Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (általános adatvédelmi rendelet, GDPR) a személyes adatok kezelésére vonatkozóan alapelveket határoz meg, az alapelvek teljesüléséhez pedig részletes követelményrendszert állapít meg.
A GDPR hét alapelvet ír le, ezek a személyes adatok kezelése során együttesen alkalmazandók. Az adatvédelem elveit minden azonosított vagy azonosítható természetes személyre vonatkozó információ esetében alkalmazni kell. Az adatvédelem elveit az anonim információkra nem kell alkalmazni, maga a GDPR rendelet ezért nem vonatkozik az anonim információk kezelésére, ideértve a statisztikai vagy kutatási célú adatkezelést is. Mivel a szociális, gyermekjóléti és gyermekvédelmi ágazat számos anonimizált adatszolgáltatást teljesít, ezt érdemes szem előtt tartani.
A személyes adatok kezelésére vonatkozó elvek közül első a „jogszerűség, tisztességes eljárás és átláthatóság” elve, mely összetett elv, három különálló fogalmat alkalmaz, bár a tisztességes eljárás fogalmát a rendelet néhol a jogszerűséggel, néhol pedig az átláthatósággal együttesen alkalmazza, külön nem határozza meg.
JOGSZERŰSÉG
Annak érdekében, hogy a személyes adatok kezelése jogszerű legyen, annak az érintett hozzájárulásán kell alapulnia, vagy valamely egyéb jogszerű, jogszabály által megállapított – akár e rendeletben, akár más, az e rendeletben említettek szerinti uniós vagy tagállami jogban foglalt – alappal kell rendelkeznie, ideértve az adatkezelőre vonatkozó jogi kötelezettségeknek való megfelelés szükségességét, az érintett által kötött esetleges szerződés teljesítését, illetve az érintett által kért, a szerződéskötést megelőzően megteendő lépéseket.
A személyes adatok kezeléséhez kapcsolódóan hat esetet sorol fel a rendelet, az adatkezelés kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül:
a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
A szociális területen előfordulhat, hogy egy időben egynél több feltétel teljesül, vagy az ellátás során változik az adatkezelést megalapozó kritérium. A fentiek közül kiemelendőek az alábbiak:
Jogi kötelezettség teljesítése
Ha az adatkezelésre az adatkezelőre vonatkozó jogi kötelezettség teljesítése keretében kerül sor, vagy ha az közérdekű feladat végrehajtásához, illetve közhatalmi jogosítvány gyakorlásához szükséges, az adatkezelésnek az uniós jogban vagy valamely tagállam jogában foglalt jogalappal kell rendelkeznie. E tekintetben elegendő, ha egyetlen jogszabály szolgál jogalapul több olyan adatkezelési művelethez is, amely az adatkezelőre vonatkozó jogi kötelezettségen alapul, illetve amelyre közérdekből végzett feladat ellátásához vagy közhatalmi jogosítvány gyakorlásához van szükség. Az adatkezelésre vonatkozóan a tagállami jogban kell meghatározni a részletes szabályokat, a tagállami jogforrások a személyes adatok kezelésének jogszerűségére vonatkozó általános feltételeit pontosíthatják, az adatkezelő megjelölésére vonatkozó pontos szabályokat, az adatkezelés tárgyát képező személyes adatok típusát, az érintetteket, azokat a szervezeteket, amelyekkel a személyes adatok közölhetők, az adatkezelés céljára vonatkozó korlátozásokat, az adattárolás időtartamát, valamint egyéb, a jogszerű és tisztességes adatkezelés biztosításához szükséges intézkedéseket is meghatározhatják.
Alapvetően a Szt. és a Gyvt. rendezi az adatkezeléssel kapcsolatos fő szabályokat, de a végrehajtási rendeletekben is találhatók szabályozások, de a területen alkalmazott nyomtatványok, dokumentációk szintén adatkezelési jogalapot jelentenek, de eközben nem mondhatnak ellent a magasabb szintű szabályozásokban foglaltaknak.
A GDPR alapvetően az érintett hozzájárulását tekint az adatkezelés alapjának, de összességében nem ez a legerősebb jogalap. Jogszabályi alapon megvalósuló adatkezelés esetén a jogszabályi rendelkezés önmagában elégséges, bár a tájékoztatás itt is alapvető kötelezettsége az adatkezelőnek, hozzájárulást a jogszabályi kötelezettségben meghatározott adatkezeléshez nem kell külön nyilatkozaton kérnie. Ez azokban ez esetekben lehet szükséges, ha a jogszabályban rögzítetteken túl további adatokat kér az adatkezelő, vagy a jogszabályon túli célok megvalósításához szükségesek a kért adatok. Ezen esetekben ugyanakkor az adatkezelés más alapelveit (pl. a célhoz kötöttség elvét) is figyelembe kell venni, mert azokkal sem kerülhet ütközésbe az adatkezelés.
Említésre került, hogy az ellátás során változhat az adatkezelést megalapozó kritérium, ilyen eset, ha például az együttműködésre épülő ellátás hatósági intézkedés alapjaira kerül át (pl. védelembe vétel), ez esetben az adatkezelés jellege még akkor is változik, ha egyébként annak tartalma alapjaiban változatlan marad. Ilyen változások esetében hozzájáruló nyilatkozat kitöltésének nincs értelme, de az érintett személy tájékoztatása szükséges.
Hozzájárulás
Ha az adatkezelés az érintett hozzájárulásán alapul, az adatkezelő számára lehetővé kell tenni, hogy bizonyítani tudja, hogy az adatkezelési művelethez az érintett hozzájárult. Ezért az adatkezelő előre megfogalmazott hozzájárulási nyilatkozatról gondoskodik, amelyet érthető és könnyen hozzáférhető formában bocsát rendelkezésre, nyelvezetének pedig világosnak és egyszerűnek kell lennie, emellett nem tartalmazhat tisztességtelen feltételeket. A szociális területen fontos szempont, hogy a tájékoztató és a nyilatkozat az ellátotti célcsoport igényeinek megfelelően kerüljön megfogalmazásra, pl. a látássérültek számára akár hangfelvételként is elérhető legyen a tájékoztatás.
A hozzájárulás megadása nem tekinthető önkéntesnek, ha az érintett nem rendelkezik valós vagy szabad választási lehetőséggel, és nem áll módjában a hozzájárulás anélküli megtagadása vagy visszavonása, hogy ez kárára válna.
A hozzájárulás nem vonatkozhat olyan adatkezelésre, amelyet jogszabály tilt, személyes nyilatkozattal a jogszabály rendelkezése nem írható felül.
A hozzájárulás olyan esetekben nem szolgálhat érvényes jogalapként a személyes adatok kezeléséhez, amelyekben az érintett és az adatkezelő között egyértelműen egyenlőtlen viszony áll fenn, különösen ha az adatkezelő közhatalmi szerv, és az adott helyzet valamennyi körülményét figyelembe véve ezért valószínűtlen, hogy a szóban forgó hozzájárulás megadása önkéntesen történt.
Szerződéskötés
Az adatkezelés jogszerűnek minősül, ha arra valamely szerződés vagy szerződéskötési szándék keretében van szükség, addig a határig, amíg az adatkezelés a szerződés teljesüléséhez szükséges. A szociális területen ez önmagában ritka, ugyanis a szerződés (megállapodás) megkötése is alapvetően jogszabályi alapon történik és az adatkezelés a jogszabályban meghatározott adatkörrel és céllal történik. A GDPR alapvetően a személyes adatok védelmét szolgálja, a szerződéskötéskor személyes adatnak nem minősülő adatokra (pl. egyéni vállalkozóhoz köthető, vállalkozással kapcsolatos adatok) nem terjed ki. Intézmények szerződéskötésekor figyelembe kell venni, hogy a szerződés adatai közérdekből nyilvánosak lehetnek.
Érdek alapú adatkezelés
Az adatkezelési jogalapok harmadik csoportja az érdekeltségre való hivatkozásra épül. Az adatkezelő vagy valamely harmadik fél jogos érdeke jogalapot teremthet az adatkezelésre, feltéve hogy az érintett érdekei, alapvető jogai és szabadságai nem élveznek elsőbbséget. Az ilyen jogos érdekről lehet szó például olyankor, amikor releváns és megfelelő kapcsolat áll fenn az érintett és az adatkezelő között, például olyan esetekben, amikor az érintett az adatkezelő ügyfele vagy annak alkalmazásában áll.
Mivel a jogalkotó feladata, hogy jogszabályban határozza meg, hogy a közhatalmi szervek milyen jogalapon kezelhetek személyes adatokat, az adatkezelő jogszerű érdekét alátámasztó jogalapot nem lehet alkalmazni, a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre. Személyes adatoknak a csalások megelőzése céljából feltétlenül szükséges kezelése szintén az érintett adatkezelő jogos érdekének minősül.
A központi szervhez kapcsolódó intézmények részét képező adatkezelőknek jogos érdeke fűződhet ahhoz, hogy belül belső adminisztratív célból személyes adatokat továbbítsanak, ideértve az ügyfelek és az alkalmazottak személyes adatainak a kezelését is.
Az adatkezelést szintén jogszerűnek kell tekinteni akkor, amikor az az érintett életének vagy más fent említett természetes személy érdekeinek védelmében történik. Más természetes személy létfontosságú érdekeire hivatkozással személyes adatkezelésre elvben csak akkor kerülhet sor, ha a szóban forgó adatkezelés egyéb jogalapon nem végezhető.
ÁTLÁTHATÓSÁG
A természetes személyek számára átláthatónak kell lennie, hogy a rájuk vonatkozó személyes adataikat hogyan gyűjtik, használják fel, azokba hogy tekintenek bele vagy milyen egyéb módon kezelik, valamint azzal összefüggésben, hogy a személyes adatokat milyen mértékben kezelik vagy fogják kezelni. Az átláthatóság elve megköveteli, hogy a személyes adatok kezelésével összefüggő tájékoztatás, illetve kommunikáció könnyen hozzáférhető és közérthető legyen, valamint hogy azt világosan és egyszerű nyelvezettel fogalmazzák meg.
Ez az elv vonatkozik különösen az érintetteknek az adatkezelő kilétéről és az adatkezelés céljáról való tájékoztatására, valamint az azt célzó további tájékoztatásra, hogy biztosított legyen az érintett személyes adatainak tisztességes és átlátható kezelése, továbbá arra a tájékoztatásra, hogy az érintetteknek jogukban áll megerősítést és tájékoztatást kapni a róluk kezelt adatokról.
A természetes személyt a személyes adatok kezelésével összefüggő kockázatokról, szabályokról, garanciákról és jogokról tájékoztatni kell, valamint arról, hogy hogyan gyakorolhatja az adatkezelés kapcsán megillető jogokat. A személyes adatkezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük.
GYAKORLATI KÉRDÉSEK, PROBLÉMÁK
Jogszerűség: az ágazat adatkezelésnek hazai jogi szabályozása nehezen áttekinthető. Az Szt. és Gyvt. által előírt nyilvántartás csak töredéke a kezelt adatoknak, információknak. A végrehajtási rendeletekben, szakmai protokollokban, dokumentációban kezelt további adatok köre jogi megalapozottsága átgondolást igényel (a dokumentáció felvet egyéb alapelvekkel való ütközést is, de ezekről majd később). E tekintetben (és emiatt) is szükség lenne a joganyag alapos revíziójára.
Az ágazatban (jellemzően a gyermekjólét – gyermekvédelem területén) számos olyan információs folyamat van, ami összetett, akár több adatkezelő együttműködését is igényli, menet közben változhatnak az adatvédelmi szempontok vagy az egyes szereplők eltérő alapon kezelnek adatokat. Ezeket a folyamatokat központilag, kifejezetten az adatvédelmi szempontjából modellezni kellene, ezt a modellezést pedig az egyes szervezeteknek adaptálni, ez alapján pedig az átláthatóságot valóban biztosító általános és helyi szabályozásokat alkotni.
Más ellátások esetében problémát vethet fel a kliens nevében való eljárás, illetve az ezekhez kapcsolódó adatkezelések. Hivatalos ügyekben az ügyintézéshez adott meghatalmazás alapot ad az adatkezelésnek is, de ezen kívül számos olyan esetben találkozhatunk olyan élethelyzetekkel, amikor valamilyen probléma megoldásában személyes adatnak minősülő adatokat kezel egy szociális szakdolgozó, ezeket az eseteket is érdemes átgondolni. A szociális szakembernek egyik feladata, hogy folyamatosan adatokat, információkat gyűjtsön, mely a megfelelő segítségnyújtást megalapozza – ez a tevékenység jogilag minimum kérdéses terület és számos etikai, adatvédelmi, jogi dilemmát is felvet.
Az ellátott célcsoportok számára érthető, speciális kommunikációs formákat, csatornákat alkalmazó tájékoztató kommunikáció megvalósítása önmagában meghaladhatja egy intézmény erőforrásait, képességeit, mert speciális tudások alkalmazását igényli. A megfelelő tájékoztatásokhoz a szakmai szervezetek bevonására is szükség lesz.
Az áttekinthetőség biztosítása, a jogszerűség biztosítása szakmai munka szempontjából is felvet dilemmákat. Ma már az „első interjú” beszélgetését olyan szinten terhelik a különböző jogokról, kötelezettségekről, intézményi és rendszerszintű működéssel kapcsolatos tájékoztatások, hogy ennek a fizikai megvalósítás is kétséges, s gyaníthatóan pont emiatt nem lesz áttekinthető a szolgáltatás az igénybevevői számára. A klienskapcsolat első része (de sokszor a teljes folyamat) alapvetően már nem szociális segítségnyújtás fókuszú, hanem jogi alapokra helyezett „adatátömlesztés”.
Kapcsolódó anyagok
- GDPR alapelvek 1. – Jogszerűség, tisztességesség, átláthatóság
- GDPR alapelvek 2. – Célhoz kötöttség
- GDPR alapelvek 3. – Adattakarékosság
- GDPR alapelvek 4. – Pontosság
- GDPR alapelvek 5. – Korlátozott tárolhatóság
- GDPR alapelvek 6. – Integritás és bizalmas jelleg
- GDPR alapelvek 7. – Elszámoltathatóság
- Adatvédelmi tisztviselő
- 2016/679 európai parlamenti és tanácsi rendelet
- 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról (Infotv.)
