Főműsoridőben hatósági jogalkalmazóként dolgozom egy hivatalban többfajta ügytípussal, szabadidőmben többek között önkéntes munkát végzek a Bojtár Telefonos Állatvédelmi Jogsegélyszolgálat Egyesületnél, melyet állatorvosok és jogászok hoztak létre két évvel ezelőtt. Érdekes tanácskéréssel fordult hozzánk nemrégen egy állatvédő szervezet. Az emberi tényezőt mindig számításba véve, feltehetően bosszúból bejelentést tettek ellenük a NAIH-nál a személyes adatkezelést érintő – vélt vagy valós – hiányosságaik miatt olyanok, akik nem kapták meg a kiszemelt kutyát végül örökbefogadásra. A „mi lett volna ha” idővonalon érdekes kérdés lenne, hogy akkor is aggályosnak ítélték volna-e a személyes adataik kezelését ha hozzájutnak az áhított kutyához, de hát ezt ugye már sosem tudjuk meg. A bosszúfeljelentés, a házmester-mentalitás persze nem szép dolog, de az tény, hogy állatvédő szervezetek körében (is) elég jelentős elmaradások vannak az adatkezelési folyamatok átláthatóságát és legalitását érintve sok esetben. Jogsegély-szolgálatunk olyan szempontból is egyedülálló, hogy jogászaink közül kettő hatósági jogalkalmazó munkát végez, vagyis napi szinten állatvédelmi hatósági feladatokat is ellátnak és naprakész információkkal rendelkeznek az I. fokú hatósági állatvédelmi eljárások világáról, másrészt van köztük adatvédelmi tisztviselői képzést végzett jogászunk és olyan is aki most fog végezni az adatvédelmi és adatbiztonsági szakjogász-képzésen az egyik jogi karon.
Állatvédő szervezetre leszűkítve a személyes adatok körét, biztos, hogy az örökbefogadó szerződő felek személyes adatait kezelni kell, elsősorban az örökbefogadás később pedig a vállalt kapcsolattartás miatt, illetve attól függően, hogy a civil szervezet munkavállalókkal, önkéntesekkel, közmunkásokkal vagy más módon vállalja-e a szervezeti működést, úgy az ő személyes adataikat is kezelni fogják (bérszámfejtés, járulékok továbbutalása az államnak, táppénz, szabadság-nyilvántartás stb.).
Sok más mellett három fontos dolgot kell átgondolni igazából már azelőtt, hogy állatvédelemre adnánk a fejünket.
Elsőként azt, hogy mi az adatkezelés célja, milyen adatkört fogunk kezelni, és az adatkezelés alapelvei közül hivatkozva itt most az adattakarékosság elvére, feltétlenül szükséges-e minden adat, amelyet elsőre annak jelöltünk meg. Konkrét példával élve, egy örökbefogadó szerződéshez biztos kell az örökbefogadó neve és lakcíme, a kapcsolattartási formákhoz pedig a telefonszáma és az e-mailcíme. Sokan elkérik a személyi igazolvány számot is, amely viszont fölösleges magához a szerződéskötéshez, a későbbi kapcsolattartáshoz sem kell, az esetleges hivatalos eljárásokhoz is szükségtelen (szerződésszegés vagy állatkínzás gyanú esetén polgári per vagy büntetőeljárás stb.)
Amikor az adatkezelés célját tisztáztuk, fontos a jogalapot megjelölni, pl. alapulhat az adatbirtokos érintett hozzájárulásán (melyet dokumentálnunk kell, hogy szükség esetén a NAIH részére bemutassuk) vagy alapulhat például szerződéskötéshez kapcsolódóan, vagyis olyan szerződés kapcsán ahol az érintett az egyik fél, vagy ilyen szerződés elősegítéséhez szükséges az adatkezelés (ha nem adjuk meg a személyes adataink közül a kapcsolattartásra szolgálóakat például, sosem tudja majd a futár házhoz szállítani a megrendelt árut). Van olyan menhely, amely vállal „házhoz szállítást” az előzetes egyeztetések, esetleg környezettanulmány után, itt is elengedhetetlenül fontos a kapcsolattartáshoz szükséges adatokon túl a lakcím, hiszen ennek hiányában nincs hova „leszállítani” a kutyát.
A harmadik fontos dolog, hogy mielőtt belevágnánk az adatkezeléssel járó tevékenységbe, feladatba, legyenek olyan dokumentumaink, melyek a folyamat során szükségesek, pl. adatkezelési tájékoztató melyet a szerződő partnernek mint érintettnek adhatunk, de rendelkeznünk kell többek között adatvédelmi szabályzattal vagy pl. adatkezelési nyilvántartással is.
Felmerülhet a kérdés, hogy kötelező-e civil szervezetnek adatvédelmi tisztviselőt alkalmaznia? A GDPR szerint három esetben kötelező adatvédelmi tisztviselőt kijelölni, az egyik közülük a közfeladatot ellátó szervhez kapcsolódik, a kóbor ebek begyűjtése pedig bizony kötelező önkormányzati közfeladat, itt tehát – jellemzően az önkormányzat adatvédelmi tisztviselőjének – kell ilyen személynek lennie, amennyiben a menhely nemcsak menhely hanem 2in1 megoldással gyepmesteri feladatokra is szerződik az önkormányzattal. A NAIH többször foglalkozott már az alapkérdéssel, miszerint civil szervezeteknek kell-e a GDPR-t alkalmazni, a honlapjukon elérhető konkrét esetben (NAIH/2018/2599/2/K) akkor, ha a szervezet nem végez gazdasági tevékenységet, évente több összejövetelt tart tagjai és mások számára, és az ő személyes adatait kezeli. A GDPR megkülönböztet automatizált (számítógéppel végzett) és nem automatizált adatkezeléseket, utóbbiak esetében ha azok valamilyen nyilvántartás részei (telefonkönyv, levelezőlista stb.) akkor a GDPR rájuk is alkalmazandó. Személyes adatkezelés tehát a közhiedelemmel ellentétben az is, ha egy örökbefogadó napra egy civil szervezet akár saját tagjai akár bővebb közönség közül azok nála kezelt e-mailcímei, telefonszámai alapján meghívásokat küld számukra. Foglalkozott a NAIH már a tagnyilvántartás kérdésével is korábban (NAIH/2018/2919/2/V). A tagnyilvántartásba felvett személyeket tájékoztatni kell a konkrét adatkezelőről (állatvédő szervezet- tisztségviselő személyek-elérhetőségek stb.), az adatkezelés céljáról és jogalapjáról (pl. rendszeres kapcsolattartás, meghívók kézbesítése; önkéntes tevékenységről szóló szerződés teljesítése érdekében stb.), amennyiben az adatokat bármely más címzett részére továbbítják (pl. törvényi kötelezettség miatt), az adattárolás időtartama, a hozzáféréshez-helyesbítéshez-törléshez való jogról történő kioktatást, az adatkezeléshez való hozzájárulás visszavonásának jogát is el kell mondani. Az adatkezelő állatvédő szervezetnek utólag képesnek kell lennie megjelölnie az adatkezelés célját, jogalapját, bizonyítani a tájékoztatás megadását. Célszerű minderről az egyesület alapszabályában rendelkezni és a belépés feltételévé tenni mindezek kifejezett elfogadását. Nem kell külön adatvédelmi szabályzatot készíteni, amennyiben az adatkezelés célját, módját, az adatokhoz való hozzáférés szabályait és az adatvédelmi incidensbejelentés módját az egyesületi alapszabály külön fejezetben, világosan tartalmazza.
És akkor nézzük a konkrét esetet – kellő mértékben általánosítva mivel ezek még folyamatban lévő ügyek. Lehet szemérmeskedni de én mindig az őszinte beszéd híve vagyok: a lehető legrosszabb amit tehetünk, ha kézhez véve a NAIH ügyindító megkeresését, elkezdünk vadul hamisítani. A legfontosabb, hogy alaposan olvassuk el a levelet amit kaptunk, ebben nézzük meg, hogy vizsgálati eljárástól vagy hatósági eljárásról értesítenek. A vizsgálati eljárásban bírság kiszabására nem kerül sor, hanem kötelezettségeket írnak elő számunkra amelyeket majd ellenőriznek is. A hamisításokkal sokszor egy olyan hazugságspirálba keveredünk, amiből már nincs kiút, személyek, időpontok, minden megkeveredik és újabb és újabb hazugságokra van szükségünk.
A konkrét esetben most a vizsgálati eljárásokban a kérdésfeltevésnél tartunk: milyen adatkezelési tájékoztatót kap először az érintett örökbe fogadni kívánó személy, milyen adatvédelmi dokumentumok lelhetőek fel az állatvédő szervezet birtokában, milyen adathalmazt kérnek el a szerződéskötéshez, a szerződéseket hol és hogyan, meddig tárolják, mi az adattárolás majd törlés metódusa, végül pedig talán a legérdekesebb, hogy miért van szükség és milyen mértékben érinti a leendő örökbefogadó személyét, családját, ingatlanát az ún. „környezettanulmány”, melyet a kutya optimális családba-helyezésére készítenek el? A kapott válaszokat a NAIH elemzi és várhatóan egy olyan döntést fog hozni, amelyben bizonyos jogsértéseket megállapít majd illetve bizonyos utasításokat, kötelezettségeket ad a szervezeteknek azzal, hogy kötelező a teljesítésükről beszámolni. A cikk kapcsán fontos, hogy minden állatvédő szervezet gondolkodjon el, hogy adatvédelmi szempontból mindent rendben találna-e nála a NAIH és lépjen időben, még eljárással érintettség nélkül.
Írta: dr. Kajó Cecília, Bojtár Egyesület titkár
https://www.facebook.com/Bojtarallatvedelem, bojtartelefonosjogsegely@gmail.com