CMS: hogyan kezelje jogszerűen egy társaság az adatbázisát? (2. rész)

A NAIH az eljárás során több olyan információt és egyéb nyilvántartást kért be a társaságtól, amiknek a meglétét nem írja elő kötelezően jogszabály, de a NAIH jelen eljárásban látott gyakorlata alapján ajánlott lehet. A NAIH-nak a határozatában tett észrevételei alapján az adatkezelőknek az alábbiak szerint érdemes aktualizálni szerződésmintáikat és belső eljárásaikat.

Az adatkezelők és/vagy adatokat megkapó személyek közötti feladat- és felelősség megosztásával kapcsolatos információkat érdemes az adattovábbítással összefüggő szolgáltatásokat szabályozó szerződésben rögzíteni. Ez már csak azért is fontos lehet, mert az eljárásban a NAIH külön vizsgálta, hogy a társaság és partnerei együttes adatkezelést végeznek-e, ami egyetemleges felelősség megállapításához vezethet.

A NAIH fenti információkérésére tekintettel az adatkezelők önálló, egymástól független adatkezelői státuszát és az adatkezeléssel kapcsolatos részletes feladatokat célszerű a közöttük létrejövő szerződésben rögzíteni – tanácsolták a CMS Cameron McKenna LLP Ügyvédi Iroda szakértői.

Adatbázis információ

A NAIH tájékoztatást kért továbbá a társaságtól arról, hogy a mennyi és milyen adatbázist tárol az aktualizált adatokat tartalmazó „éles” adatbázison kívül, hány másolata, illetve különböző időpontok szerinti tárolt változata van ennek, illetve pontosan mikor, kinek, mekkora adatbázist küldött ki. A hatóság kérte annak megjelölését is, kik az informatikusok, akik a hírlevelek kiküldése során külső hírlevélküldő rendszert használtak, és ők mely cégek alkalmazásában, megbízásában voltak.

Ennek alapján fontos lehet a jövőben, hogy az adatkezelők pontos nyilvántartással rendelkezzenek az általuk használt adatbázisok tartalmáról, kezeléséről, és a munkatársak hozzáférési jogairól. A kötelező adattovábbítási nyilvántartáson túlmenően a NAIH arról is kért információt, hogy a társaság milyen szempontok alapján dönti el, hogy a regisztrált adatot mely adatkezelő kapja meg, valamint kérte a kiválasztás szempontjait szabályozó dokumentumot, szabályzatot, és az adatátadásokról készült jegyzőkönyveket.

A NAIH elvárásaira figyelemmel célszerű lehet a cégeknek a fenti információkkal magát a kötelező adattovábbítási nyilvántartást kiegészíteni, biztosítva ezzel az adattovábbítási folyamat egységes nyilvántartását, és a kapcsolódó dokumentáció szükségtelen többszörözésének megelőzését.

Belső utasítások

A vizsgálat során a NAIH azt állapította meg, hogy a társaság munkatársai a nem aktuális, nem naprakész adatokat tartalmazó adatbázissal is aktív műveleteket tudtak végezni, és ezért a társaság adatkezelőként nem járt el a megfelelő gondossággal, a munkatársak utasításokkal történő ellátása nem eredményezte megfelelően az adatvédelmi jogszabályok érvényesülését, illetve az általa végzett adatkezelésnek nem minden részletéről rendelkezett megfelelő információval, és nem érzékelte a jogellenes adatkezelést.

A NAIH javaslatával összhangban olyan belső szabályzatot, szervezési intézkedéseket kell kialakítani, hogy a munkavállalók előtt is egyértelmű legyen az adatkezelésre vonatkozó feladatok végrehajtása során a jogszabályi előírások mindenkori érvényre juttatásának módja, és az adatbázis kezelési jogosultságokat is megfelelő részletességgel rögzíteni kell.

Az adatkezelési letiltása

Vizsgálata során a NAIH a társaság által használt adatkezelési tájékoztatóval kapcsolatban az alábbi észrevételeket tette – ezek a megállapítások általánosságban irányadóak lehetnek más adatkezelők számára is, érdemes tehát az adatkezelési tájékoztatók áttekintése a NAIH által meghatározott szempontok alapján.

A NAIH megállapításai alapján jogellenes lehet az a gyakorlat, ha a társaság adatkezelési tájékoztatójában kötelezi az érintetteket, hogy ha személyes adataik kezelését meg akarják tiltani, a tájékoztatóban felsorolt adatkezelőknél egyenként saját maguk járjanak el - figyelmeztetett dr. Domokos N. Márton.

A DM törvény 20. § (2) ugyanis ezt a kötelezettséget az adatátadó köteles elvégezni: „Az érintettet kérelmére az adatkezelést végző közvetlen üzletszerző szerv köteles az általa kezelt adatairól írásban tájékoztatni, illetőleg azokat helyesbíteni. A harmadik személy részére átadott adatok helyesbítését vagy törlését - a hat hónapon belül továbbított adatok vonatkozásában - az érintett kérelmére az adatátadó szerv köteles kezdeményezni.” Érdemes tehát áttekinteni, hogyan szabályozzák az adatkezelési tájékoztatók az adatkezelés letiltásának módját.

A tájékoztató szövegezése

A NAIH eljárásban vizsgált adatkezelési tájékoztató az adattovábbításokkal kapcsolatban az „előfordulhat” szót használta. A NAIH szerint ez a szóhasználat pontatlan, mert azt sugallja, hogy az adattovábbítás pusztán lehetőség, ha azonban minden regisztrált adatot megkap minden adatkezelő, akkor az adattovábbítás nem „előfordulhat”, hanem minden adat esetében „előfordul”.

Az eljárás során ugyanakkor az derült ki, hogy a gyakorlatban a tájékoztatóban feltüntetett adatkezelők közül nem is mindegyik kapja meg a személyes adatokat. A NAIH ezzel kapcsolatban azt is felvetette, hogy ha nem minden adatkezelő kapja meg az adatokat, a regisztráló személy hogyan szerez tudomást arról, hogy adatait a hozzájáruló nyilatkozatban felsorolt cégek közül mely adatkezelő kapta meg.

Mindezek alapján a NAIH megállapította, hogy az adatkezelési tájékoztató szövegezése nem egyértelmű, más adatkezelők számára megnyugtató megoldási javaslatot azonban a határozat sajnos nem tartalmazott. Egy-egy adatkezelési folyamat ugyanis ma már nem olyan egyszerű, hogy ilyen pontossággal minden egyes konkrét adattovábbítást rögzíteni lehessen előre – hangsúlyozta Dr. Petrányi Dóra.

Adattovábbításokra általában esetről esetre kerül sor, például a kampány jellegére, az érintett cégek igényeire figyelemmel – ha azonban az adattovábbítás célja és lehetséges címzettjeinek köre megfelelően szerepel az adatkezelési tájékoztatóban, az adattovábbításhoz való előzetes, általános hozzájárulás nem feltétlenül sérti az érintett jogait. Az adattovábbítási lehetőségek ésszerűtlen korlátozásának elkerülése érdekében a más adatkezelési tájékoztatókban egyébként rendszeresen előforduló feltételes mód használata emiatt indokolt lehet.

Az adattovábbítás

A NAIH az eljárásban felhívta a figyelmet arra is, hogy az adatkezelési tájékoztató szóhasználatának összhangban kell lennie az Infotv. által használt definíciókkal - az adatkezelők között „adattovábbítás”, adatfeldolgozó részére pedig ”adatátadás” történik, és az átláthatóság megköveteli az adatfeldolgozók pontos nevesítését is az adatkezelési tájékoztatóban.

A lehetséges adattovábbítások köre

Az eljárás során a NAIH azt is megjegyezte, hogy az adatkezelési tájékoztatóban felsorolt társaságok az adatgyűjtést csak támogatták, és mint az adatbázis várományosai tűntek fel, azonban az adatgyűjtéskor még nem minősülnek adatkezelőknek, hanem csak az adattovábbítás címzettjeinek. Az adattovábbítás után vált adatkezelővé az, aki az adatbázist megkapta - emelte ki dr. Domokos N. Márton.

Egyes társaságok viszont a NAIH szerint úgy deklarálták előre adatkezelői mivoltukat, hogy később adatkezelést egyáltalán nem végeztek, az adattovábbítás címzettjei sem lettek. A NAIH sajnos nem ad iránymutatást azzal kapcsolatban, hogyan érdemes kiemelni egy-egy adatkezelési tájékoztatóban, ha konkrét adattovábbítás nem történik, és a leendő címzett csak az „adatkezelés várományosa”. A gyakorlatban a hasonló adatkezelési tájékoztatók nem tartalmaznak ilyen szokatlan és szigorú elkülönítést a lehetséges adatkezelők személye tekintetében.

Adatkezelési célok megfelelő részletezése

Az eljárásban vizsgált adatkezelési tájékoztató tartalmazta, hogy az adatkezelés célja a közvetlen üzletszerzés, az érintettek részére valamely terméket, szolgáltatást népszerűsítő üzenet, hírlevél küldése, ugyanakkor a NAIH megállapította, hogy az adatkezelés célja a társaság részéről a reklám-üzenetek küldése mellett az adatbázis értékesítése is volt, mert az adatok továbbítására a többi társaság részére egyes esetekben ellenérték fejében került sor.

Erről azonban a nyilatkozat nem tartalmazott további információt – a jogszerű gyakorlat a NAIH szerint az lett volna, ha az értékesítés, mint az adatkezelés további, dokumentált célja külön szerepel az adatkezelésről adott tájékoztatásban. Ebben a tekintetben a NAIH átláthatósággal kapcsolatos elvárása ésszerű követelmény, mert a gyakorlatban egyelőre sajnos még elég gyakoriak az általános megfogalmazások – mutattak rá végezetül a CMS Cameron McKenna LLP Ügyvédi Iroda szakértői.