A GDPR interjú leiratának folyatása, 2. rész.
Az első részt itt találhatjátok: https://www.webshield.hu/gdpr-1-alapfogalmak/
Minden adatkezelés, mert ugye az volt az első, hogy meghatározzuk az adatkezelés célját, és erről tájékoztatjuk a tisztelt érintettet. Ugyanígy meghatározzuk az adatkezelésnek a jogi alapját, összesen hat darab jogi alap van, ebbe mindenképpen bele kell férni. Hogy ha nem férünk bele, akkor nem kezelhetjük a személyes adatot. Az egyik az az érintett hozzájárulása. Ez Magyarországon a legelterjedtebb, ugyanakkor a WP 2-es állásfoglalása szerint ez a legkevésbé előnyös a vállalkozás számára is, merthogy az érintett bármikor visszavonhatja, tehát a WP 2 azt ajánlja, hogy keressünk más jogalapot. Csak hogy ha már semmilyen más jogalapra nem tudunk hivatkozni, akkor legyen ez az érintett hozzájárulása.
A második az a szerződés teljesítéséhez szükséges személyes adatok kezelése. Nagyon egyszerű, az előfizető – az érintett megkeresi a szolgáltatót, hogy ő szeretne egy ilyen szolgáltatást igénybe venni, és ahhoz hogy a szolgáltatást igénybe vegye, meg kell adnia különböző adatait.
Igen, viszont itt ugye fontos szabályozni akkor azt, hogy a szerződésben legyen benne az, hogy milyen adatokat fog kezelni, fog feldolgozni az adatfeldolgozó.
Így van, és milyen célból? És meddig? És kinek adja ki? És ki az, aki neki alvállalkozójaként láthatja ezeket az adatokat? Tehát az adat feldolgozója. Elég sok mindent kell rögzíteni a szerződésben. Igen, ebbe bele kell tanulni, én azt gondolom, hogy az első év olyan lesz, vérverejtékes, de bele kell tanulni.
Harmadik: adatkezelő jogi kötelezettségének teljesítéséhez. Ahhoz, hogy én a NAV-nak járulékot fizessek, ahhoz nekem nyilván kell tartanom az én munkavállalómnak az adószámát meg az egyéb adatait. Vagy másik természetes személy létfontosságú érdekének védelme miatt. Tehát itt arról van szó, hogy mondjuk valaki életveszélyben van és csak akkor lehet őt megtalálni, hogyha a helyadatát, az okostelefon helyadatát megszerezzük.
Az utolsó előtti: közérdekű vagy közhatalmi jogosítvány gyakorlásához, magyarul, hogy az adatokat törvényi felhatalmazással valamilyen államigazgatási szervezet kezeli és az adatkezelggő vagy harmadik fél jogos érdeke. Itt a jogos érdek alatt meg kell vizsgálni, hogy arányban áll a te adatkezelésed azzal a jogos érdekkel, amit ezzel el akarsz érni. Tehát például mondjuk van a Munkaügyi Bíróságon egy pere egy volt munkavállalódnak, akkor te kezelheted addig a munkavállalód adatait, amíg az a bírósági per le nem zárul. Utána akárhogy lezárul, vége van, neked nincs dolgod azzal a munkavállalóval többet, akkor azokat az adatait ki kell törölni.
Ugye, a mai gyakorlat az, hogy akárhány munkahelyemről én elmentem, minden adatom ott van, mert van egy dolog, ami törvényi megfeleléshez kell, mondjuk a nyugdíj információk miatt bizonyos adatokat meg kell tartani x évig, de az összes többit, tehát a személyi igazolvány számomtól kezdve, a diplomáim másolatáig mindent, amiket begyűjtöttek, ezeket mind törölni kéne.
Tehát ezek a jogi alapok, ebbe mindenképpen bele kell férni és az adatkezelési tájékoztatóba bele kell írni, hogy mik ezek a jogi alapok. Többet is meg lehet jelölni, amikkel én kezelni szeretném az érintett személyes adatait.
Leggyakoribb gondolom akkor az érintett hozzájárulása lesz.
Lehet, hogy az érintett hozzájárulása, de mondjuk egy nagyértékű gyártósor kamerás megfigyelésénél le lehet írni a munkavállaló számára – tehát a munkavállalót is tájékoztatni kell – egy adatkezelési tájékoztatóban, hogy ő megfigyés alatt van ezen a területen, ilyen jogalappal, tehát az az érdekmérlegelés, hogy a nagyértékű gép védelme érdekében a kamera, ami kizárólag a gép felé van irányítva, tehát ő akkor látszik, amikor éppen a gépnél dolgozik, és hogyha ő ott dolgozik, ezzel tudomásul veszi, hogy ott megfigyelhetik.
Jó, ezek voltak a jogi alapok és akkor ami még fontos, azok az alapelvek, amiket teljesítenünk kell GDPR-hoz kapcsolódóan. Az első alapelv az a jogszerűség, tisztesség, tisztességes eljárás és átláthatóság, ehhez a kapcsolódik, hogy az érintettnek milyen jogai vannak. Van információkérési jog, betekintési jog, törlési jog, módosítási, pontosítási jog, másolat kérésének a joga, tiltakozás joga, elfelejtéshez való jog. Például a Google esetében jogom van kérnem a Google-től, hogy minden linket, ami hozzám kapcsolódik, azt töröljenek, kivéve mondjuk, hogy ha közszereplő vagyok, mert akkor ez egy magasabb érdek ilyen szempontból. De gyakorlatilag élhessen ezzel az érintett.
Áttláthatóság: itt jön az adatkezelési tájékoztató, gyakorlatilag az adatkezelési tájékoztatóba mindent pontosan le kell írnom, ami ahhoz kell, hogy ő tudja azt, hogy mi történik az ő személyes adataival.
Ez mondjuk volt is, adatkezelési tájékoztató.
Igen, de szerintem nem ilyen mértékű, tehát gyakorlatilag nekem olyan szinten le kell írnom, hogy ha én át akarom adni, nem harmadik félnek és nem üzletszerzés céljából, hanem csak az én adatfeldolgozómnak, akit meg kell jelölnöm. Hogy ha adatvédelmi tisztségviselőt kell alkalmaznom, akkor meg kell adnom az elérhetőségét, a nevét. Gyakorlatilag minden információt, hogy mit fogok az adatokkal csinálni. Hogy ha én profilozásra vagy automatikus döntéshozatalra használom az ő személyes adatait, akkor azt meg kell jelölnöm, hogy milyen módon fogom ezt fölhasználni, tehát még az eljárást, magát is meg kell nevezni.
Mit értünk profilozás alatt?
Na, ez megint egy darázsfészek. Gyakorlatilag már azt is profilozásnak nevezzük, hogyha a háziorvos téged fölhív azzal, hogy kedves Szabolcs, már fél éve nem voltál vérvételen, vagy egy éve nem voltál vérvételen, a te korodban javasolt évente egyszer elmenni vérvételre, legyél szíves elmenni vérvételre. Ez profilozás. Tehát az profilozás, hogy valamilyen információk összegyűjtése után, azokat valamilyen módon értékeled, ennyi.
Tehát gyakorlatilag aki marketingezik, az profiloz is, amikor küldik, hogy időszerű lenne egy vizsgálat, akkor az nyilván, ők fölhasználják azt az adatot, hogy mikor voltál ott utoljára, mikor mehet ki a reklám neked, ez már profilozás.
Így van. Gyakorlatilag, aki értékel, gyakorlatilag szerintem majdnem mindenki profilozik, hiszen azért gyűjtjük az adatokat. Azért gyűjtök adatot, hogy a vállalkozásom az sikeresebb legyen, azért, mert testhez állóbb ajánlatot tudok adni az ügyfeleim részére, tehát profilozok.
És erre, egyébként ez egy nagyon fontos pont lesz, mert például a profilozás az egyik olyan tevékenység, aminél kötelező adatvédelmi tisztségviselő jelölése és adatvédelmi vizsgálat elkészítése.
Oké, tehát eleve most gondolja ki, hogy ki lesz az adatvédelmi tisztviselője.
Lehet szervezeten belül is kijelölni adatvédelmi tisztviselőt, ezzel nincs baj, csak megfelelően ismernie kell a joganyagot, megfelelően képzettnek kell lenni, és rátermettnek, hogy végrehajtsa ezeket, vagy segítse a végrehajtást.
Mindenhez IS kell érteni, gyakorlatilag sok egyszemélyes vállalkozás van, egyéni vállalkozó, ott önmaga is lehet akkor az adatvédelmi tisztviselő, de ezekkel nagyon tisztába kéne, hogy legyen.
Igen, igen, de itt az a baj, hogy van egy összeférhetetlenségi szabály… Látom, hogy fogod a fejed, volt idő, mikor mi is a képzéseket megkaptuk, akkor mi is fogtuk sokszor a fejünket. Gyakorlatilag az összeférhetetlenségi szabály konkrét pozícióhoz kötve arról szól, hogy ha valakinek döntési joga van a szervezet adatkezelésével kapcsolatban, akkor ő nem lehet adatvédelmi tisztviselő. Egy egyszemélyes kft. vagy egyszemélyes, egyéni vállalkozónak, ahol én döntöm el, ott elvileg én nem lehetek adatvédelmi tisztviselő. Ezt nem tudom, hogy hogy lesz megoldva.
Ennyi adatvédelmi tisztviselőt nem lehet kitermelni gyakorlatilag, amennyire szükség lenne.
Erről majd beszélgetünk a végén szerintem, de igen, tehát ez hiányos ez a szakma, maradjunk ennyiben. Jó, menjünk vissza az alapelvekhez, mert ezeket mind be kell tartanunk a mi adatkezelésünkkel kapcsolatban és az a gond, amit nem tudok elégszer hangsúlyozni, hogy először is az adatkezelő és az adatfeldolgozó közös felelőssége, tehát bárki megcélozhatja kártérítési igénnyel mind az adatkezelőt, mind az adatfeldolgozót és megfordult a bizonyítási kényszer, tehát az adatkezelőnek meg az adatfeldolgozónak kell bizonyítania, hogy minden tőle elvárható gazdaságilag racionális lépést megtett azért, hogy az érintett adata ne kerüljön incidens alá.
Szóval, jogszerűség, tisztességes eljárás, átláthatóság, célhoz kötöttség – ezekről már beszéltünk. Adattakarékosság, erről nem beszéltünk: csak azokat az adatokat gyűjthetem, amelyek szükségesek ahhoz, hogy elérjem azt a célt, amit én megjelöltem az adatvédelmi tájékoztatóban. Tehát nem halmozhatom az adatbekérést nagyon, jelen pillanatban szerintem nagyon sok szolgáltató él ezzel, tehát, hogyha én a Vízművekhez akarok egy szerződést kötni, tök mindegy, akármelyik helyi Vízmű, nem akarok nevesíteni, nehogy aztán probléma legyen belőle, de az a lényeg, hogy bekérhetik azt is – sokszor láttam ilyet – hogy hol dolgozol, milyen munkahelyen. Ahhoz viszont nincs köze a vízműnek, a szolgáltatónak, hogy mi az én munkahelyem. Vagy a bank, amikor bekéri, hogy mi az én munkahelyem. Ahhoz, hogy ő egy számlát nyisson nekem, meg kéne adnom, hogy mi az én munkahelyem.
De mondjuk hitelfelvételnél, ott lehet értelme?
Hitelfelvételnél meg kell nézni, hogy mit szól az ágazati törvény, mit enged meg nekik. A kettőt együtt kell nézni. Most én nem ismerem, hogy a banknak milyen jogosultsága van a hitel törvény szerint mit lehet és mit nem lehet. Ezt akkor meg kell vizsgálni. Tehát ha mondjuk, bejön egy ilyen megkeresés, egy pénzügyi vállalkozás megkeres engem, hogy legyek az adatvédelmi tisztviselője, akkor biztos, hogy az az első lépés, hogy a GDPR-t ismerem, meg kell néznem a hitelintézeti törvényt, ami alapján ők kezelik az adatokat. A kettőt össze kell fésülni a fejemben meg papíron, és akkor látom azt, hogy valójában mihez van joguk meg mihez nincs joguk. Mindig így kell hozzáállni egy ilyen vizsgálathoz.
Térjünk vissza az adattakarékossághoz. Beszéltem arról, hogy a készlet adatgyűjtés az nem jó. Tehát mindig csak annyi adatot kezeljünk és csak addig, amíg szükséges a célunk eléréséhez. Ha megszűnik a szerződés, amihez kezeltük, ha megszűnik, tehát ha nem reagál, mondjuk, 1 évig kezeljük marketing céllal az adatait és nem reagál rá, akkor igenis töröljük az adatbázisból.
Pontosság – ez egyértelmű. Az adatok, amiket rögzítünk, pontosnak kell lenniük és lehetőséget kell adni az érintettnek, hogy ha valamilyen változás áll be, vagy pontatlannak találja, akkor azt módosíthasson rajta.
És csak addig tárolhatjuk az adatokat ameddig a célhoz szükséges, illetve amíg a jogalapunk megvan rá. Nem lehet végtelen, tehát nem lehet évekig tárolni. Tehát az én korábbi munkaadóim elvileg jogellenesek akkor, amikor még mindig tárolják az én bizonyítványomat.
Bocsánat, egy kérdés: Azt lehet-e szabályozni, mondjuk biztonsági mentések esetében, ez a vesszőparipám, hogy mondjuk, megszűnik a szerződésünk, mostantól nem kérsz biztonsági mentést, de az adataidról még 30 napig van a mentés. Hiszen 30 napig visszamenőleg vannak mentések. Azt lehet így szabályozni szerződésben, hogy a szerződés megszűnése után még 30 napig tárolok adatokat?
Igen. Tehát ezt a szerződésbe illetve az adatkezelési tájékoztatóba le kell írni. Ez akkor jogszerű, egyébként nem jogszegű. Egyébként ki kéne mazsolázni az összes olyan adatot a mentésekből, amik ahhoz az ügyfélhez tartozik, akinél megszűnt ez a szerződés azonnal.
Integritás és adatbiztonság: ez a beépített adatvédelem elv. Ez arról szól, hogy minden adatkezelési eljárást úgy kell megterveznem, minden adattárolást úgy kell megterveznem, hogy ahhoz illetéktelenek ne férhessenek hozzá, illetve megint a gazdasági racionalitás mellett az elvárható legnagyobb védelmet nyújtsa a tárolt vagy a kezelt adatok szempontjából.
Mi az elvárható legnagyobb védelem?
Hát ez az…
Mert legszívesebben lecsapnék a dologra és mondanám, hogy mindenkinek kell kérni egy IT security auditot, de én nem gondolom, hogy ez lenne a cél.
Nem, nem ez a cél. Tehát az adatvédelmi hatóságnak volt egy olyan megjegyzése még a bírságoláshoz kapcsolódóan, hogy ő nem tönkre tenni akarja a vállalkozásokat, tehát ésszerűen fogja ezeket a rendelkezéseket alkalmazni, a tőle telhető mértékben. Rá akarja kényszeríteni a vállalkozásokat arra, hogy alkalmazzák ezt a rendeletet. Tehát az nem megoldás, hogy én állok a partvonal mellett és figyelem, hogy mi fog itt történni, és majd amikor már kialakult a jó gyakorlat, akkor majd bevezetem. Nem. Ennek sajnos neki kell állni és megcsinálni. És ha kapok egy ilyen vizsgálatot az adatvédelmi hatóságtól, akkor ő ezt figyelembe fogja venni, hogy én legalább törekedtem arra, hogy teljesítsem. Tehát a bírság mértéke a töredéke lesz, a megállapíthatónak stb. Lehet, hogy csak ajánlás lesz, hogy ezt, hogy ha megcsinálod, akkor eltekint a bírságtól. Tehát erre van lehetősége.
Jó, tehát itt az a legfontosabb, hogy az integritás és adatbiztonság, ez a beépített adatvédelem, ez megint egy folyamat. Tehát az egész működési folyamatunkat át kell tekinteni. És ez nem csak az elektronikus adatokra vonatkozik, minden adatra. Papír alapúakra is.
Az, amit mondtál, hogy a diploma másolatokra is…
Így van, minden adatra. Tehát a teljes a szervezeten belül minden személyes adatra. Tehát a szervezetünk teljes személyes adatokhoz kapcsolódó adatkezelését ilyen szempontból át kell tekintenünk.
Például: van egy recepció, ahol tárolják a betegeknek a kartonjait, két irányból megközelíthető az a recepció. És ráadásul ott van egy paraván, nem látni, hogy mi van a recepció túlsó oldalán, ahonnan van még egy bejárat. Ott nem mindig tartózkodik személy. Akkor bizony, ez valamilyen formában egy kockázat. Ezzel beazonosítottunk egy kockázatot, amit szervezeti eljárással kezelni kell. Vagy lezárom azt a bejáratot vagy mindig fog ott egy személy tartózkodni, vagy egy beléptető rendszert szerelek oda. Valamilyen formában megoldom, hogy onnan ne lehessen bejutni és kivinni személyes adatot. Ezért mondtam, hogy ez egy összetett, a teljes vállalkozást, a teljes szervezet működését átvizsgáló tevékenységnek kell lennie.
És akkor, ami a kulcs – vagy a legfontosabb, a számunkra a legkellemetlenebb: ez az elszámoltathatóság. Tehát ez egy alapelv: az adatkezelőnek, meg az adatfeldolgozónak kötelező elszámoltathatóságot bemutatnia. Tehát neki kell bizonyítani azt, hogy a tőle telhető gazdaságilag racionális módon mindent megtett azért, hogy ezek az adatok ne kerüljenek ki. Itt megint azt hangsúlyoznám, hogy a törvényalkotó az érintett szempontjából vizsgálja, és őt nem érdekli, hogy egy nagy mobilszolgáltatótól került ki a mozgási adatom, ami miatt rájött a barátnőm, hogy megcsalom és ezért kirúgott és engem érzelmi kár ért, vagy egy egyszerű 3 fős takarító vállalat gépkocsi GPS megfigyeléséből kerültek ki ugyanezek a mozgás adatok. „Nem szép” megcsalni egy barátnőt, de ez jogilag ilyen szempontból mindegy. Teljesen mindegy a hatás szempontjából, tehát az érintettre gyakorolt hatás kockázat szempontjából ugyan az. Várhatóan, a szankció súlyossága is hasonló lehet. Ugyanakkor én nem tudom elképzelni, hogy ugyan azt a büntetést fogja kiszabni a hatóság egy mobilszolgáltatóra, mint egy 3 fős takarító vállalatra. Egyelőre nincs információ, szerintem érdemes egy közérdekű adatkérést benyújtani – lehet, hogy én magam is ezt fogom tenni – a nemzeti adatvédelmi hatósághoz, hogy van-e már erre eldöntött módszer? Milyen formán fogják megállapítani a büntetéseket? Van egyébként a WP 29-nek egy angol nyelvű ajánlása erre, de itt megint a konkrét arányszámok, százalékok, mértékek, ezek mind a hatóság és a jövő zenéje.
Ez még a jövő zenéje.
Így van. Na és akkor most ugrik a majom a vízbe, hogy mikor kell adatvédelmi vizsgálatot végezni. Elhangzott, hogy profilozást végzünk vagy automatizált döntéshozatalt. Mi lehet automatizált döntéshozatal? Mondjuk a biztosító, ha kár történne, tehát a kötelező gépjármű felelősség biztosításunkat érintő kár történne, ez alapján máshogy árazza a casco biztosításunkat.
Kicsit vegyünk inkább ilyen KKV-s példákat. Tehát, hogy inkább sokan marketingeznek, leveleznek, segítenek, mondjuk karban tartani oldalakat, ahol nyilván hozzáférnek adminisztratív felülethez. Kicsit az ő szemszögükből ez mit jelent?
Automatizált döntéshozatal mondjuk az, ha rendszeresen vásárol egy egészségügyi webshopból valaki inkontinencia betétet. Akkor lehet, hogy mellé földobok ajánlatnak egy kacsát vagy egy ágytálat. Ez automatizált döntéshozatal, hogy ő mit fog mellé tenni. Jó, ez még nincs nagy joghatással rá, tehát ilyen szempontból kevésbé izgalmas.
Az automatizált döntéshozatalnak vagy joghatással kell járnia az érintett száméra vagy jelentős hatással, ahhoz, hogy bekerüljön a kötelező adatvédelmi vizsgálat körébe, Például, ha a visszatérő vásárlóknak már áron adom a termékem. Tehát én tudom azt, hogy ki a visszatérő vásárló, aki rendszeresen vásárol, annak más áron adom a termékemet. Na, ez például egy olyan automatizált döntéshozatal, ami jelentős hatással jár az érintett számára.
Akkor is, hogy ha ez jó irányba hat?
Mindegy. A profilozás automatizált döntéshozatal. Következő pont a személyes adatok nagyszámú kezelése. Magyarul, hiába kezelek viszonylag kevés adatot, meg viszonylag nem annyira érzékeny adatokat, de maga a számossága nagy, akkor el kell végeznem ezt a vizsgálatot, illetve ki kell jelölnöm tisztség viselőt.
Oké. Mit jelent az, hogy nagy szám?
Nem tudjuk. Erre nincs konkrét szám meghatározva, hogy 500 fölött nagy szám vagy 2000 fölött már nagy szám, nem tudjuk. Annyit tudunk, hogy van egy olyan kivétel leírva a rendeletben, hogy amennyiben egy szakorvos önállóan végzi a tevékenységét vagy egy ügyvéd önállóan végzi a tevékenységét, akkor neki nem kell elvégezni adatvédelmi vizsgálatot és nem kell kijelölnie adatvédelmi tisztsviselőt, de a törvénynek akkor is meg kell felelni. Már pedig ezek csak eszközök, hogy megfelelj a törvénynek. Most akkor ebből lehet számszerűsíteni, hogy mondjuk egy szakorvoshoz hány beteg jár. Nem tudom, 500? Nagyságrendileg azt mondom, hogy ha 500 főnél nagyobb a személyes adatkezelésem, akkor én már nagyszámú adatot kezelek. Azt kell, hogy mondjam, hogy magának az adatt típusoknak az érékelése és azoknak a számossága alapján egyedül kell eldönteni. És megint azt mondom, hogy miután nincs még gyakorlatunk arra, hogy hogyan értelmezi az adatvédelmi hatóság, ezért inkább a határon belül legyünk 2 lépéssel, mint pont 1 lépéssel a határ túloldalán.
Következő: Nyilvános helyek nagymértékű módszeres megfigyelése. Tehát kamera, beléptető rendszer, internetes megfigyelés szintén. Tehát itt is mondjuk egy nyílt wifi szolgáltatáson belüli naplózások, ezek mind. A személyes adatok nagyszámú kezelésénél, azt nem mondtam, de itt a különleges kategóriájú adatokra gondoltak. Tehát az egészségügyi adatok, biometrikus adatok, vallási, szexuális, politikai, világnézeti irányultság, stb. amiket itt korábban felsoroltam. Viszont a WP 29-es munkacsoport egy értelmező iránymutatást adott ebben a témában is, hogy mikor végezzünk adatvédelmi vizsgálatot. Ez ezt a 3 feltételt ezt jelentősen kibővítette. És az a baj – vagy nem baj, de így ez a helyzet, hogy a WP 29-es munkacsoport iránymutatása az adatvédelmi hatóság felé kötelező érvényű. Felénk csak ajánlás. Viszont az adatvédelmi hatóság felé kötelező. Tehát a gyakorlatban felénk is kötelező érvényű, hiszen az adatvédelmi hatóság ez alapján fogja vizsgálni, hogy meg kellett volna-e csinálnunk vagy nem kellett volna megcsinálnunk. Tehát ezt a 3 felsorolt kategóriát kibővítette gyakorlatilag, illetve magyarázta és lebontott több tevékenységre:
- Értékelés, pontozás zajlik, ugye ez a profilozás. Ez jelentős hatással vagy joghatással járó automatizált döntéshozatal, ugye erről beszéltünk.
- Módszeres megfigyelés és ellenőrzés zajlik. Módszeres megfigyelés alatt mit értünk? Ha csak időszakosan 1-1 órára van bekapcsolva az a kamera, mondjuk, ami megfigyeli azt a nagy értékű gépet, azzal, hogy csak akkor kapcsol be a kamera, ha valaki bekapcsolja a munkagépet, mert egyébként kikapcsolt állapotban meg nem lehet benne kárt okozni, mert le van betonozva meg nem viszik el. Az kérdéses, hogy a „nagy mértékűt” valószínűleg nem fogja kimeríteni egészen addig amíg azt nem 3 műszakban használják, vagy nem folyamatosan használják, mert akkor ugye hiába, akkor folyamatosan megy a kamera is.
- Nagy számosságú, vagy fokozottan személyes jellegű adatok kezelése: beszéltem magáról a fokozottan személyes jellegű adatkategóriáról, ami azt jelenti, hogy amikor jelentős érdeksérelmet okozna annak a kikerülése az érintett számára, tehát böngészési előzményektől kezdve a bankkártya adatokig, ebbe sok minden belefér. Külön kategóriában megjelöli a nagyszámú személyes adatkezelést. Ugye itt ez a nagy szám, ez lehet egy arány. Tehát mondjuk az, hogy a potenciális vásárlók 30%-a nálam. Ez a piac részesedése alapján ez máris bingó, egy ok a vizsgálatra.
- Térbeli kiterjedés: pl. a városi bölcsődében, ha egy darab bölcsőde van a településen az ott kezelt adatok száma – hiába csak 30 gyerek, mert kicsi a település – akkor is miután az az 1 bölcsőde van a településen, térben tehát lefedi azt a területet, gyakorlatilag szinte teljesen, itt is szükséges az adatvédelmi vizsgálat.
- Időtartam, tehát ha nagyon sokáig tartunk meg adatokat: pl. az törvényi előírás, hogy az egészségügyi dokumentációt 20-30-50 évig tartsuk meg. Akkor ez megint egy ok arra, hogy miután sokáig kell ezt megtartanunk, akkor adatvédelmi vizsgálatot kellene elvégeznünk.
- Összekapcsolt adatbázisok esetén: innen is veszek egy adatbázist, onnan is, vagy én gyűjtök egy adatbázist innen is onnan is, és ezt a kettőt össze tudom kapcsolni és plusz információkhoz jutok az összekapcsolás által
- Kiszolgáltatott személyek adatai: gyermekek, fogyatékosok vagy munkavállalók. A munkavállaló kiszolgáltatott személynek számít. Tehát aki munkavállaló adatot kezel az megint egy ok arra, hogy el kell végezni az adatvédelmi vizsgálatot.
- Új funkció vagy új technológia vagy innovatív alkalmazások kifejlesztésekor: ha nem tudjuk felmérni, hogy milyen hatással lesz ez az érintettre, hiszem ez még soha nem csináltak ilyet. Ez egy vadi új dolog. Meg kell csinálni a hatásvizsgálatot.
- Érintettek jogainak gyakorlását megnehezítő adatkezelés: Itt olyasmire kell gondolni, hogy mondjuk itt Magyarországon, elsősorban Budapesten belül használom a bankkártyámat, hirtelen miután használtam Budapesten, fél órával később Sopronban is valaki használta a bankkártyámat. Ugye a banknál van egy ilyen ellenőrző algoritmus, és akkor villog valahol, és valaki fölhív, hogy biztos Földvári úr, hogy Ön használta Sopronban a bankkártyáját most? És akkor azt mondod, hogy igen-nem. De ez egy olyan tevékenység, ami az én jogomat arra, hogy fizessek, korlátozhatja. Tehát megint ez egy olyan pont, amit figyelembe kell venni ahhoz, hogy kell-e nekem adatvédelmi vizsgálatot csinálni.
És akkor ezekből a felsoroltakból, tehát amit itt a WP 29-es munkacsoport ajánlásábam van, ha már 2 feltétel teljesül, akkor kötelező megcsinálni az adatvédelmi vizsgálatot és kötelező kijelölni egy adtavédelmi tisztsviselőt. Ha csak 1, akkor ajánlott.
Folytatás következik….