Személyes adat: a kiindulópont
A GDPR 4. cikk 1. pontja szerint személyes adat az azonosított vagy azonosítható természetes személyre, vagyis az érintettre vonatkozó bármely információ. Azonosítható az a személy, aki közvetlen vagy közvetett módon azonosítható, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító, vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján. A felsorolás szándékosan tág, nem csak a névhez és a lakcímhez hasonló nyilvánvaló adatokra vonatkozik, hanem minden olyan tényezőre is, amely alapján egy személy beazonosítható.
Adatkezelés: a személyes adaton végzett bármely művelet
A 4. cikk 2. pontja szerint adatkezelésnek minősül a személyes adatokon vagy adatállományokon automatizált vagy nem automatizált módon végzett bármely művelet vagy műveletek összessége. Ide tartozik a gyűjtés, rögzítés, rendszerezés, tárolás, felhasználás, továbbítás, korlátozás, törlés vagy megsemmisítés is. A fogalom tehát nem csak a tárolást jelenti, hanem gyakorlatilag mindent, amit egy cég a személyes adattal tesz, a beérkezéstől a végleges törlésig.
- Gyűjtés, rögzítésAz adat bekerül a rendszerbe, például egy űrlapon vagy beszélgetésben.
- Rendszerezés, tárolásAz adat strukturálva, adatbázisban vagy fájlban megmarad.
- Felhasználás, továbbításAz adatot valamilyen célra használják, vagy más félnek átadják.
- Korlátozás, törlés, megsemmisítésAz adatkezelés lezárul, az adat végül törlődik vagy megsemmisül.
Adatkezelő és adatfeldolgozó: két különböző felelősség
A 4. cikk 7. pontja szerint az adatkezelő az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely a személyes adatok kezelésének céljait és eszközeit önállóan vagy másokkal együtt meghatározza. Az adatkezelő dönt arról, miért és hogyan történik az adatkezelés, és ő viseli az elsődleges felelősséget a jogszerűségért. Ezzel szemben a 4. cikk 8. pontja szerint az adatfeldolgozó az a természetes vagy jogi személy, közhatalmi szerv, ügynökség vagy bármely egyéb szerv, amely az adatkezelő nevében kezeli a személyes adatokat. Az adatfeldolgozó csak az adatkezelő írásbeli utasítása és a 28. cikk szerinti szerződés alapján járhat el, saját döntést a célokról és eszközökről nem hozhat.
Adatkezelő felelőssége
- Meghatározza az adatkezelés célját és eszközeit
- Kijelöli a jogalapot
- Elsődlegesen felel a jogszerűségért
Adatfeldolgozó felelőssége
- Csak írásbeli utasítás alapján járhat el
- 28. cikk szerinti szerződés köti az adatkezelőhöz
- Saját célra nem használhatja az adatot
Egy hétköznapi példa: az ügyfélszolgálati chatbot
Vegyük egy cég ügyfélszolgálati chatbotját, amely AI-val válaszol az ügyfelek kérdéseire. A cég, amely a chatbotot üzemelteti és eldönti, milyen adatokat gyűjt és milyen célra, ebben a viszonyban az adatkezelő. Ha a cég egy külső AI-szolgáltató rendszerét használja a beszélgetések feldolgozására, és ez a szolgáltató a cég írásbeli utasítása és szerződése alapján, kizárólag a cég nevében kezeli az adatokat, akkor a szolgáltató adatfeldolgozóként jár el. Az ügyfél, aki a chatbottal beszélget, az érintett. A beszélgetésben megadott adatok, például a neve, az elérhetősége, vagy akár egy panasz szövegéből kiolvasható, a hangulatára utaló megjegyzés is személyes adatnak minősülhet, hiszen mindegyik a 4. cikk 1. pontja szerinti azonosító tényezőkhöz kapcsolódik.
Legalább ennyi szerepet érdemes tisztázni minden AI-integráció előtt: ki az adatkezelő, ki lehet adatfeldolgozó, és pontosan mi minősül személyes adatnak a folyamatban.
Fontos. Ez a lecke oktatási célú, általános tájékoztatás, nem minősül jogi tanácsadásnak. Konkrét szereplői besoroláshoz mindig kérj szakszerű jogi véleményt.
Workshop
AI Transformation Day
Egésznapos, vezetőknek szóló program. Feltérképezzük, hol tart a szervezet, mi az első reális lépés, és milyen belső feltételek szükségesek a sikerhez. A nap végén konkrét, prioritizált cselekvési lista.
Érdekel a program →