A családfakutatás adatvédelme az adatvédelem specifikus területe. Vajon a GDPR érinti ezt a részterületet? Vonatkozik-e elhunyt személyek személyes adataira? Hogyan sérülhetnek a természetes személyazonosító adatok az online családfaállítással összefüggésben? Mire terjed ki az üzleti célú családfakutató weblapok szolgáltatóinak felelőssége?
Az Európai Adatvédelmi Rendelet (ismert nevén: GDPR) által előidézett adatvédelmi reform egyik fő indoka többek között az volt, hogy az információs technológia töretlen fejlődéseként személyes adataink korlátlanul cirkulálnak a világhálón, amely védelemre szorul.
A mindennapokban is érzékelhető technológiai innováció olyannyira nagy volumenű, hogy az okos telefonok és egyéb hordozható okos készülékek gyakorlatilag bármely napszakban folyamatosan rendelkezésünkre állnak online felületek használatához, így a magánélethez, magánszférához való jogunk akarva-akaratlanul csorbulhat bizonyos felületek óvatlan használatával. Jelen cikkünkben egy kevésbé szabályozott problémakört, a családfakutatás adatvédelmi vonzatait vizsgáljuk, de elsőként felmerül a kérdés, hogy vajon a GDPR érinti-e ezt a specifikus területet? Miben merülhet fel az természetes személyazonosító adatok sérelme az online családfaállítással összefüggésben?
Őseink felkutatása céljából ellenérték fejében ma már különböző online elérhető szoftverek, internetes adatbázisok, anyakönyv kutatási felületek, háborús jelentések, vagy akár gyászjelentések is könnyedén hozzáférhetőek bárki számára, azonban az alábbi két alaptényező fogja meghatározni, hogy a családfakutatás során alkalmazni kell-e a rendeletben foglaltakat:
A szabályozást figyelembe véve, elsőként azt gondoljuk, hogy a területet a GDPR nem érinti, hiszen a rendelet kategorikusan kijelenti, hogy (1) az nem alkalmazandó elhunyt személyek személyes adataira, továbbá (2) nem alkalmazandó a személyes adatoknak természetes személy által kizárólag személyes vagy otthoni tevékenyég keretében végzett kezelésére. A Rendelet tartalmaz különböző részletszabályokat archiválási célból gyűjtött személyes adatokra vonatkozóan, azzal a megkötéssel, hogy a Rendelet nem alkalmazható elhunyt személyek személyes adataira, ezen adatokra vonatkozó szabályozás tagállami hatáskörbe tartozik. A rendelet értelmében tehát az adatvédelmi előírások csak élő természetes személyekre vonatkoznak, azaz az elhunyt személyek azonosító adatait a továbbiakban kizárólag a kegyeleti jog védi, miszerint az elhunyt személyek minden olyan adata közzététel tárgyát képezheti, amely az elhunyt – illetve örököse – jó hírnevét, valamint a közérdeket nem sérti. A családfakutatás (tudományos nevén genealógia) azonban olyan érzékeny terület, ahol nemcsak elhunyt személyek természetes adati kerülhetnek napvilágra, hanem a családfaállítással a még életben lévő lemenő-, és oldalági rokonok természetes adatai válhatnak elérhetővé online felületeken az adatvédelmi jogosultsággal egyébként nem rendelkező, illetéktelen személyek számára, amely további személyes adatokkal való visszaélésekre ad lehetőséget.
A Rendelet kimondja, hogy a személyes adatok tudományos és történelmi kutatási célból történő kezelésére az érintettek jogai és szabadságai tekintetében megfelelő garanciák vonatkoznak. Mivel a családfakutatás, azaz a családfa létrehozása történelmi, valamint kutatási feladatként aposztrofálható, ezzel összhangban a GDPR alkalmazandósága is megállapítható minden olyan esetben, ha a családfaállítás alkalmával még élő személyek adatainak kezelése és feldolgozása nem személyes célokra történik, azaz üzletszerű tevékenység keretében, közzététel mellett valósul meg. Ma már számtalan családfakutató weboldal kínál ellenérték fejében családfaállításra vonatkozó szolgáltatásokat a származásukat, gyökereiket és rokonságukat felkutatni kívánó felhasználóknak, amely bárki számára korlátozás nélkül elérhető. A természetüknél fogva különösen érzékeny személyes adatok – melyek kezelése jelentős kockázatot is rejthet – speciálisabb védelmet igényelnek. A Rendelet külön nevesíti ezen személyes adatok különleges kategóriáit (pl.: faji, nemzeti, etnikai hovatartozással kapcsolatos adatok), amely a családfakutató számára voltaképpen a családfaállítás egyik alap lényegi célját is jelentheti. Számos etnikai támadásra ad kiváló táptalajt a családfaállítás során „kicsalt”, származáson alapuló személyes adatok kezelése, illetve feldolgozása, előidézve ezzel egyik kulcsfontosságú alkotmányos alapjogunk sérelmét.
Üzleti céllal létrehozott és üzemeltett családfakutató weblapok esetében tehát elengedhetetlen az adatvédelmi tudatosság erősítése. A saját webhellyel rendelkező szolgáltató teljes mértékben felel az általa tárolt és kezelt, valamint harmadik fél részére továbbított adatok védelméért. A szükséges adatvédelmi intézkedések megtétele nem csupán a regisztrációhoz kötöttség, valamint a böngészni kívánó névtelen felhasználók cookie engedélyezését foglalja magában, hanem az adatvédelmi audit alkalmazását is, mellyel az esetleges jogsértések kiszűrhetővé válnak, valamint az adatkezelés és adatfeldolgozás jogszerűvé tehető. Az üzemeltetőnek gondoskodnia kell arról is, hogy betartsa a természetes adatok integritására vonatkozó irányelveket és eljárásokat abban az esetben is, ha a szolgáltató vállalat székhelye nem az Európai Unió tagállamában van, mivel a Rendelet alkalmazandósága az érintettek Unión belüli magatartásának megfigyeléséhez kapcsolódóan is fennáll. Családfaállítás során, élő családtagokról való információk megszerzése és tárolása tekintetében az ésszerűség követelményét szem előtt tartva az adatkezelő feladata annak bizonyítása, hogy amennyiben a személyes adatok kezelése és feldolgozása nem az érintett beleegyezésén alapul, úgy az eltérő célra történő feldolgozás összeegyeztethető-e a személyes adatok közlésének céljával.
A Rendelet számos alapelvet rögzít, amely az érintett személyes adatai védelmének erősítését szolgálja, többek között joga van személyes adatainak helyesbítéséhez, valamint megilleti őt az „elfeledtetéshez való jog”, amely az érintettre vonatkozó adatok online környezetben történő végleges törlését jelenti.
