melyet a Hatóság kifejezetten pozitívan értékelt, amikor úgy foglalt állást, hogy „azzal, hogy kialakította belső incidenskezelési szabályzatát, értékelhető erőfeszítéseket tett az általános adatvédelmi rendelet 24. cikk (1)-(2) bekezdéseinek való megfelelés érdekében.”
Az eljárásrend azonban a Hatóság megállapítása szerint hiányos tartalommal került elfogadásra, ugyanis nem tartalmazta például egyáltalán, hogy az észlelt adatvédelmi incidenseket mely esetekben kell bejelenteni a felügyeleti hatóságnak. A bekövetkezett incidenst az ügyben az adatkezelő nem minősítette adatvédelmi incidensnek és nem is tett bejelentést a Hatóság felé.
A Hatóság a határozatban kiemelte, hogy „az incidenskezelési szabályzatból a bejelentési kötelezettséggel kapcsolatos intézkedések nem hiányozhatnak, mivel a rendelet a bejelentést fő szabállyá teszi és attól csak kivételes esetekben lehet eltérni.”. (A Rendelet 33. cikk (1) bekezdése főszabályként írja elő az incidens bejelentését a felügyeleti hatóság felé. Ez és a (85) preambulumbekezdése is kimondja, hogy a bejelentéstől az adatkezelő csak abban az esetben tekinthet el, ha az elszámoltathatóság elvével összhangban bizonyítani tudja, hogy az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.)
A Hatóság ez alapján végül azt állapította meg, hogy „az Ügyfél nem teljeskörűen tett eleget az általános adatvédelmi rendelet 24. cikk (1)-(2) bekezdéseiben foglaltaknak, amikor a belső adatvédelmi incidenskezelési szabályzatában nem szabályozta a felügyeleti hatóságnak történő bejelentési kötelezettség esetkörét. Ezzel az Ügyfél megsértette a rendelet ezen rendelkezéseit.”.
3. Kilépő munkavállaló e-mail fiókjának átadására vonatkozó belső eljárásrend
A Hatóság több határozatában is kiemeli, hogy a Rendelet fogalommeghatározásai alapján a munkavállaló rendelkezésére bocsátott munkahelyi e-mail-fiók adattartalma személyes adatnak, a személyes adaton elvégzett bármely művelet pedig adatkezelésnek minősül.
A munkaviszony fennállása alatt az e-mail fiókban kezelt munkavállalói adatok tekintetében az adatkezelés jogalapja a munkáltató részéről addig, amíg az adatkezelés a munka végzésével összefüggésben történik, a munkaszerződés teljesítése, azaz a Rendelet 6. cikk (1) bekezdés b) pontja. Amennyiben a munkavállaló munkaviszonya a munkáltatónál megszűnik, az e-mail fiók adattartalma, a benne lévő személyes adatok a továbbiakban a munkáltató részéről csak annyiban kezelhetőek, amennyiben azok kezelése meghatározott célból, a szükségesség-arányosság követelményének megfelelően történik és a munkáltató, mint adatkezelő rendelkezik az adatkezelést illetően megfelelő jogalappal.
A jogszerűtlen adatkezelés elkerülése és a kilépő munkavállalók e-mail fiókjában található személyes adatok legteljesebb védelme érdekében a munkáltató köteles a szükséges intézkedéseket meghozni.
Ilyen intézkedés – többek között – az, hogy a munkáltató
- előzetesen tájékoztatja a távozó munkavállalót arról, hogy az e-mail fiókjában található üzleti leveleket a munkaviszony megszűnését követően meghatározott célból tovább kezeli,
- lehetőséget biztosít a munkavállalónak, hogy kiválogassa és törölje, illetve saját adathordozóra lementse az e-mail fiókban lévő üzenetek közül a magáncélú levelezéseket, privát dokumentumokat,
- a munkaviszony megszűnéséről tájékoztatja a többi munkavállalót, valamint azon partnereket, ügyfeleket és egyéb harmadik személyeket, akikkel a távozó munkavállaló a munkavégzés során céges e-mail fiókjának használatával üzleti ügyekben a kapcsolatot tartotta,
- a kiválogatást követően végrehajtja a szükséges technikai és szervezési intézkedéseket az e-mail fiók lementése, az abban tárolt adatokhoz való hozzáférés korlátozása, illetve az e-mail fiók tekintetében végzett adatkezelési műveletek korlátozása tekintetében.
A Hatóság a NAIH/2019/51/11. számú határozatában foglalt álláspontja szerint a „a munkáltatónak belső szabályzatot kell alkotnia annak érdekében, hogy az elszámoltathatóság elve alapján igazolni tudja, hogy minden szükséges intézkedést megtett a megszűnt munkaviszonyú érintett személyes adatainak védelme érdekében.”. Szükséges tehát a fent nevesített intézkedésekről egy belső eljárásrendet kialakítani, amelyben az adatkezelő meghatározza az egyes intézkedéseket, azok gyakorlati megvalósításának szabályait és kijelöli a végrehajtásért felelős személyeket is.
Az említett eljárásban a Hatóság azt, hogy az adatkezelőnek nem volt megfelelő belső eljárásrendje és így nem tette meg a szükséges intézkedéseket a munkavállaló adatok védelme érdekében, úgy értékelte, hogy a munkáltató a munkavállaló „archivált e-mail-fiókjaiban történő dokumentumkereséssel összefüggő adatkezelése során az elszámoltathatóság alapelvi követelményét megsértve nem tett megfelelő technikai, szervezési intézkedéseket, annak érdekében, hogy az általa, a munkavállalók számára biztosított e-mail-fiókok használatával, archiválásával összefüggésben biztosítsa a személyes adatok védelmét, és nem gondoskodott az érintettek megfelelő tájékoztatásáról, megsértve ezzel együtt az átláthatóság elvét is.”.
4. Összefoglalva
A fenti eljárásrendeket természetesen az adatvédelmi szabályzat is tartalmazhatja , nem kell feltétlenül külön dokumentumban szerepelniük, azonban a három részletes eljárásrenddel kiegészített szabályzat már olyan terjedelmű lehet, mely véleményünk szerint könnyen egyéb funkciói rovására mehet. Az a szabályzat ugyanis, amit nem olvasnak el a munkavállalók, sokat nem ér, márpedig minél hosszabb, annál nagyobb ennek a kockázata.
Tapasztalataink szerint a munkavállalók is befogadóbbak, ha ezek a dokumentumok kicsit magyarázóbb, lazább stílusban készülnek, mint egy szabályzat, hiszen ezeknek az eljárásrendeknek a szabályozás mellett az is a funkicója lehet, hogy a munkavállalók adatvédelmi ismereteit gyarapítsa, így például segíthet az incidensek felismerésében, a kérelmek azonosításában, stb.