GDPR – a nonprofitoknál még mindig aktuális
Olvasási idő:
A vállalkozásokat és az állami szervezeteket egyaránt széles körben érintő új adatkezelési szabályrendszer, a GDPR a társaságok sajátos csoportját képező nonprofit szervezetek körére is új előírásokat tartalmaz. A szabályok pontos alkalmazását szolgálta a Nemzeti Adatvédelmi és Információszabadság Hatóság e témakörben közzétett állásfoglalása, amit az alábbiakban vázlatosan összegzünk.
A civil szervezetek belső működése vonatkozásában a GDPR nem ír elő belső adatvédelmi szabályzatalkotási kötelezettséget. Az adatkezelőnek akkor kell belső adatvédelmi szabályokat is alkalmaznia – a személyes adatok védelmének biztosítása céljából megvalósított technikai és szervezési intézkedések részeként – ha ez az adatkezelési tevékenység vonatkozásában arányos. Tehát az adatkezelőnek kell mérlegelnie, hogy az általa kezelt adatok mennyisége és köre alapján „arányosnak” mutatkozik-e adatvédelmi szabályzat vagy más szabályrendszer (pl. utasítás, folyamatleírás, biztonsági szabályzat) készítése.
Amennyiben az adatkezelő az adatvédelmi szabályzat elkészítése mellett dönt, a szabályzat alapján kialakított adatkezelési gyakorlatnak a GDPR-ral összhangban kell lennie, amely az adatkezelő, adatfeldolgozó felelőssége. Nem a működési forma, hanem a végzett tevékenység számít tehát.
A tagnyilvántartásoknak is meg kell felelniük a GDPR követelményeinek.
Annak eldöntése, hogy kell-e adatvédelmi felelőst alkalmaznia egy szervezetnek jelenleg az Adatvédelmi Munkacsoportnak az adatvédelmi tisztviselőkkel kapcsolatban kibocsátott 243. számú iránymutatása segít.
A GDPR alapján az adatkezelő és az adatfeldolgozó adatvédelmi tisztviselőt jelöl ki minden olyan esetben, amikor:
- az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik, kivéve az igazságszolgáltatási feladatkörükben eljáró bíróságokat;
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé;
- az adatkezelő vagy az adatfeldolgozó fő tevékenységei a személyes adatok 9. cikk szerinti különleges kategóriáinak és a 10. cikkben említett, büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó adatok nagy számban történő kezelését foglalják magukban.
A civil szervezetek dolgozói, tisztségviselői
Munkavállalói személyes adatok kezelésére a hozzájárulás jogcím nem alkalmazható, jogi kötelezett teljesítésén alapul az adatkezelés, ezért felesleges a hozzájárulás beszerzése. Kivételes esetekben azonban, ha a hozzájárulás szabadon és következményektől mentesen megtagadható, továbbá, ha a hozzájárulás nem a munkaviszony fenntartásának feltétele, akkor az érintett hozzájárulására szükség lehet.
A közérdekű önkéntes tevékenységről szóló 2005. évi LXXXVIII. törvény alapján főszabály szerint kötelező az önkéntes szerződés írásba foglalása, de szerződés teljesítéséhez szükséges adatkezelés, mint jogalap alkalmazásának nem feltétele az írásbeli szerződés. Az adatkezelő felelőssége és kockázata, hogy jogvita esetén írásbeli szerződés hiányában tudja-e bizonyítani az önkéntessel fennálló jogviszonyt, illetve azt, hogy csak a jogviszonyhoz szükséges mértékben és ideig kezelte az önkéntesek személyes adatait, és hogy a GDPR szerinti egyéb kötelezettségeinek eleget tett.
Szerződésekben szereplő kapcsolattartói adatok
Ezen személyes adatok kezelésének célja a kapcsolatfelvétel lehetővé tétele, így a kapcsolattartók adatait a harmadik személy adatkezelő és a kapcsolattartó munkáltatója, megbízója, jogos érdekére hivatkozással a szükséges mértékben kezelhetőek. Ebben az esetben érdekmérlegelési teszt elvégzése szükséges. A teszt eredménye alapján meg kell állapítani, hogy az érintett személyes adatainak kezelése a munkaköre vagy megbízása, ellátása során a munkáltató, megbízó, jogos érdekénél csekélyebb jogkorlátozást szenved el, tekintettel arra, hogy ezen adatok megismerhetőségéhez nyomós munkáltatói, megbízói, érdek fűződik.
Pályázati elszámolásokkal kapcsolatos adatkezelési jogalap
A pályázatok esetében jogszabály írja elő az adott személyes adat kezelését és annak feltételeit, ezen esetben a jogalap az adatkezelőre vonatkozó jogi kötelezettség teljesítése lesz.
Amennyiben nem jogszabály írja elő, de a pályázat teljesítéséhez vagy ellenőrzéséhez feltétlenül szükséges személyes adatról van szó, akkor az adatkezelő jogos érdeke alapján kezelhetők a személyes adatok, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek. Ilyen esetben érdekmérlegelési tesztet kell végezni.
Civil szervezetek rendezvényein vezetett jelenléti ívek
A készletező adatgyűjtés, „adatfelhalmozás” a GDPR-t megelőző jogszabályi környezetben is jogellenes volt, ez nem változik. Ennek megfelelően akkor jogszerű a rendezvényeken a jelenléti ívek vezetése, ha van konkrét, jogos adatkezelési cél, megfelelő tájékoztatás és igazolható, GDPR-nak megfelelő hozzájárulás.
Honlap, közösségi média
A honlapot működtető, illetve hírlevelet kiküldő civil szervezetek másokkal azonos feltételek mellett működhetnek, azaz személyes adatot csak a GDPR szerinti valamely jogcím alapján kezelhetnek. Hírlevél esetén ez jellemzően a hozzájárulás.
Olyan képek és videók közzététele esetén, ahol harmadik személyek felismerhetőek mindenképpen kell az érintettektől hozzájárulás és megfelelő adatvédelmi tájékoztatást kell adni az érintetteknek, akár a honlapon közzétéve, akár más igazolható módon.
Adatvédelmi tájékoztatás minta nem készíthető mindenkire általános jelleggel. A Hatóság tapasztalata szerint az általános adatvédelmi tájékoztató mintát átvevő adatkezelők tényleges gyakorlata sokszor nagyon eltér a leírtaktól, így a minta alkalmazása sokszor inkább félrevezeti az érintetteket, és éppen ez teszi jogellenessé az adatkezelést.
Elektronikus vagy postai úton kiküldött hírlevél, meghívó, illetve ügyféladatbázis
Nem szükséges az érintett ismételt hozzájárulása, ha a korábban adott hozzájárulása megfelel a GDPR-nak, vagy egyéb jogalap fennáll a további adatkezelésre és erről megfelelően tájékoztatja az az adatkezelő az érintetteket.
A hírlevélküldés célú adatkezeléshez a GDPR-nak megfelelő hozzájárulást nem szükséges időszakosan az érintetteknek megerősíteni, ha a feliratkozás határozatlan időre történt. Minden egyes hírlevélben meg kell adni az akadálymentes leiratkozás lehetőségét, mely nem lehet időigényesebb vagy bonyolultabb, mint a feliratkozás.
A természetes személy e-mail címe önmagában is személyes adat. A személyes adat minőséghez nem szükséges az, hogy az adott adat önmagában és közvetlenül legyen alkalmas a konkrét személy azonosítására, ilyennek minősül az adat akkor is, ha közvetetten és/vagy más adatokkal együtt alkalmas az egyén azonosítására
Archívum
A közérdekű archiválás céljából folytatott adatkezelésekre, megfelelő garanciák mellett, tagállami jog állapíthat meg a GDPR alóli kivételeket, könnyítéseket. Amennyiben a tagállami jog ilyet nem állapít meg, vagy az adott archiválás a tagállami jog szerint nem minősül „közérdekű archiválás”- nak, csak „készletező adatgyűjtésnek” az nem jogszerű.
Fotókhoz és mozgóképekhez kapcsolódó személyiségi jogok
A rendezvényen résztvevőket előzetesen, megfelelő formában, igazolhatóan tájékoztatni szükséges a felvételkészítésről és annak jogalapjáról.
Ha a rendezvényre nem lehet belépni úgy, hogy a kép, vagy videó készítése kizárható lenne, akkor önkéntes hozzájárulás a GDPR alapján nem adható, jogszabályi előírás híján az adatkezelő vagy harmadik személy jogos érdeke lehet a jogalap megfelelő érdekmérlegelési teszt és tájékoztatás mellett. A tájékoztatásban pontosan meg kell határozni ki, milyen célból és milyen felületen teszi közzé vagy használhatja fel, milyen címzettek részére adhatja át a felvételeket, és mennyi ideig kezelheti azokat. Ha nem tájékoztatható az érintett a kapcsolat hiánya miatt, akkor a személyes adatát tartalmazó felvételt vagy törölni, vagy anonimizálni kell.
Bírságok/Hatóság
A bírságolási gyakorlatot az összes tagállam adatvédelmi hatósága és az az általános adatvédelmi rendelet alkalmazásáért felelős uniós szerv, az Európai Adatvédelmi Testület, valamint a hatóságok határozatait felülvizsgáló tagállami bíróságok, végső soron az Európai Unió Bírósága alakítják ki. A Hatóság a saját gyakorlatát erre tekintettel alakítja ki a GDPR rendelkezéseire figyelemmel.
Minél nagyobb az érintettekre a jogellenes adatkezelésből adott esetben bekövetkező hátrány, illetve az ilyen hátrány bekövetkezésének kockázata, továbbá minél kevésbé korrigálható a helyzet, annál szigorúbb elvárásokra, és ebből következően szigorúbb jogkövetkezményekre számíthat az adatkezelő, illetve az adatfeldolgozó.
A kevés anyagi forrás önmagában nem mentesít a kárfelelősség alól, ha nagyszámú és nagy értékű személyes adatot kezel egy civil szervezet. Egyes szervezeteknek célszerű lehet olyan adatfeldolgozót igénybe venni, amely a megfelelő feltételeket szavatolni tudja, mivel adott esetben ez költséghatékonyabb lehet egy saját rendszer alkalmazásánál.
Amennyiben egy kisebb civil szervezet nem biztos abban, hogy a nyilvántartási rendszere a szükséges biztonsági követelményeknek eleget tesz, célszerű lehet egy egyszeri informatikai szakértői véleményt beszerezni, mivel ez elsősorban technikai kérdés.
A GDPR alapján a Hatóság mind érintetti panasz alapján, mind hivatalból jogosult eljárni. A Hatóság a GDPR szerinti kötelezettségeit a fenti eljárások szükség szerinti alkalmazásával látja el a rendelkezésére álló erőforrásainak keretén belül.
A fentiek alapján a Hatóság a bírságolás során az eset összes körülményét figyelembe veszi, nem célja sem a civil, sem más szervezetek működésének ellehetetlenítése. A Hatóság a hatékony, arányos és visszatartó erejű bírságot alkalmaz, amelynek mértéke eltérő lehet egyes adatkezelőknél, de a felelősség és a bírság szükségességének megállapítása független az adatkezelő személyétől a fentiekben kifejtettek szerint.