A vállalati könyvtárosok 27. műhelybeszélgetését GDPR témában az MTA Wigner Fizikai Kutatóközpont Könyvtárában szervezte a Műszaki Könyvtáros Szekció. A rendezvény kiugróan sikeres volt, a résztvevők sok kérdésükre kaphattak választ a szakértőtől, és a már szintén igazi szakértőnek számító kollégáktól. Az olvasó hosszú beszámolóra készüljön, amelyben a beszámolót készítők igyekeztek minden olyan információt rögzíteni, ami pótolhatatlanul hasznos lehet azok számára, akik még bizonytalanok a tennivalók terén.
A május 25-én hatályba lépő Európai Adatvédelmi Rendelet (GDPR) a hétköznapi és a szakmai adatkezelési szabályokat is megváltoztatta, hiszen a rendelet minden személyes adatot kezelő szervezetre, jogi személyre vonatkozik, akik az Európai Unióban – így Magyarországon is – tartózkodó személyek adatait kezeli.
A személyes adatkezelés mindig is jelen volt a könyvtárakban, akár közintézményi vagy vállalati könyvtárakról van szó, így nem is lehetett volna aktuálisabb témája 27. műhelybeszélgetésünknek. Ezt jelezte az is, hogy 19, sokféle típusú könyvtár képviseletében 34-en gyűltünk össze, hogy útmutatást kapjunk a törvény értelmezéséhez, és hiteles szakértőtől kaphassunk választ kérdéseinkre.
A beszélgetést a vendéglátó MTA Wigner Fizikai Kutatóközpont Könyvtárának vezetője, Kutnyánszky Anikó moderálta.
Bevezetőjében feltette a kérdést: a törvény bevezetése vajon a biztonságunkat növeli, vagy a paranoiánkat? Az elmúlt hetek „pánikjában” mémek, viccek, zenegyűjtemények születtek, megmozdult az internet, ami jelzi, hogy milyen széleskörű a hatása ennek a törvénynek.
.
.
Molnár Gábor, az L Tender-Consulting Kft. adatvédelmi szakértője ismertette a legfontosabb szempontokat, amelyeket egy intézménynek mindenképpen ismernie kell a GDPR adatvédelmi rendeletről. Már 7-8 éve téma a személyes adatok védelmének szabályozása az EU-ban, bírságot korábban is kiszabhattak a jogosulatlan adatkezelőkkel szemben. Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) felügyeli ezt a jogi szabályozást, akiknek nyilatkozata szerint nem szándékuk a büntetés, inkább a helyes törvényértelmezés, a betartás támogatása a céljuk. A szakértők könyvtári oldalról túlszabályozottnak tartják ezt a szabályozást, pedig a könyvtárak adatkezelése nem tartozik a kockázatos adatkezelési tevékenységek közé, de egyes fontos kitételeit nehéz értelmezni könyvtári környezetünkben. Ehhez nyújt segítséget az előadó által 12 lépésbe foglalt felkészülési útmutató a rendelet alkalmazására.
A leglényegesebb pontok:
- Adatvédelmi tudatosság erősítése
Az adatvédelem fontosságáról a szervezetünkön belül is beszélni kell vezetői szinten és munkatársainkkal is. Az a kolléga, aki felveszi a könyvtárhasználó személyes adatait, annak tudnia kell válaszolnia az érintett kérdésére, hogy miért van szükség az adatkezelésre, mi a jogalapja és mi történik a személyes adataival. Minden adatkezelésünk szabályozott legyen.
- Az adatkezelés kritériumainak felülvizsgálata
A saját adatkezelési szokásainkat és folyamatainkat kell megreformálni. Fókuszba állítva az adatkezelés jogalapjait áttekintjük a szükséges teendőket. Minden adatkezelésünknek legyen jogalapja.
- Az érintett megfelelő tájékoztatása
Az újítások között ez a legfontosabb. Mivel az érintettek jogai megerősödtek és kibővültek, tekintettel kell lennünk a teljeskörű és részletes tájékoztatásukra, a korábbi jogszabályokhoz képest sokkal bővebben. Nekünk kell igazolni, hogy megtörtént a tájékoztatást. Akinél létrejött a jogviszony, pl. beiratkozott a könyvtárba, annál bizonyítani kell, hogy kapott tájékoztatást. Ez lefedi a teljes adatkezelési tevékenységünket, akár a kölcsönzéssel, akár a rendezvények tartásával kapcsolatos adatkezelésről van szó. De ide tartozik a vagyonvédelmi rendszer (pl. videokamera) működtetéséből származó adatkezelés is.
- Az érintettek jogai
Az érintettnek joga van az elfelejtéshez, törléshez. Ha más kötelezettség vagy jog nem akadályozza a törlést, akkor azt meg kell tenni. Ha érdekmérlegelés alapján fűződik hozzá jog, akkor nem kell megtenni. Pl. adóhivatal nyilván nem fogja törölni a panaszos tartozását, ha ezt kéri. Ha jogszabályi kötelezettség írja elő, hogy tároljuk az adatát, akkor nem fogjuk törölni. Ha a könyvtárnak elszámolási vitája van a könyvtárhasználóval, akkor sem kell megtenni. Egyéb közérdeket is lehet vizsgálni. Azonban miután a használónak megszűnik a jogviszonya a könyvtárral és rendezte esetleges tartozásait is, és más egyéb kötelezettség miatt sem kell fenntartani az adatait, akkor a nyilvántartásainkból törölni kell. Erre is vannak iránymutatások, amiket lehet használni, pl. a számviteli törvény szabályozza, hogy a bizonylatokat meddig ideig szükséges megőrizni. Lehet álnevesíteni is régi adatokat, ezzel megszűnik a kapcsolat az érintett azonosíthatóságával, így akár megtarthatjuk a korábbi tranzakcióit, hogy az továbbra is használható maradjon statisztikai célú felhasználásra. Amint nem kapcsolható többé adott személyhez az adat, már eleget tettünk a jogszabályi kötelezettségnek. Megszüntetjük a kapcsolatot, de magát a nyilvántartást megtarthatjuk a fontos adatokkal, így az már nem fogja tartalmazni az olvasó személyét. Ha hírlevélről akar leiratkozni, annak is eleget kell tenni.
- Az érintett hozzáférési joga
Az érintett tehát tájékoztatást kérhet az adatai kezeléséről, megismerheti az adatait. A könyvtárhasználó megkérdezheti, hogy milyen adatát hol és meddig tároljuk, milyen megőrzési idő mellett. Ez minden rendszerünket, minden nyilvántartásunkat érinti, így ismernünk kell a rendszereinket, és hogy ki kezeli, milyen adatokat tárolunk. Ugyanígy kell eljárni a saját dolgozóink adataival, tehát lehetnek humán adatbázisok is. Sok helyen biztos, hogy összekapcsolódnak a rendszereink.
- Az adatkezelés jogalapja
A GDPR hat jogalap alapján ismer el jogszerű adatkezelést: az érintett hozzájárulása, szerződéses jogviszony, az adatkezelőre vonatkozó jogi kötelezettség, érdekmérlegelésen alapuló adatkezelések (közérdek, jogos érdek, létfontosságú érdek). Tehát meg kell keresnünk adatkezelésünk jogalapjait. Lényeges, hogy a könyvtárak esetében elsősorban a jogszabályi kötelezettséget kutassuk fel, ami előírja az adatkezelést. Ez lehet a könyvtári törvény, de a statisztikai adatszolgáltatásról is létezik jogszabályi kötelezettség. A szerződéses jogalap esetén nem kell terjedelmes szerződést alkotni. Akár egy szóbeli tájékoztatás is elegendő lehet, ami a GDPR is megfelelőnek tart. Nem szabad abba a hibába esnünk, hogy indokolatlanul hosszú szabályozást alkotunk, de mindig legyen sztenderd, hogyan haladunk végig ezeken a folyamatokon. A kötelező adatkezelésnek a munkaügyi adatok, a társadalombiztosítás, adózás is a része. Érdekmérlegelésen alapuló adatkezelés a munkavállalói ellenőrzéséhez kapcsolódóan merülhet fel, pl. munkára való alkalmassági vizsgálat, ahol ez szükséges.
- A hozzájárulás feltételeinek felülvizsgálata
Ha a weboldalon keresztül történik tájékoztatás, akkor nem lehet előre kipipált checkboxokat felkínálni, a kipipálást aktívan kell megtennie az érintettnek, valamint célonként el kell különíteni a hozzájárulást. Ez azt jelenti, hogy minden egyes hozzájáruláshoz külön checkbox kell: pl. akar hírlevelet, megkereshetjük telefonon, megkereshetjük e-mailen, megkereshetjük postán stb. Ezeket szükséges lehet újra összegyűjteni, ha korábban nem történt megfelelő tájékoztatás az érintett számára.
A könyvtáraknak tevékenységükből adódóan nem nagyon kell marketing- és analitikai cookie-kat használniuk. A nyelvi-területi azonosításhoz, a megjelenítés optimalizálásához és az eszköz azonosításhoz szükséges cookie-król pedig nem kell hozzájárulás, hiszen az kényelmi célokat szolgál és nem alkalmas személyi azonosításra. Tájékoztatni kell róla az érintettet, de nem kell az engedélyét kérni.
Az analitikai cookie-khoz azonban hozzájárulást kell kérni. Ha a katalógusban történő keresés összekapcsolódik a személlyel és ezt a könyvtár felhasználja a szolgáltatásához, az profilozásnak számít, és arról kell lennie hozzájárulásnak. Ilyenek lehetnek a fiataloknak, időseknek, nőknek, férfiaknak szóló ajánlatok, vagy tárgykörre vonatkozó profilok, pl. ha az olvasónkat a horgászat vagy ismeretterjesztő témák érdeklik és ilyen könyveket fogunk neki ajánlani.
- Gyermekek jogainak kiemelt védelme
Gyermekek 16 évtől nem számítanak gyereknek. 16 éves kor alatt csak a szülő vagy gondviselő nyilatkozhat és adhat beleegyezést, 16 év után önálló nyilatkozatra jogosult az adatkezeléssel kapcsolatosan. Ha olyan rendezvényt rendezünk, ahol szükséges a gyermekek azonosítása, akkor ahhoz is kell a szülő, gondviselő beleegyezése.
- Adatvédelmi incidens bejelentése
Ha a személyes adatokat egyéni okból vagy egyéb súlyos okból sérelem éri, adatok vesznek el vagy felmerül a jogosulatlan adatkezelés lehetősége, akkor 24 órán belül értesíteni kell a NAIH-ot az ún. online incidenskezelő rendszeren keresztül. Erre is lehet belső szabályzatot alkotni, lehet ezt a bejelentési kötelezettséget az adatkezelőhöz vagy az adatvédelmi tisztviselőhöz rendelni.
- Beépített adatvédelem, előzetes adatvédelmi hatásvizsgálat
Az ún. „magas kockázatú” eseményeknél kell ezt a hatásvizsgálatot elvégeznünk, az adatkezelés megkezdése előtt, még a tervezési szakaszban. A kamerakezelés biztosan magas kockázatú lesz, de a profilozás is ilyen lehet, vagy ha biometrikus adatokkal dolgozunk. A nagymértékű szenzitív személyes adat, pl. bűnügyi személyes adat is ilyen, ami a könyvtárakra nem vonatkozik. Ahol egészségügyi adatokkal dolgoznak, ott biztosan hatásvizsgálatot kell végezni az adatkezeléshez. Ha olyan fejlesztést hajtunk végre, amely az adatkezelést jelentősen megváltoztatja és érinti, beavatkozik az adatokba – pl. vállalatirányítási rendszer váltása -, akkor is hatásvizsgálatot kell folytatni és a hatósággal is jóvá kell hagyatni. Ebben az esetben a fejlesztés során az adatvédelmi tanácsadót vagy adatvédelmi tisztviselőt is be kell vonni, ha ilyen ki van jelölve a szervezetnél, de nem ő készíti el egyedül.
- Adatvédelmi tisztviselő (DPO)
Ez egyfajta belső ombudsman, akit mindenképpen szükséges kijelölni, ha közhatalmi tevékenységgel kapcsolatosan látunk el feladatokat, nagy kockázatú az adatkezelésünk, vagy nagy mennyiségben kezelünk adatokat. Az adatvédelmi tisztviselő kezeli a panaszt és a vizsgálatokat is lefolytatja. Ellenőrzi és szervezi az adatkezelési nyilvántartás vezetését. Az adatvédelmi tisztviselő más feladatokat is elláthat, de nem tölthet be olyan pozíciót a szervezeten belül, amelynek keretében ő határozza meg a személyes adatok kezelésének céljait és eszközeit.
Amennyiben a Könyvtár egy nagyobb intézmény része, pl. önkormányzati, egyetemi, vállalati, akkor nem kell a könyvtáron belül tisztviselőt kinevezni, elegendő a központi részlegnél, aki fenntartóként ellátja a teljes szervezet ilyen feladatát. Erőforrás vagy szakképzettség hiányában külső szakértőt is meg lehet bízni. Országos hatáskörű könyvtár esetében jogos lehet az adatvédelmi tisztviselő kinevezése.
- Az adatvédelmi felügyeleti hatóság illetékessége
Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) látja el ezt a feladatot. Minden uniós államban van ilyen hatóság. A nemzeti hatóságok tevékenységét az EU adatvédelmi hatósága fogja össze. Minden nemzeti hatóság jogosult eljárni minden EU-s tagállamban és minden más országban is a világon, amely EU-s állampolgár adatait kezeli. Fontos körülmény a NAIH jelenlegi jogállásával kapcsolatban, hogy a hatóság is tanul még és igyekszik alkalmazkodni az új szerepkörökhöz. Sajnos vannak még hiányzó foltok, ahol nem ismert a pontos menet, pl. az adatvédelmi hatásvizsgálatok esetében. A hatóság nem várja el, hogy mindenki azonnal felkészült legyen. Évekig fog tartani a felkészülés, hiszen a jogalkotás jelentősen le van maradva. Háromszáz jogszabály vár átdolgozásra. Nem a büntetés és a szankcionálás a céljuk, hanem a figyelmeztetés. Nekünk ilyenkor az együttműködést kell biztosítani, hogy a jogellenes magatartás megszűnjön. A 20 millió EUR büntetés a globális technológia cégekre vonatkozik és nem a kis cégekre, intézményekre. A NAIH a honlapján iránymutatásokat is elhelyez az adatkezelők, adatfeldolgozók részére, amelyeket érdemes tanulmányozni (29. Munkacsoport).
Külön kérdés volt, hogy jogszerű-e az ún. profilalkotás, amelynek során olvasói csoportokat határozhatunk meg a proaktív szolgáltatás érdekében pl. életkor, képzettség, érdeklődési kör alapján. Amennyiben a könyvtári tájékoztatóban külön feltüntetjük, hogy az olvasó beiratkozáskor ehhez is hozzájárul, törvényszerűen járunk el. Ha nem volt ilyen, akkor utólag be kell szerezni a hozzájárulást. A személyre szabott hírleveleknél és az ún. analitikai cookie-k használatánál is így kell eljárni, ha használ ilyet a könyvtár a szolgáltatásaihoz. Webes szolgáltatásnál is előzetes tájékoztató és hozzájárulás szükséges, amiről a web felületen kell gondoskodni. Nem kell technikai adatokba belemenni, elegendő annyi, hogy a személyre szabott ajánlatok küldéséhez gyűjtjük a korát v. érdeklődési körét, ill. hogy milyen könyveket kölcsönzött ki. Egy vállalati könyvtárnál azonban az is elég lehet, ha a munkavállaló a munkaszerződésében hozzájárul ehhez. Megoldás lehet még az ún. anonimizálás alkalmazása, ami azt jelenti, hogy a neveket elválasztjuk a többi adattól, és így már nem szükséges hozzájárulás, mert nem azonosítható a személy, azonban megmarad lehetőség az adatok elemzésre.
Felmerült, hogy a különböző könyvtárak adatkezelési jogalapjának megalkotásához felhasználható-e a hatályos könyvtári törvény. A 1997. évi CXL. törvény címében kizárólag a nyilvános könyvtárak szerepelnek, azonban a törvény nem a nyilvános könyvtárakról szól, hanem a könyvtári rendszer egészéről, amely mindenféle típusú könyvtárra kiterjed. Továbbá a törvény 5.§ megnevezi azokat a pontokat, amelyek kiterjednek a nem nyilvános könyvtárakra. Ezek a könyvtári dokumentumok védelmére és nyilvántartására vonatkozó-, a könyvtári tevékenységről és a könyvtári alkalmazottakról szóló szabályok. Ezen kívül a statisztikai törvény minden könyvtárra előírja az adatszolgáltatási kötelezettséget.
Részletes beszámolót hallhattunk Kálmán Ritától a KSH Könyvtár felkészüléséről, amelynek során már a szükséges adatvédelmi szabályzatot, nyilatkozatokat és kommunikációs terveket is elkészítették. Ők külső segítség nélkül készültek fel. Először adatleltárt vettek fel, hogy az adatrögzítés jogalapját helyesen tudják megfogalmazni, majd meghatározták az adatkezelésre jogosultak körét, hogy kinek milyen jogosultsága van. Először kevésnek tűnt, de napról napra bővültek a különböző adatkezelési esetek, amelyekhez szükséges volt valamilyen szabályozást alkotni, nemcsak a hagyományos feladatokban, hanem egyéb esetekre is, pl. gyakornokok és a közösségi szolgálatot végző középiskolások számára. A könyvtárhasználóknak szóló tájékoztatást rávezetik majd a tervezett új beiratkozási lapra. A 13 oldalas szabályzatot hétköznapi nyelven is összefoglalták. Az adatbázisukat is tisztítani kell, így a régi kölcsönzések személyi adatai elvesznek. Ezeket a régi adatokat anonimizálni fogják, így a születési adatok is benne maradhatnak és továbbra is alkalmas lesz statisztikai célú adatok kinyerésére. Korcsoportos bontást is tudnak csinálni. Felkészülnek a dolgozók tájékoztatására, oktatására is: pl. beiratkoztató- és kölcsönzést végző munkatársak felkészítésére. De nagyobb oktatást is fognak tartani. Tapasztalataikat szívesen megosztják más könyvtárakkal.
A műhelybeszélgetésen a nyilvános könyvtárak képviselői is jelen voltak. Felmerült, hogy őket milyen kötelezettség terheli, milyen tájékoztatókat kell készíteniük. Tájékoztatót szükséges elhelyezni a honlapon az adatkezelésről a honlap használói számára. Ez rövid tájékoztató legyen. A kényelmi cookie-használat is szerepeljen benne. A beiratkozók, könyvtárhasználók számára a beiratkozás mellé nyilatkozat szükséges a könyvtárhasználathoz. Ezt akár a könyvtár házirendjéhez (könyvtárhasználati szabályzat) is lehet csatolni. A tájékoztató szövege legyen lényegre törő és hétköznapi nyelvezetű, nem szabad szakkifejezésekkel telerakni. A videorendszerről pedig kiragasztott, kiplakátolt, előzetes tájékoztatás. A saját munkatársaink, munkavállalóink számára is szükséges a tájékoztató. Amennyiben vagyonvédelmi rendszer, beléptető rendszer, riasztó rendszer működik, ezeknek a munkavállalói tájékoztatásban benne kell lenniük. Szabályzat nagyon jó, ha van, de nem feltétlenül kell egy egységes szerkezetű szabályzatnak lennie. A közhatalmi szervezetek számára, akik nagy mennyiségű adattal dolgoznak és direkt az adatkezelésre irányuló tevékenységet végeznek, előírt, hogy legyen szabályzatuk. Mindenki másnak csak azt írja elő a törvény, hogy vizsgálja meg a tevékenységével összhangban szükséges és elégséges tájékoztatási teendőket. Biztosítani kell, hogy a tájékoztatás eljusson az érintettekhez. Mást nem feltétlenül szükséges csinálni. Az egyik III. kerületi közkönyvtárnak sem készíttettek egységes szabályzatot, csak tájékoztatókat kell használniuk.
Elhangzott, hogy hasznos lett volna iránymutatást kapni a Könyvtári Intézettől (KI), mert így minden könyvtár önerőből próbál megfelelni a törvény elvárásainak. Most kerülnek kidolgozásra a GDPR irányelvek az intézetben. Ugyanolyan helyzetben vannak, mint a többi könyvtár. Nem akartak elsietett irányelveket megalkotni, amely esetleg valótlanságokat tartalmaz, mert most ismerkednek a rendszerrel. Értelmezés szempontjából elég képlékeny a dolog. Azonban a törvény magyarországi adaptálásával az EMMI végrehajtási utasítása is késik, így az intézetnek még nem volt lehetősége hiteles útmutatások kidolgozására, de a KI készül rá, hogy amint az ágazati előírások kiadásra kerülnek, rövid időn belül elkészítik a módszertani útmutatókat a különböző könyvtártípusok figyelembe vételével.
Nagy Zoltán, az MKE Műszaki Könyvtáros Szekciójának elnöke elmondta, hogy tárgyalás folyik a minisztériummal is a szabályzat készítéséről. Péterfalvi Attila szerint a legfontosabb, hogy tájékoztatás készüljön az olvasók számára, hogy milyen jogszabály alapján kérünk adatokat. Ezt minden könyvtártípus alkalmazhatja. Elég hosszú idő lesz, amíg a végrehajtási utasítások el fognak készülni. Az egyesülethez is sokan fordulnak ezzel a kérdéssel.
Baka Tibor jelezte, hogy a Magyar Postánál pl. külön munkabizottság foglalkozik a törvény értelmezésével, amely tárgyalja pl. azt a kérdést is, hogy jogszerű-e a folyóiratok rendelésénél kiadni a szállítónak az igénylő nevét és beosztását.
Varga Klára, az ELTE munkatársa beszámolt róla, hogy ők is aktívan foglalkoznak a témával, főleg mert a nagyszámú tagkönyvtáruk léte nehezíti az előírások betartását. Fontosnak tartják, hogy felhasználói szempontból kezeljék a törvényt, úgymond nem a „kötözködő” olvasókra kell felkészülniJ. Feladat vár az integrált könyvtári rendszerek fejlesztőire és üzemeltetőire is, álláspontja szerint nekik kell megoldást találni az adatok anonimizálására.
Kutnyánszky Anikó bemutatta a Wigner FK könyvtár saját gyakorlatát. A könyvtár akadémiai intézeti szakkönyvtárként korlátozottan nyilvános, azonban bizonyos feltételek mellett nyilvános szolgáltatásokat is nyújtanak. A könyvtári törvény szerint működnek, amelynek 57.§-a konkrétan és egyértelműen tartalmazza, hogy milyen adatok szükségesek a beiratkozáshoz. Ez az adatkezelésük jogalapja. Az intézetben 2017-ben volt adatvédelmi audit, amely az Infotörvény és a GDPR alapján történt. Az audit eredményeként a könyvtárra szóló megállapítások is születtek. Például az olvasói nyilvántartásban korábbi szokásból eredően a személyi igazolvány számok is rögzítésre kerültek, amelyeket törölni kellett. Az adatkezelési tájékoztatót a beiratkozási lapra vezették rá, amit közvetlenül a könyvtári rendszerből lehet nyomtatni. Az adatkezelés részleteit a könyvtárhasználati szabályzat tartalmazza, amely nyilvánosan elérhető a könyvtár weboldalán. Önálló könyvtári adatvédelmi szabályzat nem készül, azonban az intézet adatvédelmi szabályzatának része lesz a könyvtárról szóló rész is. A szabályzat ősszel lesz véglegesítve és utána minden szervezeti egységet érintően oktatások is lesznek a dolgozók számára. Önálló vagyonvédelmi rendszert a könyvtárban nem használnak, csak az intézet más területein van kamera. Előttük áll még a lejárt beiratkozók adatainak tisztítása vagy álnevesítése a könyvtári rendszerben, továbbá a régi, lejárt olvasói, beiratkozási kartonok szakszerű iratselejtezése (selejtezési jegyzőkönyvvel), iratkezelési szabályzat alapján; a bizonylatok és számlák szakszerű irattárazása. Az adatvédelmi audit további megállapítása volt, hogy a könyvtár gyakorlata szerint küldött elektronikus hírlevél nem profilozós, ezért a szabályzatban nem hírlevélnek, hanem körlevélnek vagy technikai e-mailnek kell hívni. A hírlevél szakkifejezés ugyanis a reklámtörvényben üzleti célú használatra van lefoglalva. A könyvtári rendszerükben a könyvtárhasználók rögzítésekor alkalmazott gyakorlatuk biztonsági kockázatot vetett fel, ezért intézkedéseket tettek egy lehetséges adatvédelmi incidens elkerülése érdekében. Felhívta a figyelmet, hogy a könyvtárak alaptevékenységhez tartozik a bibliográfiai adatok kezelése és a katalógusépítés, amely felvethet adatkezelési rendelkezéseket, ugyanígy a digitalizálás is, amellyel kapcsolatos ajánlásokat egy szélesebb szakmai konszenzuson alapuló ágazati irányelveket tartalmazó szabályozásnak kell majd részléteznie. Fontos, hogy a kidolgozás alatt levő könyvtárszakmai irányelvekben erről se feledkezzen meg a KI.
Kérdések-válaszok
K: Könyvtárként megtagadhatjuk a kötelező adatszolgáltatást a GDPR-ra hivatkozva, hogy az túl sok személyes adatkezelési kockázattal jár?
V: A GDPR nem mond ellent a törvényi kötelezettségeknek. Önmagában az adatkezelés nem jár adatkezelési kockázattal. A jogszabályi kötelezettséggel nem lehet mit tenni. Ami kötelező adatkezelés és jogi kötelezettség teljesítésével kell megvalósítani, azt szolgáltatni kell. Ugyanakkor pl. beiratkozáskor közölnünk kell az érintettel a jogalapot és azt, hogy ez a feltétele a beiratkozásnak. Statisztikára felhasználható. Nem lehet adatminimalizálás indokával sem megtagadni, mert ez az elv azokban az esetekben tud érvényesülni, ahol nem kötelező adatkezelésről beszélünk. Lejárt olvasók adatait is megőrizhetjük statisztikai célokra, ha megszüntettük a nyilvántartásban a személlyel a kapcsolatot. Erre lehet eszköz az álnevesítés.
K: A Magyar Telekom adatjogásza azt javasolta az Infotékának, hogy tegyék lehetővé a kiiratkozást is az online felületen. Van ennek értelme?
V: Talán arra gondolt az adatjogász, hogy a kiiratkozás önmagában nem törlési igény, csak annyit jelenthet, hogy szüntessék meg a jogviszonyát. Ha a munkáltató nem írja elő a kötelező tagságot, akkor ki lehet iratkoztatni egy ilyen funkcióval. Ugyanakkor ez igazából egy túlzásba vitt adminisztráció. Nem az volt a jogalkotó szándéka, hogy rákényszerítse az adatkezelőket túlzásba vitt biztosítékok bevezetésére. A tájékoztatás sokkal fontosabb cél, az önrendelkezést pedig egyszerűbb módon is lehet biztosítani.
K: Vagyonvédelmi rendszer (pl. videokamera) üzemeltetésének milyen kötelező adatkezelése van?
V: Előzetes tájékoztatásra van szükség a vagyonvédelmi célú videorendszerek működtetéséhez. Kell, hogy legyen tájékoztató tábla a kamera közelében a rendszer működéséről, pl. „Itt vagyonvédelmi rendszer működik” szöveggel. A tájékoztató szövegen szerepeltetni kell, hogy ki az üzemeltető, mi a technológia, hol van a rögzítés helye, mennyi a rögzítései idő. A személy- és vagyonvédelmi törvény adhat erre szakmai iránymutatást, hiszen az szabályozza a határidőt a felvételek tárolására és kezelésére vonatkozóan. Alapértelmezésben a rögzítéstől számítva 3 munkanap, de ettől eltérő is lehet. A tájékoztatóban szerepelnie kell a kezelésbe bevont vagyonvédelmi cégnek, az adatfeldolgozónak és az adatvédelmi tisztviselőnek is. Mindezt be kell jelenteni a NAIH számára és www.naih.hu-n is meg kell jeleníteni, hova fordulhat az érintett jogorvoslatért.
Egy mondatban összefoglalva tehát: valamennyiünk feladata a hatályos jogszabályok és az adatvédelmi törvény ránk vonatkozó előírásainak elemzése és harmonizálása azzal a „könnyítéssel”, hogy a NAIH szerint a könyvtárak nem számítanak igazán kockázatos adatkezelési területnek.
Ajánlott irodalom:
- Felkészülés az Adatvédelmi Rendelet alkalmazására 12 lépésben. Iránymutatás adatkezelők, adatfeldolgozók részére.
- Péterfalvi Attila – Csajági István: A személyes adatok kezelése a könyvtárak életében – aktuális kérdések. In: Könyv, könyvtár, könyvtáros, 2017. (26. évf.), 9. sz., 3. p.
- A nem nyilvános könyvtárak és a könyvtári törvény. Beszámoló egy szakmai tanácskozásról. In: Könyv, könyvtár, könyvtáros, 1999. (9. évf.), 6. sz., 3. p.
- Molnár Gábor előadása megtalálható a műhelybeszélgetések oldalán.
A következő, 2018. decemberi műhelybeszélgetésünk helyszínéről és témájáról időben tájékoztatást adunk majd.
Köszönjük az MTA Wigner Fizikai Kutatóközpont Könyvtárának a vendéglátást!
Kutnyánszky Anikó, MTA Wigner Fizikai Kutatóközpont Könyvtára
Horváth Eszter, Kóródy Judit, Infodok Kft. – Magyar Telekom Infotéka
Molnár Gábor előadása (pptx)