Sokan hallottak már a GDPR-ról, legtöbbször valami horrorisztikus, sok millió eurós (!) bírság rémével egy mondatban. De mi ebből az igazság? Egyáltalán mi ez az egész, hogyan vonatkozik ez sportklubokra, mozgásstúdiókra? És legfőképpen: mit kell tenniük, hogyan tudnak megfelelni a jogszabály előírásainak?
Kétrészes cikksorozatunk első részében a jogszabály vonatkozó rendelkezéseit értelmezzük érthető, emberi nyelven. A következő részben pedig lépésről lépésre bemutatjuk, hogy egy kis vagy közepes sportegyesület vagy edzőterem hogyan tud eleget tenni az elvárásoknak, vagyis konkrétan mit kell tennie.
Mi az a GDPR?
Kezdjük az elején: a GDPR (General Data Protection Regulation) egy olyan jogszabály, amely:
- közvetlenül érvényes az EU minden tagállamában
- a személyes adatok minden, szervezeti keretek között – tehát hivatali, céges, egyesületi – kezelésének szabályaira vonatkozik.
- Rendelkezéseit 2018. május 25-től kell alkalmazni, addigra kell felkészülni a követelmények teljesítésére.
Mi a személyes adat? Minden olyan adat, információ, amely egy azonosított (vagy azonosítható) természetes személyre vonatkozik. Ebbe beletartoznak a személyes azonosító adatok (név, születési hely, stb.), minden rá vonatkozó egyéb információ (lakcím, mikor és milyen foglalkozásra vagy edzésre jár, milyen magas, hányas lába van, stb.). Személyes adat a képmás (fotó vagy videó) is, valamint a tartózkodási hely (GPS), vagy egy sportóra által rögzített érték is. Ez utóbbiak közül az egészségi állapotra vonatkozó adatok (pl. pulzus) különleges adatnak minősül, amire szigorúbb követelmények vonatkoznak.
A GDPR tehát minden személyes adat kezelésére vonatkozik.
Adatok kezelése alatt az azokkal kapcsolatos minden tevékenységet kell érteni, mégpedig függetlenül az adatkezelés technikai megvalósításától (vagyis attól, hogy papíron vagy számítógéppel történik): gyűjtés, rögzítés, rendszerezés, tagolás, tárolás, átalakítás vagy megváltoztatás, lekérdezés, betekintés, felhasználás, közlés továbbítás, terjesztés vagy egyéb módon történő hozzáférhetővé tétel útján, összehangolás vagy összekapcsolás, korlátozás, törlés, illetve megsemmisítés.
A bevezető részünk summája tehát az: minden sportklubra, fitnesz stúdióra, edzőteremre vonatkozik a GDPR, nincs olyan opció, hogy „ez minket nem érint”.
Mennyi? 20 millió. Mi 20 millió? A bírság. Euróban.
Tegyük tisztába gyorsan ezt is. A 20 millió eurós bírságplafon, amivel boldog-boldogtalant riogatnak, önmagában nem valótlan állítás, mert valóban ez szerepel a jogszabályban. Azonban a GDPR azt is előírja, hogy az esetleges bírság kiszabásakor az arányosság követelményének teljesülni kell; különös tekintettel
- a jogsértés szándékos vagy gondatlan voltára,
- a szabálytalanság jellegére, súlyára,
- a jogsértés következményeire (vagyis pl, hogy az érintettekről kerültek-e illetéktelen kézbe személyes adatok),
- az adatkezelőnek felróható felelősségre (pl. megtette-e a szükséges biztonsági intézkedéseket és a személyes adatok ennek ellenére kerültek ki, vagy nem is védte azokat pl. jelszóval).
Összességében kijelenthetjük, hogy a 20 millió eurós bírság lehetőség kifejezetten az adatipar nagy és sokszor öntörvényű szereplőinek, tehát a Facebook, Google, Amazon és hasonló cégek megregulázására szolgál. Ahogyan a Btk-ban is szerepel legsúlyosabb szankcióként a tényleges életfogytiglan, de ettől még a legtöbb büntetőeljárásban, mivel eleve kis súlyú ügyekben indulnak, még letöltendő szabadságvesztést sem szabnak ki.
Ja, ha nem lesz bírság, akkor nem is kell foglalkozni vele?
Nos, a dolog úgy áll, hogy lesz bírság. A magyar adatvédelmi hatóság (NAIH) elnöke több nyilvános fórumon is világossá tette, hogy álláspontjuk szerint a hazai adatkezelők nagyon sok tekintetben nem kezelik jogszerűen a személyes adatokat. Ezért annak érdekében, hogy jogkövető magatartásra bírják az adatokat kezelő szervezeteket – és ebbe a sportklubok, stúdiók és beletartoznak – élni fognak, akár már első alkalommal is a bírságolás eszközével.
A bírság mértékének megállapításakor a GDPR nem csak azt írja elő, hogy az arányos legyen, hanem azt is, hogy jelentsen kellő visszatartó erőt. A NAIH idén megduplázott költségvetéssel és létszámmal készül a GDPR-ra, tehát miközben a 20 millió eurós bírság nyilvánvalóan sok nagyságrendes túlzás, afelől se legyenek illúziója senkinek, hogy ha szándékos nemtörődömséget vagy látszatmegoldásokat fog találni egy hatósági ellenőrzés során, akkor szemrebbenés nélkül fog olyan összegű bírságot kiszabni, amit megérez az adott egyesület.
Személyes adatok jogszerű kezelése
A GDPR kimondja, hogy személyes adat csak megfelelő jogcím (jogalap) megléte esetén kezelhető. Azt is előírja, hogy minden adatkezelésre nézve az adatkezelőnek tudnia kell, hogy a szóban forgó adatokat milyen célból és milyen jogcímen kezeli. (Ha a cél megszűnik vagy a jogcím már nem áll fenn, akkor a személyes adat nem kezelhető tovább.)
A jelenleg még hatályos adatvédelmi szabályozás – mert van ilyen, még ha sok egyesület vagy stúdió vezetője nem is találkozott ezzel a mindennapokban – összesen kétféle jogcímet ismer: törvényi előírás és önkéntes hozzájárulás. Mivel az edzések, foglalkozások látogatásával kapcsolatban nincs törvényi felhatalmazás az adatok kezelésére, ezért jelenleg minden személyes adatkezeléshez az érintett (vagyis a tanítvány, sportoló) kifejezett önkéntes hozzájárulása szükséges.
A GDPR pozitív változást hozott ebbe az életszerűtlen szabályozásba. Összesen 6 jogcímet határoz meg, amelyekből az alábbi négy lesz valóban releváns a sporttevékenységekkel kapcsolatban:
- az érintett kifejezett hozzájárulása (ez volt eddig is)
- az adatkezelő jogi kötelezettségének teljesítéséhez szükséges (ez a jogcím volt korábban a törvényi felhatalmazás; példa: a munkáltatónak a bérszámfejtés elkészítéshez szükséges a munkavállaló személyes adatait használni)
- olyan szerződés teljesítéséhez szükséges, amelyben az egyik fél maga az érintett (példa: az igazolt sportoló vagy bérletes/bejelentkezett tanítvány kontakt adatai abból a célból, hogy az edzések időpontjáról vagy azok esetleges változásairól, a bérlet lejártáról, a tagsági díjról stb értesíteni lehessen)
- az adatkezelő jogos érdeke (példa: biztonsági kamera a stúdió előterében vagy a recepciónál, vagyonvédelmi okokból)
Alapvető követelmények – a GDPR alapelvei
Az, hogy van megfelelő jogalap a sportolók, tanítványok (vagy akár az edzők!) személyes adatainak a kezelésére, még csak az első lépés. A klub, stúdió működése során be kell tartani számos adatvédelmi alapelvet, amelyeket a GDPR egyenként nevesít is.
Ezek közül talán a legfontosabb a tájékoztatás. Nem csak a hozzájáruláson alapuló adatkezelés esetén, hanem minden adatkezelés (adatkezelési cél) esetében részletes tájékoztatónak kell elérhetőnek lennie (pl. a honlapon), amely részletesen tartalmazza az adatkezeléssel kapcsolatos információkat. Vagyis azt, hogy pontosan milyen adatokat, milyen célból kezelünk, pontosan mire és hogyan használjuk (pl. a bérlet lejárata előtt x nappal figyelmeztető SMS-t küldünk), meddig tároljuk, milyen külső szolgáltatót veszünk igénybe (mint amilyen a MotiBro).
További fontos alapelvek:
- célhoz kötöttség: csak meghatározott, egyértelmű és jogszerű célból (lásd az előző fejezetet, a jogcímekkel) lehet személyes adatot kezelni;
- adattakarékosság: csak az adott adatkezelési célhoz szükséges adatokat tároljuk. Egy számla kiállításához nem szükséges a tanítvány TAJ-száma, ezért azt a számlázáshoz nem kérhetjük el;
- pontosság és naprakészség: ésszerű intézkedésekkel kell biztosítani, hogy az esetlegesen hibásan rögzített adatok törlésre vagy helyesbítésre kerüljenek. Ez vonatkozik akár a gépelési hiba miatt rosszul írt nevekre, dátumokra, de valójában bármire, amit a sportolókról, tanítványokról tárolunk,
- korlátozott tárolhatóság: csak az adatkezelés céljának eléréséhez szükséges ideig, illetve az adatkezelés jogcímének fennállásáig lehet az adatokat tárolni, utána törölni kell őket vagy olyan anonimizálási eljárást alkalmazni, amivel (pl. minden azonosító adat törlésével) a tárolt adatok személyes adat mivolta megszűnik, amivel már nem lehet őket egy konkrét személyre visszavezetni.
- bizalmasság és integritás: a személyes adatokat úgy kell kezelni, hogy – ésszerű intézkedések mellett – védve legyenek a jogosulatlan (vagyis az adatkezelési céltól eltérő) hozzáféréstől, a megsemmisüléstől vagy a véletlen elvesztéstől.
Objektív felelősség
Nem a GDPR által jelentkező újdonság, hanem már a mostani szabályozás szerint is: a személyes adatok nem jogszerű kezelése által okozott kárért az adatkezelő akkor is felelős, ha nem ő hibás. Aki autót vezet, az már találkozott ezzel a típusú felelősséggel: bizonyos kihágásokért akkor is az üzembentartó felel, ha nem ő vezette az autót.
Fontos, hogy ez a felelősség az érintettel (és nem valami hatósággal) szemben áll fenn és úgy fordulhat például elő, hogy bár a klub (és az általa esetleg igénybe vett adatfeldolgozó, vagyis informatikai szolgáltató) minden ésszerű intézkedést megtett az adatok biztonsága érdekében, de egy profi hackertámadás áldozatává váltak és a sportolók/tanítványok adatai nyilvánosságra (vagy illetéktelen kezekbe) kerültek. Ilyen esetben az érintett klasszikus kártérítési pert indíthat és akár sérelemdíjat (korábbi elnevezéssel: nem vagyoni kártérítést) követelhet.
Bár a sport és a rekreáció világában ennek csak szűkebb körben van létjogosultsága (vagyis a többségnek feltehetően nem éri meg), de itt érdemes megemlíteni, hogy több biztosítónál is elérhető adatvédelmi felelősségbiztosítás, ami ilyen esetekben a bírság és a kártérítés összegét megtéríti.
Elszámoltathatóság: nem elég jogszerűnek lenni, annak is kell látszani
Végül, az első rész lezárásaként külön ki kell emelni az elszámoltathatóságot, amit az alapelvek között szoktak említeni, de azoktól mégis elkülönítetten „szuperelvnek” nevezve.
Ennek az alapelvnek a betartása, az ennek való megfelelés lesz a legnagyobb kihívás úgy általában a hazai kkv szektorban, és a sport világában, a sportklubok és edzőtermek számára is. Nem a feladat mennyisége, hanem szokatlansága miatt.
A GDPR úgy rendelkezik, hogy az adatkezelő felelős az alapelvek betartásáért, valamint – és itt jön a lényeg: – „képesnek kell lennie e megfelelés igazolására”. A gyakorlatban ez az előírás azt jelenti, hogy az adatkezeléssel kapcsolatos ügyvitel kulcspontjait, a szervezet méretéhez igazodóan akár nagyon egyszerű módon, de mindenképpen dokumentálni kell.
Tehát nem elég „fejben” megfelelő jogcímekkel rendelkezni az egyes adatkezelésekhez, hanem ezekről egy egyszerű (táblázatos) nyilvántartást kell vezetni, ezzel igazolva, hogy tisztában vagyunk a kezelt személyes adatok körével, hogy mit mire (milyen célból) és jogcímen kezelünk.
Mivel a GDPR mindenhol, így ezzel kapcsolatban is kitér a megvalósítás költségeinek figyelembe vételére, illetve hogy kis szervezetektől egyszerűbb megoldások is elfogadhatóak, ezért itt nem kell óriási bürokráciára gondolni. De még ez – nagy cégekhez képest jelentősen csökkentett – adminisztrációt is soknak fogja érezni a sportklubok, mozgásstúdiók jelentős része.
Hogy mit kell tennie és dokumentálnia egy sporttal, rekreációval foglalkozó szervezetnek, azt a cikksorozat második részében tekintjük át. Előtte még kérjük, hogy oszd meg cikkünket ismerőseiddel, hogy minél több sportvezető legyen felkészült a személyes adatok kezelése témakörben is!
A SZERZŐRŐL:
Róth Dénes jogi szakokleveles mérnök, igazságügyi informatikai szakértő. Utóbbi minőségében számos adatvédelmi ügyben működött közre mind a NAIH hatósági eljárásaiban, a hatóság kirendelésére; mind pedig adatkezelők megbízásából.
