A NAIH eddig csak egy-egy adott ügyben hozott határozatában fejtette ki, mik az elvárásai az Infotv-ben meghatározott általános adatvédelmi tájékoztatási kötelezettség gyakorlati teljesítésével kapcsolatban. A NAIH most egy részletesebb ajánlást is kiadott arról, hogyan is felelhetnek meg a cégek az Infotv. vonatkozó követelményeinek. Ajánlásában a NAIH pontról pontra tisztázza az adatkezelési tájékoztatók és az adatvédelmi szabályzatok elvárt tartalmát – több kérdésben is szigorúbban, mint az Infotv. Az ajánlás kibocsátása jelentős mérföldkő a NAIH gyakorlatában, és fontos, korábban bizonytalan kérdéseket tisztáz a cégek számára. A NAIH elvárásainak a gyakorlati megvalósítása ugyanakkor számos új kérdést is felvet, amiket szintén érdemes részletesebben megemlíteni.
Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”) rendelkezései szerint az érintettet az adatkezelés megkezdése előtt egyértelműen és részletesen tájékoztatni kell az adatai kezelésével kapcsolatos minden tényről, így különösen az adatkezelés céljáról és jogalapjáról, az adatkezelésre és az adatfeldolgozásra jogosult személyéről, az adatkezelés időtartamáról, arról, ha az érintett személyes adatait az adatkezelő az érintett hozzájárulása nélkül kezeli, illetve arról, hogy kik ismerhetik meg az adatokat. A tájékoztatásnak ki kell terjednie az érintett adatkezeléssel kapcsolatos jogaira és jogorvoslati lehetőségeire is.
A Nemzeti Adatvédelmi és Információszabadság Hatóság („NAIH”) eddig csak egy-egy adott ügyben hozott határozatában fejtette ki, mik az elvárásai a fenti általános tájékoztatási kötelezettség gyakorlati teljesítésével kapcsolatban. A NAIH most egy részletesebb ajánlást is kiadott arról, hogyan is felelhetnek meg a cégek az Infotv. vonatkozó követelményeinek. Ajánlásában a NAIH pontról pontra tisztázza az adatkezelési tájékoztatók és az adatvédelmi szabályzatok elvárt tartalmát – több kérdésben is szigorúbban, mint az Infotv.
Az ajánlás elérhető itt: http://www.naih.hu/files/tajekoztato-ajanlas-v-2015-10-09.pdf, és alábbiakban részletesebben ismertetjük egyes rendelkezéseit. Az ajánlás kibocsátása jelentős mérföldkő a NAIH gyakorlatában, és fontos, korábban bizonytalan kérdéseket tisztáz a cégek számára. A NAIH elvárásainak a gyakorlati megvalósítása ugyanakkor számos új kérdést is felvet, amiket szintén érdemes részletesebben megemlíteni.
Forma és tartalom
Az adatkezelési tájékoztatónak strukturáltnak, könnyen áttekinthetőnek kell lenni, amelyet elsődlegesen a szöveg megfelelő szintű tördelésével, felsorolással, pontokba szedéssel lehet elérni. Bonyolultabb adatkezelések esetében lehet táblázatos formát is használni: az adatkezelés megnevezése, célja, az adatkezelés jogalapja, a kezelt adatok köre, az adatkezelés időtartama (a vonatkozó jogszabályi előírásra való utalással, ha ez lehetséges). Összetettebb adatkezelések megértését jelentősen elősegítheti, ha az adatkezelő példákon keresztül mutatja be az adatkezelést. Egy kérdezz-felelek mintájú tájékoztató is megfelelő gyakorlat lehet. Tekintettel arra, hogy az adatkezelési tájékoztatók egyre hosszabbak, és az átlagos felhasználók egyre kevésbé olvassák el őket részletesen, mind a táblázatos, mind a kérdezz-felelek forma előremutató javaslat, és a felhasználók, valamint a cégek számára egyaránt praktikus megoldás lehet.
A NAIH szerint nem fogadható el az a gyakorlat, ha az előzetes adatkezelési tájékoztató vagy az adatvédelmi szabályzat pusztán szó szerint megismétli a jogszabályok szövegét. Az Infotv.-ben használt fogalmakat, egyéb szakkifejezéseket szükség szerint a mindennapi életben használt szavakkal kell körülírni. Az adatkezelő megjelölheti, hogy mely jogszabályi rendelkezések vonatkoznak az adott adatkezelésre, de csak azok után, hogy ezek súlyozásra kerültek az adatkezelés természetének szempontjából (vagyis csak a valóban releváns jogszabályokat lehet feltüntetni, megfelelő sorrendben). Ez a felvetés valós problémára reagál, a gyakorlatban azonban a cégek adatkezelési tájékoztatóikat gyakran adatvédelmi jogász bevonása nélkül készítik el. Az Infotv. szövegezése ugyanakkor elég felhasználóbarát, nem jogászok számára is érthető lehet, és tartalmaz minden, a személyes adatok kezelésével kapcsolatos általános szabályt. Ezek megismétlése, összefoglalása is hasznos lehet a felhasználók számára, és nem feltétlenül szerencsés, ha adott esetben egy nem jogász adatkezelő „a mindennapi életben használt szavakkal” próbálja ismertetni az Infotv. rendelkezéseit. Az érintettek adatvédelmi jogai és érvényesítésük módja például kifejezetten közérthető formában szerepel az Infotv.-ben. Mivel ezeknek a jogoknak az ismertetését az adatkezelési tájékoztatókba is kötelező átemelni, ebben az esetben nem feltétlenül indokolt az Infotv. szövegezésétől eltérni.
Ha az adatkezelés külföldiek személyes adataira is kiterjed (például egy hostel vendégkönyve, vagy egy külföldieknek szóló pályázat), az adatkezelési tájékoztató angol nyelven is elérhető kell, hogy legyen. Az adatkezelőnek szükség esetén lehetővé kell tennie azt is, hogy az adatkezelési tájékoztató akadálymentesen megismerhető legyen bármely fogyatékossággal élő személy számára. A jogi nyilatkozatokat (pl. adatkezeléshez való hozzájárulás) el kell különíteni magától az adatkezelési tájékoztatótól. Ezek az ajánlások nagyon jó kezdeményezések, az Infotv. ugyanis nem szabályozza az adatkezelési tájékoztatók formáját ilyen mélységben, a napi gyakorlatban ugyanakkor többször találkozni pont ezekkel a kérdésekkel.
Az adatkezelési tájékoztató elérhetősége
Az adatkezelési tájékoztatók folyamatosan elérhetőek kell legyenek az adatkezelő honlapjának nyitóoldalán, valamint az adatkezelés legfontosabb lépéseinél is (például regisztráció előtt és a regisztráció folyamatánál). Technikai korlát esetén (például belépőjegy mérete) legalább az adatkezelést és az adatkezelő nevét fel kell tüntetni, az adatkezelési tájékoztatóra mutató linkkel. Az adatkezelési tájékoztatót be lehet illeszteni az általános szerződési feltételekbe is, de jól el kell különíteni az ÁSZF többi részétől. Az adatkezelési tájékoztatók folyamatosan elérhetősége ésszerű elvárás a NAIH részéről, célszerű lett volna ugyanakkor különbséget tenni a különböző adatkezelések jellegére tekintettel – lehetnek ugyanis olyan tájékoztatók, amik csak egy-egy eseti jelleggel történő adatgyűjtésre fókuszálnak (pl. egy bizonyos eseményen készült fotók felhasználása). Az ilyen jellegű tájékoztatók folyamatos hozzáférhetővé tétele nem feltétlenül indokolt, mert egy cég akár több tucat ilyen adatkezelést végezhet, az összes tájékoztató folyamatos elérhetővé tétele ugyanakkor könnyen oda vezethet, hogy a felhasználók elvesznek a tájékoztatók között, és később egy jelentősebb adatkezelésekkel kapcsolatos tájékoztató már nem kelti fel a figyelmüket. A technikai korlátot figyelembe vevő ajánlás ugyanakkor nagyon hasznos, viszont a NAIH több példát is hozhatott volna – ez a tájékoztató méretével kapcsolatos probléma ugyanis felmerül például call centerekben, internetes kommunikációk során, valamint rendezvényeken élőben történő adatgyűjtések esetén is.
A NAIH elvárásai a nagyobb szervezetekkel szemben
A NAIH elvárja az összetett, bonyolultabb adatkezelést végző, vagy nagyobb szervezetrendszerrel rendelkező adatkezelőktől, hogy külön, belső adatkezelési szabályzattal rendelkezzenek, amely kézikönyv jelleggel bemutatja az adatkezelést ténylegesen végző munkatársak számára azt, hogy milyen feladataik és kötelezettségeik vannak az adatkezelés során.
Ha az adatkezelőnek több szervezeti egysége van, ahol a személyes adatokhoz a szervezetrendszeren belül többen is hozzáférnek, a külső adatkezelési tájékoztatónak tartalmaznia kell az adott szervezetre vonatkozó saját adatkezelési előírásokat. A tájékoztatásban meg kell jelölni azokat a személyeket, akik hozzáférhetnek az adatokhoz és azt, hogy milyen módon, milyen adatkezelési műveleteket hajthatnak végre. Nem szükséges név alapján azonosítani őket – elég a munkakörüket feltüntetni.
A NAIH elvárása reális, és összhangban van a legújabb jogalkotási trendekkel (pl. EU új adatvédelmi rendelete) és a cégek gyakorlatával (a legtöbb nagyobb cég rendelkezik adatvédelmi szabályzattal). Egy hasonló jellegű követelményt azonban szerencsésebb jogszabályi szinten szabályozni, nem egy hatósági ajánlásban. A jelenlegi magyar jogszabályok az adatkezelési szabályzatok / tájékoztatók kötelező készítését szektor-specifikusan írják elő, nem a NAIH által meghatározott általános szinten. A NAIH sajnos nem ad részletesebb iránymutatást, mi minősül „összetett, bonyolultabb adatkezelésnek”, „nagyobb szervezetrendszernek”, illetve „szervezeti egységnek” (pl. fióktelep ide tartozhat?). Az EU új adatvédelmi rendeletében felmerült koncepciók (pl. kezelt adatok mennyisége, munkavállalók száma, adatkezelés jellege) nyomán esetleg ezzel kapcsolatban lehetett volna további támpontokat nyújtani a társaságok számára, hogy megállapítsák, vonatkozik-e rájuk ez a kötelezettség. Ezen túlmenően, az adatokhoz hozzáférő személyekről adandó tájékoztatás már az Infotv.-ben sem egy túl gyakorlatias megoldás – egy nagyobb szervezet, vagy komplexebb adatkezelés esetén a hozzáférés értelemszerűen „need-to-know” alapon történik. Ezt elég nehéz ismertetni egy adatkezelési tájékoztatóban, és nem is túl informatív az adatgazdák számára, ha ismerik a hozzáférésre jogosultak munkakörét. Végső soron egyébként is maga a munkáltató mint adatkezelő felelős az adatkezelésért az adatgazdákkal szemben.
Az adatkezelő személye
Az adatkezelőről szóló kötelező információ a következőket kell, hogy tartalmazza: név, cím, telefonszám, (rendszeresen használt) e-mail cím, valamint a honlap, ahol az adatkezelési tájékoztatók és adatvédelmi szabályzatok elérhetőek. A NAIH például amiatt kifogásolta egy call center scriptjét, mert az nem írt elő tájékoztatási kötelezettséget az adatkezelő nevéről, az adatok forrásáról, az adatkezelés céljáról és az érintettek jogairól. Az adatkezelő adataival kapcsolatos ajánlás nagyon gyakorlatias, és megfelelően segíti az Infotv. vonatkozó szabályainak értelmezését. A call center-rel kapcsolatos gyakorlati példa szintén nagyon hasznos – ugyanakkor elfért volna még ugyanakkor több részlet ezzel kapcsolatban, pl. a tájékoztatás hossza, mert call centerek esetén visszatérő kérdés az adatkezelési tájékoztatás teljesítésének módja, és ezt sem az Infotv., sem a szektor-specifikus jogszabályok nem szabályozzák.
A kezelt adatok köre és adatkezelési célok
Az adatkezelési tájékoztatónak pontosan kell felsorolnia a kezelt adatok körét – gyűjtőfogalmak használata (pl. személyazonosító adatok, elérhetőségi adatok) nem lehetséges. Az adatok körébe beletartozik az adatból levonható, az érintettre vonatkozó következtetés is, például az érintett magatartása, ami biztonsági kamerán rögzítésre kerül. Ha az adatkezelés jogalapja hozzájárulás vagy jogszabály, az adatkezelőnek meg kell jelölnie az ezt alátámasztó jogszabályhelyet.
Pontosan meg kell jelölni az adatkezelés célját is. Például nem elegendő az, hogy a „személyes adatokat marketing célból kezelik”, mert ez túl általános, és ebbe az értelmezésbe beletartozhat az érintettnek küldött reklámoktól kezdve a marketing más megvalósulási formái is (mint például az adat felhasználása reklámanyagokon). A „reklámlevelek küldése e-mailen keresztül” megnevezés ugyanakkor megfelelő lehet. Lényeges a közérthetőség, kerülendő a szakzsargon, a speciális szakmai kifejezések használata (pl. „targetálás”). A bonyolultabb, összetettebb adatkezelések esetén, például több adatkezelési cél esetén, a releváns adatokat célonként kell feltüntetni. A NAIH-nak ez az elvárása – a táblázatos, illetve a kérdezz-felelek formájú tájékoztatókhoz hasonlóan – nagyon gyakorlatias, és segíti az adatgazdák megfelelő tájékoztatását. Külön hasznos a marketing célú adatkezelésekkel kapcsolatos példa – kérdés azonban, hogy egy viszonylag gyorsan változó megoldásokkal dolgozó iparágban mennyire lehet ennyire specifikusan meghatározni előzetesen az adatkezelés (a reklámküldés) pontos módját, és a NAIH ajánlásának való megfelelés nem vezet-e az adatkezelési tájékoztatók folyamatos módosításához, és új hozzájárulások (nem feltétlenül indokolt) kéréséhez. Ezen túlmenően, elfért volna még több példa ezzel kapcsolatban, például a gyakorlatban számos bizonytalanság van a „Big Data” típusú elemzések pontos leírásával az adatvédelmi tájékoztatók szövegében.
Adatfeldolgozók
Adatfeldolgozó igénybevételéhez nem kell az érintett előzetes beleegyezése, de tájékoztatást kell adni az adatfeldolgozó nevéről, elérhetőségeiről és pontos tevékenységeiről (például tárhelyszolgáltató igénybevétele személyes adatok tárolására). Az elérhetőségek a következők: név, cím, telefonszám, (rendszeresen használt) e-mail cím, valamint a honlap, ahol az adatkezelési tájékoztatók és szabályzatok elérhetőek. Nem elfogadható az olyan megfogalmazás, hogy „az adatkezelő adatfeldolgozót vesz igénybe” vagy „az adatkezelő személyes adatokat adatfeldolgozónak átadja”. Az adatkezelési tájékoztatónak azt is tartalmaznia kell, hogy az adatfeldolgozó milyen személyes adatokhoz, milyen időtartamra fér hozzá, és azokon milyen műveleteket végez. Ha az adatkezelő nem vesz igénybe adatfeldolgozót, akkor ezt a körülményt is érdemes feltüntetnie. Az adatfeldolgozók igénybevételével kapcsolatos részletek feltüntetése és folyamatos aktualizálása jelentős többletfeladatot ró a társaságokra, de mindenképpen segíti az adatkezelés átláthatóságát, és a felelősségi láncolat nyomonkövetését, így a mind az adatgazdák, mind a társaságok számára hasznos eszköz – a NAIH ezzel kapcsolatos elvárása fontos, hasznos és gyakorlatias eleme az ajánlásnak. Nem feltétlenül szükséges részletnek tűnik azonban az, hogy az az adatfeldolgozó milyen személyes adatokhoz, milyen időtartamra fér hozzá, és azokon milyen műveleteket végez. Tekintettel az adatfeldolgozók által jellemzően végzett technikai szolgáltatások komplex jellegére, nem biztos, hogy az adatfeldolgozási műveletek részleteit ilyen mélységben, ugyanakkor az adatgazdák számára informatívan be lehet előre mutatni. Természetesen ez nem jelenti azt, hogy az adatfeldolgozóknak ne kellene folyamatos és pontos áttekintéssel rendelkezniük az általuk végzett műveletekről, és szükség esetén tájékoztatást adni róluk. A technikai részleteknek azonban nem kellene az adatkezelési tájékoztatóban szerepelniük. Az adatfeldolgozáson túlmenően, nagyon hiányoznak továbbá az ajánlásból az adatkezelők számára történő adattovábbításokról való tájékoztatással kapcsolatos részletek. A NAIH több határozatában is adott már ezzel kapcsolatban iránymutatást, célszerű lett volna ezeket az egységes ajánlásba is belefoglalni. Ennek hiányában az adatkezelőknek egyéb NAIH határozatokra is figyelemmel kell lenniük.
Automatizált döntéshozatal
Az Infotv. szerint az automatizált adatfeldolgozással hozott döntés esetén az érintettet – kérelmére – tájékoztatni kell az alkalmazott módszerről és annak lényegéről, valamint az érintettnek álláspontja kifejtésére lehetőséget kell biztosítani. Habár a jogszabály szerint ezt az információt csak az érintett kérelmére kell biztosítani, a NAIH álláspontja szerint a tájékoztatásnak már előzetesen meg kell történnie, mivel az automatizált döntéshozatal befolyásolhatja az érintettnek az adatkezeléssel összefüggésben hozott döntését. Érdekes jogalkalmazási fejlemény, hogy a NAIH ajánlásában kifejezetten felülírja és visszájára fordítja az Infotv. valamely rendelkezését. Míg a NAIH indokolása valós problémát vet fel, jogbizonytalanságra adhat okot, és az Infotv. erodálódásához vezethet, ha egy hatósági ajánlás a jogszabályi rendelkezéssel kifejezetten ellentétes kötelezettséget tartalmaz. Célszerű lenne a NAIH aggályát magának a jogszabálynak a módosításával kezelni.
Adatbiztonsági intézkedések
A NAIH elvárja, hogy az adatkezelők röviden és közérthetően ismertessék, milyen adatbiztonsági intézkedésekkel gondoskodnak a személyes adatok védelméről. A legfőbb intézkedések lényegének összefoglalása megfelelő lehet. Az automatizált döntéshozatallal kapcsolatos ajánláshoz hasonlóan érdekes jogalkalmazási fejlemény, hogy a NAIH ajánlásában kifejezett többletkötelezettséget határoz meg az Infotv.-hez képest. Az Infotv. pontosan felsorolja a tájékoztatási kötelezettségeket – bármely, a meglévő kötelezettségek értelmezésén túlmutató új kötelezettség meghatározásának is az Infotv.-ben lenne a helye. Másrészről, a gyakorlatban nem teljesen világos, mennyire lehetséges egy-egy komplex technikai intézkedést közérthetően összefoglalni, anélkül, hogy ne váljon általános, az adatgazdák számára érdemi információt nem tartalmazó (vagy adott esetben a megfelelő technikai háttértudással nem rendelkező felhasználók számára nem értelmezhető) leírássá.
Adatkezelés hozzájárulás nélkül
Az Infotv. rendelkezései szerint lehetőség van hozzájárulás nélküli adatkezelésre, ha ezt valamilyen jogos érdek lehetővé teszi, feltéve, hogy az adatkezelő eleget tesz tájékoztatási kötelezettségeinek. Ezen „jogos érdek” alkalmazáshoz az adatkezelőknek el kell végezniük az ún. „érdekmérlegelési” tesztet, melynek során azonosítani kell az adatkezelő jogos érdekét, valamint a súlyozás ellenpontját képező adatalanyi érdeket és az érintett alapjogot, végül a súlyozás elvégzése alapján meg kell állapítani, hogy kezelhető-e a személyes adat. A teszt eredményéről oly módon kell tájékoztatni az érintetteket, hogy annak alapján egyértelműen meg tudják állapítani, mely jogos érdek alapján, miért tekinthető arányos korlátozásnak az, hogy az adatkezelő a beleegyezésük nélkül kezeljen személyes adatot (vagyis miért tartja úgy az adatkezelő, hogy az adatkezeléshez fűződő jogos érdeke felülmúlja az adatalany érdekeit és jogait). Az érintetteket tájékoztatni kell a hozzájárulás hiányára tekintettel alkalmazott adatvédelmi garanciákról és az adatkezelés elleni tiltakozási lehetőségekről. Az „érdekmérlegelési teszt” előírása üdvözlendő, és összhangban van az európai hatósági gyakorlattal is. Fontos lenne azonban, hogy a NAIH akár egy példával, de bemutassa, pontosan milyen az érdekmérlegelési teszt elvárt formátuma (jogi memorandum például?), valamint pontosan mik is lehetnek a „hozzájárulás hiányára tekintettel alkalmazott adatvédelmi garanciák”. Az Infotv. ugyanis ezzel kapcsolatban nem tartalmaz specifikus előírást, és a gyakorlatban nem teljesen egyértelmű, hogy az egyébként is alkalmazott technikai és szervezési intézkedéseken túlmenően még milyen garanciákra lehet szükség. Egy prudensen eljáró társaság elviekben mind a hozzájárulás alapján, mind a hozzájárulás nélkül kezelt adatoknak ugyanazt az adatvédelmi szintet biztosítja.
Adatvédelmi jogok és jogérvényesítési lehetőségek
Az adatkezelési tájékoztatónak részletesen magában kell foglalnia az érintettek jogait és jogérvényesítési lehetőségeit (pl. milyen elérhetőségen keresztül tudja az érintett személy kérelmét benyújtani, mennyi időn belül tesz eleget az adatkezelő a kérelemnek). A NAIH lehetővé teszi a társaságok számára, hogy olyan eljárásokat vezessenek be, amelyek lehetővé teszik az adatvédelmi jogaikat gyakorló érintettek személyek azonosítását. Célszerű valamennyi adatvédelmi jog tartalmára és sajátosságaira is kitérni (példákon keresztül – videofelvétel esetén például az adat kijavítása a rögzítés dátumának kijavítását jelenti). A társaságok hangsúlyozhatják, hogy valamely eljárás kezdeményezése előtt az adatalanyok számára célszerű lehet az adatkezelőnek elküldeniük panaszukat. A tájékoztatóban fel kell tüntetni annak lehetőségét, hogy a NAIH előtt eljárást lehet kezdeményezni, megjelölve a NAIH hivatalos elektronikus levelezési címét, postai elérhetőségét, telefonszámát, illetve a NAIH honlapjának a címét. Az érintetteket a bírósághoz fordulás lehetőségeiről is tájékoztatni kell. Ebben az esetben az adatkezelőknek ki kell térniük arra a sajátosságra, hogy az érintett dönthet úgy, hogy a pert a lakóhelye vagy tartózkodási helye szerinti törvényszék előtt indítja meg. Az adatvédelmi jogok és jogérvényesítési lehetőségek részletezésének kötelezettsége visszatérő probléma a gyakorlatban, és a NAIH is több ügyben foglalkozott már ezzel. Nagyon jó emiatt, hogy a társaságok most pontosabb iránymutatást kaptak ezzel kapcsolatban, bár az ajánlásból több olyan elem is hiányzik, ami viszont a NAIH korábbi gyakorlatában már előfordult – ilyen például az Infotv. vonatkozó rendelkezéseire való hivatkozásnak az előírása. Emiatt az ajánlásának ez a pontja sajnos nem tartalmaz minden ezzel kapcsolatos tudnivalót, és az adatkezelőknek egyéb NAIH határozatokra is figyelemmel kell lenniük. Az viszont nagyon jó, hogy a NAIH kifejezetten megengedi az adatvédelmi jogokat gyakorló személy személyazonosságának ellenőrzését, mert a gyakorlatban a legtöbb adatkezelő már alkalmaz ilyen eljárást. Érdemes lehet a jövőben ennek a lehetőségnek a NAIH által ajánlott gyakorlatát egy részletesebb ajánlásban kifejteni.
Gyakorlati következmények
Ha a NAIH megítélése szerint az adatkezelési tájékoztató hiányosságai jelentősen befolyásolták az érintetteket hozzájárulásuk megadásában és ezáltal csak korlátozottan látták az adatkezelés következményeit, az adatkezelés jogellenes lehet. Ebben az esetben a NAIH 100.000,- Ft és 20.000.000,- Ft közötti bírságot szabhat ki. A magyar adatvédelmi szabályozás hatálya alá eső cégek számára emiatt fontos, hogy a NAIH új ajánlása alapján módosítsák az adatkezelési tájékoztatóikat és adatvédelmi szabályzataikat. Ezen kívül a NAIH azt is tanácsolja, hogy az adatkezelők adatkezelési tájékoztatóikat és adatvédelmi szabályzataikat évente egy alkalommal vizsgálják felül. Amint a fentiekből látható, az ajánlás több gyakorlati kérdést is felvet – érdemes tehát figyelni a NAIH határozatait, amik esetleg részletesebben értelmezhetik az ajánlásban meghatározott iránymutatásokat.
