A NAIH korábbi megközelítésével összhangban további részletszabályokat irányoz elő a cégek tájékoztatási és nyilvántartási kötelezettségeivel kapcsolatban, így most minden adatkezelőnek érdemes áttekintenie saját gyakorlatát, belső eljárásait, hírleveleit, reklámjait és adatkezelési tájékoztatóit. A jelen írás célja, hogy a NAIH által felvetett főbb kérdések számbavételével iránymutatásul szolgáljon az adatvédelmi gyakorlatok aktualizálásához.
2014. július 29-én kelt, NAIH-2298-23/2013/H. számú határozatában a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 750.000 forint összegű adatvédelmi bírságot szabott ki egy társaságra, és elrendelte adatkezelési gyakorlatának átalakítását, különös tekintettel az adatkezelési tájékoztatóinak szövegére. Határozatában a NAIH számos olyan megállapítást tett, amik tanulságosak lehetnek más adatkezelők számára is.
1. A NAIH büntetés háttere
A megbírságolt társaság oldalán az érintett személyeknek lehetősége volt különböző kampányokban regisztrálni. A regisztráló személy a regisztrációval, és a kapcsolódó adatvédelmi és adatkezelési nyilatkozat (adatkezelési tájékoztató) elfogadásával bekerült a társaság, valamint a társasággal kapcsolatban álló más társaságok marketing célú adatbázisába. A NAIH azért indított eljárást a társaság ellen, mert egy panaszos szerint, annak ellenére, hogy korábban leiratkozott, továbbra is érkeztek hozzá direkt marketing (DM) célú hírlevelek a társaság e-mail címéről.
Fontos eleme az ügynek, hogy a panaszos nem a konkrét adatkezelési tájékoztatót kifogásolta, hanem a kéretlen levél küldését, viszont a panasz következtében a NAIH a társaság egész adatkezelési folyamatát megvizsgálta, valamint bekérte a mögöttes dokumentációt (szabályzatokat, szerződéseket, szervernaplókat, konkrét adattovábbításokat). Az eljárásban egyébként pont a kéretlen email küldését nem sikerült megfelelően bizonyítani, viszont a vizsgálat során a NAIH számos olyan egyéb jogellenes gyakorlatot tárt fel, amik a kéretlen levéllel kapcsolatos panasz hiányában nem kerültek volna fel a hatóság radarjára. Fontos lehet tehát egy-egy jelentéktelennek tűnő adatvédelmi hiányosságot vagy panaszt a lehető legrövidebb időn belül orvosolni, mert a NAIH egy-egy vizsgálata az eredeti panasznál láthatóan szélesebb körben vonja vizsgálat alá a kifogásolt adatkezelési gyakorlatot.
Az eljárásban a NAIH az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény („Infotv.”), a kutatás és a közvetlen üzletszerzés célját szolgáló név- és lakcímadatok kezeléséről szóló 1995. évi CXIX. törvény („DM törvény”), a gazdasági reklámtevékenység alapvető feltételeiről és egyes korlátairól szóló 2008. évi XLVIII. törvény („Reklámtörvény”), valamint az információs társadalommal összefüggő szolgáltatások egyes kérdéseiről szóló 2001. évi CVIII. törvény egyes rendelkezéseinek való megfelelőséget vizsgálta.
2. Milyen információkkal / dokumentációval kell rendelkeznie az adatkezelőknek?
Az eljárás során a NAIH számos információt és dokumentációt (pl. szerződések, belső nyilvántartások, eljárásrendek) kért a társaság adatkezelésével kapcsolatban. A dokumentáció egy része jogszabály alapján kötelezően vezetett dokumentáció, más része viszont nem. A NAIH korábban nem kért adatkezelőktől ilyen széles körű belső dokumentációt – ez a megváltozott gyakorlat azonban összhangban lévőnek tűnik a nemzetközi adatvédelmi trendekkel, ahol egyre inkább teret nyer az adatkezelő „elszámoltathatóságának” (accountability) alapelve. Ezt az alapelvet az EU új adatvédelmi rendeletének tervezete is kötelezően előírja, és ennek alapján az adatkezelés minden fontosabb mozzanatát dokumentálni szükséges, hogy később – például hatósági vizsgálat esetén – az adatkezelés folyamata és jogszerűsége megfelelően nyomon követhető legyen. Az eljárásban bekért információk és kérdések alapján úgy tűnik, hogy most már a NAIH is elvárja az adatkezelések még részletesebb dokumentálását.
Az alábbi 2.1 és 2.2 pontok segítséget nyújthatnak abban, hogy a társaságoknak pontosan milyen belső nyilvántartásokat érdemes vezetniük adatkezelésükkel kapcsolatban.
2.1. Kötelező nyilvántartások vezetése
A NAIH az eljárásban az alábbi, jogszabályok alapján kötelező nyilvántartásokat vizsgálta – fontos tehát, hogy az adatkezelők megvizsgálják, megfelelően vezetik-e az alábbi kötelező nyilvántartásokat.
Általános adattovábbítási nyilvántartás
Az Infotv. 15. § (2) alapján „az adatkezelő az adattovábbítás jogszerűségének ellenőrzése, valamint az érintett tájékoztatása céljából adattovábbítási nyilvántartást vezet, amely tartalmazza az általa kezelt személyes adatok továbbításának időpontját, az adattovábbítás jogalapját és címzettjét, a továbbított személyes adatok körének meghatározását, valamint az adatkezelést előíró jogszabályban meghatározott egyéb adatokat”.
Annak ellenére, hogy az Infotv. alapján kötelező, sajnos a gyakorlatban még mindig elég kevés cég használ ilyen belső nyilvántartást, pedig egy-egy NAIH vizsgálat esetén ez az első, amit a hatóság bekér. (Nehezíti ugyanakkor a jogszabályi megfelelőség biztosítását, hogy a fenti törvényhelyen túl nem áll rendelkezésre gyakorlati útmutató a cégek számára, hogy pontosan milyen formában és részletezettséggel kell vezetni ezt a nyilvántartást, úgy, hogy ne jelentsen ésszerűtlen adminisztrációt az érintett munkatársak számára, de a NAIH számára is elfogadható legyen.)
Az adatkezelőknek mindenesetre célszerű ellenőrizniük, hogy megfelelően vezetik-e a kötelező adatvédelmi nyilvántartást.
DM célú adattovábbítási nyilvántartás
A DM törvény 5. § (2) alapján az adatkezelők további specifikus nyilvántartást is kell vezessenek az adatátadásokról. Eszerint „adatátadás esetén mind az adatátadónak, mind az – átvevőnek az érintett adatokról és az adatátvevőről, illetőleg – átadóról – az adatforgalom ellenőrizhetőségének biztosítása céljából – nyilvántartást kell vezetni. A nyilvántartást az adatátvétel, illetve az adatátadás évét követő ötödik év végéig kell megőrizni. A megbízás alapján történő adatfeldolgozás esetén a megbízó minősül felelős adatkezelőnek.”
Az eljárásban a NAIH a fentiek alapján vezetett, DM célú adattovábbítási nyilvántartás másolatának megküldését is kérte a társaságtól. A gyakorlatban nehézséget okozhat, hogy ez a nyilvántartási kötelezettség átfedésben lehet az Infotv. szerinti, általános adattovábbítási nyilvántartás vezetésének kötelezettségével. A kettős nyilvántartás vezetése szükségtelenül megnövelné a cégek adminisztrációs terheit, és nehezítené az adattovábbítások átláthatóságát – célszerű lehet emiatt egy, egységes adattovábbítási nyilvántartást vezetni, amiben szükség esetén külön megjelölhetők a DM célú adattovábbítások is. A DM tevékenységgel kapcsolatos hatósági vizsgálatok jellemzően egy-egy specifikus kampánnyal összefüggésben indulnak, így ajánlott az adattovábbításokat kampányonként külön nyilvántartani. A gyakorlatban ez többletfeladatot jelent, de ezáltal például elkerülhető, hogy egy adott vizsgálat során egy egységesen vezetett nyilvántartás alapján a hatóság egyéb adattovábbításokat is vizsgálat alá vonjon.
A fentiekre tekintettel a DM tevékenységet végző adatkezelőknek célszerű ellenőrizniük, hogy megfelelően nyilvántartják-e a DM célú adattovábbításokat.
Opt-in nyilvántartás
A Reklámtörvény 6. § (5) szerint: „A reklámozó, a reklámszolgáltató, illetve a reklám közzétevője a náluk hozzájáruló nyilatkozatot tevő személyek személyes adatairól nyilvántartást vezet. Az ebben a nyilvántartásban rögzített – a reklám címzettjére vonatkozó – adat csak a hozzájáruló nyilatkozatban foglaltaknak megfelelően, annak visszavonásáig kezelhető, és harmadik fél számára kizárólag az érintett személy előzetes hozzájárulásával adható át.”
Az eljárásban a NAIH arról is kért információt, hogy a társaság hány nevet és címet kezel az adatbázisában. Ennek nyilvántartására a Reklámtörvény által a fentiek szerint előírt „Opt-in nyilvántartás” lehet a legmegfelelőbb, a gyakorlatban azonban a cégek gyakran nem használnak külön dokumentumot erre a célra, hanem az adatokat például egy-egy nagyobb ügyféladatbázis részeként kezelik. Ez megnehezítheti az adatok naprakész jellegének biztosítását, valamint a leiratkozó személyek adatainak haladéktalan törlését. Ezzel kapcsolatban szintén irányadó lehet az, hogy a hatósági vizsgálatok jellemzően egy-egy specifikus kampánnyal kapcsolatban indulnak, így már csak ezért is célszerű minden kampány során elkülönített opt-in nyilvántartást vezetni.
Reklámozási tevékenység esetén érdemes tehát ellenőrizni, hogy megfelelően rendelkezésre áll-e az Opt-in nyilvántartás.
2.2. Szerződésminták és belső eljárások aktualizálása
A NAIH az eljárás során több olyan információt és egyéb nyilvántartást kért be a társaságtól, amiknek a meglétét nem írja elő kötelezően jogszabály, de a NAIH jelen eljárásban látott gyakorlata alapján ajánlott lehet. A NAIH-nak a határozatában tett észrevételei alapján az adatkezelőknek az alábbiak szerint érdemes aktualizálni szerződésmintáikat és belső eljárásaikat:
Az adatkezelők / adatokat megkapó személyek közötti feladat- és felelősség megosztásával kapcsolatos információk. A gyakorlatban az ezzel kapcsolatos információkat érdemes az adattovábbítással összefüggő szolgáltatásokat szabályozó szerződésben rögzíteni. Ez már csak azért is fontos lehet, mert az eljárásban a NAIH külön vizsgálta, hogy a társaság és partnerei együttes adatkezelést végeznek-e, ami egyetemleges felelősség megállapításához vezethet.
A NAIH fenti információkérésére tekintettel az adatkezelők önálló, egymástól független adatkezelői státuszát és az adatkezeléssel kapcsolatos részletes feladatokat célszerű a közöttük létrejövő szerződésben rögzíteni.
Adatbázis információ. A NAIH tájékoztatást kért továbbá a társaságtól arról, hogy a mennyi és milyen adatbázist tárol az aktualizált adatokat tartalmazó „éles” adatbázison kívül, hány másolata, illetve különböző időpontok szerinti tárolt változata van ennek, illetve pontosan mikor, kinek, mekkora adatbázist küldött ki. A hatóság kérte annak megjelölését is, kik az informatikusok, akik a hírlevelek kiküldése során külső hírlevélküldő rendszert használtak, és ők mely cégek alkalmazásában, megbízásában voltak.
Ennek alapján fontos lehet a jövőben, hogy az adatkezelők pontos nyilvántartással rendelkezzenek az általuk használt adatbázisok tartalmáról, kezeléséről, és a munkatársak hozzáférési jogairól.
A kötelező adattovábbítási nyilvántartáson túlmenően a NAIH arról is kért információt, hogy a társaság milyen szempontok alapján dönti el, hogy a regisztrált adatot mely adatkezelő kapja meg, valamint kérte a kiválasztás szempontjait szabályozó dokumentumot, szabályzatot, és az adatátadásokról készült jegyzőkönyveket.
A NAIH elvárásaira figyelemmel célszerű lehet a cégeknek a fenti információkkal magát a kötelező adattovábbítási nyilvántartást kiegészíteni, biztosítva ezzel az adattovábbítási folyamat egységes nyilvántartását, és a kapcsolódó dokumentáció szükségtelen többszörözésének megelőzését.
Kérte továbbá a NAIH a társaságtól (i) az adattörlési kérelmek teljesítését szabályozó eljárásrendet; (ii) külön információt arról, hogy az adatok személyes kézbesítéssel történő továbbításakor hogyan gondoskodik a társaság az adatbiztonságról; és (iii) információt arról, hogy ha az érintett személyek a jogszabály alapján tájékoztatást kérnek személyes adataik kezeléséről, – amelynek feltétele (a társaság adatkezelési tájékoztatója szerint) személyazonosságuk igazolása – ennek ellenőrzése a gyakorlatban milyen módon valósul meg.
A vonatkozó jogszabályok nem tartalmaznak a fentiekkel kapcsolatban dokumentációs kötelezettséget, a NAIH által bekért információkra tekintettel azonban érdemes a belső adatkezelési szabályzatokat, és szükség esetén a külső adatkezelési tájékoztatókat kiegészíteni a fentiekre vonatkozó szabályokkal.
Belső utasítások. A vizsgálat során a NAIH azt állapította meg, hogy a társaság munkatársai a nem aktuális, nem naprakész adatokat tartalmazó adatbázissal is aktív műveleteket tudtak végezni, és ezért a társaság adatkezelőként nem járt el a megfelelő gondossággal, a munkatársak utasításokkal történő ellátása nem eredményezte megfelelően az adatvédelmi jogszabályok érvényesülését, illetve az általa végzett adatkezelésnek nem minden részletéről rendelkezett megfelelő információval, és nem érzékelte a jogellenes adatkezelést.
A NAIH javaslatával összhangban olyan belső szabályzatot, szervezési intézkedéseket kell kialakítani, hogy a munkavállalók előtt is egyértelmű legyen az adatkezelésre vonatkozó feladatok végrehajtása során a jogszabályi előírások mindenkori érvényre juttatásának módja, és az adatbázis kezelési jogosultságokat is megfelelő részletességgel rögzíteni kell.
3. Az adatkezelési tájékoztatók aktualizálása
Vizsgálata során a NAIH a társaság által használt adatkezelési tájékoztatóval kapcsolatban az alábbi észrevételeket tette – ezek a megállapítások általánosságban irányadóak lehetnek más adatkezelők számára is, érdemes tehát az adatkezelési tájékoztatók áttekintése a NAIH által meghatározott szempontok alapján.
Az adatkezelés letiltása. A NAIH megállapításai alapján jogellenes lehet az a gyakorlat, ha a társaság adatkezelési tájékoztatójában kötelezi az érintetteket, hogy ha személyes adataik kezelését meg akarják tiltani, a tájékoztatóban felsorolt adatkezelőknél egyenként saját maguk járjanak el. A DM törvény 20. § (2) ugyanis ezt a kötelezettséget az adatátadó köteles elvégezni: „Az érintettet kérelmére az adatkezelést végző közvetlen üzletszerző szerv köteles az általa kezelt adatairól írásban tájékoztatni, illetőleg azokat helyesbíteni. A harmadik személy részére átadott adatok helyesbítését vagy törlését – a hat hónapon belül továbbított adatok vonatkozásában – az érintett kérelmére az adatátadó szerv köteles kezdeményezni.”
Érdemes tehát áttekinteni, hogyan szabályozzák az adatkezelési tájékoztatók az adatkezelés letiltásának módját.
A tájékoztató szövegezése
Feltételes mód
A NAIH eljárásban vizsgált adatkezelési tájékoztató az adattovábbításokkal kapcsolatban az „előfordulhat” szót használta. A NAIH szerint ez a szóhasználat pontatlan, mert azt sugallja, hogy az adattovábbítás pusztán lehetőség, ha azonban minden regisztrált adatot megkap minden adatkezelő, akkor az adattovábbítás nem „előfordulhat”, hanem minden adat esetében „előfordul”. Az eljárás során ugyanakkor az derült ki, hogy a gyakorlatban a tájékoztatóban feltüntetett adatkezelők közül nem is mindegyik kapja meg a személyes adatokat. A NAIH ezzel kapcsolatban azt is felvetette, hogy ha nem minden adatkezelő kapja meg az adatokat, a regisztráló személy hogyan szerez tudomást arról, hogy adatait a hozzájáruló nyilatkozatban felsorolt cégek közül mely adatkezelő kapta meg. Mindezek alapján a NAIH megállapította, hogy az adatkezelési tájékoztató szövegezése nem egyértelmű, más adatkezelők számára megnyugtató megoldási javaslatot azonban a határozat sajnos nem tartalmazott. Egy-egy adatkezelési folyamat ugyanis ma már nem olyan egyszerű, hogy ilyen pontossággal minden egyes konkrét adattovábbítást rögzíteni lehessen előre. Adattovábbításokra általában esetről esetre kerül sor, például a kampány jellegére, az érintett cégek igényeire figyelemmel – ha azonban az adattovábbítás célja és lehetséges címzettjeinek köre megfelelően szerepel az adatkezelési tájékoztatóban, az adattovábbításhoz való előzetes, általános hozzájárulás nem feltétlenül sérti az érintett jogait. Az adattovábbítási lehetőségek ésszerűtlen korlátozásának elkerülése érdekében a más adatkezelési tájékoztatókban egyébként rendszeresen előforduló feltételes mód használata emiatt indokolt lehet.
Az Infotv. definícióinak használata és az adatfeldolgozók pontos nevesítése
A NAIH az eljárásban felhívta a figyelmet arra is, hogy az adatkezelési tájékoztató szóhasználatának összhangban kell lennie az Infotv. által használt definíciókkal – az adatkezelők között „adattovábbítás”, adatfeldolgozó részére pedig ”adatátadás” történik, és az átláthatóság megköveteli az adatfeldolgozók pontos nevesítését is az adatkezelési tájékoztatóban.
A lehetséges adattovábbítások köre
Az eljárás során a NAIH azt is megjegyezte, hogy az adatkezelési tájékoztatóban felsorolt társaságok az adatgyűjtést csak támogatták, és mint az adatbázis várományosai tűntek fel, azonban az adatgyűjtéskor még nem minősülnek adatkezelőknek, hanem csak az adattovábbítás címzettjeinek. Az adattovábbítás után vált adatkezelővé az, aki az adatbázist megkapta. Egyes társaságok viszont a NAIH szerint úgy deklarálták előre adatkezelői mivoltukat, hogy később adatkezelést egyáltalán nem végeztek, az adattovábbítás címzettjei sem lettek. A NAIH sajnos nem ad iránymutatást azzal kapcsolatban, hogyan érdemes kiemelni egy-egy adatkezelési tájékoztatóban, ha konkrét adattovábbítás nem történik, és a leendő címzett csak az „adatkezelés várományosa”. A gyakorlatban a hasonló adatkezelési tájékoztatók nem tartalmaznak ilyen szokatlan és szigorú elkülönítést a lehetséges adatkezelők személye tekintetében.
Adatkezelési célok megfelelő részletezése
Az eljárásban vizsgált adatkezelési tájékoztató tartalmazta, hogy az adatkezelés célja a közvetlen üzletszerzés, az érintettek részére valamely terméket, szolgáltatást népszerűsítő üzenet, hírlevél küldése, ugyanakkor a NAIH megállapította, hogy az adatkezelés célja a társaság részéről a reklám-üzenetek küldése mellett az adatbázis értékesítése is volt, mert az adatok továbbítására a többi társaság részére egyes esetekben ellenérték fejében került sor. Erről azonban a nyilatkozat nem tartalmazott további információt – a jogszerű gyakorlat a NAIH szerint az lett volna, ha az értékesítés, mint az adatkezelés további, dokumentált célja külön szerepel az adatkezelésről adott tájékoztatásban. Ebben a
tekintetben a NAIH átláthatósággal kapcsolatos elvárása ésszerű követelmény, mert a gyakorlatban egyelőre sajnos még elég gyakoriak az általános megfogalmazások.
Tájékoztatás az adatkezeléssel kapcsolatos jogokról és jogorvoslati lehetőségekről
Ezen túlmenően, összhangban korábbi gyakorlatával, a NAIH ebben az eljárásban is jelezte az adatkezeléssel kapcsolatos jogok és jogorvoslati lehetőség megfelelő részletezettségének hiányát.
A későbbi problémák elkerülése érdekében érdemes az adatkezelési tájékoztatókat abból a szempontból átvizsgálni, hogy (i) ha gyakorlati szempontból lehetséges, minél kevesebb „feltételes” adatkezelési lehetőséget tartalmazzanak; (ii) pontosan rögzítsék, ha egy adattovábbítási címzett csak lehetséges adatkezelő; (iii) a tájékoztató szóhasználata összhangban legyen az Infotv. definícióival; (iv) az adatfeldolgozók pontosan megjelölésre kerüljenek; (v) az adatkezelési célok részletesen feltüntetésre kerüljenek; és (vi) a tájékoztató részletesen tartalmazza az adatkezeléssel kapcsolatos jogokat és jogorvoslati lehetőségeket.
4. A NAIH egyéb megállapításai
A NAIH alábbi, az eljárásban tett megállapításai szintén fontosak lehetnek minden adatkezelő számára.
Előre kitöltött checkbox. A NAIH az eljárásban rámutatott, hogy az adatkezeléshez való hozzájárulás nem felel meg az Infotv. elvárásainak (határozott és kifejezett hozzájárulás), ha a hozzájárulást tartalmazó checkbox előre ki van pipálva, mert így nem igényli a regisztráló megfontolását a hozzájárulás megadásával kapcsolatban.
Előre kitöltött checkbox tehát az adatkezeléshez való hozzájárulásként nem alkalmazható.
Külön hozzájárulás minden adattovábbításhoz. A nyilatkozat elfogadásával a regisztráló egy kijelentésével hozzájárulását adta (kampánytól függően) adatai egyszerre több adatkezelő általi kezeléséhez. A NAIH álláspontja szerint az érintettnek így nem volt meg a választási lehetősége, hogy a regisztrációkor mely adatkezelő általi adatkezeléshez járul, vagy nem járul hozzá. Az adatkezeléshez való „önkéntes” hozzájárulás során az érintett nem csak abban dönt, hogy regisztrál, vagy nem regisztrál, hanem abban is, hogy a harmadik személynek való adattovábbításhoz hozzájárul-e. Ha hozzájárul, úgy a NAIH szerint a megjelölt adatkezelők közül is biztosítani kell számára a választási lehetőséget, különös tekintettel arra, hogy az eljárás által érintett adatkezelés során egy hozzájárulással nagyobb számú, egymástól teljesen eltérő profilú gazdasági társaság adatkezeléséhez való hozzájárulását kellett megadnia. Mivel az adatkezelők tevékenysége nem függött egymástól és nem függött össze, a
NAIH nem talált olyan kritériumot, hogy ha az érintett valamelyik felsorolt adatkezelő adatkezeléséhez nem járulna hozzá, akkor az egész adatkezelés ellehetetlenül, vagy nem éri el a célját. A NAIH szerint tehát nem volt jogszerű az a gyakorlat, hogy a regisztráló automatikusan hozzájárul a tájékoztatóban felsorolt egyéb társaságok adatkezeléséhez.
A NAIH szerint a társaság és partnerei által alkalmazandó megfelelő konstrukció az lett volna, ha a regisztrációkor minden kampányban az aktuális adatkezelési nyilatkozat elfogadásával egyedüli adatkezelő a társaság, majd az adatokat továbbíthatja a nyilatkozatban felsoroltak közül azoknak, akiknek a regisztráló tájékozott (különös tekintettel az adatkezelési célokra), kifejezett hozzájárulását adja. Az adatkezelési tájékoztatót úgy kell az érintettek részére hozzáférhetővé tenni, hogy a felsorolt adatkezelők között az érintett bejelölhesse, adatai mely társaság részére történő továbbításához járul hozzá. Egyúttal a további adatkezelők adatkezelési tájékoztatóját is hozzáférhetővé és előzetesen megismerhetővé kell tenni, aminek ismeretében dönthet az érintett a regisztrációkor az adattovábbításhoz való hozzájárulásról.
A NAIH-nak ez az elvárása a gyakorlatban számos nehézséget okozhat. Sem az Infotv., sem a hatósági gyakorlat nem tartalmaz ilyen részletes „szétválasztási kötelezettséget” az adattovábbításokhoz való hozzájárulással kapcsolatban, és a gyakorlatban kérdés, hogyan lehet majd megállapítani, hogy az egyes adatkezelők tevékenysége milyen szempontból függ össze, vagy nem függ össze, vagyis kell-e külön hozzájárulás egy-egy adattovábbításhoz, vagy nem.
A felmerülő gyakorlati kockázatok minimalizálása érdekében célszerű a jövőben az adattovábbítási célokat minél részletesebben rögzíteni az adatkezelési tájékozatókban, a vonatkozó adatkezelési tájékoztatókra mutató linkekkel együtt, szükség esetén megfelelően indokolva, hogy az milyen módon függ össze az eredeti adatkezelési céllal.
DM célú hozzájárulás a regisztrációval. Gyakorlati szempontból fontos megállapítása a határozatnak, hogy ha az adatkezelés egésze lényegében DM célú adatkezelés, és az érintettet a regisztrációra valamilyen játék, szolgáltatás nyújtásával ösztönzik, akkor elfogadható az a gyakorlat, hogy a regisztrációkor megadott, megfelelő tájékoztatáson alapuló hozzájáruláson túl nem kell külön hozzájárulás a DM célú üzenetek fogadásához.
A jogsértés utólagos orvosolása. Újdonság, hogy a NAIH a jogszerűtlen gyakorlat megállapításán túl részletesen előírta, hogyan kellene orvosolni a fennálló helyzetet. Az adatkezelési tájékoztató módosításán túlmenően a korábban regisztrált személyek utólagos hozzájárulását kell kérni a módosított adatkezelési tájékoztatóban foglaltak alapján történő adatkezeléshez, illetve a regisztrációt meg nem erősítők adatait törölni. A társaságnak fel kellett tehát vennie a kapcsolatot az átvett adatbázis alanyaival, tájékoztatni őket, hogy a regisztrációjuk alapján történt adattovábbítás nem volt jogszerű, és biztosítani a lehetőséget, hogy rendelkezzenek az adatbázisban
maradásról, vagy a törlésről. A hozzájárulást kifejezetten meg nem adók adatait törölni kell. A NAIH határozat végrehajtása során persze kérdés, hogy a gyakorlatban hány regisztráló fog újra hozzájárulni az adatkezeléshez, ha előtte arról kapott tájékoztatást, hogy az eredeti adatgyűjtés a NAIH szerint jogszerűtlen volt.
Bírságcsökkentő tényezők. Az Infotv. csak az adatvédelmi bírság kiszabásának szempontjait írja elő, külön nem rendelkezik a bírságcsökkentő tényezőkről. A NAIH határozata azonban külön nevesíti, hogy bírságcsökkentő tényező lehet, ha az érintett társaság az eljárás során az észlelt hiányosságoknak megfelelően módosítja adatkezelési tájékoztatóját. Ezt érdemes szem előtt tartani a jövőben egy-egy hatósági eljárás során. A bírság összegének meghatározásával kapcsolatban a NAIH azt is megjegyezte, hogy figyelembe vette a társaság gazdasági súlyát és éves beszámolója szerinti bevételét, amely szintén túlmutat az Infotv. által meghatározott általános szempontokon.
A szerző ügyvéd, a CMS Cameron McKenna LLP budapesti irodájának munkatársa. Az írással kapcsolatos kérdéseket, észrevételeket a marton.domokos@cms-cmck.com vagy a marton.domokos@gmail.com címre várja.
