GDPR

Adatvédelem mindenkinek / Data protection for everyone

Mikor anonim egy kérdőív?

2020. július 24. 17:30 - poklaszlo

A NAIH közleménye a gyermekek körében végzett kérdőívezéssel kapcsolatban

Július elején merült fel a "Véleményed kincs!" kérdőívvel kapcsolatban, hogy - bár direkt személyazonosító adatok nélkül - úgy kerül sor táborozó gyermekek körében adatok felvételére, amelyekből konkrét személyek azonosíthatók lehetnek, azaz a kérdőívek nem minősülnek anonimnek.

A Nemzeti Adatvédelmi és Információszabadság Hatóság most közleményt adott ki, amelyben - a Hatósághoz beérkezett panaszokra is tekintettel - "gyermekeket érintő, kutatási célú névtelen adatgyűjtések kapcsán fel kívánja hívni a figyelmet az adatok valóban anonim gyűjtéséhez, felhasználásához, kezeléséhez kapcsolódó adatvédelmi követelményekre".

A NAIH - az álnevesítés GDPR szerinti definíciójából kiindulva és a GDPR Preambulumára hivatkozva - felhívja a figyelmet arra, hogy a

[…] személyes adatként védendőek azok az álnevesített adatok, amelyek egyenként nem, azonban összességükben – egy adatbázis sorban történő rögzítésük eredményeképpen, vagy az adatok begyűjtésének módjára, az abban résztvevő személyekre tekintettel – egy konkrét személyhez rendelhetők, kapcsolatuk az érintettel még helyreállítható.

Ahhoz, hogy az adatok valóban anonimak, azaz konkrét természetes személyhez nem köthetőek (így már személyes adatnak sem minősülők) legyenek, 

[...] sok esetben nem elegendő csupán az érintett adatainak megadásától eltekinteni, esetleg nevüket kitakarni, hanem gondoskodni kell a személyes adatok és az érintett kapcsolatának helyreállíthatatlanságáról is.

A Hatóság álláspontja szerint a táborokban végzett kérdőíves felmérések esetében az anonimitás szervezési intézkedésekkel garantálható lehet, például oly módon, ha

  • a kérdőívek kitöltetése kapcsán közreműködő, azt felügyelő személyek köre elkülönül a kérdőívek feldolgozását, kiértékelését végző személyi körtől, 
  • a táborba jelentkezők jelentkezési lapját, az azokban tárolt adatokat a kérdőívek kiértékelését, az abban foglalt adatok rögzítését végzők nem jogosultak megismerni,
  • a kérdőíveket úgy gyűjtik össze, hogy a kérdőívet ne lehessen a kitöltőjével kapcsolatba hozni (pl. gyűjtőládákat helyeznek ki, melyekbe a táborozók be tudják dobni a kitöltött kérdőíveket)
  • a helyszínen a gyermekekkel foglalkozó, napi szinten kapcsolatot tartó – így személyazonosságukat, esetleg családi körülményeiket ismerő – személyek ne tekinthessenek be a begyűjtött kérdőívekbe.

A Hatóság iránymutatása alapján előzetesen szükséges meghatározni azt is, hogy

  • a kitöltött kérdőívekhez, a táborba jelentkező gyermekek egyéb adataihoz mely szervezetek, mely munkakört ellátó személyek és milyen célból férhetnek hozzá,
  • ha elektronikus úton kerülnek az adatok begyűjtésre, akkor azokat hol tárolják, meddig maradnak a levelező rendszerben, ha papír alapon, akkor hogyan választják el azokat az eltérő megőrzési idejű, esetleg a gazdasági elszámolással kapcsolatos adatoktól.

A Hatóság véleménye szerint, amennyiben a fenti feltételek megvalósulnak, és a " [...] kérdőívek kiosztásában, összegyűjtésében és feldolgozásában, kiértékelésében részt vevő személyek sem tudják az érintetthez rendelni a kérdőívet, tehát az alkalmazott eljárásrend teljes mértékben megszakít minden kapcsolatot az érintettel, és a kérdőívek pusztán statisztikai adatként használhatók fel, valamint a továbbra is rendelkezésre álló adatok összessége segítségével sem lehet a konkrét személyhez kapcsolni a kérdőívet és annak tartalmát, a keletkező adat anonim adatnak tekinthető, mely adatok kezelésére már nem kell alkalmazni a személyes adatok védelmére vonatkozó szabályokat."

Eltérő esetekben ugyanakkor (azaz, ha a konkrét személyhez kapcsolás utólag mégis lehetséges), akkor az adatok kezelése továbbra is a személyes adatok védelmére vonatkozó szabályok hatálya alá tartozik.

A közlemény kapcsán érdemes lehet felidézni a Hatóság vonatkozó gyakorlatát, korábbi állásfoglalásában a közvetett azonosíthatósággal összefüggésben azt rögzítette a NAIH, hogy „[a] hazai adatvédelmi gyakorlat szempontjából kiemelendő továbbá, hogy az azonosíthatóság fogalmát kiterjesztően értelmezi, azaz az információ személyes adat jellege nem függ az azt megismerő szubjektív adattartalmától, így irreleváns az, hogy az adatkezelő megfelelő egyéb ismeretek birtokában saját maga képes-e az érintett azonosítására.”  

A közvetett azonosíthatóság kapcsán a 29-es Cikk szerinti Munkacsoport korábbi véleménye is rögzíti, hogy „… ez a kategória jellemzően az „egyedi kombinációk” jelenségére vonatkozik, legyenek azok akár kis-, akár nagyméretűek. Azokban az esetekben, ahol a hozzáférhető azonosítók kiterjedése első látásra nem teszi senki számára lehetővé az adott személy kiválasztását, attól még e személy „azonosítható” lehet, mivel az említett információ más információkkal összekapcsolva (ez utóbbi akár megvan az adatkezelőnél, akár nincs) az egyént másoktól megkülönböztethetővé teszi.” (lásd a 4/2007. sz. vélemény, 14. o.)

A hatósági közlemény az anonimizálás/álnevesítés kapcsán minden adatkezelő számára fontos támpontokat adhat, nem kizárólag a kérdőíves adatkezelésre vonatkozóan nyújt kiindulási pontot. 

(Az anonimizálás és álnevesítés témájáról a Kúria egy 2019-ben hozott ítélete alapján itt írtam részletesebben.)

Szólj hozzá!
Címkék: anonimitás iránymutatás portfolioblogger Magyarország NAIH HU álnevesítés anonimizáció

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr9216076018

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása