I.
Manapság már a kis- és középvállalati szegmens is egyre bátrabban nyúl a modern informatikai megoldásokhoz a belső ügyviteli, vállalatirányítási folyamatok digitalizálása, számítástechnikai platformokra helyezése érdekében. Ugyanakkor megfigyelhető, hogy nem minden esetben merül fel a folyamat első lépései között a különféle rendszerek (szoftver+eszközök) bevezetése kapcsán megvalósuló személyes adatkezelési aspektus vizsgálata (bár a GDPR 25. cikk szerinti un. beépített és alapértelmezett adatvédelem elve ezt megkövetelné).
Fontos tudatosítani, hogy egy-egy belső ügyviteli, vállalatirányítási, irat és dokumentumkezelési rendszer törvényszerűen az azt alkalmazó szervezet személyes adatkezelési tevékenységének megvalósulását is fogja jelenteni, és mint ilyen a GDPR szerinti bizonyos alapvető kritériumoknak való megfelelést is teljesítenie kell.
A személyes adatkezelés egy-egy rendszer kapcsán minimálisan két aspektusban valósul meg:
- egyfelől a rendszert használó természetes személyek (userek) vonatkozásában (pl. felhasználó nevek, jelszavak, tevékenységek naplóadatai, sok esetben elérhetőség, de egyre gyakrabban akár arcképmás is);
- másfelől a rendszerben rögzített dokumentumokban található személyes adatok tekintetében (ami a rendszer jellegéből, a feltöltött dokumentumok tartalmából adódóan nagyon változatos lehet pl. ügyfelek neve, telefonszáma, címe, vásárlással, szolgáltatás igénybevételével, panaszkezeléssel kapcsolatos adatok).
Sokszor lehet egy-egy rendszer prezentációs anyagában olyan kijelentésekkel találkozni, ami szerint a rendszer „GDPR kompatibilis” vagy „GDPR megfelelést biztosít”azonban ezekkel a címkékkel célszerű óvatosan bánni. Meglehetősen nehéz ugyanis önmagában egy rendszer adatvédelmi megfelelőségről beszélni, tekintettel arra, hogy egy rendszer alapvetően önmagában nem tud GDPR kompatibilis lenni, legfeljebb technikailag az ehhez szükséges készségekkel rendelkezhet, a GDPR megfelelést a rendszer képessége és az üzemeltetés gyakorlata együttesen biztosíthatja.
Mindez azt is jelenti a megrendelő oldaláról, hogy mindenképpen teret, időt és anyagiakat kell szentelni egy rendszer bevezetése kapcsán legalább két dologra:
- a rendszer technikai értelmű adatvédelmi képességeinek előzetes vizsgálatára, adott esetben a saját ilyen jellegű elvárások pontos megfogalmazására a megrendelés/bevezetés/tesztelés folyamatában;
- másfelől a kész rendszer megfelelő oktatására a felhasználói kör számára.
II.
Adatvédelmi szempontból egy-egy céges ügyviteli rendszer kapcsán az alábbi alapvető (és egyébiránt a GDPR-ban alapelvként is megfogalmazott) elvárások teljesülése fontos.
(Kiemelendő, hogy rendszer működése révén megvalósuló személyes adatkezelésről tájékoztatót kell készíteni és ennek során a legfontosabb információkat közölni az adatkezelések érintettjeivel. Az alapelvekkel nem összeegyeztethető módon/tartalommal működő rendszer esetén nem lehetséges a szabályos tájékoztatás sem.)
1. Jogszerű legyen a rendszer működtetése (a személyes adatok kezelése).
Az a cél, ami miatt a rendszer kialakítására, alkalmazásra sor kerül (és a vele járó adatkezelés) alapvetően több okból is jogszerű lehet:
- jogszabály kötelezően előírhatja vagy;
- a felek közötti (pl. az adatkezelő és a munkavállalói közötti) szerződés teljesítéséhez szükséges vagy;
- az adatkezelő (esetleg egy harmadik fél pl. a vele szerződő ügyfél) valamilyen jogszerű, és az érintett érdekeinél nyomósabb jogos érdeke miatt szükséges (ilyen jogszerű adatkezelői érdek lehet az is, hogy az adatkezelő egyszerűsítse, gyorsítsa, hatékonyabbá tegye az iratkezelési, számlázási, ügyfélkapcsolati rendszerét);
- az érintett hozzájárulása alapján (feltéve, hogy az érintett nem az adatkezelő munkavállalója, mert abban az esetben főszabályként a hozzájárulás nem lehet megfelelő jogalapja az adatkezelésnek);
- esetleg – ha az adatkezelő olyan jellegű tevékenységet folytat – az adatkezelőre bízott közérdekű feladat végrehajtásához szükséges
2. Tisztességes legyen az adatkezelés, ami azt jelenti, hogy nem lehet például adatvédelmi szempontból szabályosan egy rendszert (és a működése útján megvalósuló adatkezeléseket) úgy működtetni, hogy az pl. a benne tárolt adatok elemzése, vizsgálata, folyamatos nyomon követése, monitorozása útján a munkavállalók megfigyelését, profilozását szolgálja. (A munkavállalókat érintő ellenőrzési célokat szolgálhat, de ez esetben a célokat, és az ennek érdekében felhasználható adatokat, és az erre jogosult személyeket egyértelműen definiálni kell előzetesen. Ugyancsak ez a helyzet, ha külsős érintettek tekintetében profilalkotás céljait is szolgálja a rendszer).
3. Átláthatónak kell lennie az adatkezelésnek, vagyis az érintetteknek alapjaiban tisztában kell lenniük azzal, hogy a rendszer működése, a benne kezelt adatok gyűjtése milyen célokat szolgál. (Ezt alapvetően a kapcsolódó tájékoztatás szolgálja majd, ugyanakkor nem lehet burkolt, az érintettekkel nem közöl funkciója, működtetési célja a rendszernek.)
4. Célhoz kötöttnek kell lennie az adatkezelésnek. Ami azt jelenti, hogy a rendszerbe bevitt, és abban tárolt minden adat tekintetében egy jogszerű célnak (ld. 1. pont) kimutathatónak kell lennie, amiért az adott adat kezelése megvalósul/szükséges.
5. Az adattakarékosság szempontjainak érvényesülniük kell, vagyis csak olyan és csak annyi személyes adat kezelhető a rendszerben, amennyi a meghatározott adatkezelési cél eléréséhez feltétlenül szükséges (például: egy munkaidő nyilvántartó rendszer esetében általában nem szükséges az adatkezelési célok eléréséhez a munkavállalók fotójának a kezelése).
6. Biztosítani kell, hogy a hibásan felvitt adatok kiszűrhetőek és viszonylag egyszerűen korrigálhatóak legyenek.
7. A korlátozott tárolhatóság elvére tekintettel az adatok csak addig tárolhatóak, ameddig az az adatkezelési cél eléréséhez szükséges (kivéve a jogszabály által kötelezően előírt tárolási időket, pl. számviteli dokumentumok). Emiatt az adatok rendszerbe történő bekerülésének időpontja megállapítható kell hogy legyen, illetve adott esetben az adatok helyreállíthatatlan törlésére képesnek kell lennie a rendszernek. (Adatvédelmi szempontból a meghatározhatatlan időtartamú adatkezelés kerülendő.)
8. Biztosítani kell a rendszerben kezelt személyes adatok integritását és bizalmas jellegét. A kor/technika követelményei szerint megfelelő szervezési, illetve technikai védelmi intézkedésekkel kell rendelkezzen a rendszer, például:
- megfelelően – fizikai és informatikai értelemben is – védett számítástechnikai környezetben működjön,
- legyenek naplózottak a rendszerben végrehajtott műveletek,
- legyen egyedileg azonosított a felhasználói kör,
- az adatok hozzáférhetősége legyen feladathoz/funkcióhoz kötött és csak a szükséges terjedelmű,
- ha a rendszer adattovábbításokat, illetve adatátvételt végez – akár automatizált formában is – akkor ezek is legyenek utólagosan kimutathatók, ellenőrizhetők.
A cél, hogy a GDPR 5. cikk (2) bek. szerinti elszámoltathatóság elvéből folyó kötelezettségeknek megfelelően a rendszert alkalmazó adatkezelő, ha szükséges (pl. egy adatvédelmi incidens kivizsgálása, vagy egy érintettől származó kérelem teljesítése okán) utólag pontosan tudja kimutatni, igazolni, hogy az adott személyes adattal mi történt, ahhoz ki férhetett hozzá, ki, és milyen műveteket hajtott végre vele.
III.
Célszerű már a folyamat kezdetén tisztázni azt is, hogy a rendszer szállítója az üzemeltetés/support során milyen adathozzáférési lehetőségekkel fog bírni, illetve hogy a rendszerben tárolt adatok kinek a tárhelyén lesznek mentve.
Annyi általánosságban kijelenthető, hogy ha a rendszer szállítója a rendszerben tárolt adatokhoz hozzáféréssel bírhat (akár csak hibaelhárítási célból történő betekintés, vagy csak az adatok egyszerű tárolása formájában is, lévén, hogy tárolóegységet is biztosít a rendszer működtetése során), akkor a rendszer szállítója adatfeldolgozónak fog minősülni, akivel a GDPR 28. cikk értelmében írásos szerződésben kell az adatfeldolgozás körülményeit rögzíteni. (Ez lehet az alap megállapodás melléklete is.)
Ne feledjük! A belső informatikai rendszerek útján megvalósuló személyes adatkezelés felelőse az azokat alkalmazó szervezet (ő az adatkezelő). A működtetés során bekövetkező szabálytalan személyes adatkezelésekért (akkor is, ha azok a rendszer technikai értelemben vett alkalmatlanságának, funkció hiányának a következményei), a rendszert alkalmazó adatkezelő viseli a felelősséget, mind az adatvédelmi hatóság, mind az érintettek irányában.