Az adatkezelőt terhelő tájékoztatási kötelezettségekről

A GDPR alapján kétféle tájékoztatási kötelezettséget különíthetünk el.

1. Az általános tájékoztatás

Az egyik az adatkezelőt terhelő általános tájékoztatási kötelezettség, aminek az adatkezelők adatkezelési tájékoztató, adatvédelmi nyilatkozat vagy adatvédelmi irányelvek elnevezésű dokumentum formájában szoktak eleget tenni.

Közzéteszik a weboldalon, közösségi felületeken, szerződéskötéskor átadják az ügyfélnek.

Ez a tájékoztatás általános jellegű, azaz tartalmazza az adatkezelő valamennyi adatkezelési tevékenységét, ezért a továbbiakban általános tájékoztatásként hivatkozok rá. 

Az általános tájékoztatás ahogyan a nevéből is adódik, nem egy konkrét személy adatainak kezelésére vonatkozik, hanem az adatkezelőnél általában előforduló adatkezelésekre, ami nem biztos, hogy minden természetes személy vonatkozásában minden esetben megvalósul.

Például, aki szerződést köt az adatkezelővel és pluszban feliratkozik a hírlevélre, annak a a nevét és e-mail címét adatkezelő két adatkezelési célból és jogalapon is kezeli egyszerre (szerződés teljesítése és hírlevél küldés). Aki viszont nem  kérte a hírlevelet, csak szerződést kötött, annak nevét és e-mail címét adatkezelő a szerződés teljesítése érdekében kezeli, ez egy adatkezelési cél és jogalap. Viszont az adatkezelési tájékoztatóban mindkét lehetséges adatkezelési célról tájékoztatást kell adni.

Az általános tájékoztató kötelező tartalmát a GDPR meghatározza, tehát iránymutatást ad az adatkezelők számára, ugyanakkor minimum követelményt is jelent egyszerre.

A GDPR különbséget tesz aszerint, hogy az adatkezelő honnan szerezte meg a személyes adatot. 

• A személyes adat forrása lehet maga a természetes személy vagy egyéb forrás.
  
• Egyéb forrás  lehet más személy vagy szervezet, profilalkotás eredménye, nyilvántartásból lekérés, hatósági megkeresés stb.
  

A tájékoztatás megadásának időpontja is ennek megfelelően alakul. 

a) Ha a személyes adatok forrása a természetes személy adatszolgáltatása, akkor az általános tájékoztatást legkésőbb az adatok megszerzésének időpontjában kell megadni.

b) Ha egyéb forrásból történik a személyes adatok megszerzése, akkor az általános tájékoztatást a személyes adatok megszerzésétől számított legkésőbb 1 hónapon belül kell megadni. Ha a megszerzett személyes adatokat kapcsolattartásra használják, akkor az első kapcsolatfelvételkor, ha az egyéb forrásból megszerzett személyes adatokat más személyekkel, szervezetekkel is közlik, akkor az első alkalommal történő közléskor.

Az alábbi összefoglaló táblázat tartalmazza a rendelkezésre bocsátandó információkat aszerint, hogy kitől gyűjtik a személyes adatokat

A részletes felsorolást a GDPR 13. és 14. cikkei tartalmazzák. Ez a minimum, a tájékoztatás ennél többet is tartalmazhat, az adatkezelőre van bízva a tájékoztatás tartalmának bővítése.

Az általános tájékoztatást utólag igazolható formában kell megadni, itt is az adatkezelőre van bízva, hogy milyen eljárást, technológiát alkalmaz, de annak alkalmasnak kell lennie arra, hogy később igazolható legyen mikor és milyen tartalommal került sor a tájékoztatásra.

Hogy mikor nem kell az általános tájékoztatást megadni, arról a következő cikkben fogok részletesen írni, most nézzük az egyedi tájékoztatást.

2. Egyedi tájékoztatás (hozzáférési jog)

A másik tájékoztatási kötelezettségről azonban már ritkábban esik szó, pedig a NAIH számtalan alkalommal szabott ki adatvédelmi bírságot ezzel összefüggésben.

Ez a tájékoztatás valójában az adatkezeléssel érintett természetes személy (érintett) egyedi joga, hogy konkrét tájékoztatást kapjon a saját adatainak kezeléséről, amit a GDPR hozzáférési jognak nevez. 

Ami az érintett számára jog, az az adatkezelő számára kötelezettség, ezért a továbbiakban egyedi tájékoztatási kötelezettségként hivatkozok rá. 

Az egyedi tájékoztatási kötelezettség kiterjed arra is, hogy az érintett másolatot kapjon a kezelt adatairól. Ez igaz a kép- és hangfelvételekre is.  Az egyedi tájékoztatási kötelezettség feltétele egy beérkező kérelem, amiben az adatkezeléssel érintett konkrét személy leírja, hogy mit szeretne kérni az adatkezelőtől, milyen problémája van az adatkezeléssel, az adatkezelő tájékoztassa őt személyes adatai kezelésének körülményeiről. 

A GDPR itt is meghatározza, hogy miről kell egyedileg tájékoztatni a konkrét személyt.

Az alábbi összehasonlító táblázat alapján látható, hogy mit kell az általános és mit az egyedi tájékoztatásnak (érintett hozzáférési joga) tartalmaznia

A fenti tábla alapján látható a két tájékoztatási kötelezettség közötti különbség is. A hozzáférési jogot a konkrét természetes személyre vonatkoztatva kell biztosítani, tehát XY-ra lebontva, tételesen közölve az előírt információkat, ami természetesen bővíthető az adatkezelő által.

A tájékoztatást a kérelem beérkezésétől számított 1  hónapon belül kell megadni, ez indokolt esetben további 2 hónappal meghosszabbítható, amiről tájékoztatni kell a kérelmezőt. Ezzel nem szabad visszaélni, csak akkor legyen hosszabbítás, ha valóban lehetetlen a kérelmet 1 hónapon belül megválaszolni.

Ha másolat kiadás is történik, akkor arra ügyelni kell, hogy mások jogai ne szenvedjenek csorbát, ezért minden szükségtelen adatot ki kell takarni, törölni kell. Különösen ügyelni kell az üzleti titok, szerzői jogi jogokra, de például videófelvételen is ki kell maszkolni, homályosítani azokat a részeket, amire nincs szükség, sérti mások képmáshoz fűződő jogát.

A leggyakoribb hiba, amit az adatkezelők elkövetnek, hogy nem adnak egyedi tájékoztatást, nem határidőben teszik vagy egyszerűen csak visszautalnak az általános adatkezelési tájékoztatóban vagy az ÁSZF-ban foglaltakra, mondván ott van minden benne, az érintett már megismerte, olvassa el újra.

ITT SZERETNÉM FELHÍVNI AZ ADATKEZELŐK FIGYELMÉT, HOGY EZ AZ ELJÁRÁS SZABÁLYTALAN ÉS A HATÓSÁG ADATVÉDELMI BÍRSÁGGAL JUTALMAZZA AZ ILYEN ADATKEZELŐKET!

Gyakori hiba az is, hogy nem adnak ki másolatot az érintettnek, arra hivatkozással, hogy iratokon, felvételeken más személyek, egyéb üzleti adatok is szerepelnek. Ez nem képezheti kifogás tárgyát, a GDPR egyértelműen fogalmaz, az érintett másolathoz való jogát biztosítani kell.

Technikailag megoldható az egyes adatok, részletek törlése, kitakarása, iratok kivonatolása, videófelvételeken részek elhomályosítása stb.

Összegzés

Összegezve az eddig leírtakat, az adatkezelőknek az adatkezelés minden szakaszában, de már az adatkezelés megkezdése előtt is körültekintően kell eljárni, ajánlott a GDPR-ban foglalt minimumon felül is együttműködést és segítőkészséget tanúsítani.

A tájékoztatások minden esetben legyenek egyértelműek, világosan megfogalmazott szövegezéssel. Ha az érintett nem ért valamit, visszakérdez, magyarázzuk el, írjuk le neki érthetőbben, nem szabad visszahivatkozni az általános adatkezelési tájékoztatóra és ennyivel el van intézve. 

Ha másolatot kér, akkor adjuk ki neki, természetesen csak a saját személyes adatainak kezelésére vonatkozó mértékig, olvashatatlanná téve az egyéb személyes és üzleti adatokat.

Ha a vásárlók rendelkeznek felhasználói fiókkal, akkor érdemes beépíteni egy olyan funkciót, aminek segítségével a felhasználó elektronikus formában le tudja tölteni a kezelt személyes adatait.

Nagyon fontos az önkontroll, a belső vizsgálatok, auditok lefolytatása, a hibák folyamatos javítása is.

Írta: dr. Angelmayer-Szép Bernadett