Az európai általános adatvédelmi rendelet (GDPR) előírásai jelentős kihívás elé állítják az adatkezelőket, így az önkormányzatokat is. A legtöbb településen történtek is lépések a megfelelőség biztosítása érdekében, de hogy ezek a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) szerint is elegendőek és tartalmilag is elfogadhatóak lesznek-e, azt majd a jövő dönti el. Az alábbiakban néhány konkrét kérdéskört kiemelve kívánunk segítséget nyújtani abban, hogy az önkormányzatok a GDPR szabályainak megfelelően járjanak el.
A személyes adatokat csak célhoz kötötten lehet kezelni, vagyis nem lehet "csak úgy" begyűjteni őket anélkül, hogy meg tudnánk magyarázni, miért is van ezekre szükségünk. Azokat az adatokat, amelyek nem szükségesek a cél eléréséhez, nem szabad kezelnünk, ezt fejezi ki az adatminimalizálás vagy adattakarékosság elve. Az önkormányzatok esetén a cél leggyakrabban valamilyen közhatalmi jogosítvány gyakorlása, vagy jogszabályban meghatározott kötelezettség teljesítése (legtöbbször nyilvántartási kötelezettségek). Ilyen esetekben gyakran már a jogszabály meghatározza, hogy milyen személyes adatokat kell kezelnünk.
Az említett esetkörökön kívül azonban egyéb olyan célok is lehetnek, amelyek eléréséhez adatgyűjtést kell végeznünk. Ilyen lehet például a honlapon bizonyos személyes adatok publikálása, vagy éppen a weblapon a kapcsolatfelvételi űrlap biztosítása, amelyen keresztül írhatnak nekünk a honlap látogatói. Szintén adatgyűjtést feltételez a helyi kedvezménykártya üzemeltetéséhez szükséges személyes adatok megadása, vagy a helyi, önkormányzati fenntartású klubok kapcsán kezelt adatok; a lakosok számára történő hírlevél küldés, az önkormányzati rendezvények megszervezése, illetve a lakosokkal történő egyéb kapcsolattartás is. Ezekben az esetekben mindig át kell gondolnunk, hogy az adott típusú szolgáltatáshoz valójában mennyi információra van szükségünk. Például bekérünk nyolc különböző adatot, de mi a helyzet akkor, ha valójában ahhoz a szolgáltatáshoz elegendő lenne három is? Amennyiben azt állapítjuk meg, hogy egyes személyes adatotokat szükségtelenül kérünk be, akkor a jövőre nézve meg kell szüntetnünk ezeknek az adatoknak a további bekérését, illetve a múltban begyűjtött adatokat is törülnünk kell (amennyiben nem használjuk fel azokat más jogszerű célra). A valós, indokolható, cél nélküli adatgyűjtést a szaknyelv "készletező adatkezelésnek" hívja, arra utalva, hogy az adatkezelő gyakran a "majd jó lesz valamire" szemlélettel gyűjt be minél több adatot a magánszemélyekről. A NAIH több határozatában is foglalkozott az adatok "készletezésének" kérdéskörével, egyértelműen kimondva e gyakorlat jogszerűtlenségét (pl. a NAIH/2017/1051/2/H ügyben hozott határozata). Erre tekintettel javasolt átgondolni, hogy a mi környezetünkben - akár anélkül, hogy ezt szándékosan tennénk - nem valósul-e meg ilyen túlzó adatkezelés.
A kérdés átgondolásával összefüggésben javasolt annak számbavétele is, hogy az online felületeinken vagy a nyomtatványainkon milyen adatokat kérünk megadni. Valóban szükséges-e mindegyik adat a folyamataink lefolytatásához? A nyomtatványokon az egyes rubrikáknak megvan-e a megfelelő párja az elektronikus nyilvántartásunkban? A gyakorlati példák azt mutatják, hogy e kérdések tisztázásával jelentős mértékben csökkenthető a "készletező adatkezelés" kockázata.
Néhány további dologra is ügyelnünk kell azért. Az első az adatvédelmi tájékoztató tartalma. A NAIH több határozatában is hangsúlyozta, hogy nem elegendő a jogszabályok szó szerinti bemásolása, hanem a tájékoztatót valódi tartalommal kell megtölteni. E körben meg kell határozni egyenként a különböző adatkezelési tevékenységeket, és azt, hogy az egyes tevékenységek során milyen személyes adatokat milyen célból, milyen jogalapon kezeljük, és meddig tároljuk azokat. Ne felejtsük ki a tájékoztatóból az önkormányzat elérhetőségei mellett az adatvédelmi tisztviselő elérhetőségét se. A NAIH honlapján megtalálható ajánlás (www.naih.hu) részletesen tartalmazza ezeket az elvárásokat.
Egy másik fontos szempont a tájékoztató elérhetősége. Nem elég, ha a tájékoztató megtalálható valahol az önkormányzat honlapján a számos almenü egyikében. A tájékoztatónak olyan helyen kell lennie, hogy az bármely aloldalról könnyen és egyszerűen elérhető legyen (vagyis praktikusan a láblécben, fejlécben, vagy egy állandóan jelenlévő oldalsó banneren). Ahhoz, hogy a tájékoztató könnyen és mindig elérhetővé váljon, az is szükséges, hogy az ügyféltérben papír alapon megtalálható legyen: ki kell tűzni
- 37/38 -
például a hirdetőtáblára, hogy a beérkező ügyfelek szabadon tudják olvasgatni.
Az egyes feladatok, illetve érintetti körök kapcsán készíthetünk rövidebb "rész-tájékoztatókat", amik persze a szövegükben visszautalhatnak a "nagy" adatkezelési tájékoztatóra. Ilyen például a saját dolgozóinknak adott adatkezelési tájékoztató, de külön tájékoztatót kell, hogy kapjanak az álláshirdetésekre jelentkező pályázók is. De gondolhatunk a kamerás megfigyelésre is az ügyféltérben/okmányirodában. Ez utóbbi esetben nem elegendő a kamerák jelenlétére utaló matrica kihelyezése, emellett egy rövid adatkezelési tájékoztatót is ki kell tennünk a megfigyelt területen, ami többek között információt ad az adatkezelés jogalapjáról, céljáról és a felvételek tárolási idejéről.
Ha egy ügyfél önként lép velünk kapcsolatba, akkor a kapcsolatfelvétel időpontjában elérhető kell, hogy legyen számára az adatkezelési tájékoztató, nekünk pedig tudnunk kell bizonyítani, hogy azt rendelkezésére bocsátottuk. Például, ha a honlapunkon van kapcsolatfelvételi mező, ahová üzeneteket írhatnak be a felhasználók, akkor praktikus a küldés gomb felett egy sorba belinkelni az adatkezelési tájékoztatót, és egy check-box segítségével nyilatkoztatni kell az üzenetírót, hogy elfogadta az abban foglalt feltételeket.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
