Dr. Domokos Márton: Okos irodaházak – adatvédelmi megfeleléshez szükséges feladatlista

A jelen feladatlista az okosirodaházak üzemeltetői, valamint az okosiroda (smart office) szolgáltatások igénybe vevői és nyújtói számára az adatvédelmi (GDPR) megfeleléshez szükséges dokumentumokat és lépéseket foglalja össze. Természetesen minden adatvédelmi megfelelési projekt és minden adatkezelői szervezet egyedi, így az alábbi lépések nem mindegyike releváns valamennyi irodaház üzemeltető vagy szolgáltató, továbbá hasonló szolgáltatást igénybe vevő szervezet vonatkozásában, illetve esetükben egyéb vagy eltérő lépések megtétele is szükséges lehet.

Megfeleléshez szükséges feladat / dokumentum

Részletek

Mi írja elő? Mit üzen a hatósági gyakorlat?

Általános adatvédelmi megfeleléshez szükséges feladatok/dokumentumok

Adatkezelési tevékenységek belső nyilvántartása

Az üzemeltető által végzett személyes adatkezelési tevékenységek nyilvántartását tartalmazó belső dokumentum.

A könnyebb adminisztráció miatt célszerű az érintetti kör (pl. partneri kapcsolattartók, munkavállalók, látogatók, stb.) szerinti bontásban elkészíteni.

A GDPR 30. cikk alapján kötelező.

Az adatkezelési tevékenységek nyilvántartásainak megfelelőségét az adatvédelmi hatóság (Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság; röviden: NAIH) általában átfogóan, nagyobb kiterjedtségű eljárások esetén vizsgálja, így jellemzően, ha a nyilvántartások hiányosak, úgy egyéb jogsértést is megállapít a hatóság.

Adatvédelmi tájékoztató elkészítése

Adatkezelési tudnivalók, például:

az alvállalkozók (takarítók, biztonsági személyzet, property manager, IT szolgáltatást nyújtók) kapcsolattartói személyes adatainak kezelése;

a bérlők vagy üzemeltetők kapcsolattartói személyes adatainak kezelése;

a belépőkártyákkal (pl. sorszám) és beléptetéssel kapcsolatos, továbbá a látogatók egyéb adatainak kezelése (pl. cafeteria szolgáltatások);

bérlők számára küldött körlevelek.

A GDPR 13-14. cikk alapján kötelező.

Az osztrák adatvédelmi hatóság egy ügyben 55.000 euró összegű bírságot szabott ki egy egészségügyi

szolgáltatóval szemben többek között az érintettek hiányos tájékoztatása miatt, a NAIH pedig egy másik ügyben 3.030 euró összegű bírságot egy pénzügyi szolgáltatóval szemben a telefonszám kezelésével kapcsolatos tájékoztatás elmulasztása, és egyéb jogsértések miatt.

Hozzájáruló nyilatkozatok elkészítése – ha a látogatók, alvállalkozók, bérlők, egyéb érintettek személyes adatainak kezeléséhez az ő hozzájárulásuk szükséges

A hozzájáruló nyilatkozatok elektronikus és papíralapú formában is elkészíthetők, megfogalmazásuk és a tájékoztató hozzájuk kapcsolódó közlése az adatkezelési tevékenység jellemzői szerint változhat.

A GDPR 7. cikk alapján kötelező.

A görög adatvédelmi hatóság 150.000 euró összegű adatvédelmi bírságot szabott ki egy tanácsadó céggel szemben, tekintettel arra, hogy a cég jogsértő módon hozzájárulást kért a munkavállalói adatok kezeléséhez, holott a munkavállalók vonatkozásában az önkéntesség nem volt biztosítható, és a cégnek egyéb jogalapot kellett volna megjelölnie.

A GDPR által elvárt úgynevezett „érdekmérlegelési tesztek„ elvégzése és dokumentálása – ha a látogatók, alvállalkozók, bérlők, egyéb érintettek személyes adatainak kezelése nem a hozzájárulásukon, a velük (természetes személlyel) kötött szerződés teljesítésén vagy az üzemeltetőre vonatkozó jogi kötelezettségnek való megfelelésen alapul, hanem az üzemeltető un. „jogos érdekén”

Az érdekmérlegelési tesztek részletezik az érintettek számára a kapcsolódó adatkezelés körülményeit. „Jogos érdeken” alapuló adatkezelés például a biztonsági kamerarendszer vagy az elektronikus beléptetőrendszer alkalmazásával járó adatkezelés.

A GDPR 6. cikk (1) f) pontja alapján kötelező.

A NAIH 90.909 euró összegű adatvédelmi bírságot szabott ki fesztivál látogatók adatainak jogsértő kezelés miatt. Az eset során a hatóság vizsgálta a társaság által bemutatott érdekmérlegelési tesztet is, azonban azt több szempontból is jogsértőnek találta.

Adatbiztonsági intézkedések felülvizsgálata és kapcsolódó tanácsadás

Az üzemeltető köteles az adatok biztonságát garantáló szervezési és technikai intézkedéseket meghozni, valamint adatkezelési műveleteihez igazítani. Ilyen például a különböző IT rendszerek kezeléséről és azokhoz való hozzáférésről szóló belső szabályzatok, valamint az egyes szoftverek, adatbázisok kialakítása kapcsán alkalmazott intézkedések (pl. tűzfalak, vírusírtók, hozzáférés-menedzsment, stb.).

A GDPR 32. cikk alapján kötelező.

Átfogó vizsgálatot követően az angol adatvédelmi hatóság több mint 115.010.000 euróra bírságolt egy nemzetközi hotelláncot a szállodalánc egyik tagjának informatikai rendszerét érintő adatvédelmi incidens, valamint a rendszer kapcsán alkalmazott elégtelen adatbiztonsági intézkedések miatt.

Emellett a francia adatvédelmi hatóság 400.000 euró összegű bírságot szabott ki egy ingatlanszolgáltató társasággal szemben adatbiztonsági és adattárolással kapcsolatos hiányosságok miatt.

Adatvédelmi incidensek kezelése esetére belső incidenskezelési eljárás és az ezzel kapcsolatos belső dokumentáció-minták

Ilyen esetnek minősülhet például a bérlői vagy szerződéses partneri adatbázist érintő hackertámadás vagy biometrikus adatokkal történő visszaélés (adatlopás), amikor – főszabályként – az adatvédelmi incidenst be kell jelenteni az adatvédelmi hatóságnak, valamint az incidens mértékétől és jellegétől függően arról az érintetteket is tájékoztatni kell (pl. e-mailben vagy nyilvános sajtóközlemény útján). Ezen lépések hatékony elvégzéséhez nyújt segítséget a kapcsolódó incidenskezelési dokumentáció.

A GDPR 33-34. cikk szerint kötelező.

A NAIH 33.333 euró összegű adatvédelmi bírságot szabott ki egy társadalmi szervezettel szemben a szervezet honlapjához tartozó adatbázist ért hackertámadást követő nem megfelelő incidenskezelési lépések és adatbiztonsági hiányosságok miatt.

Az üzemeltető adattovábbítási gyakorlatának áttekintése (cégcsoporton belül és kívül)

Az üzemeltető nevében adatokat kezelő személyekkel/szervezetekkel „adatfeldolgozási szerződéseknek” nevezett szerződések megkötése, adatfeldolgozási mintaszerződés elkészítése és eljárásrend javaslata a hasonló szerződések megkötésére és nyomon követesére.

Az adatfeldolgozókkal (az üzemeltető nevében adatkezelést végző szolgáltatók, pl. IT szolgáltató partnerek), adatkezelőkkel (például: saját szakmai szabályaik szerint és döntési jogkörüknek megfelelően eljáró banki vagy biztosítási szolgáltató partnerek) kötött egyéb „polgári jogi” szerződések rendelkezéseit is át kell tekinteni, különösen az adatkezelésre, titoktartásra, B2B marketingre, kapcsolattartásra és referencia-hivatkozásra vonatkozó részeket.

Az EU-n kívüli országokba irányuló adattovábbítások esetén adott esetében külön intézkedések szükségesek. A leggyakrabban ez egy további külön szerződés, un. EU adattovábbítási modellszerződés (EC Model Clause / Standard Contractual Clause).

A GDPR 44-50. cikk alapján kötelező.

A NAIH egy munkahelyi visszásság észlelését és ehhez kapcsolódó közérdekű bejelentést megtételét követően 3.041 euró összegű bírságot szabott ki közérdekű bejelentő adatait jogsértő módon történő továbbítása miatt.

Adatvédelmi hatásvizsgálatok elkészítése és belső iránymutatás arra az esetre, hogy mikor szükséges adatvédelmi hatásvizsgálat, milyen lépésekben kell lefolytatni, mikor kell konzultálni az érintett személyekkel és/vagy az illetékes hatósággal

Az un. adatvédelmi hatásvizsgálat (DPIA) elvégzése és dokumentálása jelentős kockázatú adatkezelések esetén kötelező (pl. új technológiák alkalmazása, gyermekek adatainak kezelése, biometrikus adatkezelés, stb.). Az ilyen adatkezelések jellemző felsorolását minden EU tagállam adatvédelmi hatósága nyilvánosságra hozta. Magyarországon a hatásvizsgálatok elkészítésének kötelező listája elérhető a Nemzeti Adatvédelmi és Információszabadság Hatóság weboldalán: https://www.naih.hu/…a_HU_mod.pdf

Egy okosingatlan esetén tipikusan a fenti hatásvizsgálatot megkövetelő adatkezelések közé tartozhatnak a különböző biometrikus azonosítórendszerek, valamint az érintettek profilozásával (pl. viselkedésének elemzésével) járó megoldások, helymeghatározási adatok kezelése vagy okosmérők.

A GDPR 35-36. cikk szerint kötelező.

A közeljövőben ilyen jellegű dokumentációk felülvizsgálata és intenzívebb hatósági aktivitás is várható.

A társaság által használt biztonsági kamerákkal kapcsolatos adatvédelmi tájékoztató, belső adatvédelmi szabályzat és (piktogrammal ellátott) figyelmeztető tábla készítése

A GDPR-ral nagyobb szabadsága nyílik az adatkezelőknek a kamerás megfigyelés céljának, valamint a felvételek adatmegőrzési idejének meghatározása tekintetében. Fokozott hangsúly esik azonban az érintetti jogok gyakorlására, amellyel kapcsolatban javasolt adatvédelmi oktatást tartani az eljáró személyzetnek, az érintetti joggyakorlással kapcsolatos eljárásrendet pedig javasolt belső dokumentumban is rögzíteni.

A GDPR-ral és a vagyonvédelmi jogszabályi rendelkezésekkel összhangban.

A NAIH 3.030 euró összegű bírságot szabott ki egy esetben az érintett kamerafelvétellel kapcsolatos jogai gyakorlásának (ideértve: másolat kiadása és a felvétel zárolása) nem megfelelő elősegítése miatt egy társasággal szemben.

Őrszolgálati Utasítás és a beléptetési folyamat, valamint beléptetőrendszer alkalmazásának átnézése adatvédelmi megfelelési szempontból

Az őrszolgálat eljárására, valamint a beléptetési folyamat sajátosságaira tekintettel készítendők el a további, adatvédelmi szempontból releváns dokumentumok (például: a beléptetési vagy vagyonvédelmi intézkedésekkel kapcsolatos tájékoztatás, belső adatvédelmi szabályzat). Javasolt adatvédelmi oktatást is tartani az eljáró személyzetnek.

A GDPR 5. cikk (2) alapján szükséges (elszámoltathatóság alapelve).

A NAIH egy magyarországi fesztiválszervező társaság tekintetében megállapította, hogy a társaság által szervezett rendezvényeken alkalmazott beléptetési gyakorlat során jogellenes adatkezelés valósult meg. A NAIH megállapította, hogy az adatkezelés nem megfelelő jogalap alapján, a célhoz kötöttség és az adattakarékosság elveinek megsértésével történt továbbá a társasággal szemben 90.909 euró összegű adatvédelmi bírságot szabott ki.

Az üzemeltető HR célú adatkezelésének áttekintése

Az irodaház üzemeltető, valamint okosirodai szolgáltatást nyújtó vagy igénybe vevő társaság az adatkezelési stratégiáját az adott HR szervezet sajátosságai szerint kell, hogy megtervezze (például: adatvédelmi tájékoztató elkészítése a munkavállalók, kölcsönzött munkavállalók számára, munkáltatói szabályzatok adatvédelmi szempontú áttekintése).

Az állásra pályázóknak külön adatvédelmi tájékoztató elkészítése javasolt, a fejvadászokkal és állásközvetítő-portálokkal, valamint munkaerő-közvetítő és kölcsönző cégekkel való szerződéses kapcsolatok pedig adatvédelmi szempontból is felülvizsgálandók.

A GDPR 5. cikk (2) alapján (elszámoltathatóság alapelve), valamint a GDPR 13. és 14. cikk alapján szükséges.

A NAIH egy munkahelyi visszásság észlelését és ehhez kapcsolódó közérdekű bejelentést megtételét követően 3.030 euró összegű adatvédelmi bírságot szabott ki közérdekű bejelentő adatait jogsértő módon továbbító szervvel szemben.

Ezenfelül a NAIH megállapította egy közigazgatási szervezet felelősségét adatvédelmi jogsértés kapcsán, tekintettel arra, hogy egy, a szervezet tisztségviselőjével kapcsolatos vizsgálat során jogsértő módon továbbították a tisztségviselő részére a vele szemben eljárást kezdeményezők adatait.

Az üzemeltető weboldalával kapcsolatos adatkezelési gyakorlat áttekintése, weboldal felhasználási feltételek és süti tájékoztató elkészítése

Az adatkezelés dokumentációja az adott weboldal adatkezelési sajátosságai szerint (pl. sütik alkalmazása, weboldalon keresztüli szolgáltatások) készítendő el.

A GDPR 13-14. cikk szerint kötelező.

Egy német adatvédelmi hatóság 20.000 euró összegű adatvédelmi bírságot szabott ki egy közösségi média szolgáltatóval szemben az oldalukon alkalmazott elégtelen adatbiztonsági intézkedések, valamint felhasználói adatok kiszivárgása miatt.

Az adatkezelő marketing-, és ügyfélkapcsolati tevékenységének, rendezvényeinek áttekintése

A tájékoztatóanyagok, hozzájárulás-minták, valamint az adattovábbítások e körben kulcsfontosságúak. Ilyenek lehetnek például az egyes reklámkampányokkal, nyereményjátékokkal kapcsolatos adatvédelmi tájékoztatóanyagok és hozzájárulási nyilatkozat-minták. A rendezvényekkel kapcsolatos tájékoztatás a rendezvény sajátosságai szerint fogalmazandó meg.

A GDPR 6, 13 és 14. cikkei szerint kötelező.

A francia adatvédelmi hatóság 50.000.000 euró összegű pénzbírságot szabott ki egy társasággal szemben, többek között az érintettek önkéntes, és megfelelő tájékoztatáson alapuló hozzájárulása beszerzésének hiánya miatt a hirdetések személyre szabása, jogsértő marketingtevékenység tekintetében.

Belső eljárás arra az esetre, ha a látogatók és egyéb érintettek adatvédelmi jogaikat gyakorolják. Például: tájékoztatást kérhetnek a profilozás során gyűjtött adataikról vagy hozzáférésüket kérhetik parkolási adataikhoz, ha ilyeneket az üzemeltető kezel)

A GDPR III. cikkei szerint kötelező.

GDPR megfelelési oktatóanyagok

Az oktatóanyagok és tréningek az adott foglalkoztatotti/alvállalkozói kör igényei szerint készítendők el. Adott esetben tesztkérdések is az oktatóanyag részévé tehetők. Az irodaház munkavállalóinak, valamint szükség szerint alvállalkozóinak (pl. biztonsági személyzet) adatvédelmi tréning tartása, oktatóanyag összeállítása.

A GDPR 5. cikk (2) alapján szükséges (elszámoltathatóság alapelve).