GDPR civil szemmel – kérdések és válaszok közérthetően

Alapítványunknak, egyesületünknek alkalmazottja van. Mi a teendő?

A munkavállalói adatok kezelésében a joggyakorlat nem változik, itt a hozzájárulás jogcím – főszabály szerint – nem alkalmazható a személyes adatok kezelésére. Ebből fakadóan a hozzájárulás kérése a munkavállalóktól felesleges, az adatkezelésnek ezen jogviszonyban az érintett hozzájárulása tipikusan nem képezheti érvényes jogalapját. Egyes kivételes esetekben azonban, ha a hozzájárulás szabadon és következményektől mentesen megtagadható, továbbá ha a hozzájárulás nem a munkaviszony fenntartásának feltétele, akkor az adatkezelés jogalapjául az érintett hozzájárulása is szolgálhat. Ilyen eset lehet például, ha filmet forgatnak a munkahelyen és minden érintett szabadon eldöntheti szeretne-e a háttérben látszódni, vagy arra az időre máshol végezheti a munkáját változatlan feltételekkel.

A fentebb kifejtettekre tekintettel a GDPR alapján a jogi kötelezettség teljesítése lehet érvényes jogcím a jogszabályban meghatározott személyes adatok kezelésére. A jogszabályban kifejezetten nem megjelölt, de a munkaviszonnyal kapcsolatban feltétlenül szükséges további személyes adatok vonatkozásában pedig a munkaszerződés teljesítése jöhet szóba, mint jogcím.

Önkéntest szeretnénk foglalkoztatni. Hogyan tegyük?

Írásba foglalás nélkül is létrejön az önkéntes és az őt foglalkoztató között a szerződés, kivéve, ha jogszabály, így különösen a közérdekű önkéntes tevékenységről szóló 2005. évi LXXXVIII. törvény alapján kötelező az írásba foglalása. Ugyanakkor azért érdemes az önkéntesekkel írásban megállapodni, hogy esetleges jogviták esetén a bizonyítás egyszerűbb legyen.

Mindenképpen ajánlott kiskorú diákok foglalkoztatása esetén a szerződés írásba foglalása. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg.

Milyen szabályzatokra van szükség a GDPR miatt? Kötelező-e adatvédelmi szabályzat?

A GDPR nem ír elő kifejezetten belső adatvédelmi szabályzatalkotási kötelezettséget az adatkezelők számára. A GDPR 24. cikk (2)bekezdése alapján egy szervezetnek, mint adatkezelőnek akkor kell belső adatvédelmi szabályokat is alkalmaznia – a személyes adatok védelmének biztosítása céljából megvalósított technikai és szervezési intézkedések részeként – ha ez az adatkezelési tevékenység vonatkozásában arányos, vagyis a kezelt személyes adatok mennyisége és köre ezt indokolja.

Szükséges-e változtatni a tagnyilvántartásainkon?

A tagnyilvántartással kapcsolatban minden személyes adat kezelése meg kell feleljen a GDPR rendelkezéseinek 2018. május 25-től, nemcsak az újonnan az adatbázisba kerülő adatok vonatkozásában érvényesül a GDPR.
Csak akkor nem szükséges új hozzájárulás, ha már rendelkezésre áll egy olyan nyilatkozat, ami megfelel a GDPR-nek (megfelelő tájékoztatáson alapuló, szabad akaratból, kifejezett, egyértelmű, tevőleges).
Ha a tagfelvételi nyilatkozat mindezeknek megfelel, akkor nem szükséges új nyilatkozat beszerzése a tagoktól.

Kell-e adatvédelmi tisztviselőt alkalmaznunk?

Ez általában egy civil szervezetnél nem kötelező és indokolt. Úgynevezett közhatalmi szervek, közfeladatot ellátó szervek esetén kötelező. Ide tartoznak pl. az önkormányzatok is.

Vezethetünk-e jelenléti ívet rendezvényeinken?

Személyes adat a GDPR alapján csak megfelelő tájékoztatás mellett, konkrét célból és a GDPR-ben felsorolt valamely jogalap igazolása mellett kezelhető. Tehát akkor jogszerű a rendezvényeken a jelenléti ívek vezetése, ha ennek van konkrét, jogos adatkezelési célja, megfelelő tájékoztatás történik ezzel kapcsolatban, és igazolható, GDPR-nek megfelelő hozzájárulás a jelenlévők részéről.

Hogyan szabályos az adatkezelés honlapon, közösségi médiában?

A honlapot működtető, illetve hírlevelet kiküldő civil szervezetek másokkal azonos feltételek mellett működhetnek, azaz személyes adatot csak a GDPR szerinti valamely
jogcím alapján kezelhetnek. Hírlevél esetén ez jellemzően a hozzájárulás, melynek jellemzői: megfelelő tájékoztatáson alapuló, szabad akaratból, kifejezett, egyértelmű, tevőleges.

Olyan képek és videók közzététele esetén, ahol harmadik személyek felismerhetőek és eddig nem volt sem hozzájárulás, sem más jogalap a kezelésükre és nyilvánosságra hozatalukra, az adatkezelés nem tekinthető jogszerűnek.

Megfelelő adatvédelmi tájékoztatást kell adni az érintetteknek, akár a honlapon közzétéve, akár más igazolható módon. A belső szabályzat a jobb átláthatóság érdekében
készíthető és közzétehető, de erre nincs konkrét kötelezés és általános jelleggel használható (irat)minta a GDPR-ben.

A hírlevélküldés céljára az adatkezeléshez a GDPR-nek megfelelő hozzájárulást nem szükséges időszakosan az érintetteknek megerősíteni, ha a feliratkozás – megfelelő tájékoztatás nyomán – határozatlan időre történt (a hozzájárulás alapjául szolgáló tájékoztatás, az abban foglalt lényegi elemek nem változtak meg).

Minden egyes hírlevélben meg kell adni az akadálymentes leiratkozás lehetőségét, mely nem lehet időigényesebb vagy bonyolultabb, mint a feliratkozás (tipikus a hivatkozás vagy e-mail küldés, de bármilyen megoldás elfogadható lehet, amely teljesíti a fenti feltételt és nem okoz szükségtelen többletterhet az érintettnek).

Hogyan készíthetünk képeket/felvételeket rendezvényeinken?

A rendezvényen résztvevőket előzetesen, megfelelő formában, igazolhatóan tájékoztatni szükséges a felvételkészítésről és annak jogalapjáról. Ha a rendezvényre nem lehet belépni úgy, hogy a kép/videó készítése kizárható lenne, akkor önkéntes hozzájárulás a GDPR alapján nem adható. Ilyenkor jogszabályi előírás híján az adatkezelő jogos érdeke lehet a jogalap megfelelő érdekmérlegelési teszt és tájékoztatás mellett.
A tájékoztatásban pontosan meg kell határozni ki, milyen célból és milyen felületen teszi közzé vagy használhatja fel, milyen címzettek részére adhatja át a felvételeket, és mennyi ideig kezelheti azokat.

***

A fenti információk a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egyik állásfoglalásából származnak, amely teljes terjedelmében itt olvasható.

Hozzászólások lezárva.