A Nemzeti Adatvédelmi és Információszabadság Hatóság 2016. évi tevékenységéről szóló beszámolója egy igen részletes fejezet közlésével összefoglalást adott arról, hogy mi várható 2018. május 25-től, a már korábban hatályba lépett általános adatvédelmi rendelet kötelező alkalmazásának első napjától kezdődően az adatvédelem európai és hazai színterén². Jelen írás célja, hogy a beszámolóban szereplő információk összefoglalásával ráirányítsa a könyvtárosi hivatás gyakorlóinak figyelmét az adatvédelem fontosságára, és bővítse, illetve elmélyítse már meglévő ismereteiket az adatvédelem új korszakát megelőző felkészülés jegyében.

Az 1995-ös 95/46/EK irányelv korábbi tapasztalatai egyértelművé tették, hogy új adatvédelmi szabályozásra van szükség, mivel az Irányelv az adatvédelem végrehajtását széttagolta, és sok esetben jogbizonytalanságot eredményezett. A technológiai fejlődés miatt a természetes személyek  jelentős kockázatnak van kitéve az online környezetben, az eltérő védelmi szinteket eredményező tagállami adatvédelem pedig kontra produktív hatásokat (versenyhátrány, hatósági jogérvényesítés nehézsége stb.) generált.

Az Európai Parlament és a Tanács 2016. április 27-én négyéves előkészületet követően fogadta el az új adatvédelmi csomagot, köztük az Európai Parlament és a Tanács 2016/679 rendeletét, amely a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet, GDPR) címet viseli.

„A gyors technológiai fejlődés és a globalizáció új kihívások elé állította a személyes adatok védelmét. A személyes adatok gyűjtése és megosztása jelentős mértékben megnőtt. A technológia a vállalkozások és a közhatalmi szervek számára tevékenységük folytatásához a személyes adatok felhasználását minden eddiginél nagyobb mértékben lehetővé teszi. Az emberek egyre nagyobb mértékben hoznak nyilvánosságra és tesznek globális szinten elérhetővé személyes adatokat. A technológia egyaránt átalakította a gazdasági és társadalmi életet, és egyre inkább elősegíti a személyes adatok Unión belüli szabad áramlását és a személyes adatok harmadik országok és nemzetközi szervezetek részére történő továbbítását…”³

A Rendelet teljes egészében kötelező és közvetlenül alkalmazandó, Magyarországon is, nem igényel tagállami átültetést. A Rendelet 2016. május 24-től hatályos, azonban 2018. május 25-től lesz alkalmazandó. A (171) preambulum bekezdés alapján a Rendelet alkalmazásának időpontja előtt megkezdett adatkezelést összhangba kell hozni a rendelettel, ami felkészülést igényel az adatkezelőktől.

A rendelet kivételeket is megállapít, így nem tartoznak hatálya alá olyan iratok, illetve iratok csoportjai, amelyek nem rendszerezettek; a természetes személy által kizárólag személyes vagy otthoni tevékenység keretében végzett adatkezelések, például a levelezés, a címtárolás, a közösségi hálózatokon történő kapcsolattartás és online tevékenységek. Az elhunyt személyekkel kapcsolatos személyes adatok kezelését a tagállamok szabályozhatják.

A GDPR legfontosabb szabályozási pontjai a következők:

1. Tisztességes adatkezelés elve, gyermekek kiemelt védelme
2. Kiterjesztett és mellérendelt jogalapok
3. Érintetti jogok („elfeledtetéshez”, adatkezelés korlátozásához, adatok hordozhatóságához, automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást)
4. Álnevesített személyes adatokra kiterjedő hatály, genetikai adatok, biometrikus adatok
5. Beépített és alapértelmezett adatvédelem
6. Közös adatkezelők
7. Adatfeldolgozók (részletes szabályozás!)
8. Adatvédelmi incidens, az érintett tájékoztatása
9. Adatvédelmi hatásvizsgálat (különösen új technológiák vagy profilalkotás esetében)
10. Előzetes konzultáció
11. Adatvédelmi tisztviselő
12. Magatartási kódexek
13. Tanúsítás
14. Adattovábbítás harmadik országba (részletes szabályozás!)
15. Adatvédelmi hatóságok együttműködése (one-stop-shop)

Az adatvédelemnek az Infotv.⁴ alapján megismert alapfogalmait érdemben nem módosítja az általános adatvédelmi rendelet, nagyrészt megegyeznek azokkal a definíciókkal, amelyeket a törvény 3. §-a tartalmaz. Újdonság, hogy személyes adatnak minősül az érintett által használt készülékek, alkalmazások, eszközök és protokollok által rendelkezésre bocsátott online azonosítókkal (például IP-cím, cookie), valamint egyéb azonosítókkal (például rádiófrekvenciás azonosító: RFID) összefüggő adat, minthogy ezen azonosítók felhasználhatóak a természetes személyes profiljának létrehozására és az adott személy azonosítására. A különleges adatként ismert személyes adatok köre két új adattal bővült a rendeletben: biometrikus adattal és a genetikai adattal.

Az adatkezelés fogalma hasonló módon épül fel, mint az Infotv.-ben, de érdemes kiemelni azt, hogy az általános adatvédelmi rendelet nevesített adatkezelési műveletként tartalmazza a „betekintést” is, amely nem szerepelt az Infotv. felsorolásában (kvázi hozzáférhetővé tétel). Az általános adatvédelmi rendeletben az adatkezelők több új, a magyar adatvédelmi jogban eddig ismeretlen fogalommal találkozhatnak, ilyen például a profilalkotás és az álnevesítés.

A profilalkotás jellemzően marketingterületen fordul elő, mint a reklámozás hatékonyságát növelő adatkezelés, de például a könyvtárak esetében is említhető az egyedi olvasói profilok összeállításának elméleti lehetősége.

Az álnevesítés lényege, hogy alkalmazásával további információk felhasználása nélkül többé már nem állapítható meg, hogy a személyes adat mely konkrét természetes személyre vonatkozik, mivel az ilyen további információt az adatkezelőnél külön tárolják. Az álnevesítés csökkentheti az érintettek számára a kockázatokat, valamint segíthet az adatkezelőknek és az adatfeldolgozóknak abban, hogy az adatvédelmi kötelezettségeiknek megfeleljenek. Egy adatvédelmi incidens esetén a jogellenesen nyilvánosságra került, de álnevesített adatokból az érintettek kiléte nem állapítható meg.

Az Infotv. jelenlegi alapelvei mind-mind megtalálhatóak az általános adatvédelmi rendeletben, sőt a tisztességes és törvényes adatkezelés elve egy újabb követelménnyel egészül ki, így a jövőben az adatkezelést az érintett számára átlátható módon kell végezni. Ez utóbbi követelmény hangsúlyos szerepet kap például az érintettek előzetes tájékoztatásánál: „a tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa.”

A célhoz kötött adatkezelés elvével összefüggésben nevesítetten is tilos a cél nélkül végzett adatkezelés, ezzel összefüggésben a rendelet egy komplex szempontrendszert határozott meg, amelynek segítségével az adatkezelők felmérhetik azt, hogy a tervezett adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték.

A rendelet a „korlátozott tárolhatóság” alapelveként kimondja, hogy a személyes adatok tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé. Ezen főszabály alól a közérdekű archiválási, tudományos és történelmi kutatási, illetve statisztikai célú adatkezelések jelenthetnek kivételt.

Mind az Infotv., mind az általános adatvédelmi rendelet tartalmazza a pontos, naprakész adatkezelés elvét. Az uniós jogalkotó ezt az alapelvet kiegészítette még azzal az általános kötelezettséggel is, hogy minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

Az általános adatvédelmi rendelet egyik újítása az integritás és bizalmas jelleg alapelvének beemelése a jogszabályba. A rendelet által megfogalmazott kötelezettség az Infotv.-ben adatbiztonsági intézkedésként szerepelt. A Hatóság álláspontja szerint e rendelkezés alapelvi szintre emelésével az uniós jogalkotó azt kívánta kifejezni, hogy az adatkezelők teljes tevékenységét átható alapelv legyen az adatbiztonság megteremtése, hiszen az elmúlt években egyre gyakoribbá váltak az olyan jogellenes cselekmények, amelyek nyomán illetéktelenek többszázezer személyes adatot hoztak nyilvánosságra.

A GDPR egyik leghangsúlyosabb újítása, hogy alapelvi szintre emelte az elszámoltathatóság koncepcióját. Az adatkezelőknek 2018 májusától sokkal nagyobb tudatosság mellett kell az adatkezeléseiket végezni. Az adatkezelés megtervezésétől kezdve az adatkezelés megkezdésén át egészen a kezelt személyes adatok törléséig valamennyi adatkezelési műveletet úgy kell megvalósítaniuk, hogy bármelyik pillanatban bizonyítani tudják, hogy miként feleltek meg az adatvédelmi előírásoknak.

A Rendelet jelentős újítása, hogy alapelvi szintre helyezi az elszámoltathatóságot. Az elszámoltathatóság elve mindenek felett álló alapelvvé vált az adatvédelemben. Az elszámoltathatóság elve lényegében azt jelenti, hogy az adatkezelőknek mind a szervezeti kultúrájukat, mind valamennyi tevékenységüket az adatvédelemi megfontolásokra tekintettel kell kialakítaniuk, végezniük. Az adatkezelőknek minden egyes lépésüknél át kell gondolniuk, hogy az adatvédelmi előírásokat miként vették figyelembe.

Természetesen ezen az általános attitűdön túl az Általános Adatvédelmi Rendelet számos elvi és gyakorlati eszközzel is megpróbálja segíteni az elszámoltathatóság elvének érvényesülését. Ennek megfelelően az elszámoltathatóság követelményének teljesítését segíti elő többek között a beépített és alapértelmezett adatvédelem, az adatkezelési tevékenységek nyilvántartása, az adatvédelmi hatásvizsgálat, az adatvédelmi tisztviselő, a magatartási kódexek és tanúsítás stb. Fontos emellett kiemelni, hogy az elszámoltathatóságnak nem csak az Általános Adatvédelmi Rendeletben szereplő eszközökkel lehet megfelelni. Számos olyan adatvédelmet elősegítő technika (Privacy Enhancing Tecnologies, PET) létezik, amely nincs nevesítve a Rendeletben, de segít az adatkezelőknek az adatvédelmi megfelelés kialakításában és igazolásában.

Az adatkezelések elsődleges jogalapja továbbra is az érintettek hozzájárulása. Ezért javasolt, hogy az adatkezelők a rendeletben szereplő követelmények áttekintésével vizsgálják felül, hogy az érintettek hozzájárulásán alapuló adatkezeléseik megfelelnek-e a rendeletnek. Amennyiben igen, akkor nem kell új hozzájárulást beszerezni az adatkezeléshez. Ha viszont a rendeletben megfogalmazott követelmények nem teljesülnek az adatkezeléssel kapcsolatban, akkor 2018. május 25-éig adatkezelésüket összhangba kell hozni az új követelményekkel.

Az információs társadalom jelentette kihívások újszerű megoldásokat követelnek meg az érintetti jogok szabályozása terén is. A technológiai fejlődés hatására az adatalanyok egyre kevésbé képesek befolyásolni az online megosztott tartalmak, különösen a személyes adatok felhasználását, további sorsát. Az érintettek és az adatkezelők közötti egyensúly megbomlott az utóbbiak javára, amely egyrészt azzal a következménnyel jár, hogy az információs önrendelkezési jog számos esetben csupán korlátozottan érvényesül. Másrészt eddig soha nem látott mértékben van lehetőség a személyes adatokkal történő visszaélésekre.

A Rendelet az Adatvédelmi Irányelvben foglalt „klasszikus” érintetti jogok mellett olyan új rendelkezéseket is tartalmaz, amelyek az adatalanyokat további jogokkal vértezik fel, válaszul az információs társadalom kihívásaira. Amíg ugyanis az előbbiek elsődlegesen egyfajta jogorvoslati funkciót töltenek be, addig az új jogosítványok már kifejezetten az érintett saját személyes adatai feletti önrendelkezésének megerősítését célozzák az online térben. Az említett új rendelkezések az elfeledtetéshez, valamint az adathordozhatósághoz való joghoz kapcsolódnak.

A törléshez való jog online környezetben történő megerősített szabályozása szintén azt célozza, hogy a felhasználók továbbra is fenntartsák az önrendelkezési jogukat a személyes adataik felett abban az esetben is, amennyiben azokat közzétették az interneten. A GDPR három csoportra bonthatóan meghatározza azokat a kivételeket, amelyek esetében nem érvényesülhet a törléshez való jog. Az elsőbe tartoznak azok az esetek, amikor az adatkezelés a véleménynyilvánítás szabadságához, valamint a tájékozódáshoz való jog (a tágan értelmezett információszabadság) gyakorlása céljából szükséges. A második csoportot azok az esetek alkotják, amelyeknél közérdek indokolja az adatkezelés szükségességét. A harmadik csoportban pedig a védendő magánérdekek szerepelnek, azaz nem alkalmazandó az elfeledtetéshez való jog, amennyiben az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges.

Az adathordozhatóság új joga alapján az érintett jogosult arra, hogy azokat az adatokat, amelyeket ő bocsátott az adatkezelő rendelkezésére, tagolt, széles körben használt, géppel olvasható és interoperábilis formátumban megkapja, használja, valamint jogosult azokat egy másik adatkezelőnek továbbítani, vagy azt kérni, hogy egy másik adatkezelőnek továbbítsák.

Az új nevesített alapelvek: a beépített adatvédelem (privacy by design) és az alapértelmezett adatvédelem (privacy by default) lényegüket tekintve arra kívánják ösztönözni a személyes adatok kezelésével járó szolgáltatások és termékek kifejlesztőit, tervezőit, kiválasztóit és felhasználóit, hogy már a kezdetektől fogva tartsák szem előtt a személyes adatok védelméhez való jogot, valamint a tudomány és technológia állását kellően figyelembe véve gondoskodjanak arról, hogy az adatkezelők és az adatfeldolgozók eleget tegyenek adatvédelmi kötelezettségeiknek.

Az átlátható tájékoztatás érdekében a Rendelet kötelezi az adatkezelőket, hogy az adatkezeléssel kapcsolatban az érintett rendelkezésére bocsátandó minden tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően nyújtsák, különösen akkor, ha a tájékoztatás címzettje gyermek. Mindemellett a Rendelet az adatkezelők kifejezett kötelességévé teszi, hogy segítsék elő az érintettek joggyakorlását.

A Rendelet adminisztratív szempontból egyik fontos újítása, hogy az adatkezelési tevékenységek nyilvántartását (az adatvédelmi nyilvántartást) 2018. május 25-től már nem a felügyeleti hatóságok, hanem az adatkezelők és az adatfeldolgozók végzik, a Rendeletben részletesen meghatározott tartalommal.

Az adatvédelmi hatásvizsgálat szintén új intézményének talán a legfontosabb és legösszetettebb része a természetes személyek jogaira és szabadságaira nézve jelentős kockázatok elemzése. Ezzel kapcsolatban az adatkezelőnek meg kell vizsgálnia a kockázatok forrását, természetét, sajátosságait és súlyosságát. Minden kockázat tekintetében elemezni kell, miként fordulhat elő a nem kívánt hatás, ennek általános körülmények között mennyi a valószínűsége, ha a kockázat realizálódik, milyen következményekkel jár az érintett magánszférájára.

A természetes személyek jogait és szabadságait érintő kockázatok vezethetnek fizikai, vagyoni vagy nem vagyoni károkhoz. Ilyen kockázatok, ha az adatkezelésből hátrányos megkülönböztetés, személyazonosság-lopás vagy személyazonossággal való visszaélés, pénzügyi veszteség, a jó hírnév sérelme, a szakmai titoktartási kötelezettség által védett személyes adatok bizalmas jellegének sérülése, az álnevesítés engedély nélkül történő feloldása, vagy bármilyen egyéb jelentős gazdasági vagy szociális hátrány fakadhat. Ugyancsak kockázatként értékelendő egy adatkezelésben, ha személyes jellemzők értékelésére, így különösen munkahelyi teljesítménnyel kapcsolatos jellemzők, gazdasági helyzet, egészségi állapot, személyes preferenciák vagy érdeklődési körök, megbízhatóság vagy viselkedés, tartózkodási hely vagy mozgás elemzésére vagy előrejelzésére kerül sor személyes profil létrehozása vagy felhasználása céljából. Ha kiszolgáltatott személyek – különösen, ha gyermekek – személyes adatainak a kezelésére kerül sor; vagy ha az adatkezelés nagy mennyiségű személyes adat alapján zajlik, és nagyszámú érintettre terjed ki.

A Rendelet alapján az adatkezelőket és az adatfeldolgozókat is egy általános adatvédelmi incidens bejelentési kötelezettség terheli. Az adatfeldolgozónak is be kell jelentenie ugyanis az adatvédelmi incidenseket az adatkezelő részére, az adatkezelőknek pedig az incidenseket be kell jelenteniük a felügyeleti hatóságnak, illetve bizonyos esetekben az érintetteket is tájékoztatniuk kell, illetve az adatvédelmi incidensekről továbbra is nyilvántartást kell vezetniük.

A könyvtárhasználók személyes adatainak nyilvántartásáról

A könyvtárhasználók személyes adatainak nyilvántartásáról jelenleg a muzeális intézményekről, a nyilvános könyvtári ellátásról és a közművelődésről szóló 1997. évi CXL. törvény rendelkezik, mely szerint:

57. § (1) A könyvtárhasználónak a beiratkozáskor a következő személyes adatait kell közölnie és igazolnia: természetes személyazonosító adatok és lakcíme. (Ezek: név (családi és utónév) , születési név, születés helye és ideje, anyja születési családi és utóneve)

(2) Törölve a törvényből (az adatváltozás bejelentési kötelezettsége).

(3) A könyvtárhasználó által igénybe vehető szolgáltatások körét, az igénybevétel módját és a díjak mértékét a könyvtárhasználati szabályzat tartalmazza, melyet a könyvtárhasználó köteles betartani.

(4) A könyvtárhasználó kezdeményezheti a könyvtárhasználati szabályzat módosítását.

58. § (1) A könyvtárhasználati szabályzatot nyilvánosságra kell hozni.

(2) A dokumentumok, illetőleg mások könyvtárhasználati jogának védelme érdekében a könyvtárhasználat részletes feltételeit a használati szabályzat állapítja meg.

(3) A fenntartó további könyvtárhasználati feltételeket és kedvezményeket is meghatározhat.

Tekintettel arra, hogy speciális szabályok nem vonatkoznak a könyvtárhasználó személyes adatainak könyvtár általi kezelésére, ezért az Infotv. (GDPR) rendelkezéseit megfelelően kell alkalmazni ezekre az adatokra (célhoz kötött adatkezelés, adatminőség elve, adatkezelés jogalapjai, stb.).

A célhoz kötött adatkezelés elvéről jelenleg az Infotv. 4. §-a rendelkezik, amely értelmében személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig. Az Infotv. 17. § (2) bekezdés d) pontja szerint a személyes adatot törölni kell, ha az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt.

A fentiek értelmében, ha a könyvtárhasználó a kikölcsönzött könyveket visszaszolgáltatta a könyvtárnak, és egyéb kötelezettsége a könyvtár felé már nem áll fenn, kifejezett kérésére olvasójegyét, illetve a kölcsönzéshez szükséges személyes adatokat már nem kezelhetik. A könyvtári szabályzatnak kell rendezni a könyvtárhasználó személyes adatainak kezelésével kapcsolatos kérdéseket, többek között azt is, hogy a türelmi idő letelte után még mennyi ideig kezelik azokat. [Elszámolási vita, kárigény esetén az Infotv. 6. §-ában foglalt adatkezelési jogalapok is alkalmazhatóak.]

A bizonylat megőrzési kötelezettség alapján a számvitelről szóló 2000. évi C. törvény 169. §-a szerint a gazdálkodónak legalább nyolc évig bizonylat megőrzési kötelezettsége van, így amennyiben a könyvtárhasználónak a könyvtárban könyvtárhasználati díjat kell fizetni, akkor legalább nyolc évig a számviteli bizonylatot meg kell őrizni és a könyvtárhasználó személyes adatait is legalább ennyi ideig kezeli. ⁵

A GDPR a könyvtárak életében adatvédelmi szempontból, talán az olvasói szokások, preferenciák, vagyis a profilalkotás területén jelenthet kihívást, mivel az elektronikus nyilvántartások lehetővé teszik az olvasókról nyilvántartott adatoknak az eredeti céltól részben eltérő kezelését, felhasználását. Ez különös súllyal esik latba egy esetleges adatvédelmi incidens esetében, ha egy könyvtár adatbázisa nyilvánosságra kerülne, vagy harmadik személy számára hozzáférhetővé válna. Emellett azonban az az érintett olvasó számára hasznos is lehet, ha személyre szabottan kap információkat a könyvtári állomány változásairól, az érdeklődési körébe tartozó új kiadványokról, ám ez az érintett kifejezett hozzájárulásával, megadott adatkezelési jogalappal lehetséges jelenleg és a jövőben is.

Az információs önrendelkezési jog aspektusából szintén kérdéseket generál a digitalizáció, a könyvtári állományok elektronikus állománnyá történő átkonvertálása, amely személyre szabott és kronologikus, vagy egyéb szempontú összetett keresés lehetőségét is megteremti, amely érintheti az adatalanyok magánéletét. A régen feledésbe merült személyes adatok és érzékeny, különleges adatok egy új életciklusba lépve a magánszférába újólag behatoló módon válnak ismét kutathatóvá. Az elmúlt történelmi korszakok – az akkori szabályok szerint esetleg jogszerű – tudósításai bárki számára kereshetővé válnak, ezek korlátlan kereshetőségének lehetősége számos olyan jogellenes helyzetet generálhat, amelyek a jelen kor jogi szabályaival és a magánélet védelmével összeegyeztethetetlenek. Az elfelejtéshez való jogot ebben az esetben a személyes adatok kitakarásával is biztosítani lehet, amennyiben azt az adatvédelmi rendelet szabályai kötelezővé teszik.

Jegyzetek

1. A Magyar Könyvtárosok Egyesülete 49. vándorgyűlésén (2017. július 6. Miskolc) elhangzott előadás nyomán.

2. Nemzeti Adatvédelmi és Információszabadság Hatóság Beszámolója a 2016. évi tevékenységéről http://naih.hu/files/NAIH-BESZ-MOL–2016_Mid-Res.pdf 13-52. oldal

3. GDPR Preambulum (6) bekezdés

4. Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.)

5. A NAIH-3373-2/2012/V számú állásfoglalás alapján