2. rész: A könyvtárak adatkezelői szerepköre* 

… értesültem arról, hogy engem is nyilvántart ez a Központ.
Nyugtalanítson ez, vagy legyek hálás érte?
Szakonyi Károly: Segítség ezerért1

A terrortámadás könyvtári következményei
Az egész világot alapjaiban megrengető, 2001. szeptember 11-ei támadás után hat héttel az USA törvényhozói elfogadták
a PATRIOT Act néven ismertté vált terrorizmusellenes törvényt. Az amerikai könyvtárak
világát szabályosan megrázta
a jogszabály 215. szakasza, mely lehetővé tette, hogy a szövetségi nyomozók
és hírszerzők titokban adatokat gyűjtsenek
a könyvtárak olvasóinak érdeklődéséről, kölcsönzési
és internethasználati szokásairól.
Az ALA (American Library Association) az elsők között szállt szembe a kormányzati nyomással, és határozottan kiállt
az amerikai polgárok személyiségi jogainak védelme mellett. Mivel a nyomozók kérésére
kötelesek voltak a kért adatokat kiadni,
és erről az érintetteket nem is tájékoztathatták, a könyvtárak a
megelőzéshez folyamodtak: felhívásokban tájékoztatták
a könyvtárhasználókat a lehetséges beavatkozásról.

Sok könyvtárban feliratok jelentek meg, amelyek felhívták a figyelmet arra, hogy a szövetségi ügynököknek joguk van
titokban hozzáférni az ún. érzékeny – köztük a kölcsönzési és internethasználati
– adatokat tartalmazó nyilvántartásokhoz.
Akadt olyan könyvtár is, amelyik egyszerűen beszüntette a
dokumentumkölcsönzést, hogy ne kelljen rendelkezésre bocsátania az olvasókra vonatkozó személyes adatokat.2
*
Az egyéni szabadságjogokra – benne az információs önrendelkezési jogra – nézve alapvető változásokat indított el az ikertornyok elleni, korábban elképzelhetetlen terrortámadás. Valljuk be, a lassan két évtizede elkövetett szörnyű tett kapcsán nemigen jutnak eszünkbe a könyvtárak, pedig ezekben az intézményekben is szép számmal kezelnek személyes adatokat. A 2017. évi könyvtárstatisztika összesített adatai szerint Magyarország 9 millió 830 ezer lakosa 3952 könyvtárat, illetve szolgáltató helyet látogathatott. A lakosság 21,2%-a, 2 086 629 fő iratkozott be valamelyik könyvtárba. A könyvtárhasználók 2017-ben a 20 480 622 személyes látogatás során 24 353 950 dokumentumot kölcsönöztek, az online távhasználat során a könyvtári honlapokon 98 389 237 belépést regisztráltak.3 (2017-ben a könyvtárak által üzemeltetett közösségi oldalak forgalma még nem jelent meg a statisztikai adatok között.4)

Hatalmas számok! A könyvtári rendszer a magyar lakosság egy ötödének meghatározott személyes adatait kezeli, és átlagban valamennyi honfitársunkra évente tíz olyan alkalom jutott, amikor a világhálón könyvtári honlapot vagy adatbázist keresett föl. Mindennek tudatában kell az EU átalános adatvédelmi rendeletének előírásait ismerni és betartani.

Az alábbiakban a könyvtárak szolgáltatási rendszerében jellemzően előforduló, tipikus személyesadat-kezelési helyzeteket tekintjük át a könyvtári tagságtól kezdve a honlaplátogatáson, a regisztrált távhasználaton és a rendezvénylátogatáson keresztül a kamerafelvételek jogszerű kezeléséig. Cikkünkben nem foglalkozunk a könyvtárak munkáltatói szerepköréből adódó, a munkaerő-toborzással, a munkaügyekkel, a megbízási, illetve felhasználási szerződésekkel stb. kapcsolatos személyesadat-kezelésekkel, és nem térünk ki a könyvtáros szakmai szervezetek, illetve a számos intézmény mellett működő könyvtári alapítványok adatkezelésére sem.

Adatkezelőnek minősül-e a könyvtár?

Cikkünk első részében részletesen ismertettük a GDPR 4. cikk 7. pontjában foglalt, az adatkezelőre vonatkozó fogalommeghatározást, amelynek lényege, hogy adatkezelőnek az a jogalany számít, aki/amely önállóan vagy másokkal együtt határozza meg az adatkezelés célját és eszközeit. Amennyiben az adatkezelő mással vagy másokkal együtt határozza meg az adatkezelési célt és az arra szolgáló eszközöket, „akkor közös adatkezelés esete áll fenn.”5

Általánosságban annyit kijelenthetünk, hogy a GDPR definíciója értelmében: ha egy könyvtár a jogállása szerint önálló jogi személy, akkor egyben adatkezelőnek minősül. A több egységből álló intézmények esetében azonban fölmerülhet a kérdés, hogy egy nagyobb szervezet egyik részegységeként funkcionáló könyvtár vajon adatkezelőnek minősül-e, vagy sem?

A magyar könyvtárak többsége – jellemzően a felsőoktatási és iskolai könyvtárak – nem önálló jogi személyként, hanem egy nagyobb szervezeti hierarchiában működik. Ha szigorúan tartjuk magunkat a GDPR által meghatározott alapelvhez, mely szerint az adatkezelő önállóan hozza meg a személyesadat-kezelésre vonatkozó döntéseket, akkor ebben az értelemben az önálló jogi személyiséggel nem rendelkező könyvtárak nem minősülnek adatkezelőnek.

Próbáljuk meg értelmezni a muzeális intézményekről, a nyilvános könyvtári ellátásról és a közművelődésről szóló 1997. évi CXL. törvénynek  [a továbbiakban kulturális törvény vagy Kulttv.] a könyvtári személyesadat-kezelésre vonatkozó előírásait. Fontos figyelni arra, hogy az ágazati törvény hatálya nemcsak a nyilvános könyvtárakra, hanem valamennyi könyvtárhasználóra, a könyvtárakban zajló összes könyvtári tevékenységre kiterjed; laikus okfejtés alapján ebből az következik, hogy – függetlenül attól, önálló jogi személyként működnek-e vagy sem – a nyilvános és a nem nyilvános könyvtárak egyaránt adatkezelőnek minősülnek, mivel a hatályos törvény alapján személyes adatokat kezelnek.

Részletek a kulturális törvényből6

5. § (1) E törvény hatálya kiterjed:

b) a könyvtári dokumentumokra, a könyvtárhasználókra, a nyilvános könyvtárakra, azok fenntartóira, alkalmazottaira és a kiadványok kötelespéldányainak szolgáltatóira, […]

(2) A könyvtári dokumentumok védelmére és nyilvántartására vonatkozó szabályok tekintetében e törvény hatálya kiterjed a nem nyilvános könyvtárakra is.

(3) A könyvtári tevékenységről és a könyvtári alkalmazottakról szóló szabályok vonatkoznak a nem nyilvános könyvtárakra is.

A bizonytalanságot növeli, hogy a kulturális törvény nem került be az ún. GDPR salátatörvénybe,7 és emiatt továbbra is hiányoznak belőle az információs önrendelkezési jogról és az információszabadságról szóló, 2011. évi CXII. törvény (a továbbiakban: Infotv.) által a személyesadat-kezelésre vonatkozóan előírt kötelező feltételek, amelyeket az adatkezelést elrendelő törvénynek – esetünkben a Kulttv.-nek – kell(ene) meghatároznia. Az alábbiakban idézzük az Infotv. vonatkozó szövegét:8

5. Az adatkezelés jogalapja és általános feltételei

5. § (1) Személyes adat akkor kezelhető, ha

 a) azt törvény vagy – törvény felhatalmazása alapján, az abban meghatározott körben, különleges adatnak vagy bűnügyi személyes adatnak nem minősülő adat esetén – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli, […]

(3) Az (1) bekezdés a) pontjában, a (2) bekezdés b) pontjában, valamint az általános adatvédelmi rendelet 6. cikk (1) bekezdés c) és e) pontjában meghatározott adatkezelés (a továbbiakban: kötelező adatkezelés) esetén a kezelendő adatok fajtáit, az adatkezelés célját és feltételeit, az adatok megismerhetőségét, az adatkezelő személyét, valamint az adatkezelés időtartamát vagy szükségessége időszakos felülvizsgálatát az adatkezelést elrendelő törvény, illetve önkormányzati rendelet határozza meg.

A könyvtárhasználókról vezetett személyesadat-nyilvántartás szempontjából mindkét kérdés perdöntő. Tisztán kell(ene) látni, hogy

  • a GDPR és az Infotv. szempontjából valamennyi könyvtár adatkezelőnek minősül-e vagy sem;
  • mivel a kulturális törvényt nem igazították az EU általános adatvédelmi rendeletéhez, a könyvtárhasználókról vezetett nyilvántartásra – mint az 1997. évi CXL. törvényben előírt személyesadat-kezelésre – érvényes-e a GDPR 6. cikk c) pontjában meghatározott jogalap: az adatkezelőre vonatkozó jogi kötelezettség teljesítése?

Tévedés ne essék, ezek nem szónoki kérdések! Vannak olyan szakértők, akik az előzőekben érintett bizonytalan helyzet folytán úgy vélekednek, a kulturális törvény GDPR-megfeleltetésének elmaradása miatt a könyvtárakban zajló személyesadat-kezelés jogalapja nem lehet a jogi kötelezettség teljesítése. Ebből következik, hogy egyesek az önkéntes hozzájárulást, mások pedig a szerződést tartják a könyvtári beiratkozás kapcsán zajló adatkezelés releváns jogalapjának.

Az egész könyvtáros szakma szempontjából rendkívül fontos lenne, hogy az illetékes hatóságok állást foglaljanak ezekben az alapvető kérdésekben.

Hatósági állásfoglalás híján úgy értelmezzük a jogszabályokat, hogy a beiratkozáskor kezelendő, a Kulttv. 57 §.-ban körülírt személyes adatokat – a természetes személyazonosító adatokat és a lakcímet – a könyvtárak a GDPR 6. cikk c) pontjában meghatározott jogalap: az adatkezelőre vonatkozó jogi kötelezettség teljesítése alapján kezelik.

A kulturális törvény 55. §-a olyan feladatokat is előír, amelyek ellátása során a könyvtáraknak a különböző nyilvántartásaikban személyes adatokat kell kezelniük: ebből szintén arra következtethetünk, hogy a kulturális törvényben meghatározott közérdekű feladataik alapján – függetlenül egy szervezet hierarchiájában betöltött szerepüktől – a könyvtárak adatkezelőnek minősülnek.

Miért van ennek a kérdésnek jelentősége? Két okból biztosan:

  • a közfeladatot ellátó adatkezelők kötelesek adatvédelmi tisztviselőt kinevezni [GDPR 37. cikk (1) bekezdés a) pont];
  • a GDPR 13. és 14. cikke részletes tájékoztatási kötelezettséget ír elő az adatkezelők számára.

Az adatkezelés jogszerűsége – alapelvek és jogalapok a könyvtári gyakorlatban

Fölelevenítve a cikk első részében leírtakat: az adatkezelés akkor jogszerű, ha betartjuk a GDPR által előírt alapelveket: a tisztességes és átlátható, célhoz kötött adatkezelést, illetve az adattakarékosság, a pontosság, a korlátozott tárolhatóság, az integritás és bizalmas jelleg, továbbá az elszámoltathatóság elvét. [GDPR 5. cikk] Ahogy az adatkezelés során mindenkinek, úgy a könyvtáraknak is eleget kell tenniük valamennyi alapelvnek.

Az alapelvek érvényesülésének biztosítása mellett minden alkalommal meg kell keresni az adatkezelés jogalapját, amely hatféle lehet: az érintett önkéntes hozzájárulása; az érintett féllel kötött szerződés; az adatkezelőre háruló jogi kötelezettség; természetes személy(ek) létfontosságú érdekének védelme; közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végrehajtott feladat; az adatkezelő vagy harmadik fél jogos érdeke. [GDPR 6. cikk]

Érvényes jogalap nélkül nem lehet jogszerűen személyes adatot kezelni, ezért első lépésként minden esetben meg kell állapítani a személyesadat-kezelés jogalapját. A könyvtári szolgáltatásokkal kapcsolatban az adatkezelőre háruló jogi kötelezettség mellett az érintett önkéntes hozzájárulása a leggyakoribb jogalap, de a későbbiekben látni fogjuk, hogy vannak olyan feladatok, amelyeknél a közérdekű feladatellátás teremti meg a jogszerű adatkezelés jogalapját. Bizonyos esetekben számos könyvtár használati szabályzata készfizető kezessel kötendő szerződést ír elő a beiratkozás feltételéül – ekkor a szerződéskötés a GDPR szerinti jogalap.

A személyes adatok könyvtári kezelésének tipikus esetei

A könyvtári alapfeladatokhoz kapcsolódó szolgáltatások szinte mindegyikével együtt jár a személyes adatok kezelése. Ebben a fejezetben a GDPR jogalapjai mentén vesszük számba a leggyakrabban előforduló adatkezelési eseteket.

Jogi kötelezettség teljesítésén alapuló adatkezelés

Erre a jogalapra vonatkozóan a GDPR az adatkezelés szükségességét írja elő. Akkor releváns ez a jogalap, ha az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez az adatkezelés elengedhetetlen. A könyvtári szolgáltatások ellátása során ilyen eset a beiratkozás és a kölcsönzési adatok nyilvántartása. Az adott könyvtár használati szabályzatán múlik, 16 év alattiak beiratkozhatnak-e a könyvtárba, illetve, hogy az ingyenes nyilvános könyvtári szolgáltatásokat beiratkozás nélkül igénybe vevők személyes adatait regisztrálják-e, vagy sem.

Beiratkozás

Könyvtári tagság létesítésekor – a beiratkozáskor – az adatkezelés jogalapja az adatkezelőre háruló jogi kötelezettség teljesítése: a kulturális törvény 57. §. (1) bekezdése szerint „A könyvtárhasználónak a beiratkozáskor a következő személyes adatait kell közölnie és igazolnia: természetes személyazonosító adatok és lakcíme.” A természetes személyazonosító adatok a családi- és utónév, születéskori név, anyja neve, születési hely és idő.

Meddig kezelheti a könyvtár a könyvtárhasználó adatait? Tételesen erről jogszabály nem szól, ezért a könyvtárhasználati szabályzatban kell meghatározni, hogy a könyvtári tagság érvényességének lejárta után mennyi ideig tárolják az adatokat. A korlátozott tárolhatóság alapelve miatt indokolatlanul hosszú időt nem lehet megadni. Általánosságban elfogadható lehet a Polgári Törvénykönyvről szóló 2013. évi V. törvényben (a továbbiakban Ptk.) meghatározott öt éves általános elévülési időtartam. Amennyiben azonban a könyvtárhasználónak valamilyen díjat (például könyvtárhasználati díjat) kellett fizetnie, a díjfizetést igazoló bizonylatot a számviteli törvény9 előírásainak megfelelően legalább nyolc évig meg kell őrizni. Ebből következik, hogy a könyvtárhasználó személyes adatait is ugyanennyi ideig kezelni kell.10

A beiratkozás alkalmával a GDPR 13. cikke alapján az érintettet előre kell tájékoztatni arról, mely személyes adatait, milyen jogalappal, mennyi ideig őrzi a könyvtár, továbbá arról, hogy a személyes adatokat a könyvtár tisztességesen, jogszerűen, átláthatóan, célhoz kötötten, a szükséges mértékben és időtartamban, pontosan, naprakészen, biztonságosan tárolja. Mindezekkel a szempontokkal ki kell egészíteni a könyvtárhasználati szabályzatot, illetve az összes olyan könyvtári szabályzatot, amely személyes adatok kezelésével kapcsolatos munkafolyamatokról szól.

  • Kiskorúak adatainak kezelése

A gyermekek védelméről és a gyámügyi igazgatásról szóló 1997. évi XXXI. törvény (Gyvt.) szülői kötelességként határozza meg a gyermek nevelését, amelynek során a gyermeki jogokra tekintettel kell lenni. A szülői felügyeletet és a törvényes képviseletet a Ptk. a következőképpen szabályozza: a nevelést érintő kérdéseket a szülői felügyelet körébe utalja.

A törvényes képviseletet – amely a szülői felügyeletet gyakorló szülőt illeti meg – a gyermek személyi és vagyoni ügyeiben lehet gyakorolni. Akik közösen gyakorolják a szülői felügyeletet, a képviselet joga is közösen illeti meg. Ha mindkét szülő jogosult a törvényes képviselőt megillető jogok gyakorlására, nem minden esetben szükséges mindkét szülő együttes jognyilatkozata (vagyis a hozzájárulás együttes megadása). A Ptk. csak néhány kivételes helyzetben írja elő a szülők együttdöntési kötelezettségét – a könyvtári adatkezelés nem tartozik e kivételes esetek közé. Abból adódhatnak gondok, ha a felügyeleti joggal nem rendelkező szülő – jogosulatlanul – rendelkezik gyermeke adatainak kezeléséről.

Az adatkezelőnek a gyermekek életkora szerint különböző érintett(ek) hozzájáruló nyilatkozatát kell bekérnie:

  • 14 év alatt érvényes adatkezelési hozzájáruló nyilatkozatot kizárólag a törvényes képviselő tehet,
  • 14–16 év között a törvényes képviselő a gyermekkel közösen dönt,
  • 16 év felett pedig elegendő az érintett nyilatkozata.

Mindebből következik, hogy a nagyszülők és más családtagok nem jogosultak a gyermek adatainak kezeléséhez hozzájárulni.

Az adatkezeléshez megadott jogosultság nem azonos a nemzeti vagyon11 részét képező könyvtári állomány védelmét célzó, az esetleges kártérítési igények alapjául szolgáló kezességi szerződéssel (kezességvállalási nyilatkozattal) – ezt a kérdést a Szerződésen alapuló adatkezelés című fejezetben tárgyaljuk.

A gyermekek számára rendezett könyvtári programok általában nincsenek regisztrációhoz kötve, a részvételhez nem szükséges személyes adatokat megadni. A legtöbb eseményen azonban készülnek személyes adatnak minősülő kép- és hangfelvételek, amelyek kezeléséhez az érintett – 16 éves kor alatti gyermek esetében a törvényes képviselő – hozzájárulása kell, különösen a nyilvánosságra hozott felvételek esetében.12  Az érintett tiltakozhat a felvételek nyilvánosságra hozatala ellen.

• Kölcsönzési adatok nyilvántartása

A Kulttv. 60/A. és 60/B. § rendelkezik a könyvtári dokumentumokról. A törvény előírja, hogy a könyvtári dokumentumok adatait elsősorban elektronikusan vezetett nyilvántartásban kell rögzíteni.

Az integrált könyvtári rendszerek (IKR-ek) a könyv­tár­használó személyazonosító adatait, olvasó­je­gyé­nek azonosítóját és jelszavát, a kölcsönzött do­ku­men­tum(ok) adatait, a kölcsönzés dátumát és lejárati idejét, a hosszabbítás(ok) számát és azok lejáratát, valamint az esetleges tartozásokra vonatkozó adatokat rögzítik. Az IKR-ek többnyire távhasználati lehetőséget is biztosítanak, lehetővé téve a hosszabbítást és az előjegyzést, de számos helyen mód van a tartozások online rendezésére is.

Az érintett hozzájárulásán alapuló adatkezelés

A kulturális törvény csak a beiratkozáskor kezelendő adatokról rendelkezik; minden további személyesadat-kezeléshez meg kell állapítani a releváns jogalapot, amely számos esetben az érintett hozzájárulása lehet. Tipikusan az önkéntes hozzájárulás alapján kezeli a könyvtár az e-mail címet és a telefonszámot, de ugyanez a jogalapja a honlapokon gyakori sütikezelésnek, az olvasói terekben elhelyezett kamerák működtetésének, vagy a rendezvényeken készülő kép- és hangfelvételeknek, de logikailag szintén ide tartozik a könyvtáron belül elérhető vezeték nélküli hálózatok elérhetővé tétele, mivel az intézményi WiFi-re általában az azonosító adatok (pl. az olvasójegy kódja és a jelszó, vagy az EDU-ID) megadásával lehet csatlakozni.

A GDPR rendelkezik az érintett hozzájárulásán alapuló adatkezelés előfeltételeiről, amelyeket az előző számunkban részletesen ismertettünk. A későbbiekben visszatérünk az adatkezelési tájékoztatók tartalmi követelményeire.

Itt is felhívjuk a figyelmet arra, hogy a hozzájárulás alapján megadott adatokat az érintett bármikor visszavonhatja. Az adatkezelés visszavonására irányuló kérelmeket írásban (papíron vagy e-mailben) kell az érintettnek benyújtania; a törlési kérelmekről az adatkezelőnek külön nyilvántartást kell vezetnie.

Adatkezelés az online kommunikáció során

Korábban már említettük, hogy a GDPR egyértelműen a személyes adatok közé sorolja az online azonosítókat, mint például az IP-címeket, a cookie-azonosítókat, a rádiófrekvenciás azonosító címkéket stb., ugyanis ezek az egyedi azonosítók a szerverek által fogadott egyéb információkkal összekapcsolva felhasználhatók a természetes személyek azonosítására, illetve profilalkotásra. Ennek következtében az online kommunikáció során keletkező személyes adatok kezelésére ugyanazok a szabályok vonatkoznak, mint a hozzájárulás alapján történő többi adatkezelésre.

A dolog természetéből adódóan az első fontos kérdés, hogy az adatkezelő saját tevékenységi körében, vagy adatfeldolgozó igénybevételével kezeli-e a keletkező személyes adatokat. Van olyan könyvtár, amelyik saját szerverén, saját munkatársaival, adatfeldolgozó bevonása nélkül üzemelteti, fejleszti a honlapját. Amennyiben viszont a honlap karbantartását, üzemeltetését külső megbízott látja el, a GDPR szerint ez a vállalkozás adatfeldolgozónak minősül, amellyel az adatkezelő könyvtár köteles részletes szabályokat tartalmazó szerződést kötni.

• Könyvtári honlapok

Az online kommunikáció számtalan protokoll, szabvány alkalmazása révén működik: ezek a hardver és szoftver elemekre, az adattovábbításra stb. egyaránt érvényesek. A webszervereket elérhetővé tevő böngészőprogramok jó néhány információt tárolnak az online kommunikációba bekapcsolódó eszközök paramétereiről, illetve az eszközökkel végzett műveletekről.

  • Webszerver naplófájlok

A webszerverek folyamatosan naplózzák a hozzáférést kezdeményező eszközön futó böngészőprogram által küldött információkat. A naplófájlba kerülő adatok: az eszköz internetprotokoll-címe (IP-címe), a webböngésző típusa és verziója, a használt operációs rendszer, az előzőleg meglátogatott oldal, a kiszolgálóhoz való kapcsolódás időpontja és időtartama, a megtekintett oldalak, az átvitt adatmennyiség stb.

A könyvtárnak meg kell határoznia, mennyi ideig őrzi a webszerveren keletkező naplófájlokat, gondoskodnia kell annak biztonságos tárolásáról és az illetéktelen hozzáférés megakadályozásáról. Az adatkezelőnek arról is tájékoztatnia kell a honlaplátogatókat, a statisztikai célon kívül használja-e automatikus adatkezelésre és/vagy profilalkotásra a tárolt adatokat.

  • Az online kommunikáció során használt azonosítók, sütik, webjelölők kezelése

Amint a fejezet bevezetőjében írtuk, az online tartalomszolgáltatás egyik velejárója, hogy a web­bön­gé­szőkön keresztül a tartalomszolgáltató szerverek bizonyos információkat összegyűjtenek a feléjük irányuló kérésekről. A böngészés során a webszerver ún. cookie-kat – a honlaphoz csatlakozó számítógépre települő információcsomagokat – hoz létre a felhasználó eszközén, amelyeket a böngésző a szerver felé irányuló összes kérés alkalmával visszaküld a webszervernek. A felhasználó eszközén ezek az információcsomagok egy elkülönített könyvtárba kerülnek.

A cookie-k (magyarul sütik) a tartalomszolgáltató által meghatározott információtartalmat hordoznak. Miután ezek az automatikusan keletkező adathalma­zok alkalmasak az adott eszközt használó természetes személy azonosítására, a GDPR filozófiája alapján a sütik használata során keletkező személyes adatok is a Rendelet hatálya alá tartoznak.

A többi személyes adathoz hasonlóan a sütiket is kizárólag célhoz kötötten szabad kezelni; az adatkezelési célokat a sütikezelésről szóló tájékoztatóban le kell írni, a sütikezelésre pedig a honlapon jól látható módon fel kell hívni a figyelmet. A felhasználónak van lehetősége arra, hogy a webböngészőben beállítsa vagy letiltsa a sütik használatát, de ez utóbbi esetben gyakran korlátozottá válik a honlap egyes funkcióinak használata.

A sütikezelés általában biztonsági, adminisztratív, statisztikai, marketing célokat szolgál; alkalmas a web­hely látogatottságának mérésére, a böngészés megkönnyítésére, a felhasználói élmény javítására, célzott hirdetések küldésére.

A sütiket sokféleképpen nevezik és csoportosítják – az egyik felosztás szerint vannak

  • a munkafolyamat idején érvényes (ideiglenes vagy munkamenet) sütik,
  • állandó (mentett) – sütik, és

származhatnak

  • a webhely üzemeltetőjétől (belső sütik), illetve
  • harmadik féltől (külső sütik).

A böngészés befejezését követően törlődő ideiglenes sütik teszik lehetővé, hogy a honlap használata során a szerver felismerje az adott eszközt, megjegyezze a beállításokat, megkönnyítse a weboldalakon a navigálást.

A mentett sütik – amelyek a honlaplátogatás befejezése után a szolgáltató által meghatározott ideig az érintett eszközén maradnak – célja, hogy a webszerver újabb felkeresése során lehetővé váljon a felhasználók preferenciáinak, korábbi műveleteinek, adatainak (például a felhasználó nevének és jelszavának) felidézése.

A GDPR külön tárgyalja a harmadik fél által kezelt személyes adatokra vonatkozó szabályokat. Ebbe a körbe tartoznak a külső szolgáltatótól származó sütik, amelyek alkalmazására speciális szabályok érvényesek.

A külső sütikre tipikus példa a webszerver forgalmát monitorozó Google Analytics© által használt információcsomag. A webforgalom mérését a tartalomszolgáltató rendeli meg a Google Analytics-től. A keresések monitorozását lehetővé tevő kódokat az adott webszerver üzemeltetője építi be az általa szolgáltatott fájlokba. Az ügyfelei webhelyein zajló tevékenységekről a Google Analytics végzi az adatgyűjtést, a sütik alapján készülő statisztikai kimutatásokat a Google készíti. A szolgáltatás adatkezelője a Google Analytics, a Google pedig az adatfeldolgozója.13 A Google Analytics állandó sütiket hoz létre, amelyeket maximum két évig tárol, a felhasználónak azonban módjában áll letiltani ezeket a sütiket is.14

Könyvtári közösségi oldalak

Egyre több könyvtár használja ki a közösségi oldalak nyújtotta lehetőségeket szolgáltatásai népszerűsítése, programjai bemutatása, dokumentálása érdekében. A GDPR szempontjából az adatkezelő szerepét a Facebook, az Instagram stb. tölti be. Annak ellenére, hogy a könyvtár nem adatkezelő, hanem az általa létrehozott profil fenntartója, vita esetén azonban a feltöltött tartalmakért, sőt mi több, a tartalmakhoz fűzött kommentekért nem az adatkezelőt, hanem a profil létrehozóját vonják felelősségre.15

•   Kép- és hangfelvételek közzététele közösségi oldalon

Ahogy a szerzői jogi védettség alatt álló művek, úgy a természetes személyek azonosítására alkalmas kép- és hangfelvételek, szövegek feltöltése során is fokozottan kell ügyelni arra, hogy a könyvtár elkerülje a jogsértést. Az előbbi esetben felhasználási engedély, az utóbbiban az érintett hozzájárulása szükséges a feltöltéshez. A kellő jogalap nélkül közzétett tartalmak egyrészt személyiségi, másrészt adatvédelmi jogot sérthetnek.

Elektronikus megfigyelőrendszer az olvasói terekben

Számos könyvtár működtet az olvasói terekben elektronikus megfigyelőrendszert (térfigyelő kamerát), amelynek célja az emberi élet, a testi épség, valamint a vagyon védelme érdekében a balesetek és jogsértések megelőzése, észlelése, az esetleges elkövető tettenérése és a jogsértések bizonyítása.

A kezelt adatok köre: az érintettek kép- és hangfelvételeken rögzített képmása, hangja és egyéb személyes adatai.

A térfigyelő kamerák által készített kép- és hangfelvételek rögzítésére, felhasználási és megőrzési szabályaira a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (Szvtv.) rendelkezései érvényesek. Ezt az adatkezelési tevékenységet mégis az önkéntes hozzájárulás teremtette jogalap körében tárgyaljuk, ugyanis az elektronikus megfigyelőrendszer alkalmazása nem kötelező a könyvtárak számára, és az érintettek sem kötelesek a megfigyelt olvasói terekben tartózkodni.

A könyvtár (illetve a bekamerázott helyiség) bejáratánál jól láthatóan ki kell helyezni a megfigyelőrendszer működésére utaló jelzést. Az adott területre való belépés az érintett részéről ráutaló magatartást jelent. Erre az adatkezelési tevékenységre is érvényes a teljeskörű tájékoztatási kötelezettség: önmagában a piktogram kevés. A területre való belépés előtt az érintetteket tájékoztatni kell a legfontosabb tudnivalókról:

  • Az adatkezeléshez való kifejezett hozzájárulásnak minősül, ha a tájékoztató ismeretében az érintett bemegy a kamerával megfigyelt területre, helyiségbe.
  • Az elektronikus megfigyelőrendszer üzemeltetésének időtartama;
  • a felvételeket hol tárolják, és kik jogosultak figyelemmel kísérni a kamerák aktuális állapotát, illetve megtekinteni a rögzített felvételeket.

Részvétel a könyvtári programokon

A nyilvános könyvtárak alapfeladatai között a Kulttv. említi a kulturális, közösségi és egyéb könyvtári programok szervezését, amely eseményekhez szintén kapcsolódhat személyesadat-kezelés akár a regisztráció során, akár a jelenléti íveken, akár a kép- és hangfelvételeken stb. Miután a törvény a programszervezéssel kapcsolatban nem ír elő adatkezelést, ezekben az esetekben a jogalap az érintett hozzájárulása lesz.

Regisztrációköteles program esetén a regisztrációs űrlap kitöltése előtt tájékoztatni kell az érintettet az adatkezelés jogalapjáról (önkéntes hozzájárulás), továbbá arról, hogy az űrlapon megadott adatokat a könyvtár kizárólag a programszervezés lebonyolítása érdekében kezeli, és a program lezárulta után x idővel minden adathordozójáról visszavonhatatlanul törli.

A rendezvények meghívóiban kellő hangsúllyal föl kell hívni a figyelmet, ha személyesadat-kezelés – például kép- és/vagy hangfelvétel – történik, továbbá tájékoztatni kell az érintetteket a felvételek további sorsáról. Ha a tervek szerint az elkészült felvételeket a könyvtár nyilvánosságra akarja hozni (pl. a közösségi oldalán), erre vonatkozóan külön kell nyilatkoztatni az érintetteket. A felvétel készítéséhez való hozzájárulás nem jelenti egyúttal a közzétételbe való beleegyezést.

A személyes adatok különleges kategóriáinak kezelése

A GDPR 9. cikke tiltja a különleges kategóriába tartozó személyes adatok kezelését, de itt is vannak kivételek. Ha az érintett kifejezett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez, akkor a könyvtár is kezelheti az érintett egészségi állapotára, érdeklődési körére stb. vonatkozó személyes adatokat.

A Fővárosi Szabó Ervin Könyvtárban például mentesülnek a beiratkozási díj fizetése alól a súlyos fogyatékossággal élők, illetve 50%-os díjkedvezményben részesülnek bizonyos tartós betegségben szenvedők. A beiratkozási díj alóli mentességet, illetve a kedvezményre való jogosultságot igazolni kell, vagy az orvos, vagy a Magyar Államkincstár által kiállított hatósági igazolvánnyal. Statisztikai célból a könyvtár rögzíti a kedvezményre jogosító kódot.16

Az olvasói szokások és preferenciák, vagyis a profilalkotás területén a GDPR kihívást jelent a könyvtárak számára, mivel az adatbázisokban rögzített információk révén lehetővé válik az olvasókról nyilvántartott adatoknak az eredeti céltól részben eltérő kezelése, felhasználása.17

Közérdekű feladat végrehajtásához szükséges adatkezelés

A GDPR 6. cikkében felsorolt hat jogalap közül az egyik a közérdekű feladatellátás vagy közhatalmi jogosítvány gyakorlása. Amennyiben ez a jogalap érvényes, akkor – meghatározott feltételek érvényesülése esetén – az adatkezelő kivételes szabályokat alkalmazhat a személyes adatok kezelése során. Az adatkezelési célok között a Rendelet szövegében több helyen említést nyer a könyvtárak szempontjából különleges jelentőségű közérdekű archiválás.

A GDPR 4. cikkének 2. bekezdése határozza meg, a személyes adatokon végzett mely műveletek minősülnek adatkezelésnek – ezek közül itt csak az archiválásra közvetlenül vonatkoztathatókat emeljük ki: gyűjtés, rögzítés, tárolás, átalakítás, lekérdezés, betekintés, felhasználás, közlés, továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel – tehát a digitalizálás és a digitalizált állományok közzététele egyértelműen adatkezelésnek minősül.

Az adatkezelőre háruló kötelezettség az adatkezelés céljának meghatározása, amelynek meg kell felelnie a GDPR 5. cikke szerinti alapelveknek, elsősorban az adattakarékosság és a korlátozott tárolhatóság elvének.

Kell-e törölni személyes adatokat a digitalizált, online elérhető dokumentumokból?18

N.N. írásban fordult a …-i könyvtárhoz, jelezve, hogy élni kíván a GDPR-ban biztosított tiltakozási jogával, és kéri törölni a könyvtár által digitalizált és az interneten közzétett …-i megyei napilap egyik cikkében róla korábban megjelent adatokat.

Az érintett beadványával kapcsolatos legfontosabb kérdések:

      • Jogszerűen kezeli-e a könyvtár a digitalizált állományokban előforduló személyes adatokat?
      • A konkrét esetben élhet-e az érintett a tiltakozás jogával személyes adatainak kezelése miatt?
      • A könyvtárnak ki kell-e iktatnia a szolgáltatásból a kifogásolt lapszámot, oldalt stb.?

A GDPR (50) preambulumbekezdésében ez áll: „Ha az adatkezelés közérdekből elvégzendő feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása érdekében szükséges, uniós vagy tagállami jog meghatározhatja és pontosan leírhatja azokat a feladatokat és célokat, amelyek tekintetében a további adatkezelés jogszerűnek és összeegyeztethetőnek tekintendő. A közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból folytatott további adatkezelést összeegyeztethető, jogszerű adatkezelési műveleteknek kell tekinteni.”19

Idézzük fel, mit ír a Rendelet a jogszerű adatkezelésről! „személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül: […]  az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges.” [GDPR 6. cikk (1) bekezdés és az e) pont]

Ennek értelmében a könyvtár közérdekű feladatellátásával – köztük a közérdekű archiválással – összefüggő személyesadat-kezelés jogszerűnek minősül.

A GDPR (158) preambulumbekezdése meghatározza a közfeladatot ellátó szervek (így Magyarországon a nyilvános könyvtárak) archiválási célú adatkezelésének feltételrendszerét: „E rendeletet az archiválási célokat szolgáló személyes adatok kezelésekor is alkalmazni kell, szem előtt tartva, hogy e rendelet nem alkalmazható elhunyt személyek személyes adataira. A közérdekű adatokat tároló közhatalmi szervek vagy egyéb, közfeladatot ellátó szervek vagy magánfél szervezetek olyan szolgálatok kell, hogy legyenek, amelyek uniós vagy a tagállami jog szerint kötelesek az általános közérdek szempontjából tartós értéket képviselő adatokat beszerezni, megőrizni, értékelni, rendezni, leírni, közölni, előmozdítani, terjeszteni, illetve azokhoz hozzáférést biztosítani.

Jelentősége miatt szó szerint idézzük a NAIH* tárgy­bani levelének vonatkozó részét: „A Hatóság álláspontja szerint a könyvtárak tevékenysége keretében végzett adatkezelés egyik lehetséges célja — figyelembe véve a muzeális intézményekről, a nyilvános könyvtári ellátásról és a közművelődésről szóló 1997. évi CXL. törvény (a továbbiakban: Kulttv.) 55. § (1) bekezdés b) és f) pontjában foglalt feladatkijelölést — a közérdekű archiválás. A GDPR-t az archiválási célokat szolgáló adatkezelésre is alkalmazni kell a (158) preambulumbekezdés alapján.”20

A NAIH által hivatkozott törvényszöveg:

„A nyilvános könyvtár alapfeladatai

b) gyűjteményét folyamatosan fejleszti, feltárja, megőrzi, gondozza és rendelkezésre bocsátja,

f) biztosítja az elektronikus könyvtári dokumentumok elérhetőségét.” [Kulttv. 55. § (1) bekezdés]

A digitalizálás jogszerű célja a közérdekű archiválás, jogalapja pedig a fent már hivatkozott közérdekű feladat végrehajtása. A Hatóság álláspontja szerint a „könyvtári állományok digitalizálásával a könyvtárak biztosítani tudják állományuk védelmét, a digitalizált dokumentumok nyilvánosságra hozatalával pedig a legszélesebb körben tudják teljesíteni a Kulttv. 55. § (1) bekezdés f) pontjában foglalt alapfeladatukat a Közgyűjteményi Digitalizálási Stratégiának megfelelően.”21

A GDPR 89. cikk első bekezdése alapján a személyes adatok közérdekű archiválás céljából, tudományos és történelmi kutatási célból folytatott kezelését az érintett jogait és szabadságait védő megfelelő garanciák mellett kell végezni, vagyis az adatkezelőnek olyan módon kell kialakítania az adatkezelési folyamatokat, hogy azok megfeleljenek a GDPR rendelkezéseinek. Amennyiben az adatkezelés célja a közérdekű archiválás, a Rendelet 14. cikk (5) bekezdés b) pontja és a 17. cikk (3) bekezdés d) pontja fogalmaz meg kivételszabályokat az érintetti jogok tekintetében.

A NAIH a korábban már idézett levelében ezt írja: „Kiemelendő a GDPR 17. cikk (3) bekezdése szerinti eltérés, amely szerint nem áll fenn az adatkezelő törlési kötelezettsége, ha az adatkezelés például közérdekből végzett feladat végrehajtásához szükséges, vagy a közérdekű archiválás céljából történő adatkezelések esetén, amennyiben az érintett törléshez való jogának gyakorlása valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést.”22

Az Országos Széchényi Könyvtárhoz (OSZK) is érkezett a keretes írásunkban jelzetthez (202. p.) hasonló kérés, amelyben az érintett egy több évtizede megjelent kiadvány digitalizált változatának nyilvánosságra hozatala és kereshetővé tétele ellen tiltakozott. A nemzeti könyvtár kérte a NAIH állásfoglalását. A Hatóság álláspontja szerint a korábban nyilvánosságra hozott művek digitalizálásának és interneten elérhetővé tételének célja a GDPR által körülírt közérdekű archiválás, amelyre vonatkoznak a Rendeletben megfogalmazott kivételes szabályok. A NAIH állásfoglalásában idézte az OSZK-nak e tevékenységére vonatkozó törvényi előírásokat, konkrétan a Kulttv. 61. § (4) a) és e) pontjában rögzítetteket, miszerint a nemzeti könyvtár alapfeladatai közé tartozik

a) a Magyarországon keletkezett kiadványok kötelespéldány-szolgáltatásra alapozott gyűjtése, megőrzése, szétosztása és

e)  gyűjteményének archiválása és védelme.

A hatóság külön felhívta a figyelmet a sajtótermékek kötelespéldányainak szolgáltatásáról és hasznosításáról szóló 60/1988. (III. 27.) Kormányrendelet 7. § (1) bekezdésére, „amely kimondja, hogy kötelespéldányként csak hibátlan, teljes példányok szolgáltathatók, amelyek egy példányából az OSZK előállítja a nemzeti bibliográfiát, majd ezt a példányt archiválja. Ezen rendelkezésekből kiolvasható azon jogalkotói szándék, miszerint az OSZK gyűjteményében szereplő könyvtári dokumentumok hibátlanul, és a maguk teljességében, integritásukat megőrizve kerüljenek archiválásra.”23

Most nézzük meg az érintett oldaláról a kérdést! Mit mond a GDPR annak a természetes személynek, aki töröltetni akarja a róla szóló személyes adatokat? Ha az adatkezelés jogalapja a közérdekű feladatellátás, az érintettet ebben az esetben is megilleti a tiltakozás joga.

„Az érintett jogosult arra, hogy kérhesse a rá vonatkozó személyes adatok helyesbítését és megilleti őt az „elfeledtetéshez való jog”, ha a szóban forgó adatok megőrzése sérti e rendeletet vagy az olyan uniós vagy tagállami jogot, amelynek hatálya az adatkezelőre kiterjed. Az érintett jogosult különösen arra, hogy személyes adatait töröljék és a továbbiakban ne kezeljék, ha a személyes adatok gyűjtése vagy más módon való kezelése az adatkezelés eredeti céljaival összefüggésben már nem szükséges, vagy ha az érintettek visszavonták az adatok kezeléshez adott hozzájárulásukat, vagy ha személyes adataik kezelése egyéb szempontból nem felel meg e rendeletnek. […] Ugyanakkor a személyes adatok további megőrzése jogszerűnek tekinthető, ha az a véleménynyilvánítás és a tájékozódás szabadságához való jog gyakorlása, […] illetőleg közérdekből végzett feladat végrehajtása vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlása miatt, […] közérdekű archiválás céljából […] szükséges. [GDPR (65) preambulumbekezdés]24

Ha az érintett tiltakozik az adatkezelés — esetünkben a személyes adatait tartalmazó digitalizált újságcikk nyilvánosságra hozatala — ellen, az adatkezelő nem kezelheti tovább a személyes adatokat, kivéve, ha bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben. „Ezen mérlegelést az adatkezelőnek a tiltakozási jogát gyakorló érintett érdekeinek és jogainak figyelembevételével esetről esetre kell elvégeznie. A könyvtárak azonban ilyen esetekben sem módosíthatják a digitalizált könyvtári dokumentumok tartalmát, mivel feladatuk az állomány gondozása, megőrzése, amely együtt jár a dokumentumok integritásának megőrzésével is.”25

Ezt a fejezetet a GDPR egyik legnagyobb vívmányának tartott joggal, a 17. cikkben garantált, a törléshez, az „elfeledtetéshez” való jog érvényesülésének kérdésével zárjuk. A 17. cikk (1) bekezdése kimondja, hogy az érintett jogosult kérni a rá vonatkozó személyes adatok törlését, az adatkezelő pedig köteles az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölni, feltéve, ha… – és itt felsorolják a törlési kérelmet alátámasztó indokokat. A (2) bekezdés azt mondja ki, hogy az adatkezelő nemcsak törölni köteles az érintettre vonatkozó, általa törölni kért adatokat, de a többi adatkezelőt is tájékoztatnia kell arról, „hogy az érintett kérelmezte tőlük a szóban forgó személyes adatokra mutató linkek vagy e személyes adatok másolatának, illetve másodpéldányának törlését.”

A 17. cikk (3) bekezdésének d) pontja viszont így szól: „Az (1) és (2) bekezdés nem alkalmazandó, amennyiben az adatkezelés szükséges: d) a 89. cikk (1) bekezdésével összhangban a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból, amennyiben az (1) bekezdésben említett jog valószínűsíthetően lehetetlenné tenné vagy komolyan veszélyeztetné ezt az adatkezelést.”

A GDPR vonatkozó szabályait a könyvtárak oldaláról összefoglalva tehát kimondhatjuk, hogy a nemzeti kulturális örökség megőrzése szempontjából perdöntő jelentőségű a könyvtári digitalizálás, illetve a digitalizált állományok online hozzáférhetővé tétele. E közérdekű tevékenység ellátása fontos kötelezettség a nyilvános könyvtárak számára, amelyek e feladatkörükben is kötelesek a múltban nyilvánosságra hozott dokumentumok sértetlenségét, tartalmi hűségét, integritását biztosítani.

Amennyiben az érintett élni akar az elfeledtetéshez való jogával, lehetősége van a keresőszolgáltatókhoz folyamodni, és tőlük kérni a rá vonatkozó internetes tartalom kereshetőségének törlését. A Google a törlési kérések kezelésére magyar nyelvű oldalt is fönntart Kereséseltávolítások az európai adatvédelmi törvénynek megfelelően címmel.

A Google esetében a magánszemélyek öt éve élhetnek ezzel a lehetőséggel: ez idő alatt több mint 800 ezer törlési kérelem érkezett, amelyekben több mint 3,1 millió URL-t kértek eltávolítani az internetről.26 A Google minden egyes kérést megvizsgál; öt év alatt a kért URL-ek 44,5%-át távolította el.27 A többi nagy keresőszolgáltatónál (pl. Yahoo, Bing) is lehet kezdeményezni az internetre került tartalom eltávolítását.

Szerződésen alapuló adatkezelés

A könyvtári beiratkozással ún. kötelmi jogviszony, haszonkölcsön-szerződés jön létre, amelyet a Polgári Törvénykönyv így határoz meg: haszonkölcsön-szerződés alapján a kölcsönadó meghatározott dolog időleges használatának ingyenes átengedésére, a kölcsönvevő a dolog átvételére köteles [Ptk. 6:357. § (1.) bek.].28 A dokumentumok kölcsönzését biztosító közkönyvtárakra a nyilvános haszonkölcsönzés szabályai vonatkoznak. Újabban komoly vita zajlik arról, vajon az elektronikus dokumentumok kölcsönzésére29 is lehet-e ugyanezeket a szabályokat érvényesíteni, vagy sem. Miután a jelen cikk az adatkezelésről szól, nem megyünk bele ezeknek a szerzői jogi kérdéseknek a taglalásába, de nyilvánvaló, hogy egy elektronikus dokumentum kölcsönzése szintén személyesadat-kezeléssel jár.

A kölcsönzési szolgáltatást nyújtó könyvtárakba történő beiratkozáskor a könyvtárhasználó kötelezettséget vállal arra, hogy az általa kikölcsönzött dokumentumokat meghatározott kondícióknak megfelelően visszajuttatja a könyvtárba – ellenkező esetben az intézmény használati szabályzatában rögzített feltételek szerinti költségeket (késedelmi díj, kártérítés stb.) meg kell térítenie.

Általában saját jogon csak cselekvőképes, nagykorú személyek írhatnak alá kötelezettségvállalást, a kiskorúakért, illetve a korlátozott cselekvőképességűekért a törvényes képviselő köteles helytállni.

Számos könyvtárhasználati szabályzat rendelkezik arról, hogy a kiskorúak csak a törvényes képviselőjük készfizető kezessége mellett iratkozhatnak be a könyvtárba. A készfizető kezessel a könyvtár írásbeli szerződést (megállapodást) köt.

Az adatkezelés célja a nemzeti vagyon védelme30, a GDPR szerinti jogalapja az érintettel kötött szerződés.

A szerződésben kezelt személyes adatok körére nincs kötelező előírás, arra az általános szerződési szabályok érvényesek. A készfizető kezesnek meg kell adnia a saját és az anyja nevét, lakcímét, személyiigazolvány-számát, továbbá annak a személynek az adatait, akiért kezességet vállal.

Az adatok megadása a szerződéskötés feltétele.

Az adatkezelés ideje az általános elévülési idő: a Ptk. 6:22. § (1) bekezdése alapján a szerződés megszűnésétől számított öt év, díjfizetés esetén pedig a korábban már említett, a számviteli törvény által szabályozott nyolc éves bizonylat-megőrzési kötelezettség áll elő.

A személyesadat-kezeléssel kapcsolatos feladatok a GDPR-nak való megfelelés érdekében

Az alábbiakban számba vesszük a személyesadat-kezeléssel járó könyvtári feladatokat.

Adatkezelési tájékoztató/szabályzat készítése

Elsőként az a kérdés merülhet föl: adatkezelési szabályzat vagy adatkezelési tájékoztató készítése kötelező? A Rendelet csak a tájékoztatási kötelezettségről szól, annak formájáról nem. A NAIH is megerősítette, hogy nem feltétlenül kell adatkezelési szabályzatot kiadni,31 de véleményünk szerint előbb-utóbb ez elkerülhetetlen feladat lesz a könyvtárak számára. A Kulttv. ugyan nem lett „GDPR-kompatibilis”, de az Infotv. rendelkezései továbbra is érvényesek a közfeladatot ellátó szervekre, köztük a könyvtárakra.

Az adatkezelési tájékoztató szerkezetére nézve nincsenek kötelező szabályok. Egy nagyobb intézmény szervezeti egységeként működő könyvtár esetében vélhetően az „anyaintézménynek” van adatkezelési szabályzata – ekkor a legjobb megoldás, ha annak egy fejezete foglalkozik a könyvtári sajátosságokkal. Az önálló jogi személyként működő könyvtárakban teljes körű adatkezelési szabályzatot vagy tájékoztatót kell készíteni – cikkünkben igyekszünk ehhez néhány támpontot megadni.

Az adatkezelési tájékoztatóval kapcsolatos követelmények

A GDPR 13. cikke írja elő az adatkezelő tájékoztatási kötelezettségét, illetve azt, mely információkat kötelező a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátani. A Rendelet vonatkozó részét ismertettük cikkünk előző részében, az alábbi táblázatban főként a könyvtárakra vonatkozó, illetve vonatkoztatható általános előírásokra hívjuk föl a figyelmet.

Adatkezelési tájékoztató

1. Az adatkezelő azonosítása

  • Kötelező adatok: a szervezet/szervezeti egység neve, elérhetősége (címe, telefonszáma, e-mail címe), a szervezetet képviselő vezető neve, továbbá az adatvédelmi tisztviselő neve, elérhetősége, és ha van, az adatfeldolgozó adatai.

2. A személyes adatok kezelésére vonatkozó szabályok

2. 1 Az GDPR adatkezelési alapelvei

  • a jogszerű, tisztességes és átlátható, célhoz kötött adatkezelés elve;
  • az adattakarékosság, a pontosság, a korlátozott tárolhatóság, az integritás és bizalmas jelleg, továbbá
  • az elszámoltathatóság elve.

2.2 Az adatkezelés jogszerűsége, a „jogalapok”

  • a személyes adatok tervezett kezelésének célja,
  • az adatkezelés jogalapja:32
  • az érintett önkéntes hozzájárulása,
    • az adatkezelőre vonatkozó jogi kötelezettség,
    • szerződés az érintettel,
    • közérdekű feladat ellátása.

2.3 Az érintett jogai

A tisztességes és átlátható adatkezelés biztosítása érdekében az adatkezelőnek a személyes adatok megszerzésének időpontjában tájékoztatnia kell az érintettet

  • az előzetes tájékozódáshoz, a hozzáféréshez, a helyesbítéshez, a törléshez – vagyis az „elfeledtetéshez” –, az adatkezelés korlátozásához, az adathordozhatósághoz, a tiltakozáshoz való jogáról;
  • a személyes adatok tárolásának időtartamáról;
  • az adatok továbbításáról (adatfeldolgozó vagy harmadik fél számára);
  • a személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettségről;
  • a gyermek hozzájárulására vonatkozó feltételekről;
  • az esetleges adatvédelmi incidensről;
  • a felügyeleti hatóságnál történő panasztételhez – vagyis a hatósági jogorvoslathoz – jogáról;
  • a felügyeleti hatósággal, illetve az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jogáról.

3. Jogszerű adatkezelés a könyvtárakban

3.1 Személyesadat-kezelés beiratkozáskor

  • Jogalap: az adatkezelőre vonatkozó jogi kötelezettség (törvény által előírt adatkezelés: 1997. évi CXL. tv. 57. §. (1) bekezdés)
  • Kezelhető adatok: természetes személyazonosító adatok + lakcím, vagyis: név (családi és utónév), születési név, anyja neve, születési helye és ideje, illetve a lakcím (tartózkodási hely, értesítési cím).

3.2 Személyesadat-kezelés a könyvtárhasználat során

  • Jogalap: az érintett hozzájárulása

3.2.1 A könyvtári szolgáltatásokhoz kapcsolódó adatkezelés

  • Az adatkezelés célja: kapcsolattartás, előjegyzés, emlékeztetés a kölcsönzési idő lejártáról stb.
  • Kezelhető adatok: e-mail cím, telefonszám (indokolt esetben más adatok is)

3.2.2 Hírlevél szolgáltatáshoz kapcsolódó adatkezelés

  • Az adatkezelés célja: az alapfeladatok ellátásához kapcsolódó eseményekről való tájékoztatás.
  • Kezelhető adatok: e-mail cím, telefonszám

3.2.3 A könyvtár által szervezett programok résztvevőire vonatkozó szabályok

  • Az adatkezelés célja: kapcsolattartás
  • Kezelhető adatok: e-mail cím (regisztráció esetén), képmás, hangfelvétel

3.2.4 A honlap böngészésével kapcsolatos adatok – sütik, webjelölők – kezelése

  • Az adatkezelés célja: a honlap megfelelő működése
  • Kezelhető adatok: a böngészésre használt eszköz azonosító adatai

(A táblázat folytatódik.)

3.2.5 Az elektronikus megfigyelőrendszer működtetésével kapcsolatos adatkezelés

  • Az adatkezelés célja: személy- és vagyonvédelem
  • Kezelhető adatok: kép- és hangfelvétel

3.2.6 Az online adatbázisok használatával összefüggő személyesadat-kezelés

  • Az adatkezelés célja: az adatbázis (OPAC, távoli elérésű adatbázisok stb.) hatékony
    használata
  • Kezelhető adatok: e-mail cím, könyvtári regisztráció adatai stb.

3.3 Személyesadat-kezelés digitalizált állományok közzététele során

  • Jogalap: az adatkezelőre vonatkozó jogi kötelezettség (a nyilvános könyvtárak alapfeladatai – 1997. évi CXL. tv. 55. §. (1) bekezdés)
  • Az adatkezelés célja: közérdekű digitalizálás
  • Kezelhető adatok: az eredeti közleményben szereplő adatok (megőrizve az analóg formában nyilvánosságra hozott dokumentum integritását).

4. Adatbiztonsági intézkedések

  • Tájékoztatási kötelezettség:
  • a megtett technikai és szervezési intézkedésekről, a kialakított eljárási szabályokról.
  • Adatvédelmi intézkedések:
  • a véletlen vagy jogellenes megsemmisítés, elvesztés, megváltoztatás, sérülés, jogosulatlan nyilvánosságra hozatal vagy az azokhoz való jogosulatlan hozzáférés elleni védelem;
  • a jogosultsági szintek megadásával a személyes adatokhoz való hozzáférés korlátozása;
  • az informatikai rendszerek tűzfal- és vírusvédelme, az elektronikus úton zajló bejövő és kimenő kommunikáció ellenőrzése.

4.1 Adatvédelmi incidensek

Az adatvédelmi incidens a biztonság olyan sérülése, amely a továbbított, tárolt vagy más módon kezelt személyes adatok véletlen vagy jogellenes megsemmisítését, elvesztését, megváltoztatását, jogosulatlan közlését vagy az azokhoz való jogosulatlan hozzáférést eredményezi [GDPR 4. cikk 12.]

  • Bejelentési kötelezettség:
    • az illetékes felügyeleti hatóságnál (NAIH),
    • 72 órán belül.
    • Feladatok az adatvédelmi incidens bekövetkezte esetén:
      • az érintett rendszerek meghatározása és elkülönítése;
      • az incidenst előidéző bizonyítékok összegyűjtése és megőrzése;
      • a károk helyreállításának megkezdése;
      • a jogszerű működés visszaállítása.

5. Jogérvényesítés

  • Az érintett jogorvoslati lehetőségei:
  • a felügyeleti hatóságnál történő panasztételhez való jog, vagyis a hatósági jogorvoslathoz való jog;
  • a felügyeleti hatósággal, illetve az adatkezelővel vagy az adatfeldolgozóval szembeni hatékony bírósági jogorvoslathoz való jog.

(A táblázat folytatódik.)

FÜGGELÉK

  • A személyes adatok kezelésére vonatkozó fontosabb jogszabályok
  • Fogalommagyarázatok

Az adatkezelési tájékoztató vázlatos felépítése

Az adatkezelési tevékenységek nyilvántartása

A GDPR 30. cikke tételesen előírja az adatkezelők és adatfeldolgozók számára a Rendelet hatálya alá tartozó tevékenységükről szóló nyilvántartás tartalmi követelményeit, amelyet cikkünk első részében ismertettünk.

Adatvagyon-felmérés, adatvagyon-leltár, adattisztítás

Az adatkezelési tevékenységek nyilvántartása elkészítésének első lépése azoknak a munkafolyamatoknak a számba vétele, amelyek kapcsán a könyvtár személyes adatokat kezel. A folyamatokhoz hozzá kell rendelni az adatkezeléssel megbízott munkatársak nevét, akiknek a munkaköri leírásába bele kell foglalni a személyesadat-kezelési tevékenységet.

A Rendelet által előírt nyilvántartáshoz célszerű kidolgozni egy „adatleltárat”, amelyben meghatározzák a könyvtár személyesadat-kezeléssel kapcsolatos feladatait, az adatokkal végezhető műveleteket és a hozzáférési jogosultsággal rendelkező munkatársak nevét és munkakörét.

A GDPR elrendeli az adattakarékosság elvének érvényesülését is, amelynek egyik fontos fázisa az adattisztítás: ezt érdemes az adatvagyon-felméréssel összekötni. Az adattisztítás során valamennyi magántermészetű fájlt el kell távolítani a könyvtári eszközökről, majd azokat a személyes adatokat tartalmazó listákat stb., amelyek őrzésére van kellő jogalap, föl kell venni a személyesadat-kezelési nyilvántartásba, és a továbbiakban biztonságos, zárt helyen kell tárolni. A személyneveket kellő indok nélkül tartalmazó feljegyzéseket, fájlokat stb. meg kell semmisíteni.

Egyéb nyilvántartások (adatvédelmi incidens, törlési kérelmek stb.) elkészítése

Az adatvédelmi incidens fogalmát és a kapcsolatos rendelkezéseket részletesen ismertettük a cikk első részében – itt csak emlékeztetünk arra, hogy az esetlegesen bekövetkező incidensek nyilvántartása is az adatkezelők kötelező feladatai közé tartozik. Az adatvédelmi incidens bekövetkeztéről haladéktalanul értesíteni kell az adatvédelmi tisztviselőt, aki megteszi a szükséges lépéseket.

Az Infotv. által elôírt elektronikus napló kritériumai

A könyvtári integrált rendszerekben zajló személyesadat-kezelésre nemcsak a GDPR előírásai vonatkoznak; az Infotv. speciális szabályokat is előír erre a tevékenységre.

Az adatkezelői és az adatfeldolgozói nyilvántartás és az elektronikus napló

(1) A személyes adatokkal elektronikus úton végzett adatkezelési műveletek jogszerűségének ellenőriz­he­tő­sége céljából az adatkezelő és az adatfeldolgozó automatizált adatkezelési rendszerben (a továb­bi­ak­ban: elektronikus napló) rögzíti

  • az adatkezelési művelettel érintett személyes adatok körének meghatározását,
  • az adatkezelési művelet célját és indokát,
  • az adatkezelési művelet elvégzésének pontos időpontját,
  • az adatkezelési műveletet végrehajtó személy megjelölését,
  • a személyes adatok továbbítása esetén az adattovábbítás címzettjét.

(2) Az elektronikus naplóban rögzített adatok kizárólag az adatkezelés jogszerűségének ellenőrzése, az adatbiztonsági követelmények érvényesítése, továbbá büntetőeljárás lefolytatása céljából ismerhetőek meg és használhatóak fel.

(3) Az elektronikus naplóhoz a Hatóság, továbbá a (2) bekezdésben meghatározott célból jogszabályban meghatározott tevékenységet folytató személy és szervezet részére – azok erre irányuló kérelmére – az adatkezelő és az adatfeldolgozó hozzáférést biztosít, abból részükre adatot továbbít.

(4) Az adatkezelői és az adatfeldolgozói nyilvántartásban, valamint az elektronikus naplóban rögzített adatokat a kezelt adat törlését követő tíz évig kell megőrizni.” [Infotv. 25/F. § ]

A GDPR-megfeleltetés feladatainak összefoglalása

Végezetül egy táblázat segítségével tekintjük át, melyek azok a könyvtári feladatok, amelyeket minimum el kell végezni ahhoz, hogy az intézmény megfeleljen a jogszabályi követelményeknek.

A legfontosabb tennivalók

1. Kötelező feladatok

  • adatvédelmi tisztviselő kinevezése/megbízása;
  • adatvédelmi tájékoztató(k) – adott esetben szabályzat – kidolgozása;
  • adatkezeléssel megbízott munkatársak kijelölése;
  • adatkezelési nyilvántartás elkészítése;
  • képzés;
  • meglévő nyilvántartások felülvizsgálata, adatok törlése/anonimizálása.

2. Opcionális feladatok

  • honlap- és sütikezelési tájékoztató a személyesadat-kezelésről;
  • tájékoztatás a könyvtárhasználókkal folytatott online kommunikációról (hírlevél, e-mail küldés stb. esetén);
  • a rendezvények részvevőinek tájékoztatása a kép- és hangfelvételekkel kapcsolatos adatkezelésről;
  • távhasználatot lehetővé tevő, regisztrációköteles online szolgáltatások adatkezelési tájékoztatója;
  • információk a digitalizált állományok közzétételéről és a kapcsolódó személyesadat-kezelésről;
  • tájékoztató elektronikus megfigyelőrendszer alkalmazásáról;
  • a közösségimédia-megjelenések szabályozása;
  • tájékoztatás a személyes adatok különleges kategóriáinak kezeléséről.

Irodalom és jegyzetek

[Az elektronikus források utolsó megtekintése: 2019. május 13.]

1.   SZAKONYI Károly: Segítség ezerért. In: Ember az alagútban. Budapest, Digitális Irodalmi Akadémia. https://reader.dia.hu/document/Szakonyi_Karoly-Ember_az_alagutban-389

2.   MIKLÓSI Zoltán: A terrorizmus elleni „háború“ és az emberi jogok. = Fundamentum, 2004. 3. sz. 43–49. p.

3.   Magyarországi könyvtárak statisztikai adatai – minden könyvtár minden adata 2017. https://ki.oszk.hu/dokumentumtar/minden-konyvtar-minden-adata-2017

4.   Összefoglaló a Fogalmak, adatgyűjtési eljárások a könyvtári statisztikában című információs napról. 2016. június 16.  https://ki.oszk.hu/sites/default/files/dokumentumtar/16k1_osszefoglalo_vegl_0.doc

5.   JÓRI András [et. al.]: A GDPR magyarázata. Budapest, HVG ORAC, 2018. 92. p.

6.   1997. évi CXL. törvény a muzeális intézményekről, a nyilvános könyvtári ellátásról és a közművelődésről. https://net.jogtar.hu/jogszabaly?docid=99700140.TV

7.   2019. évi XXXIV. törvény az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról. = Magyar Közlöny, 63. sz., 2019. április 11. 2037–2091. p.

8.   2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról. https://net.jogtar.hu/jogszabaly?docid=A1100112.TV

9.   A számvitelről szóló 2000. évi C. törvény 169. § (2) bekezdése

10. PÉTERFALVI Attila – CSAJÁGI István: A személyes adatok kezelése a könyvtárak életében – aktuális kérdések. = Könyv, Könyvtár, Könyvtáros, 26. évf., 2017. 3. sz. 3–9. p.

11. 2011. évi CXCVI. törvény a nemzeti vagyonról.

12. E kérdéssel kapcsolatban a felügyeleti hatóság közleményt bocsátott ki: https://www.naih.hu/files/2017-08-31-kozlemeny-diakok-fenykepe-isk-honlapon.pdf

13. Az adatok védelme. https://support.google.com/analytics/answer/6004245

14. A Google Analytics© által végzett követés letiltásáról szóló oldal: https://tools.google.com/dlpage/gaoptout

15. A Kúria BH2016. 330. sz. döntését, mely szerint „A Facebook-profil fenntartója is felelősséggel tartozik a profiloldalán megjelenő jogsértő tartalmú közlésekért.” idézi Koltay András: Az újmédia kapuőreinek hatása a médiaszabályozásra. In: Gellén Klára (szerk.): Jog, innováció, versenyképesség. Budapest, Wolters Kluwer, 2017., 99–124. p.

16. Fővárosi Szabó Ervin Könyvtár használati szabályzat 2019. http://www.fszek.hu/hasznalat

17. PÉTERFALVI – CSAJÁGI, i. m.

18. A szerző 2019 januárjában írásban kért a NAIH-tól jogértelmezést e meglehetősen bonyolult kérdéskörben. A NAIH 2019. április 15-én kelt, NAIH/2019/1342/3. ügyszámú válaszlevelére a cikkben több helyen hivatkozunk, egyúttal felhívva minden olvasó figyelmét a levél záradékára: „A Hatóság felhívja a figyelmét, hogy — az eljárási kereteket nélkülöző, jogértelmezésre irányuló megkeresésekre válaszként kiadott — jelen tájékoztatása sem jogszabálynak, sem egyéb jogi eszköznek nem tekinthető, az normatív jelleggel, jogi erővel, illetve kötelező tartalommal nem rendelkezik.

      A Hatóság jelen ügyben rendelkezésre bocsátott információk alapján kialakított jogértelmezése más hatóságot, a bíróságot és az adatkezelőt nem köti, annak csak iránymutató jellege van. Az állásfoglalás, tájékoztatás kiadása tehát nem mentesíti annak címzettjét, illetve az adatkezelőt saját jogi álláspontja kialakításának szükségessége, illetve az adatkezelésért fennálló felelősség alól.”

19. Kiemelés a szerzőtől.

20. NAIH 2019/1342/3

21. NAIH 2019/1342/3

22. NAIH 2019/1342/3

23. A Hatóság 2018. szeptember 11-én kelt, NAIH 2018/4565/2/V számú válaszlevele, amelyet a nemzeti könyvtár vezetőségének engedélyével idéztünk.

24. Rövidítés és kiemelés a szerzőtől.

25. NAIH 2019/1342/3

26. 2019. május elejei adatok

27. Kereséseltávolítások… https://transparencyreport.google.com/eu-privacy/overview

28. Haszonkölcsön-szerződés fogalma. http://projektjeink.birosag.hu/sites/default/files/allomanyaok/ptk_e_learning/ptk9/lecke15_lap1.html

29. FERGE Zsigmond: Kiterjed-e a haszonkölcsönzés 2006/115 irányelv értelmében vett fogalma – a nyomtatott művek haszonkölcsönzésének jellemzőihez hasonló feltételek mellett – valamely könyv digitális formájú többszörözött példányának haszonkölcsönzésére? = Iparjogvédelmi Szemle, 12. (122.) évf. 2017. 4. sz. 31-73. p.

30. 2011. évi CXCVI. törvény a nemzeti vagyonról

31. Tájékoztatás adatvédelmi szabályzat meglétének értékelésével kapcsolatban. NAIH-2018-1212-2-K

32. Ha több jogalap is megállapítható a személyesadat-kezelés során, akkor mindegyiket külön kell ismertetni – itt a könyvtári gyakorlatban előforduló jogalapokat soroltuk föl.

Beérkezett: 2019. május 14.