„Az adatvédelmi szabályokat betartjuk” – Mire elég ez az adatkezelői nyilatkozat?

Szerző(k): Dr. Farkas Márton | 2023.08.17 | Adatvédelem

Gyakran tapasztaljuk, hogy a személyes adatkezeléssel járó üzleti tevékenységhez kapcsolódó dokumentumokban (ÁSZF-ek, részvételi szabályzatok, impresszumok) az adatkezelők az adatvédelem kérdéskörét a címben idézett nyilatkozattal igyekeznek letudni. Haladó szinten ez a deklaráció kiegészül még a GDPR vagy az Infotörvény megemlítésével, amely a témakörben való jártasság fokmérőjeként is szolgálhat a nagyközönség előtt.

Az ötlet feltehetően a polgári jogi viszonyok diszpozitív jellegére tekintettel a szerződési jogban bevett rendelkezésből eredhet, amely szerint „ a szerződésben nem szabályozott kérdésekben a Ptk. vagy egyéb releváns jogszabályok megfelelő rendelkezései irányadóak.” Ilyenkor tehát a szerződés valamely – szándékos vagy eshetőleges – hiányosságát orvosoljuk az egyébként irányadó jogszabályok rendelkezéseire való utalással. 

Na de mit helyettesít az adatvédelmi jogszabályok betartására való utalás? Nem fog meglepetést okozni a válasz: semmit, sőt még talán rosszabb megoldás, mintha erősen hallgatnánk a személyes adatkezelésünket illető hiányosságokról, mivel így még fel is hívjuk a figyelmet arra, hogy mennyit gondolunk a személyes adatkezelés témaköréről: egy érdemben semmi relevánsat nem tartalmazó mondatot.

A hiányosság nem abban rejlik, hogy kötelező kellene sorolni a GDPR és az egyéb adatvédelmi jogszabályok valamennyi releváns rendelkezését. Sőt, gyakori hiba, hogy az adatkezelési tájékoztatás kimerül a GDPR szabályainak megismétlésében, amiből viszont az adatkezelés érintettje nem fogja tudni megszerezni az adatkezelés szempontjából releváns információkat.

A GDPR 12. cikk (1) bekezdése az átlátható tájékoztatás követelménye körében rögzíti, hogy „az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében.”

A GDPR 13–14. cikkei pedig tételes listát tartalmaznak arra vonatkozólag, hogy a konkrét adatkezelési tevékenységgel összefüggésben milyen információval kell ellátni az adatkezelés érintettjeit. A hivatkozott lista az információ kategóriáit határozza meg (így például az adatkezelés célja, jogalapja, időtartama, az adatkezeléssel érintett személyes adatok stb.), éppen ezért annak tartalommal való megtöltése és az érintettek rendelkezésére bocsátása mindig az adatkezelő feladata.

Itt tehát nem jöhet szóba a szerződési jogban ismert visszautalás a releváns jogszabályokra vagy csupán annak kijelentése, hogy minden adatvédelmi előírás betartásra kerül: a GDPR tevőleges magatartást követel meg ebben a körben, az adatkezelőnek össze kell gyűjtenie és közzé kell tennie az adatkezelésére vonatkozó, a GDPR 13–14. cikkei szerinti tudnivalókat.

Ehhez képest a tájékoztatási kötelezettség keretében a fentiek szerint megjelölt 15–22. és 34. cikkek – amelyek az érintettek adatkezeléssel összefüggő jogait részletezik – lényegesen kevesebb önállóságot követelnek meg az adatkezelőktől, itt tehát nem teszünk rossz lóra, ha alapvetően a GDPR szövegezéséhez ragaszkodunk.

Az adatkezelési tájékoztatás elmaradása önmagában is jogsértő, ugyanakkor különös súllyal esik latba abban az esetben, ha az adatkezelés jogalapja az érintett hozzájárulása. A következetes hatósági gyakorlat szerint ugyanis az érintett hozzájárulása csupán az adatkezelésre vonatkozó előzetes tájékoztatás birtokában válik jogszerűvé, magyarán az érintettnek tudnia kell arról, milyen adatkezelési tevékenységhez adja a hozzájárulását. Ennek hiányában a hozzájáruláson alapuló adatkezelés jogellenesnek minősül és egy hatósági eljárás esetén szinte borítékolhatóan adatvédelmi bírság kiszabásához vezet.

Bár az összetettebb adatkezelési tevékenységek terjedelmesebb adatkezelési tájékoztatókat igényelnek, az esetek többségében valójában nem különösebben bonyolult egy megfelelő színvonalú tájékoztató elkészítése. Megspórolni viszont egymondatos nyilatkozatokkal biztosan nem lehet, a ragadós rossz példa helyett célszerűbb inkább szakértő segítségét igénybe venni. 

A blogcikk tájékoztató jelleggel készült, nem minősül egyedi ügyre alkalmazható hivatalos jogi véleménynek vagy jogi állásfoglalásnak. Az Ecovis Hungary Legal a jelen blogcikk egyedi ügyben történő felhasználásáért a jogi felelősségét kizárja.