Adatkezelésnek minősül sok olyan tevékenység, amire első pillanatban nem is gondolnánk. Pl. ha valaki a munkavégzésünkkel összefüggésben megmutatja nekünk a védettségi igazolványát, tehát látjuk az azon lévő adatokat. Pl. ellenőriznünk kell egy ELTE-s oktatási, kutatási témakörben szervezett rendezvényen. Vagy ha ezeket az adatokat e-mailben továbbítjuk a felettesünknek. Az is, ha ezt az e-mailt nem töröljük ki és tovább tároljuk a levelezőrendszerben. Maga a törlés is adatkezelés.

Tehát adatkezelés a személyes adatokon vagy adatállományokon – automatizált vagy nem automatizált módon – végzett bármely művelet vagy műveletek összessége! Így a gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés (továbbítás, terjesztés vagy egyéb módon történő) hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.

Az ilyen, nem személyes vagy otthoni tevékenység keretében végzett, tehát szakmai, a munkákkal összefüggőadatkezelésre a GDPR szabályai vonatkoznak, ezért körültekintően kell eljárnunk. 

Személyes adat: azonosított vagy azonosítható természetes személyre (emberre, ún. érintettre) vonatkozó bármely információ.

Pl. Neptun-kód; arckép; egy ember hangja; GPS-koordináta.

Azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, – különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó – egy vagy több tényező alapján azonosítható. 

Azonosíthatóság: elegendő az, ha az érintett bárki által azonosítható, tehát nem az a lényeg, hogy maga az adatkezelő (pl. a kutató) tudja-e azonosítani az érintettet.

A személyes adatoknak van egy csoportja, amelyek védelmére szigorúbb szabályokat ír elő a GDPR. Ezek a személyes adatok különleges kategóriái, avagy különleges adatok: faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok (Ld. „Az adat, amit védünk” ppt és lentebb az „egészségügyi adat, biometrikus adat, genetikai adat” fogalma).

MIÉRT FONTOS?

Mert a GDPR-t csak akkor kell alkalmazni, ha az adatkezelés élő személy személyes adataira irányul.

A természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, valamint az egészségügyi adatok (továbbá a faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok [=személyes adatok különleges kategóriái]) kezelése főszabályként tilos!

A személyes adatok különleges kategóriáira vonatkozó adatkezelési tilalomtól való eltérés azonban bizonyos garanciák mellett megengedhető – például alapvető jogok védelme, népegészség-védelem, súlyos egészségügyi veszélyek megelőzése, vagy az érintett kifejezett hozzájárulása esetén.

Például az egyetemen gyakran előforduló adatkezelés – jelenléti részvétellel szervezett konferencia – esetén, amikor a rendezvény lebonyolítása, a helyszín elérése, valamint étkezés biztosítása érdekében megkérdezzük a fogyatékosságra, speciális étrendre vonatkozó adatokat, egészségügyi adatokat kezelünk!
De a védettségi igazolványok bemutatásának kérése során is egészségügyi adatokat kezelünk.

Gyakorlati jelentősége lehet például, bár az egyetemi életben nem jellemző, a tőlünk elválaszthatatlan jellemzőink azonosítás során történő használatának:

• arc-, hang-, vagy kézfelismerés
• ujjlenyomat, íriszvizsgálat 

Álnevesítésről beszélünk, amikor plusz információ szükséges ahhoz, hogy egy személyes adat (pl. egy azonosító szám) konkrét érintettre vonatkoztatható legyen, ÚGY, hogy ezt a plusz információt külön tárolják, ÉS technikai és szervezési intézkedések biztosítják, hogy a személyes adat csak az arra feljogosított számára legyen összekapcsolható az adott érintettel. 

Az álnevesített adat személyes adat marad! 
Pl. az a – fenti feltételeknek megfelelően kezelt – kód, amivel a kutatásnál megjelölik azt, aki interjút adott. 
A személyek beazonosításához szükséges plusz információk elkülönített tárolása az elfogadott adatbiztonsági intézkedések egyike.

ÁLNEVESÍTÉS VS ANONIMIZÁLÁS

Fontos érteni az álnevesítés és az anonimizálás közötti különbséget.
Anonim információkról van szó, ha azok alapján az érintett nem azonosítható vagy többé már nem azonosítható. Ebbe a körbe tartoznak a statisztikai adatok vagy pl. egy kutatás során anonimizált adatok, amik alapján lehetetlen azonosítani az érintettet. Pl. „A megkérdezettek 33%-a szerint... ” 
Az anonim adatokra a GDPR nem vonatkozik! 

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza.

• Adatkezelő lehet természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv (magánszemély is!).
  • Ha egy adott szerv, pl. az ELTE munkatársa végzi az adatkezelést => nem ő, hanem a szerv az adatkezelő.
• A döntő kérdés: felelősség, érintetti jogok biztosítása, feltételek meghatározása, érintettek tájékoztatása az adatkezelésről – felelőse az adatkezelő!
• Adatkezelő lehet valaki akkor is, ha nem ismeri meg a kezelt adatokat, nem fér hozzá azokhoz, de érdemi döntést hoz a személyes adatokkal kapcsolatban.
• Az érintett NEM adatkezelő a saját adatai tekintetében.

Az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében személyes adatokat kezel.

• Az adatkezelő kizárólag olyan adatfeldolgozókat vehet igénybe, akik megfelelő garanciákat nyújtanak:
  • az adatkezelés GDPR-nek való megfelelése érdekében;
  • az érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedések végrehajtására.
• Az adatfeldolgozó jogait és kötelezettségeit az adatkezelő írásban határozza meg, vagy jogszabály rendezi.

Adatfeldolgozó igénybevétele esetén az utasítások jogszerűségéért az adatkezelő felel.
Az adatfeldolgozó további adatfeldolgozót csak az adatkezelő felhatalmazása alapján vehet igénybe (nem lehet üzleti titok!).
Az adatkezelő és adatfeldolgozó főszabály szerint egyetemlegesen felel az érintettel szemben okozott kárért.

Adatfeldolgozó a napi gyakorlatunkban

A Teams a Microsoft csomag részeként jól ismert, értekezletekre, konferenciákra, vizsgákra rendszeresen használt termék. Amíg az Egyetem adatkezelő, mert az ELTE határozza meg a célt (mire használjuk) és az eszközt (kooperáció platformja), a Microsoft mint a Teams szolgáltatója, üzemeltetője adja szerződés alapján a technikai hátteret (Teams), ahol személyes adataink (profilunk, nevünk, e-mail címünk, üzeneteink, prezentációink stb.) megjelennek – vagyis a Microsoft az adatfeldolgozó.

Még egy példa a mindennapokból: az MVM Next Energiakereskedelmi Zrt. (adatkezelő) által a földgázellátási szerződések teljesítése keretében számos adatfeldolgozó közreműködésével kezel adatot, egyetlen adatfeldolgozójuk kiemelve:

A GDPR közvetlenül hatályosul és alkalmazandó a tagállami jogban; a jogalapok (= amire a jogszerű adatkezeléshez szükség van) köre bővült! A GDPR alkalmazása óta a hozzájárulásra (mint alkalmazott jogalapra) ritkán lehet jogszerűen hivatkozni! (Az esetek kb. 5-10%-ában alkalmazható.)

Az ELTE-n jellemzően kutatásokban való részvételnél jöhet szóba, vagy olyan jellegű rendezvények esetében, mint a Sportnap, Mikulás ünnepség.

FELTÉTELEK

Ha az adatkezelés hozzájáruláson alapul, az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatainak kezeléséhez hozzájárult. Ezért fontos írásbeli hozzájáruló nyilatkozatokat kérni az érintettektől! Tájékoztató sablonok itt találhatók.

Ha az érintett hozzájárulását más ügyekre is vonatkozó írásbeli nyilatkozat keretében adja meg, a hozzájárulás iránti kérelmet ezektől a más ügyektől elkülönítve, érthető, világos formában kell előadni. Pl. külön hozzájárulást kell kérni a kutatásban való részvételhez, és külön ahhoz, hogy az érintett megkereshető legyen hasonló kutatások esetén.

Az érintett jogosult arra, hogy hozzájárulását bármikor visszavonja. A hozzájárulás visszavonása nem érinti a hozzájáruláson alapuló, a visszavonás előtti adatkezelés jogszerűségét. A hozzájárulás megadása előtt az érintettet erről tájékoztatni kell. A hozzájárulás visszavonását ugyanolyan egyszerű módon kell lehetővé tenni, mint annak megadását.

Az ELTE-n ugyan nem jellemző, de minket is érinthetnek a különböző automatizált adatkezelések, mint amilyen a profilalkotás, ezért érdemes tisztában lenni azzal, hogy ez mit is jelent. 

Ilyenkor a ránk vonatkozó személyes jellemzőket automatizált adatkezelés keretében értékelik ki, és ez minket jelentős mértékben érint vagy joghatással jár ránk nézve. Pl. ha a munkahelyi teljesítményünkre, a gazdasági helyzetünkre, az egészségi állapotunkra, a személyes preferenciáinkra vagy az érdeklődési körünkre, a megbízhatóságunkra, a viselkedésünkre, vagy akár a tartózkodási helyünkre vonatkozó jellemzőket arra használják, hogy azokat elemezzék és előre jelezzék.

DÖNTÉSEK

Az automatizált adatkezeléseken döntések alapulhatnak, pl. egy online hitelkérelem automatikus elutasítása, vagy pl. amikor emberi beavatkozás nélküli teljesítményértékelés alapján változtatják meg a fizetésünket. De ide tartozik az is, ha emberi beavatkozás nélkül folytatott online munkaerő-toborzás alapján döntenek úgy, hogy nem kapjuk meg az állást.
Az ilyen intézkedés egyébként gyermekre nem vonatkozhat.
A személyes adatok különleges kategóriáit, pl. az egészségügyi adatokat(!) célzó automatizált döntéshozatal és profilalkotás csak bizonyos meghatározott feltételek mellett engedélyezhető. A különleges adatokról „Az adat, amit védünk” c. ppt-ben és lentebb az „egészségügyi adat, biometrikus adat, genetikai adat” alcímnél olvashat bővebben.

JOGAINK

Automatizált döntéshozatal esetén jogunk van tájékoztatást kapni arról, hogy a személyes adataink automatizált kezelése milyen logika alapján történt, valamint arról, hogy az adatkezelés – legalább abban az esetben, amikor az profilalkotásra épül – milyen következményekkel járhat. Jogunk van továbbá ahhoz, hogy emberi beavatkozást kérjünk és kapjunk, hogy kifejtsük az ezzel kapcsolatos álláspontunkat, magyarázatot kapjunk az ilyen értékelés alapján hozott döntésről, és hogy megtámadjuk a döntést.