CMS: minden adatkezelőnek érdemes áttekintenie gyakorlatát (1. rész)

A 2014. július 29-én kelt, NAIH-2298-23/2013/H. számú határozatában a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 750 ezer forint összegű adatvédelmi bírságot szabott ki egy társaságra, és elrendelte adatkezelési gyakorlatának átalakítását, különös tekintettel az adatkezelési tájékoztatóinak szövegére.

Határozatában a NAIH számos olyan megállapítást tett, amik tanulságosak lehetnek más adatkezelők számára is – értékelték a fejleményeket és azok következményeit a CMS Cameron McKenna LLP Ügyvédi Iroda szakértői.

A NAIH büntetés háttere

A megbírságolt társaság oldalán az érintett személyeknek lehetősége volt különböző kampányokban regisztrálni. A regisztráló személy a regisztrációval, és a kapcsolódó adatvédelmi és adatkezelési nyilatkozat (adatkezelési tájékoztató) elfogadásával bekerült a társaság, valamint a társasággal kapcsolatban álló más társaságok marketing célú adatbázisába.

A NAIH azért indított eljárást a társaság ellen, mert egy panaszos szerint, annak ellenére, hogy korábban leiratkozott, továbbra is érkeztek hozzá direkt marketing (DM) célú hírlevelek a társaság e-mail címéről.

Dr. Petrányi Dóra szerint fontos eleme az ügynek, hogy a panaszos nem a konkrét adatkezelési tájékoztatót kifogásolta, hanem a kéretlen levél küldését, viszont a panasz következtében a NAIH a társaság egész adatkezelési folyamatát megvizsgálta, valamint bekérte a mögöttes dokumentációt (szabályzatokat, szerződéseket, szervernaplókat, konkrét adattovábbításokat).

Az eljárásban egyébként pont a kéretlen email küldését nem sikerült megfelelően bizonyítani, viszont a vizsgálat során a NAIH számos olyan egyéb jogellenes gyakorlatot tárt fel, amik a kéretlen levéllel kapcsolatos panasz hiányában nem kerültek volna fel a hatóság radarjára. Fontos lehet tehát egy-egy jelentéktelennek tűnő adatvédelmi hiányosságot vagy panaszt a lehető legrövidebb időn belül orvosolni, mert a NAIH egy-egy vizsgálata az eredeti panasznál láthatóan szélesebb körben vonja vizsgálat alá a kifogásolt adatkezelési gyakorlatot.

Az eljárásban a NAIH az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”), a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény („DM törvény”), a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény („Reklámtörvény”), valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény egyes rendelkezéseinek való megfelelőséget vizsgálta.

Milyen információkkal, dokumentációval kell rendelkeznie az adatkezelőknek?

Az eljárás során a NAIH számos információt és dokumentációt (például: szerződések, belső nyilvántartások, eljárásrendek) kért a társaság adatkezelésével kapcsolatban. A dokumentáció egy része jogszabály alapján kötelezően vezetett dokumentáció, más része viszont nem. A NAIH korábban nem kért adatkezelőktől ilyen széles körű belső dokumentációt – ez a megváltozott gyakorlat azonban összhangban lévőnek tűnik a nemzetközi adatvédelmi trendekkel, ahol egyre inkább teret nyer az adatkezelő „elszámoltathatóságának” (accountability) alapelve.

Ezt az alapelvet az EU új adatvédelmi rendeletének tervezete is kötelezően előírja, és ennek alapján az adatkezelés minden fontosabb mozzanatát dokumentálni szükséges, hogy később – például hatósági vizsgálat esetén – az adatkezelés folyamata és jogszerűsége megfelelően nyomon követhető legyen. Az eljárásban bekért információk és kérdések alapján úgy tűnik, hogy most már a NAIH is elvárja az adatkezelések még részletesebb dokumentálását.

Milyen belső nyilvántartást kell vezetni egy társaságnak?

A NAIH az eljárásban az alábbi, jogszabályok alapján kötelező nyilvántartásokat vizsgálta – fontos tehát, hogy az adatkezelők megvizsgálják, megfelelően vezetik-e az alábbi kötelező nyilvántartásokat – mutattak rá a CMS Cameron McKenna LLP Ügyvédi Iroda szakértői.

Általános adattovábbítási nyilvántartás körében: az Infotv. 15. § (2) alapján „az adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat”.

Annak ellenére, hogy az Infotv. alapján kötelező, sajnos a gyakorlatban még mindig elég kevés cég használ ilyen belső nyilvántartást, pedig egy-egy NAIH vizsgálat esetén ez az első, amit a hatóság bekér.

Nehezíti ugyanakkor a jogszabályi megfelelőség biztosítását, hogy a fenti törvényhelyen túl nem áll rendelkezésre gyakorlati útmutató a cégek számára, hogy pontosan milyen formában és részletezettséggel kell vezetni ezt a nyilvántartást, úgy, hogy ne jelentsen ésszerűtlen adminisztrációt az érintett munkatársak számára, de a NAIH számára is elfogadható legyen. Az adatkezelőknek mindenesetre célszerű ellenőrizniük, hogy megfelelően vezetik-e a kötelező adatvédelmi nyilvántartást.

DM célú adattovábbítási nyilvántartás

A DM törvény 5. § (2) alapján az adatkezelők további specifikus nyilvántartást is kell vezessenek az adatátadásokról. Eszerint „adatátadás esetén mind az adatátadónak, mind az - átvevőnek az érintett adatokról és az adatátvevőről, illetőleg - átadóról - az adatforgalom ellenőrizhetőségének biztosítása céljából - nyilvántartást kell vezetni. A nyilvántartást az adatátvétel, illetve az adatátadás évét követő ötödik év végéig kell megőrizni. A megbízás alapján történő adatfeldolgozás esetén a megbízó minősül felelős adatkezelőnek.”

Az eljárásban a NAIH a fentiek alapján vezetett, DM célú adattovábbítási nyilvántartás másolatának megküldését is kérte a társaságtól. Dr. Domokos N. Márton szerint a gyakorlatban nehézséget okozhat, hogy ez a nyilvántartási kötelezettség átfedésben lehet az Infotv. szerinti, általános adattovábbítási nyilvántartás vezetésének kötelezettségével. A kettős nyilvántartás vezetése szükségtelenül megnövelné a cégek adminisztrációs terheit, és nehezítené az adattovábbítások átláthatóságát – célszerű lehet emiatt egy, egységes adattovábbítási nyilvántartást vezetni, amiben szükség esetén külön megjelölhetők a DM célú adattovábbítások is.

A DM tevékenységgel kapcsolatos hatósági vizsgálatok jellemzően egy-egy specifikus kampánnyal összefüggésben indulnak, így ajánlott az adattovábbításokat kampányonként külön nyilvántartani. A gyakorlatban ez többletfeladatot jelent, de ezáltal például elkerülhető, hogy egy adott vizsgálat során egy egységesen vezetett nyilvántartás alapján a hatóság egyéb adattovábbításokat is vizsgálat alá vonjon. A fentiekre tekintettel a DM tevékenységet végző adatkezelőknek célszerű ellenőrizniük, hogy megfelelően nyilvántartják-e a DM célú adattovábbításokat.

Opt-in nyilvántartás

A Reklámtörvény 6. § (5) szerint: „A reklámozó, a reklámszolgáltató, illetve a reklám közzétevője a náluk hozzájáruló nyilatkozatot tevő személyek személyes adatairól nyilvántartást vezet. Az ebben a nyilvántartásban rögzített - a reklám címzettjére vonatkozó - adat csak a hozzájáruló nyilatkozatban foglaltaknak megfelelően, annak visszavonásáig kezelhető, és harmadik fél számára kizárólag az érintett személy előzetes hozzájárulásával adható át.”

Az eljárásban a NAIH arról is kért információt, hogy a társaság hány nevet és címet kezel az adatbázisában. Ennek nyilvántartására a Reklámtörvény által a fentiek szerint előírt „Opt-in nyilvántartás” lehet a legmegfelelőbb, a gyakorlatban azonban a cégek gyakran nem használnak külön dokumentumot erre a célra, hanem az adatokat például egy-egy nagyobb ügyféladatbázis részeként kezelik.

Ez megnehezítheti az adatok naprakész jellegének biztosítását, valamint a leiratkozó személyek adatainak haladéktalan törlését. Ezzel kapcsolatban szintén irányadó lehet az, hogy a hatósági vizsgálatok jellemzően egy-egy specifikus kampánnyal kapcsolatban indulnak, így már csak ezért is célszerű minden kampány során elkülönített opt-in nyilvántartást vezetni. Reklámozási tevékenység esetén érdemes tehát ellenőrizni, hogy megfelelően rendelkezésre áll-e az Opt-in nyilvántartás.

(A CMS Cameron McKenna LLP Ügyvédi Iroda szakértői, Dr. Petrányi Dóra és Dr. Domokos N. Márton kétrészes írásának második részét hamarosan közöljük – a szerk.)