Nagyon megüthetik a bokájukat az ilyen cégek: 20 milliós bírság is járhat egy ilyen botlásért

A GDPR jelentősen bővítette a magánszemélyek személyes adatokkal kapcsolatos jogait. Az úgynevezett hozzáférési jog alapján az érintettek tájékoztatást kaphatnak arról, hogy az adatkezelő mely személyes adataikat kezeli, sőt, ezekhez az adatokhoz hozzá is férhetnek. Az adatkezelőnek a tájékoztatást fő szabályként már az adatok gyűjtésekor meg kell adnia, de az érintett bármikor kérhet részletes felvilágosítást az adatkezelés céljáról, időtartamáról, illetve arról, hogy kik kaphatják meg adataikat, beleértve azt is, hogy Európán kívülre eljutnak-e ezek az adatok.

A digitalizáció, például a dolgok internetének (Internet of Things) egyik következménye, hogy a cégek egyre nagyobb számú adatot kezelnek, egyre összetettebb és átláthatatlanabb módon. A cégek számára a hozzáférési joggal kapcsolatos szabályozás betartása olykor nehézségekkel járhat, különösen akkor, ha nagy mennyiségben és eltérő célokból kezelnek személyes adatokat

– mondta dr. Vári Csaba, a Baker McKenzie IP/Tech praxisának vezetője. Az Európai Adatvédelmi Testület (EDPB) iránymutatásának tervezete és a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) gyakorlata alapján körvonalazódik, hogy mire jogosítja fel az érintettet a hozzáférési jog, és mire érdemes odafigyelniük az adatkezelőknek a hozzáférési kérelmek kezelése során.

A hozzáférési jog megsértésével kapcsolatos eljárásokat a NAIH jellemzően érintetti panasz alapján folytatja le. Ennek során a hatóság nem kizárólag az adott jogsértést, hanem az adatkezelő teljes vonatkozó adatkezelési gyakorlatát vizsgálja. A jogi megfelelés érdekében ezért érdemes a kérelmek kezelését, illetve magát az adatkezelési tevékenységet is úgy kialakítani, hogy a hozzáférési kérelmek egyszerűen és hatékonyan teljesíthetők legyenek

– mondta dr. Gaál András, a Baker McKenzie ügyvédjelöltje. A jogsértések eddig elrendelt szankciói az adott jogsértés egyedi körülményeitől függenek. A NAIH vizsgálja például a kezelt adatok jellegét, az érintettek számát, és azt is, hogy alkalmi adatvédelmi visszásságról vagy rendszerszintű problémáról van-e szó. Így előfordul a hatóság gyakorlatában figyelmeztetés, de kiróttak már 20 millió forintos bírságot is.

EZ IS ÉRDEKELHET

Ezeknél a magyar cégeknél vállalnak munkát az Ukrajnából menekülők: a szállással se lesz gondjuk

Nemcsak az észak-keleti országrészben vállalnak munkát a háború elől menekülők, de az ország más részein is el tudnak helyezkedni.

A hozzáférési kérelem teljesítése előtt az adatkezelőnek meg kell győződnie arról, hogy valóban az a személy fordult hozzá, akinek joga van kikérni az adatokat. Elhunyt személyek adatai esetén például alaposabb utánjárást igényelhet a jogszerű képviselő személyének megállapítása.

A kérelmet az érintettel kapcsolatban kezelt összes személyes adatra kiterjedően kell értelmezni. Ha azonban az adatkezelő az érintettel kapcsolatban nagy számban kezel személyes adatot, kérhet pontosítást – például egy kamerafelvétel esetén a pontos időintervallum meghatározását. Ha az érintett másolatot kér a kezelt személyes adatokról, az adatkezelőnek azokat tömör, átlátható, érthető és könnyen hozzáférhető, valamint maradandó formában kell az érintett rendelkezésére bocsátania.

A hozzáférési kérelmekre legkésőbb egy hónapon belül válaszolni kell, akkor is, ha az adatkezelő elutasítja a kérelem teljesítését. A határidő indokolt esetben legfeljebb további két hónappal meghosszabbítható, és erről az érintettet tájékoztatni kell.

A hozzáférési jogot korlátozni lehet, ha az mások jogait és szabadságait – például üzleti titkot vagy mások személyes adatainak titkosságát – sértené. Ha az érintett kérelme megalapozatlan vagy túlzó, az adatkezelő észszerű összegű díjat számíthat fel, vagy akár meg is tagadhatja a kért intézkedést. Az első másolat az érintett számára ingyenes, azonban a további másolatokért az adatkezelő adminisztratív díjat számíthat fel. A hozzáférési jogot bizonyos esetekben jogszabályok is korlátozhatják: például a hatóság által kirendelt szakértő az őt kirendelő szerv utasítása alapján megtagadhatja a hozzáférési kérelem teljesítését.

A NAIH gyakorlata alapján a hozzáférési kérelmek teljesítése során jelentős hiba lehet, ha az adatkezelő nem vizsgálja meg, hogy pontosan milyen adatkezelésekre vonatkozik a hozzáférési kérelem, és emiatt nem nyújt információt releváns adatkezelésekről. Ilyen lehet például, ha csak egy adott adatbázist vesz figyelembe, de a biztonsági mentéseket, a papíralapú dokumentumokat vagy a panasznyilvántartásokat nem vizsgálja. Ugyancsak előfordul, hogy az adatkezelő összetéveszti a hozzáférési kérelmeket más jellegű kérelmekkel, például panaszbeadványokkal, vagy nem kezeli megfelelően a biztonsági kamera-felvételekkel kapcsolatos hozzáférési kérelmeket. Ennek oka akár szervezeti szintű probléma is lehet.