jan 10

Jellemző hibák a személyes adatokkal összefüggő tájékoztatás során

| Címkék: , , , , , ,

how_to_inform_data_subject

forrás: Pixabay

Valamennyi személyes adatot kezelő kiemelt kötelezettsége az adataikat megadó személyek tájékoztatása a kezelt adatokkal kapcsolatban. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) belső adatvédelmi felelősök számára rendezett konferenciája kapcsán az érintettek tájékoztatásával kapcsolatos rossz gyakorlatokból szemezgettünk.

Az országos szintű hatósági, munkaügyi vagy bűnügyi adatállományt kezelők, illetve feldolgozók, valamint a pénzügyi szervezetek, illetve a hírközlési és a közüzemi szolgáltatók kötelesek ún. belső adatvédelmi felelőst kinevezni. Az előírás oka elsősorban az említettek által kezelt személyes adatok mennyiségében, illetve érzékenységében keresendő. Cikkünkben a NAIH legutóbbi konferenciáján elhangzottakat osztjuk meg olvasóinkkal.

 

Miről és kit kell tájékoztatni az adatkezelőnek?

Az adatkezelő annak kérésére köteles tájékoztatni az érintettet – akinek az adatát kezelik – arról, hogy

  • – pontosan mely adatait kezeli,
  • – milyen forrásból szerezte be az adatokat,
  • – milyen célból kezeli az adatokat, milyen jogalapon (pl. az érintett kifejezett hozzájárulásával vagy jogszabály előírása alapján) kezeli az adatokat,
  • – milyen időtartamban szándékozik kezelni az adatokat,
  • – igénybe vesz-e az adatok feldolgozásához adatkezelőt, ha igen, akkor annak nevéről és címéről,
  • – történt-e adatvédelmi incidens (például adatszivárgás, az adatok illetéktelenek általi megismerése) az adatkezelőnél, és milyen intézkedéseket tett az incidens bekövetkezését követően,
  • – végül pedig arról, hogy az adatokat továbbítja-e az érintetten és az adatkezelőn kívüli harmadik személyek részére, ha igen, akkor kinek.

Az érintett bármilyen formában, tehát postai úton, e-mailben vagy akár személyesen is kérhet tájékoztatást az adatkezelőtől.

 

Melyek a leggyakoribb, tájékoztatással kapcsolatos hibák?

Érintetti kérelem vagy fogyasztói panasz?

Ne tévesszük össze az érintett tájékoztatás-kérését azzal, ha az általunk nyújtott szolgáltatással, vagy értékesített termékkel kapcsolatban emel kifogást! Nem nehéz elkülöníteni őket: az első a termék megvásárlásakor vagy a szolgáltatás megrendelésekor – jellemzően a kapcsolattartás céljából – megadott adatok (például név, cím, e-mail cím, telefonszám) további sorsát firtatja, míg utóbbi a termékkel vagy szolgáltatással kapcsolatos elégedetlenség jelzése. Eltérő egyébként a válaszadás törvényi határideje is: a címzettnek az érintetti kérelemre 25, míg a fogyasztói panaszra 30 napon belül kell reagálni.

A tájékoztatás személyes megjelenéshez kötése

A tájékoztatás elsősorban az érintett kérésének megfelelő formában történjen, de semmiképpen sem olyan formában, amely ellen az érintett kifejezetten tiltakozik. Azért sem érdemes egyébként szóban tájékoztatni az érintettet, mert ennek következtében a NAIH által indított eljárásban valószínűleg nem tudjuk bizonyítani a tájékoztatás megtörténtét, amelynek ugyanaz a következménye, mintha a tájékoztatást elmulasztottuk volna.

A tájékoztatás térítési díjhoz kötése

Adatkezelőként csak nagyon szűk körben kérhetjük a tájékoztatással összefüggésben felmerült, indokolt költségek megtérítését, mégpedig abban az esetben, ha az érintett a folyó évben már benyújtott ugyanarra az adatkörre (például a számlázási adatok) vonatkozó tájékoztatási kérelmet.

Formai követelmények (például formanyomtatvány használatának) előírása

Tekintettel arra, hogy az adatvédelmi szabályok erre nem biztosítanak lehetőséget, az érintett tájékoztatáshoz való joga korlátozásának minősül az ilyen gyakorlat, s ebben a formában jogsértést valósít meg az adatkezelő, ha az általa előre elkészített formanyomtatvány alkalmazásától teszi függővé a tájékoztatás megadását.

Indokolási kötelezettség előírása

Az érintett önmagában ebbéli minőségében jogosult a tájékoztatásra, nem szükséges semmilyen indokot felhoznia a kérelmének indokolására.

A tájékoztatás elmaradása ügyintézői hibára hivatkozással

Az adatvédelmi előírások szempontjából a munkáltató minősül adatkezelőnek, így a tájékoztatási kötelezettség is őt terheli. A tájékoztatást elmulasztó munkavállalót munkajogi úton lehet fegyelmi felelősségre vonni, mindez azonban a tájékoztatási kötelezettség elmulasztása alól nem mentesíti a munkáltatót.

A kérelmek részleges megválaszolása

Példaként említhető, ha az adatkezelő sok esetben a törvényben megszabott 25 napos határidőn belül csak az adatkezelés jogalapjáról ad írásbeli tájékoztatást, az adatkezelés egyéb lényeges körülményeiről (például a bekövetkezett adatvédelmi incidensről, adatszivárgásról, adatvesztésről) azonban nem.

Szintén rossz gyakorlatot folytat az az adatkezelő, aki/amely az érintettet csak általánosságban tájékoztatja az általa végzett adatkezelési tevékenységekről, illetve azon címzettekről, akik vagy amelyek részére adatot továbbít. A helyes gyakorlat ezzel szemben az, ha a tájékoztatás a tájékoztatást kérő konkrét ügyében érintett konkrét adataira vonatkozik: ismertessük az érintettel, hogy a tájékoztatás-kérésben megjelölt adatainak ténylegesen mi lett a sorsa (például kihez továbbítottuk őket, melyik alvállalkozóként ismerte meg őket a feladatai ellátása érdekében)!

 

Milyen következményekkel számolhat, aki helytelen tájékoztatási gyakorlatot folytat?

A NAIH gyakorlatának ismeretében elmondható, hogy a tájékoztatáshoz való jog megsértése súlyos jogsértésnek minősül, és az előfordulás gyakoriságától, valamint az érintettek körének nagyságától függően a NAIH az elmulasztott tájékoztatás pótlásán túl 100 000 Ft és 20 000 000 Ft közötti összegű bírsággal is sújthatja az adatkezelőt.

Amint korábbi bejegyzésünkben már jeleztük: 2018 májusától az egységes európai szintű adatvédelmi szabályozás életbe lépésével a bírsághatár maximuma a fent említett 20 000 000 Ft-ról 20 000 000 euróra vagy az előző évi árbevétel 4%-ára emelkedik.

 

Mindezek fényében érdemes felülvizsgálni és szükség esetén még időben változtatni a tájékoztatási gyakorlaton.