Célhoz kötöttség elve – az adatkezelés legfontosabb szabálya

Az adatkezelés alapvető feltételei

Egy adatkezelés megkezdésekor a következő szabályok betartására figyeljünk a legjobban: 1. célhoz kötöttség elve, 2. az adatkezelés jogalapja, 3. egyértelmű, részletes tájékoztatás, 4. adatvédelmi nyilvántartás. Ma a célhoz kötöttség elvével foglalkozom cikkemben.

Célhoz kötöttség elve

Az új törvény a személyes adatok védelmét szabályozó II. fejezetében elsőként a célhoz kötöttség elvének való megfelelést írja elő. A legfontosabb adatkezelési alapelv gyakorlati alkalmazása nehéz, sokszor még a jogászok számára is.

Személyes adat kizárólag előre meghatározott célból kezelhető, valamely jog gyakorlása vagy kötelezettség teljesítése érdekében. Például egy webáruház a megrendelések kezelése, teljesítése, a számlázás, a postázás céljából kezelheti az adatokat.

Csak akkor kezeljünk személyes adatot, ha elengedhetetlenül szükséges

Az adatkezelő csupán az adatkezelés célja megvalósulásához elengedhetetlenül szükséges, legszűkebb, még indokolható mértékben meghatározásra kerülő adatfajtákat kezelhet. Jól érzékeltethető a következő példán keresztül, hogy mit vár el tőlünk a törvény:

Egy rendezvényen résztvevők közötti sorsolás alapvetően kétféleképp is megvalósítható: a játékosok nevét és címét tartalmazó részvételi lapokat sorsolják ki, és a nyertes nevét bemondják, vagy pedig sorszámozott tombola szelvényeket osztanak ki a részt vevők között, és a kihúzott sorszámmal megegyező tombola birtokosa nyer. Mivel a másodikként leírt eljárás is tökéletesen alkalmas az adott cél elérésére, az elsőként vázolt eset nem lesz jogszerű, ott feleslegesen kezelik sok száz ember adatait.

Legyen alkalmas az adatkezelés a kívánt cél elérésére

Az adatkezelésnek alkalmasnak is kell lennie a cél elérésére. Például, ha a 2011 nyarán elfogadott szabályok értelmében egy társasházban a vagyonvédelmi kamerarendszer telepítése ellenére sem csökken, sőt tovább nő a társasházban elkövetett bűncselekmények száma, akkor – mivel az adatkezelés alkalmatlan volt a meghatározott adatkezelési cél elérésére – le kell szerelni a kamerákat, és az adatkezelés tovább nem folytatható.

A mértékletesség itt is fontos

Személyes adat csak a cél megvalósulásához szükséges mértékben kezelhető. Ha például ügyfeleinkkel postai úton nem kívánunk kommunikálni, akkor nem kezelhetjük a postacímüket. Ha felhasználóinknak születésnapi üdvözletet kívánunk küldeni, akkor indokolatlan a teljes születési dátum kezelése, elegendő a hónap és nap ismerete az üdvözlet elküldése céljából. Természetesen ha korcsoport szerint más és más köszöntést küldenénk, akkor indokolt lenne a születés évének kezelése is.

Meddig kezelhetjük az adatokat?

Nehezebb meghatározni az adatkezelés időtartamát. Általánosságban elmondható, hogy a korlátlan ideig történő adatkezelés tiltott. Van, hogy jogszabály írja elő, meddig kell és lehet adatokat kezelni, mint pl. a számviteli bizonylatok esetében törvény határozza meg a 8 éves határidőt. De ha nincs ilyen jogszabály, az adatkezelőnek kell azt meghatároznia. Mindig – szintén már az adatkezelés megkezdése előtt – meg kell határozni egy olyan határidőt, amelynek eltelte után az adatokat törölni fogjuk.

Például egy állásportál esetében, ha az álláskereső felhasználó már fél éve nem lépett be, akkor valószínű, hogy már talált állást, de ha nem, ilyen aktivitással nem is fog. Így sem a felhasználónak, sem pedig az állásportálnak nem érdeke, hogy a portál a felhasználó adatait tovább kezelje. Előzetes értesítés után az adatok törölhetők, sőt azokat törölni kell. További indoka az adatkezelési időtartam rövid meghatározásának, hogy az adatok minősége, pontossága, időszerűsége elvész. Előfordulhat, hogy az ingyenes szolgáltatónál létrehozott e-mail címet évekkel később már más használja, aki a részére továbbra is küldött hírlevelünkre kéretlen levélként fog tekinteni.

Készletező adatkezelés

A készletezésre történő adatkezelés tiltott. Az adatkezelés célját tehát már az adatfelvétel előtt pontosan meg kell határozni, ettől eltérni nem lehet. Nem jogszerű, ha csak azért kezelünk bizonyos adatokat, mert „majd valamikor lehet, hogy szükség lesz rá.” Az sem jogszerű, ha például már a szerződéskötéskor azért kérjük el valakinek a munkahelyére vonatkozó adatait, hogy ha esetleg később nem fizetne, könnyebb legyen a tartozást letiltatni az adós fizetéséből.

Iratkozzon fel hírlevelemre, és töltse le ingyen az új adatvédelmi törvény változásairól, főbb rendelkezéseiről szóló elemzést!

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.
Név:*
E-mail:*

Havonta legfeljebb 2 hírlevelet küldök, a hírlevélről egy kattintással bármikor le lehet iratkozni.

Valamennyi hozzászólást az RSS 2.0 hírcsatornán lehet követni. Szóljon hozzá, vagy adjon a saját honlapjáról egy visszakövetést.

9 hozzászólás »

 
  • Tóth Zoltán szerint:

    Tisztelt Szakértő!

    Érdeklődnék, hogy webáruházak esetében mi a helyes eljárás?

    Ha jól tudom a következő esetekben nem kell bejelenteni az adatkezelést:

    “Nem kell bejelenteni az adatvédelmi nyilvántartásba azt az adatkezelést, amely az adatkezelővel munkaviszonyban, tagsági, tanulói viszonyban, ügyfélkapcsolatban álló személyek személyes adatait tartalmazza. ”

    Az Avtv. 30. §-ának a) pontja szerint nem kell bejelenteni az adatvédelmi nyilvántartásba azt az adatkezelést, amely az adatkezelővel ügyfélkapcsolatban álló személyek adatait tartalmazza. Ügyfélkapcsolat címén azt az adatkezelést nem kell az adatvédelmi nyilvántartásba bejelenteni, amelyek esetében

    * az adatokat közvetlenül az érintettektől veszik fel,
    * az adatkezelés célja az érintett számára ismert,
    * a kezelendő adatok fajtája, az adatkezelés időtartama (adattörlés) előre meghatározott,
    * az adatokat csak az előre meghatározott céllal összefüggésben használják fel,
    * az adatok nem kerülnek ki az adatkezelő kezeléséből,
    * az érintetteket minderről megfelelően tájékoztatják.

    Ezek szerint ha valóban arra használjuk fel a tagok adatait, amire a szabályzatunkban meghatároztunk, akkor nem szükséges az adatkezelés bejelentése?

  • Tisztelt Tóth Zoltán Úr!

    Egy webáruháznál adott esetben kikerülnek az adatkezelő kezeléséből az adatok, ami megalapozza a bejelentési kötelezettséget, ráadásul nem sok webáruházat láttam, ami nem küldött hírlevelet. A direkt marketing cél pedig a gyakorlat szerint bejelentési kötelezettség alá tartozik.

    Nem árt ismét megjegyeznem, hogy nem tudjuk, az új hatóság miként fogja értelmezni az “ügyfél” fogalmat.

  • Toth Zoltán szerint:

    Tisztelt Szakértő!

    Köszönöm a gyors visszajelzést. Tudomásom szerint is, ha nem küldünk hírlevelet nem kell a bejelentés. Az általunk működtetett webáruházak egyike sem küld hírlevelet.

    Elviekben ilyen esetben akkor nem szükséges a bejelentés?

    Válaszát előre is köszönöm!

    ui. Szívesen kitölteném az adatlapot, ha lenne egy sablon vagy egy minta nyomtatvány webáruházakra vonatkozóan, mert első ránézésre egy kicsit komplikálnak tűnik. Vagyis nem teljesen egyértelműek az átlag ember számára, hogy pontosan milyen adatokat szükséges kitölteni és milyen módon.

  • Tisztelt Tóth Zoltán Úr!

    Sajnos az Ön által leírt eset pont abba a kategóriába tartozik, ahol nem egyértelmű a jelenlegi gyakorlat sem. Én bejelentém.

  • Szabó Antal szerint:

    Tisztelt Szakértő! Településünkön előrehozott Önkormányzati választás lesz.Kérdésem,hogy aki nem jelenti be az adatvédelmi Biztosnak az adatkezelést a “kopogtató”cédulák gyűjtése előtt,érvényesek lesznek-e azok?Vagy ezzel számára már vége is a képviselőségnek vagy polgármester jelöltségnek?Gyors válaszát megköszönve….Szabó Antal Fertődről

  • Tisztelt Szabó Antal Úr!

    A jogszabály szerint be kell jelenteni az adatkezelést. De attól, hogy nincs bejelentve, még nem szűnik meg a jelöltség. Január 1-jétől az új adatvédelmi törvény alapján elvben lehetőség lesz arra, hogy ilyen esetben elrendelje az adatvédelmi hatóság az adatok törlését.

  • Tisztelt Szakértő Úr!
    Nemrég indítottunk egy webshop-ot, ahol egy Szent Koronát ábrázoló kitűzőt forgalmazunk. A vásárlónak a vásárláshoz alá kell írnia egy “Nyilatkozatot”, amelyben elismeri a Szent Korona Alkotmányának ismeretét és annak jogfolytonosságát.Ebbe a “Nyilatkozatba” kerülnek bele a vásárló személyes adatai.Különlegessége a kitűzőknek, hogy mindegyiket egy egyedi sorszámmal látunk el, amelyet egy “Tanúsítványban”rögzítve a vevő rendelkezésére bocsájtunk. A webshop már működik viszont egy dolog még hiányzik az adatkezelési szerződéshez és ez az adatgyűjtés célja lenne. Sokat gondolkodom rajta de még nem jutottam semmire. A legkézenfekvőbb számomra az lehet, hogy az adatkezelés célja egy jövőbeli civil mozgalom elindítása. Kérem segítsen, hogy szakszerűen meg tudjam fogalmazni ezt a célt! Milyen cél jöhet még szóba ebben az esetben? Segítségét nagyon szépen köszönöm!

  • Tisztel Pázmándi István Úr!

    Önök ismerik a célokat, esetleg kapcsolattartás, a megrendelések teljesítése, stb.

  • Muzellák László szerint:

    Tisztelt dr. Kulcsár Zoltán!
    A cégünk által kezelt Társasházban a Számvizsgáló Bizottság a tulajdonosok elérhetőségét (postacímét) kéri a közös képviselettől az alábbiak szerint:
    ” … a tulajdonosok elérhetőségének ismerete a társasház tisztségviselői számára a hatékony működéshez nélkülözhetetlen, és megadásuk a társasház ügyeinek intézése céljából nem tűnik aggályosnak. Ha ezzel nem értenek egyet, és az Önök véleménye szerint ehhez külön írásos nyilatkozat kell, akkor pedig – mivel az adatok Önöknél vannak – szerezzék be a tulajdonosok hozzájáruló nyilatkozatát.”
    Mivel a társasházi közös képviselet a tulajdonosok címével rendelkezik – postai kapcsolattartás -, így adatgazdának minősül. Felhatalmazás hiányában NEM adtam ki a tulajdonosok elérhetőségét a Társasház tisztségviselőinek (Számvizsgáló Bizottság). Áthidaló megoldásként tulajdonosi beleegyezést kérek, és aki ez alapján az adatainak kiadásához hozzájárul, annak adatait továbbítanám csak a kérésnek megfelelően. (Megjegyzem: eddig egyetlen Társasházban sem fordult elő, hogy ilyen helyzetbe kerültünk volna – lakcímek kiadása harmadik személy részére.)
    Válaszát előre is köszönöm!

 

Vélemény, hozzászólás?

 
Read previous post:
Kinek kell alkalmazni az új adatvédelmi törvényt? Mi a személyes adat, ki az adatkezelő?

Kinek kell alkalmaznia az új adatvédelmi törvényt? Mi az a személyes adat, ki az adatkezelő? Mai írásomból fény derül arra,...

Close