Közművelődési intézmények GDPR megfelelése

Jog 2018-05-12

Nyomtatás

Forrás: Adonet.hu

dr. Szabó Tibor ügyvéd előadásának szerkesztett, bővített változata. Az előadás elhangzott a "Közösen a közösségekért,” Közművelődési Szakmai Nap rendezvényén Kaposváron, 2018, május 8-án. A Közművelődési intézmények GDPR megfelelési Segédlete - Szabályzat- és szerződésmintákkal, tájékoztatókkal, formanyomtatványokkal, útmutatóval megrendelhető a www.kezikonyvek.hu oldalon, ára 25.400,-Ft.

Mi, érintettek – gondolom a közművelődés különböző intézményeiben dolgozók is - hajlamosak vagyunk az adatvédelemre egy újabb és nem is kicsi adminisztrációs teherként tekinteni - egyébként valóban az – de ezzel együtt el kell fogadnunk, hogy
az adatkezelés jogszerűségének biztosítása igen fontos intézményi érdek is:
-a bizalom alapja az intézménnyel szemben.

A hitelességének egyik sarokpontja, hogyan bánunk a szolgáltatást igénybe vevőkkel, partnereinkkel, munkavállalóinkkal, – és ebbe beletartozik az is, hogy bánunk a személyes adataikkal.

Itt van például, kedves ismerősünk a Facebook esete– aki sűrű bocsánatkérések közepette, éppen most megy át egy óriási hitelvesztésen, mert helytelen volt a cégvezetés viszonya az adatkezelés problémaköréhez.

Lehet, hogy az adatkezelési lazasága lesz a kiváltó oka annak, ha a Facebook veszít piaci poziciójából, - még az is lehet, hogy csődbe megy ez miatt.

Vagy ha életben akarnak maradni, akkor nekik is komolyan kell venni felhasználóik személyes adatainak kezelését.

Ez nem csak Facebook dilemmája.

A közművelődés intézményeiben is felvetődik ez a kérdés.

Biztosítani kell, hogy az intézmény működése az adatkezelés terén is átlátható és tisztességes legyen.

***

A Közművelődési intézmények GDPR megfelelési Segédlete - Szabályzat- és szerződésmintákkal, tájékoztatókkal, formanyomtatványokkal, útmutatóval megrendelhető a www.kezikonyvek.hu oldalon, ára 25.400,-Ft.

***

Minden intézmény - a legkisebbtől a legnagyobbig - kezel személyes adatot– az adatkezelés a működésük szerves része.

Így aztán az Európai Unió általános adatvédelmi rendelete közvetlenül vonatkozik a közművelődés intézményeire és az ott dolgozókra is.

Az Európai Unió általános adatvédelmi rendelete avagy új szabályok az adatkezelésben – az előadásom tárgya a rövidített neve - a magyar népnyelvben GDPR –ként terjedt el.

Azért általános, mert minden ágazatra érvényes szabályokat tartalmazza, ez mellett vannak, illetve lesznek majd az egyes ágazatokra speciális szabályok is – pl. bűncselekményekre vonatkozó adatok kezelése terén.

A GDPR szövege magyarul olvasható az Európai Bizottság honapján: www.eur-lex.auropa.eu.

Ez egy 80 oldal terjedelmű joganyag – első olvasatban elég nehéz olvasmány.

Nem kell feltétlenül törekedniük az elolvasására, – de ha mégis ezzel próbálkoznának, akkor ne az elején található Preambulummal kezdjék, ez több mint a fele a joganyagnak. Ez egy ömlesztett, végeláthatatlan szövegtenger, se füle, se farka, első olvasatban nem tudja kezelni az ember.

Az érdemi része a vége felé, az I. Fejezet 1. cikkétől kezdődik, innen már jobban követhető a Rendelet logikája, tagolása, innentől már mindenki be tudja azonosítani, hogy mi vonatkozik a saját tevékenységére, és mi az ami nem.
A Preambulum egyfajta indokolásnak, magyarázatnak tekinthető – tehát ha valamely cikket értelmezni szeretnénk, akkor a Preambulumban találhatunk rá értelmezéseket, magyarázatokat.

Azonban a GDPR kapcsán ne is a konkrét szövegére koncentráljanak – elég annyit tudni róla, hogy van, létezik, és adott esetben tudni kell, hol kell keresni.

A GDPR kapcsán az a fontos Önöknek, hogy tudják kapcsolni a saját tevékenységükhöz,:
-melyek azok az esetek, amikor a GDPR alkalmazása felmerül, amikor a saját tevékenységükben tisztázni kell adatkezelési kérdéseket.

Ezeket vagy meg lehet oldani előre, pl. belső szabályozással, vagy szakértőhöz kell fordulni.

Mondok példát:

Ha Önök szerveznek egy tömegrendezvényt amelynek során egy internetes felületen regisztrációs lehetőséget biztosítanak természetes személyek részére, akik megadhatják adataikat, jelezhetik részvételi szándékukat – nevet, címet, telefonszámot, e-mail címet - stb. – akkor TUDNIUK KELL AZT, hogy a GDPR-ban van egy olyan rendelkezés, hogy ADATVÉDELMI HATÁSVIZSGÁLAT. Tehát azt kell megvizsgálni, hogy a tömegrendezvény szervezése kapcsán el kell-e végezni ezt a hatásvizsgálat.

Vagy: ha elveszik egy laptop, vagy pendrive, amelyen személyes adatokat is tároltak– azt tudniuk kell, hogy ez ADATVÉDELMI UNCIDENSNEK minősül – és így arra a GDPR vonatkozó szabályait kell alkalmazniuk.

Tehát Önöknek elég a címszavak ismerete:
-ADTAVÉDELMI HATÁSVIZSGÁLAT –
ADATVÉDELMI INCIDENS
és hogy ez hogyan kapcsolódik az Önök tevékenységéhez.
A többi már szervezési, szakértői kérdés – amit lehet, hogy nem Önöknek kell megoldani, de Önöknek kell a problémára felhívni a figyelmet.

***

Ehhez azért egy picit – legalább ezen előadás erejéig – ismerni kell a GDPR alapvető rendelkezéseit.

A GDPR 2016-ban hatályba lépett!!! – de alkalmazni 2018. május 25-től kell.

A Rendeleti forma – szemben az irányelvvel – azt jelenti, hogy teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban, így Magyarországon is. – így szól a Rendelet legutolsó rendelkezése (99. cikk (2) bekezdés).

Az uniós rendeleti – és nem nemzeti - szabályozás indoka az volt, hogy a természetes személyek az egész Unióban egységes, uniós-szintű védelmet kapjanak személyes adataik kezelése vonatkozásában.

A nemzeti szabályozás számáracsak annyi teret hagy a Rendelet, hogy a szabályai alkalmazását pontosíthatja (Preambulum 10).

E tárgyban Magyarországon az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény ( Infotv.) rendelkezik –

Ennek szövege elérhető a Nemzeti Jogszabály Tárban: www.njt.hu alatt.

Az Infotv. módosítása, a pontosító szabályok megalkotása azonban még nem történt meg.

Pedig igencsak szükség lenne rá – sok olyan kötelezettség van az Info tv.-ben, amelyet a Rendelet nem ismer. E két jogszabály változatlan párhuzamos létezése maga a teljes jogbizonytalanság.

Kérdéses, hogy lesz-e ilyen pontosító magyar szabályozás május 25-ig?

A magyar törvényi szabályozás késlekedésének az a kockázata, hogy az intézményeknek kétszer kell majd elvégezniük a GDPR megfelelést:
Először május 25-ig a GDPR alapján – mert egy jogkövető intézmény nem teheti meg, hogy addigra nem felel meg a feltételeknek.
Másodszor pedig majd akkor, ha valamikor megjelenik a pontosító magyar törvény.
Legfeljebb akkor majd tartunk egy újabb konferenciát, és ismételten rendbe tesszük a dolgokat.

Ha a GDPR értelmezésére keresünk hiteles forrásokat, akkor a Nemzeti Adatvédelmi és Információszabadság honlapján tájékozódjunk: itt pár tucat állásfoglalást már közzétettek a GDPR alkalmazásáról.
www.naih.hu

***

Eddig is volt Info tv. – már 1992 óta van, hasonló előírásokkal, mint a GDPR – akkor kérdezhetik joggal, mi ez a nagy felhajtás a GDPR körül?

Más a szabályozás logikája, szemlélete: az Info.tv. eddig pontos definiciókat, konkrét feltételeket határozott meg – addig a GDPR általános fogalmakat használ, amelyek tartalmát majd a jövőbeni gyakorlat alakítja ki.

Újdonság, hogy egy ellenőrzésben nem a hatóságnak kell igazolnia, hogy az intézmény jogsértést követett el, hanem az intézménynek kell tudnia igazolnia azt, hogy megfelelt a Rendeletnek. Ez önmagában egy súlyos szigorítás – a bírság ugyanis nem csak egy elkövetett jogsértés következménye lehet, hanem annak is, hogy az intézmény a bízonyítási kötelezettségének nem tud megfelelni.

A GDPR eddig nem ismert intézményeket vezet be: például az adatfeldolgozókra, például az adatvédelmi tisztségviselőkre. Újdonság az adatvédelmi hatásvizsgálat előírása is. És adatvédelmi incidensek szabályozása is.

És ami a legnagyobb szigorítás – az a mértéktelen összegű, 10-20 millió euró bírságszankciók bevezetése. Ebből is látszik, hogy nem igazán hazai viszonyokra szabták azt a rendeletet.

Tehát ezek az indokai a GDPR körüli felhajtásnak – igenis vannak újdonságok, és vannak jelentős szigorítások.

Ezek azok az elemek, amelyek kikényszerítik, hogy az adatvédelmet mindenki magasabb priorítással kezelje.

Ezek alapján az a feladat,hogy az eddiginél jobban figyeljünk az adatvédelemre, ha eddig ez nem volt szempont, vagy mellékes szempont volt, akkor ezen mindenképpen változtassunk:

-AZ ADATVÉDELMET ÉPÍTSÜK BE AZ INTÉZMÉNY MŰKÖDÉSI KULTURÁJÁBA.

- KI KELL ALAKÍTANI ENNEK BELSŐ INTÉZMÉNYI SZABÁLYOZÁSÁT, KIKÖTÉSEIT, FORMANYOMTVÁNYAIT, ELJÁRÁSRENDJÉT, ÉS

-NEMKÜLÖNBEN MEG KELL TENNI A SZÜKSÉGES ADATBIZTONSÁGI INTÉZKEDÉSEKET.

***

Önöknek minimálisan mit kell tudni a Rendeletről?

Azon kívűl, hogy létezik, és alkalmazást követel.

A Rendelet TÁRGYI hatálya

A Rendelet hatálya csak a természetes személyek személyes adatainak kezelésére vonatkozik, és nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre vonatkozik, beleértve a jogi személy nevét és formáját, valamint a jogi személy elérhetőségére vonatkozó adatokat.

A rendelet nem alkalmazandó a személyes adatok kezelésére, ha azt -természetes személyek kizárólag személyes vagy otthoni tevékenységük keretében végzik.

A mobiltelefonom hiváslisjtáráa nem vonatkozik, ha azon a gyerekeim telfonszámát tárolom.

Jól jegyezzük meg – ez az egy adatkezelési forma, amelyre nem vonatkozik a Rendelet. Minden másra igen.

De ha a telefon céges, intézményi telefon, máris más a helyzet.

A közművelődési törvény ismeri a művelődő közösség fogalmát: a művelődési érdeklődési kör és az önképző, társas tevékenység szerint elkülönülő – jogi személyiség nélküli – lakossági csoport.

Kérdés, hogy az ilyen művelődő közösségeknek – önképző köröknek, szakköröknek - kell-e alkalmaznia a GDPR-t:

Véleményem szerint IGEN.

Mert ha abból a rendelkezésből indulunk ki, hogy csak a személyes, otthoni tevékenységre nem vonatkozik – akkor ezt közössségi adatkezelésnek nevezném, ahol érvényesülnie kell az adatkezelési alapelveknek – egyik tag sem szeretné, ha a közösséggel megosztott személyes adatai, telefonszáma, e-mail címe onnan kikerülne.

***

Lényeges fogalmak a Rendeletben:

A leglényegesebb fogalmak a személyes adat, az adatkezelés

„Személyes adat”:azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható; (4. cikk 1.)

A személyes adatok különleges kategóriáinak kezelése
A faji vagy etnikai származásra, politikai véleményre, vallási vagy világnézeti meggyőződésre vagy szakszervezeti tagságra utaló személyes adatok, valamint a természetes személyek egyedi azonosítását célzó genetikai és biometrikus adatok, az egészségügyi adatok és a természetes személyek szexuális életére vagy szexuális irányultságára vonatkozó személyes adatok kezelése tilos.

„Adatkezelés”: a személyes adatokon vagy adatállományokon végzett bármely művelet vagy műveletek összessége,
(4. cikk 2.)

A rögzítés is adatkezelés.
A Betekintés is adatkezelés.
A közlés – elmondom másnak – az is adatkezelés.
A törlés is adatkezelés.

Adatkezelő: aki meghatározza, milyen célból gyűjt adatokat és meghatározza ennek eszközeit. Az adatkezelő feladata a jogalap igazolása, például neki kell begyűjteni a hozzájárulásokat.

Adatfeldolgozó: aki csak elvégzi az adatkezelő által rábízott feladatokat. De csak azért felel, amit az adatkezelő rábíz. A jogalap körében az adatfeldolgozó felel, az adatfeldologzónak nem feladata a hozzájárulások megszerzése.

***

Alapelvek

Nagyon fontos a Rendelet 5 cikke, amely a személyes adatok kezelésére vonatkozó alapelveket tartalmazza. Ezek a következők:

a) a személyes adatok kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni(„jogszerűség, tisztességes eljárás és átláthatóság”);

b) célhoz kötöttség elve:a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen,és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon;

c) adattakarékosság elve: az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk;

d) „pontosság: az adatoknak pontosnak és szükség esetén naprakésznek kell lenniük;minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

e) korlátozott tárolhatóság: tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé;

f) integritás és bizalmas jelleg elve:ez tömören megfogalmazza a rendelet hatálya alá tarozók adatbiztonságot érintő feladatait:
„A személyes adatok „kezelését oly módon kell végezni, hogy megfelelő technikai vagy szervezési intézkedések alkalmazásával biztosítva legyen a személyes adatok megfelelő biztonsága,
-az adatok jogosulatlan vagy jogellenes kezelésével,
-véletlen elvesztésével,
-megsemmisítésével vagy
-károsodásával szembeni
védelmet is ideértve”

Az 5. cikk (2) bekezdése tartalmazza az elszámoltathatóság elvét,amely azt jelenti, hogy:

az adatkezelő felelős az előbbi elveknek való megfelelésért,
továbbá képesnek kell lennie e megfelelés igazolására.

Ez egy fordított bizonyítási szabály az adatvédelem terén: egy ellenőrzés során nem a hatóságnak kell bizonyítania a jogsértést, hanem az adatkezelőnek a Rendeletnek való megfelelést.

És nagyon lényeges – mert ezen alapulhatnak a bírságszankciók. Például nem csak a rendelet direkt megsértéséért szabható ki bírság, hanem akkor, ha nem tudom igazolni a Rendeletnek való megfelelést.
Ebből az alapelvből következik mindenféle önszorgalmú adminisztráció, nyilvántartás vezetése minden adatkezelési eseményről.

Pl. nyilvántartást vezetése a megszünt adatkezeléskről, ha valaki visszavonta adatkezelési hozzájárulását.

Ezek azok az alapelvek, amelyeket konkrétan a művelődési intézmények adatkezelésében is érvényesíteni kell.

Ezen alapelvek megsértése – pontosabban be nem tartása esetén szabható a legmagasabb összegű – 20 millió eurós bírság.

***

Az adatkezelés jogalapja

A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben annak megvan a Rendeletben írt valamely jogalapja, amelyek a következők lehetnek:
a) az érintett hozzájárulása,
b) szerződés teljesítése,
c) az adatkezelőre vonatkozó jogi kötelezettség teljesítése,
d) az érintett személy létfontosságú érdekeinek védelme,
e) az adatkezelés közérdekű vagy az adatkezelőre ruházottjogosítvány gyakorlásának keretében történik,
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges.

Ezen adatkezelési jogcímek megkülönböztetése azért lényeges, mert azokhoz eltérő jogok kapcsolódnak.
A törléshez való jog például megilleti az érintettet a hozzájáruláson alapuló adatkezelés esetén, de nem illeti meg a jogi kötelezettségen alapuló adatkezelés esetén.
A hozzájáruláson alapuló adatkezelés inkább kisegítő jellegű, akkor jöhet szóba, ha az adatkezelésnek nincs más jogalapja.

Ha lehetséges, akkor a közművelődésben is inkább keressük a NEM HOZZÁJÁRULÁSON alapuló jogcímeket – mint a SZERZŐDÉS, vagy aJOGOS ÉRDEK.
Például nem is gondolnánk, de a Rendelet maga hozza példának (a 47. Preambulm bekezdésben) hogy:

a személyes adatoknak a csalások megelőzése céljából feltétlenül szükséges kezelése szintén az érintett adatkezelő jogos érdekének minősül.
Személyes adatok közvetlen üzletszerzési célú kezelése szintén jogos érdeken alapulónak tekinthető.

Ezekben az esetekben a jogalapból következően nem kell az érintett hozzájárulását kérni az adatkezeléshez.
Ellenben érvényesül az érintett azon joga,hogy tiltakozhat az adatkezelés ellen, amely esetben törölni kell az adatait.

Ha szerződést kötünk bármely szolgáltatásra, akkor sem hozzájárulás a személyes adatok kezelésének a jogalapja, hanem a SZERZŐDÉS TELJESÍTÉSE. Jogi személlyel kötött szerződésben a természetes személy kapcsolattartó adatai kezelésének jogalapja lehet a jogos érdek, de lehet, hogy az egyértelmű helyzet miatt a szerződéshez kapcsolódóan kérjük el a hozzájárulását is.

Mindezek miatt indokolt, hogy a művelődési intézmény az általa kötendő bármely szerződésbe írja vagy írassa bele a saját adatkezelési kikötéseit. Legyen ennek is egy előre kidolgozott formanyomtatványa, amelyet aztán csak be kell illeszteni a szerződésbe.

De a közművelődésben – amelyre leginkább az önkéntes részvétel a jellemző – a résztvevők oldaláról leggyakrabban azért a hozzájárulásos jogalappal kell számolni.

A hozzájárulásnak önkéntesnek kell lennie, amelyet megfelelő tájékoztatásnak kell megelőznie.

A tájékoztatásnak ki kell terjednie a kezelt adatok körére, az adatkezelés céljára, jogalapjára, időtartamára, a címzettek körére, valamint az érintett jogaira.

A hozzájárulást valamennyi adatkezelési célhoz – egyenként – kell beszerezni.

A céltól eltérően nem lehet a személyes adatot kezelni.

Ezt a tájékoztatást az adatfelvételkor kell megadni – erre is megfelelő formanyomtatványok alkalmazhatók – Pl. egy jelentkezési lap ezekkel a kikötésekkel kiegészíthető, - sőt kötelezően kiegészítendő.

Gyermek adatainak kezelése– hozzájáruláson alapuló adatkezelés esetén:
Az Info tv. rendelkezései szerint a 16. életévét betöltött kiskorú érintett hozzájárulását tartalmazó jognyilatkozatának érvényességéhez törvényes képviselőjének beleegyezése vagy utólagos jóváhagyása nem szükséges.

16 év alatt a szülő, mint törvényes képviselő adja meg a beleegyezést a kiskorú személyes adatainak kezeléséhez.

Reméljük az Infotv. módosításával nem fog változni e szabály.

A közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások – pl hírlevél - vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte.

A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.

Az adatkezelőnek ilyen esetekben ellenőriznie kell, hogy a hozzájárulást a gyermek feletti szülői felügyeleti jog gyakorlója adta meg, illetve engedélyezte.

***

Az érintett jogai

1. Az érintett első és legfontosabb joga az átlátható tájékoztatáshoz, kommunikációhoz való jog

Az adatkezelőnek az érintett részére a személyes adatok kezelésére vonatkozó minden információt és tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell nyújtania, különösen a gyermekeknek címzett bármely információ esetében.

Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni.

Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.

2. Az adatkezelőnek elő kell segítenie, hogy az érintett a jogait gyakorolni tudja

-Az adatkezelő indokolatlan késedelem nélkül, de mindenféleképpen a kérelem beérkezésétől számított egy hónapon belül tájékoztatnia a kérelem nyomán hozott intézkedésekről.
(Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható, amelyről az érintettet tájékoztatni kell.)

3. Az érintett hozzáférési joga

Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a kapcsolódó információkhoz hozzáférést kapjon. (Rendelet 15. cikk).

4. Ahelyesbítéshez való jog

5. Atörléshez való jog („az elfeledtetéshez való jog”)

Az érintett – hozzájáruláson alapuló adatkezelés esetén - jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat.

6.Az adatkezelés korlátozásához való jog

7. Az adathordozhatósághoz való jog

A Rendeletben írt feltételekkel az érintett jogosult arra, hogy a rá vonatkozó, általa egy adatkezelő rendelkezésére bocsátott személyes adatokat tagolt, széles körben használt, géppel olvasható formátumban megkapja, továbbá jogosult arra, hogy ezeket az adatokat egy másik adatkezelőnek továbbítsa

8. A tiltakozáshoz való jog

Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak közérdeken, közfeladat végrehajtásán (6. cikk (1) e)) , vagy jogos érdeken (6. cikk f)) alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is.

9. Automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást

Az érintett jogosult arra, hogy ne terjedjen ki rá az olyan, kizárólag automatizált adatkezelésen – ideértve a profilalkotást is – alapuló döntés hatálya, amely rá nézve joghatással járna vagy őt hasonlóképpen jelentős mértékben érintené.

10 Az érintett tájékoztatása az adatvédelmi incidensről

Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet az adatvédelmi incidensről.
11. Afelügyeleti hatóságnál történő panasztételhez való jog (hatósági jogorvoslathoz való jog)

12. Afelügyeleti hatósággal szembeni hatékony bírósági jogorvoslathoz való jog

13. Az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog

***

Adatkezelési tevékenységek nyilvántartása

A Rendelet előírja az adatkezelési tevékenységek nyilvántartását. (30. cikk (1))
E nyilvántartás főbb tartalma:
a) az adatkezelő neve és elérhetősége
b) az adatkezelés céljai;
c) az érintettek kategóriáinak, valamint a személyes adatok kategóriáinak ismertetése;
d) olyan címzettek kategóriái, akikkel a személyes adatokat közlik vagy közölni fogják,
f) ha lehetséges, a különböző adatkategóriák törlésére előirányzott határidők;
g) ha lehetséges, a technikai és szervezési intézkedések általános leírása.
Hasonló nyilvántartásra az adatfeldolgozó is köteles. (30. cikk (2))

Az elszámoltathatóság elvéből azonban további nyilvántartások vezetése is következik – lényegében minden adatkezelési eseményt dokumentálni, rögzíteni kell.

***

Adatfeldolgozás – garancianyújtási kötelezettség mellett végezhető

Az adatfeldolgozó a Rendelet terminológiája szerint az, aki más nevében végzi személyes adatok kezelését:
Tipikus adatfeldolgozók: a tárhelyszolgáltatók, könyvelőirodák, IT szolgáltatók, futárszolgálatok, vagyonvédelmi vállalkozások.

Ezek a szolgáltatók a fennálló szerződéses kapcsolatuk alapján a közművelődési intézmény adatfeldolgozóinak minősülnek.
Például:
-ha kamerás megfigyelést külső szolgáltató biztosítja, vagy
-a rendezvényt külső vagyonvédelmi cég biztosítja –
az intézménynek ezektől a szolgáltatóktól meg kell követelnie az adatfeldolgozói kötelezettségek teljesítését.

De maga a művelődési intézmény is lehet adatfeldolgozó– például akkor, ha uniós támogatások teljesítésében hatósági megbizás alapján működik közre, igazol teljesítéseket.
Ezesetben őneki is meg kell felelnie az adatfeldolgozói kötelezettségeknek.
Melyek ezek:
1. megfelelő garanciákat kell nyújtania arra:
-hogy adatkezelése megfelel a Rendeletnek,
-és érintettek jogainak védelmét biztosító, megfelelő technikai és szervezési intézkedéseket hajt végre.

Nem világos még, hogy mit jelentenek ezek a „megfelelő garanciák

Amíg ez nem tisztázódik, értelmezésem szerint az adatfeldolgozónak minimálisan szerződéses kötelezettséget kell vállalnia a megbízója felé a rendeleti követelmények betartására.

Adatfeldolgozási szerződést kell kötni a megbízóval, a Rendelet meghatározza ennek tartalmi elemeit.

2. További adatfeldolgozói kötelezettség, hogy a személyes adatok kezelésével foglalkozó munkavállalókkal titoktartási nyilatkozatot kell aláíratnia.

3. Alvállalkozó csak az adatkezelő hozzájárulásával vonható be a teljesítésbe.

***

Adatvédelmi incidensek

A Rendelet új intézményként vezeti be az adatvédelmi incidens intézményét, és az arra vonatkozó kötelezettségeket.
Az „adatvédelmi incidens” rendeleti fogalma szerint a biztonság olyan sérülése, amely
-a továbbított, tárolt vagy más módon kezelt személyes adatok
. véletlen vagy jogellenes megsemmisítését,
-elvesztését,
-megváltoztatását,
-jogosulatlan közlését vagy
-az azokhoz való jogosulatlan hozzáférést eredményezi; (4. cikk 12.)

A leggyakoribb incidensek lehetnek például:

a laptop vagy mobiltelefon elvesztése,
személyes adatok nem biztonságos tárolása (pl. szemetesbe dobott fizetési papírok, jelenléti ívek);
adatok nem biztonságos továbbítása,
ügyfél- és vevő- partnerlisták illetéktelen másolása, továbbítása,
szerver elleni támadások, honlap feltörése.

Az intézmény feladata alapvetően ezek megelőzése, de bekövetkezésük esetére a Rendelet több előírást tartalmaz.

1. Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott be kell jelenteni a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínűsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságaira nézve.

2. Az adatfeldolgozónak az adatvédelmi incidenst, az arról való tudomásszerzését követően indokolatlan késedelem nélkül be kell jelentenie az adatkezelőnek.

3. Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, az adatkezelőnek indokolatlan késedelem nélkül tájékoztatnia kell az érintettet is.

4. Az adatvédelmi incidensekről nyilvántartást is kell vezetni, amely tartalmazza:
a) az érintett személyes adatok körét,
b) az adatvédelmi incidenssel érintettek körét és számát,
c) az adatvédelmi incidens időpontját,
d) az adatvédelmi incidens körülményeit, hatásait,
e) az adatvédelmi incidens orvoslására megtett intézkedéseket,
f) az adatkezelést előíró jogszabályban meghatározott egyéb adatokat.

***

Adatvédelmi hatásvizsgálat és előzetes konzultáció

A Rendelet szerint ha az adatkezelés valamely – különösen új technológiákat alkalmazó – típusa –, figyelemmel annak jellegére, hatókörére, körülményére és céljaira, valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságaira nézve, akkor az adatkezelőnek az adatkezelést megelőzően hatásvizsgálatot kell végeznie arra vonatkozóan, hogy a tervezett adatkezelési műveletek a személyes adatok védelmét hogyan érintik.

Az adatvédelmi hatásvizsgálatot különösen az alábbi esetekben kell elvégezni:
a) természetes személyekre vonatkozó egyes személyes jellemzők olyan módszeres és kiterjedt értékelése, amely automatizált adatkezelésen – ideértve a profilalkotást is – alapul, és amelyre a természetes személy tekintetében joghatással bíró vagy a természetes személyt hasonlóképpen jelentős mértékben érintő döntések épülnek;
b) a személyes adatok különleges kategóriái - faji vagy etnikai származásra, politikai véleményre vonatkozó adatok, egészségügyi adatok stb. - , nagy számban történő kezelése; vagy
c) nyilvános helyek nagymértékű, módszeres megfigyelése.
Az előzetes konzultáció intézménye azt jelenti, hogy ha az adatvédelmi hatásvizsgálat megállapítja, hogy az adatkezelés az adatkezelő által a kockázat mérséklése céljából tett intézkedések hiányában valószínűsíthetően magas kockázattal jár, a személyes adatok kezelését megelőzően az adatkezelőnek konzultálnia kell a felügyeleti hatósággal.

***

Adatvédelmi tisztviselő

A Rendelet szerint adatvédelmi tisztviselőt az adatkezelőnek és az adatfeldolgozónak kötelező kijelölni, ha az adatkezelést közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek végzik

A közművelődési intézmények – függetlenül tulajdonosi hátterüktől – közművelődési alapszolgáltatásokat látnak el – amely közfeladat, így kötelező az adatvédelmi tisztviselő kijelölése.

-Közfeladatot ellátó szervek esetében közös adatvédelmi tisztviselő jelölhető ki több ilyen szerv számára, az adott szervek szervezeti felépítésének és méretének figyelembevételével.

-Az adatvédelmi tisztviselőt szakmai rátermettség és különösen az adatvédelmi jog és gyakorlat szakértői szintű ismerete, valamint a feladatok ellátására való alkalmasság alapján kell kijelölni.Külön képesítési előírás nincs.

-Az adatvédelmi tisztviselő az adatkezelő alkalmazottja lehet, vagy szolgáltatási szerződés keretében láthatja el a feladatait.

-Az adatvédelmi tisztviselő nevét és elérhetőségét, és azokat a felügyeleti hatósággal közölni kell.

-Az adatvédelmi tisztviselő a feladatai ellátásával kapcsolatban utasításokat senkitől ne fogadhat el. Az adatvédelmi tisztviselőt feladatai ellátásával összefüggésben nem bocsátható el és szankcióval nem sújtható.

-Az adatvédelmi tisztviselő közvetlenül az adatkezelő legfelső vezetésének tartozik felelősséggel. Titoktartásra köteles.
Az adatvédelmi tisztviselő más feladatokat is elláthat, de az adatkezelőnek biztosítania kell hogy e feladatokból ne fakadjon összeférhetetlenség.

(FELADATAI)
Az adatvédelmi tisztviselő MINIMÁLIS feladata a következők:

a)	tájékoztat és szakmai tanácsot ad az adatkezelő és az alkalmazottak részére Rendelet, szerinti kötelezettségeikkel kapcsolatban;

b)	ellenőrzi az Rendeletnek, valamint az egyéb uniós vagy tagállami adatvédelmi rendelkezéseknek, a belső adatvédelmi szabályoknak, való megfelelést, ideértve a feladatkörök kijelölését, az adatkezelési műveletekben vevő személyzet tudatosság-növelését és képzését, valamint a kapcsolódó auditokat is;

c)	kérésre szakmai tanácsot ad az adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését,

d)	együttműködik a felügyeleti hatósággal; és

A FELADAT ADOTT: a közművelődési intézményeknek adatvédelmi tisztviselőt kell kijelölniük.

****

A KÖZMŰVELŐDÉSI INTÉZMÉNYEK FELADATAI

A Közművelődési intézmények GDPR megfelelési Segédlete - Szabályzat- és szerződésmintákkal, tájékoztatókkal, formanyomtatványokkal, útmutatóval megrendelhető a www.kezikonyvek.hu oldalon, ára 25.400,-Ft.

A GDPR előírásaiból általánosságban – de konkrétan a közművelődési intézményekre is érvényesen – a következő intézkedések következnek, három tételben:

1. Az adatkezelőnek megfelelő jogalappal kell rendelkeznie bármilyen adatkezelési tevékenységéhez – továbbá „képesnek kell lennie” e jogalap igazolására (pl. egy adatvédelmi ellenőrzés során, vagy az érintett kérésére).

A jogalapot minden esetben meg kell teremteni és dokumentálni kell. Ha hozzájárulás a jogalap, akkor az adatkezelési hozzájárulásokat be kell szeerzni: ha személyesen gyűjtik, akkor írásban, ha a honlapon, vagy e-mailben gyűjtik, akkor elektronikusan kell dokumentálni.

Az adatkezelési tevékenységek nyilvántartása amellett, hogy kötelezően elkészítendő – és vezetendő- egy eszköz is, amellyel kontrollálható a szervezet adatkezelési tevékenységének jogszerűsége.
Minden adatkezelési eseményt – változást, kérelmet, panaszt - dokumentálni kell.

2. Az adatkezelő tegye meg a szükséges és megfelelő technikai vagy szervezési intézkedéseket a személyes adatok biztonsága érdekében (az adatok jogosulatlan vagy jogellenes kezelésével, véletlen elvesztésével, megsemmisítésével vagy károsodásával szembeni védelmet is ideértve). Ebbe beletartozik az is, hogy a külső szolgáltatóitól követelje meg az őket terheli adatfeldolgozói kötelezettségeik teljesítését.

3. Az adatkezelő 1)igazolhatóan adja meg a szükséges jogi tájékoztatásokat az érintett személyek – tagok, résztvevők, vendégek, fellépők, közönség, munkavállalók, stb. - részére az adatkezelési tevékenységéről (adatkezelési cél, jogalap, időtartam, címzetti kör sb.) és az érintett jogairól – és2) biztosítsa jogaik gyakorlását.

Ez lenne a GDPR lényege a közművelődésben is.

Minden egyes tevékenység végzése, program szervezése, képzés indítása során elvégezhetünk egy adatkezelési tesztet, ennek keretében a következő kérdéseket tegyük fel:
■ Felmerül-e személyes adatok kezelésének szükségessége?
■Kik az érintettek?
■ Milyen személyes adatok gyűjtése szükséges feltétlenül?
■ Mi az adatkezelés jogalapja, célja? Hogyan igazoljuk a jogalapot?
■ Ki az adatkezelő? A művelődési intézmény? Vagy más szervezet?
■ Van-e adatfeldolgozó? Ki az adatfeldolgozó? Ő megfelel-e a rendeleti követelményeknek?
■ Hogyan biztosítjuk az érintettek tájékoztatását és joggyakorlását?
■ Milyen technikai és szervezési intézkedéseket kell tennünk az adatbiztonság érdekében?

***

Vizsgáljuk meg, hogy az egyes közművelődési tevékenységek során milyen adatkezelési kérdések merülnek fel.

A közművelődési alapszolgáltatásokat a törvény határozza meg.

A MŰVELŐDŐ KÖZÖSSÉG TEVÉKENYSÉGÉHEZ A HELYSZÍNT BIZTOSÍTJA.

Ez a gyakorlatban csoportok, klubok befogadását jelenti, és terembérletet, helyiséghasználatot. Próba- és fellépési lehetőség biztosítását.

Itt csak a közösség képviselőjével lép közvetlen kapcsolatba az intézmény – csak az ő személyes adatai kezelésével összefüggésben merülnek fel további kérdések.

Indokolt, hogy a helyszín biztosításról szerződés készüljön az intézmény és a közösség között, akit nyilván a képviselő képvisel.

Vagy ha nincs külön szerződés, legalább annyit tegyen meg az intézmény, hogy készítsen egy ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEKET a helyiséghasználatról, és azt fogadtatja el a közösséggel.

A szerződésbe be kell foglalni az intézmény adatkezelési kikötéseit – amely alapján kezelheti a képviselő személyes adatait.

Az adatkezelés célja és jogalapja: szerződés teljesítése.

A személyes adatok tárolásának időtartama: a szerződés fennállása, illetve az azt követő 5 év.

Az adatkezelési tájékoztató az érintett személy – itt a kapcsolattartó - jogairól kitehető az intézmény honlapjára, megküldhető az érintett részére e-mailben – és erre utalni kell a szerződésben.

A művelődő közösség tagjait az intézménynek nem kell nyilvántartania, listáznia – ha így van, akkor a tagok vonatkozásában az intézmény nem lesz adatkezelő.

Ha ellenben a közösség bármely tagjáról bármilyen adatot nyilvántart – akkor már adatkezelő az intézmény.

Lehetőség szerint a helyszín biztosítása keretében nem indokolt felvállalni az adatkezelői státuszt.

A közösség tagjai vonatkozásában ekkor az adatkezelő a közösség, illetve annak vezetője. Neki kell gondoskodnia arról, hogy a taglistákat, adatokat tartalmazó dokumentumokat például még az intézmény se ismerhesse meg.

Rendezvények szervezése, lebonyolítása (zenei fesztiválok, sportnapok, falunapok, szakmai napok, kolbász-töltés, hurkafőzés, hagymafesztivál – ilyenekre gondolok.

Itt most azt az esetet járjuk körbe, amikor maga a művelődési intézmény a szervező – és nem helyszínt, vagy más kisegítő szolgáltatást biztosít a szervezőnek.

Most is éppen egy ilyen rendezvényen vagyunk: Közösen a közösségekért,” Közművelődési Szakmai Nap.

Hogyan kell az ilyen rendezvényekhez kapcsolódó adatkezeléseket jogszerűen végezni?

Végezzük el az adatkezelési tesztünket a rendezvény szervezésére vonatkoztatva:

Ha a művelődési intézmény a szervező – akkor ő lesz az adatkezelő.

Kezel-e személyes adatokat?

-Az érintetti kör háromféle is lehet:

1. vendégek, látogatók– gyűjtjük-e, kérjük-e a vendégek, látogatók személyes adatait? Például regisztrálhatnak-e egy internetes oldalon, vagy személyesen kell jelentkezni? Esetleg e-mailben?

Ha igen, akkor valószínű hogy a hozzájárulás lesz az adatkezelés jogalapja. A célja pedig a rendezvény lebonyolítása.
Dokumentálni kell a hozzájárulás megadását, és az érintettet tájékoztatni kell a jogairól.
Meg kell adni az így megadott adatok tárolás idejét: ha ehhez külön jogi kötelezettség nem kapcsolódik, akkor ezen adatokat a rendezvényt követően meg kell semmisíteni – nem indokolt, és nem jogszerű hosszabb időn keresztül tárolni.

Ha ilyen regisztrációs, jelentkezési igény nincs, akkor a vendégek, látogatók személyes adatait NE KÉRJÜK, NE KEZELJÜK. Egy gonddal kevesebb.

Külön kérdés, ha szervező művelődési intézmény fénykép, vagy videófelvételt is kíván készíteni a magukat jól érző, önfeledten szórakozó vendégekről, látogatókról.

Tehát nem a részvevők magáncélú felvétel készítéséről, és megosztásáról van szó – az teljesen külön dolog. Bár lehet, hogy a fellépővel, előadóval kötendő szerződésben ezt is tisztázni kell.

A kép és hangfelvétel készítés szabályait nem a Rendelet, hanem a Polgári Törvénykönyv tartalmazza.

Azt mondja a Ptk.
2:48. § [A képmáshoz és a hangfelvételhez való jog]
(1) Képmás vagy hangfelvétel elkészítéséhez és felhasználásához az érintett személy hozzájárulása szükséges.

(2) Nincs szükség az érintett hozzájárulására a felvétel elkészítéséhez és az elkészített felvétel felhasználásához tömegfelvétel és nyilvános közéleti szereplésről készült felvétel esetén.

Mi az a tömegfelvétel?

Egy totálkép, egy panoráma-felvétel a rendezvényen résztvevő emberek tömegéről. Ez hozzájárulás nélkül készíthető és felhasználható reklámban, beszámolóban, bárhol. Még a Facebookon is megosztható.

A tömegfelvétel ellenpárja – a személyfelvétel (ezt most találtam ki) – az egyént ábrázoló felvétel.

Ilyen felvétel elkészítése is hozzájáruláshoz kötött – és a felhasználása is

A hozzájárulást dokumentálni kell.

Csak ilyen hozzájárulás – és az érintett jogaira is kiterjedő tájékoztatás után megszerzett hozzájárulás alapján használható fel az egyénről készült kép és hangfelvétel – a Facebookon is.

Praktikusan ha ilyen fényképes, videós akciózást tervezne a szervező – akkor vagy néhány érintettől, vagy mindenkitől előzetesen be kell szerezni a szükséges hozzájárulást.
Ez szervezés kérdése.

Fizetős rendezvények esetében a jegyértékesítés – nyugta- és számlakiállításhoz kapcsolódó adatkezelésnem vet fel különösebb problémákat – mert ha itt a résztvevő megadja a személyes adatait pl. a számlázáshoz – annak jogcíme törvényi kötelezettség teljesítése, tehát ehhez nem kell az érintett személyes hozzájárulása – ellenben a megadott adat is csak a könyvelés céljára használható fel, listázásra nem.

Ez volt a rendezvény látogatóinak, vendégeinek problémaköre

2. Arendezvény fellépőire, szereplőire, előadóira vonatkozó adatkezelés

Velük a fellépésről, a felhasználási jogokról egyébként is indokolt, hogy szerződés készüljön – és a szerződésben érintett természetes személyek vonatkozásában az adatkezelés jogcíme a szerződés lesz, - ehhez a szerződésbe bele kell foglalni az intézmény adatkezelési kikötéseit.

-A szerződésben kiköthető az is, hogy a szervező a fellépőkről kép- és hangfelvételt készíthet, és azt megoszthatja a Facebookon is.

Ha ezt egy igennel / vagy nemmel rendeztük a szerződésben – akkor a fellépőkkel kapcsolatban nincs további teendőnk.

Ebben a körben – a fellépőkre, szereplőkre is készíthet az intézmény általános szerződési feltételeket, amelyet nekik elég csak elfogadniuk.

-A fellépők tiszteletdíja, cégek esetén a számlájuk elszámolása – megintcsak nem okoz nehézséget – a tiszteletdíj, számla kifizetéséhez, elszámolásához kapcsolódó adatkezelés jogcíme törvényi kötelezettség teljesítése, nem hozzájáruláson alapul. Persze erről a szerződésben a fellépőket tájékoztatni lehet.

A részvevők, látogatók, a közönség listája, adataik – ha volt ilyen - értelemszerűen nem adható ki a fellépők, előadók részére sem.

A 3-ik érintetti kör rendezvényszervezés esetén: beszállítók, szolgáltatók, árusok a rendezvényen

Biztonsági szolgálat, mentőszolgálat, reklámszolgáltatók, árusok stb.

Velük is szerződés készül a rendezvényen való részvételről, a velük kapcsolatos adatkezelés jogcíme és célja a szerződés teljesítése – nem kell külön hozzájárulás, ezt megadja a szerződés.

A szerződésbe be kell illeszteni az intézmény adatkezelési kikötéseit. Ezek egyike, hogy az érintett jogairól szóló tájékoztató megtekinthető az intézmény honlapján.

A szolgáltatók irányába is készíthet az intézmény egy Általános szerződési feltételt – amelyet elégséges nekik elfogadniuk. Talán könnyítene az adminisztráción.

Ha ezen szolgáltatók között van olyan is, akik az intézmény megbizásából kezeli valamely érintetti kör személyes adatait – például a biztonsági szolgálat kamerás felvételeket készít – akkor velük szemben az intézménynek az adatfeldolgozói kötelezettségeket is érvényesítenie kell.

Az ő szerződésükben is tisztázandók a kép- és hangfelvétel készítés kérdései – alapesetben járuljanak hozzá a róluk készülő felvételek elkészítéséhez, felhasználásához.

A személyes adatok tárolásának időtartamát szerződésen alapuló adatkezelés indokolt az 5 éves elévülési határidőben meghatározni.

Kiállítás szervezése

Ugyanazok az adatkezelési kérdések merülnek fel, mint rendezvények esetében – nem ismétlem.

Táborok szervezése

Nyári táborokra – és hasonlókra gondolok.

Ha az intézmény szervezi, akkor a jelentkezési lapot ki kell egészíteni adatkezelési kikötésekkel, tájékoztatásokkal.

És a gyermek, illetve a szülő ezen jelentkezési lapon adja meg a hozzájárulást a személyes adatok kezeléséhez is.

Ha orvosi igazolást is csatolnak, hogy a gyermek egészséges, akkor az különleges adatnak tekintendő. Ennek kezelésére kifejezetten meg kell adni a hozzájárulást, bár itt szóba jöhet az érintett és az adatkezelő jogi érdekén alapuló adatkezelés is.

Az adatkezelési hozzájárulást 16 év alatt a törvényes képviselők adják meg, 16 év felett (18 éves korig) – maga a gyermek is nyilatkozhat.

A személyes adatok tárolásának időtartama a tábor zárásához igazodjon, hacsak nincs külön jogi kötelezettség, nem indokolt tovább tárolni ezeket az adatokat.

Tanfolyamok, képzések, szakkörök szervezése

Azt az esetet vizsgáljuk meg, amikor a művelődési intézmény maga a szervező – és nem csak a helyszínt biztosítja egy másik szervezetnek, mert akkor a korábban elmondottak az irányadó.

Itt is az első kérdés, hogy a képzés indítása, teljesítése, zárása során történik-e adatkezelés?

Szükség van-e arra, hogy a résztvevők megadják a személyes adataikat?

El tudok képzelni olyan szakkört, képzést, amelyen az utcáról belépve bárki részt vehet, és nincsen semmilyen dokumentációs kötelezettség.

De, ha már a képzésre jelentkezni kell egy jelentkezési lappal, akár még dokumentumok (pl. fénykép) csatolásával is,
vagy a képzésen jelenléti ívet vezetnek,
vagy a képzés elvégzéséről tanúsítványt is adnak,
akkor bizony itt kemény adatkezelési kötelezettségek merülnek fel.

Itt az lesz a feladat, hogy a jelentkezési lapot ki kell egészíteni az adatkezelési kikötésekkel, tájékoztatásokkal.

És az érintett a jelentkezéssel egyidejűleg egy nyilatkozattal megadja a hozzájárulást a személyes adatai kezeléséhez is.

Hozzájárulást lehet kérni a kép- és hangfelvétel készítéséhez, és Facebookos megosztásához is.

Az adatkezelés jogalapja – hacsak nem jogszabálynál fogva kötelező a képzés – az érintett tanuló hozzájárulása lesz.

A személyes adatok tárolásának időtartama a tanfolyam zárásához igazodjon, hacsak nincs külön jogi kötelezettség, nem indokolt tovább tárolni ezeket az adatokat.

- A tanfolyami előadóval egyébként is szerződés kell, hogy készüljön, és ezt a szerződést az intézménynek ki kell egészíteni az adatkezelési kikötésekkel.

A tanfolyami előadó személyes adatai kezelésének jogcíme: szerződés, a díjfizetés közterhei vonatkozásában jogi kötelezettség teljesítése.
Fizetős tanfolyam esetén a számlázáshoz kapcsolódó adatkezelés jogcíme jogi kötelezettség teljesítése – ehhez nem kell a tanuló, résztvevő hozzájárulása.

Ezek voltak a közművelődési tevékenységek.

Intézményi honlap

Az intézményi honlapon szerepelnie un. Süti tájékoztatónk.

A honlapok általában kis adatfájlokat helyeznek el a látogató gépén, böngészőjében – a funkcionális működés, hatékonyság növelése céljából. Erről a jogszabályok szerint tájékoztatni kell a felhasználót.

A honlapon el kell helyezni az intézmény adatkezelési tájékoztatóját – amely tartalmazza az érintett jogait is.

Intézményi hírlevél:

Az tájékoztatást a feliratkozás előtt meg kell adni, egy linkkel elérhetővé kell tenni.

Az adatkezelés jogcíme az érintett hozzájárulása.

KMAERÁS MEGFIGYELÉS AZ INTÉZMÉNY HELYISÉGEIBEN

Lehet végezni ilyen kamarás megfigyelést – de nem korlátlanul.

1. Az intézmény mint munkahely vonatkozásában a kamerás megfigyelés jogalapja a munkáltató jogos érdeke, célja általában a vagyonvédelem. E jogalapból következik, hogy ehhez az intézmény munkavállalójának nem kell a hozzájárulása – ellenben tájékoztatni kell őt az ilyen rendszer alkalmazásáról.

Nem lehet elektronikus megfigyelőrendszert alkalmazni
-olyan helyiségben, amelyben a megfigyelés az emberi méltóságot sértheti, így különösen
-az öltözőkben, zuhanyzókban, az illemhelyiségekben vagy például orvosi szobában, illetve az ahhoz tartozó váróban,
-továbbá az olyan helyiségben sem, amely a munkavállalók munkaközi szünetének eltöltése céljából lett kijelölve.

A látogatók, vendégek, szolgáltatást igénybe vevők vonatkozásában is lehet elektronikus, kamerás megfigyelést alkalmazni– az ő esetekben azonban az adatkezelés jogcíme lehet a hozzájárulásuk, illetve baz intézmény jogos érdeke is. Az adatkezelés célja általában vagyonvédelem.

A hozzájárulás ráutaló magatartással is megadható – ennek azonban feltétele az érintett előzetes tájékoztatása egy figyelmeztető táblával, hogy ha a megfigyelt területre bemegy, akkor ez a felvétel készítéshez való hozzájárulásnak tekintendő.
Ha a kamerarendszer üzemeltetője külső szolgáltató – akkor ő adatfeldolgozónak minősül, és vele erről külön szerződést kell kötni.

Indokolt felülvizsgálniaz intézményekben alkalmazott kamerás megfigyeléseket, és az erről szóló tájékoztatásokat!

IRATKEZELÉSI SZABÁLYOK

A köziratokról, a közlevéltárakról és a magánlevéltári anyag védelméről szóló 1995. évi LXVI.