Nagyon megüthetik a bokájukat az ilyen cégek: 20 milliós bírság is járhat egy ilyen botlásért

Pénzcentrum2022. március 28. 19:14

A GDPR értelmében a magánszemélyek tájékoztatást kérhetnek a cégektől személyes adataik kezeléséről. A vállalatoknak Magyarországon is különösen ügyelniük kell a hozzáférési jog megfelelő betartására. A jogsértés súlyos szankciókkal jár, van már precedens 20 millió forintos adatvédelmi bírságra is – hívja fel a figyelmet a Baker McKenzie nemzetközi ügyvédi iroda.

A GDPR jelentősen bővítette a magánszemélyek személyes adatokkal kapcsolatos jogait. Az úgynevezett hozzáférési jog alapján az érintettek tájékoztatást kaphatnak arról, hogy az adatkezelő mely személyes adataikat kezeli, sőt, ezekhez az adatokhoz hozzá is férhetnek. Az adatkezelőnek a tájékoztatást fő szabályként már az adatok gyűjtésekor meg kell adnia, de az érintett bármikor kérhet részletes felvilágosítást az adatkezelés céljáról, időtartamáról, illetve arról, hogy kik kaphatják meg adataikat, beleértve azt is, hogy Európán kívülre eljutnak-e ezek az adatok.

A digitalizáció, például a dolgok internetének (Internet of Things) egyik következménye, hogy a cégek egyre nagyobb számú adatot kezelnek, egyre összetettebb és átláthatatlanabb módon. A cégek számára a hozzáférési joggal kapcsolatos szabályozás betartása olykor nehézségekkel járhat, különösen akkor, ha nagy mennyiségben és eltérő célokból kezelnek személyes adatokat

– mondta dr. Vári Csaba, a Baker McKenzie IP/Tech praxisának vezetője. Az Európai Adatvédelmi Testület (EDPB) iránymutatásának tervezete és a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) gyakorlata alapján körvonalazódik, hogy mire jogosítja fel az érintettet a hozzáférési jog, és mire érdemes odafigyelniük az adatkezelőknek a hozzáférési kérelmek kezelése során.

A hozzáférési jog megsértésével kapcsolatos eljárásokat a NAIH jellemzően érintetti panasz alapján folytatja le. Ennek során a hatóság nem kizárólag az adott jogsértést, hanem az adatkezelő teljes vonatkozó adatkezelési gyakorlatát vizsgálja. A jogi megfelelés érdekében ezért érdemes a kérelmek kezelését, illetve magát az adatkezelési tevékenységet is úgy kialakítani, hogy a hozzáférési kérelmek egyszerűen és hatékonyan teljesíthetők legyenek

– mondta dr. Gaál András, a Baker McKenzie ügyvédjelöltje. A jogsértések eddig elrendelt szankciói az adott jogsértés egyedi körülményeitől függenek. A NAIH vizsgálja például a kezelt adatok jellegét, az érintettek számát, és azt is, hogy alkalmi adatvédelmi visszásságról vagy rendszerszintű problémáról van-e szó. Így előfordul a hatóság gyakorlatában figyelmeztetés, de kiróttak már 20 millió forintos bírságot is.

A hozzáférési kérelem teljesítése előtt az adatkezelőnek meg kell győződnie arról, hogy valóban az a személy fordult hozzá, akinek joga van kikérni az adatokat. Elhunyt személyek adatai esetén például alaposabb utánjárást igényelhet a jogszerű képviselő személyének megállapítása.

NULLA FORINTOS SZÁMLAVEZETÉS? LEHETSÉGES! MEGÉRI VÁLTANI!

Nem csak jól hangzó reklámszöveg ma már az ingyenes számlavezetés. A Pénzcentrum számlacsomag kalkulátorában ugyanis több olyan konstrukciót is találhatunk, amelyek esetében az alapdíj, és a fontosabb szolgáltatások is ingyenesek lehetnek. Nemrég három pénzintézet is komoly akciókat hirdetett, így jelenleg a CIB Bank, a Raiffeisen Bank, valamint az UniCredit Bank konstrukcióival is tízezreket spórolhatnak az ügyfelek. Nézz szét a friss számlacsomagok között, és válts pénzintézetet percek alatt az otthonodból. (x)

A kérelmet az érintettel kapcsolatban kezelt összes személyes adatra kiterjedően kell értelmezni. Ha azonban az adatkezelő az érintettel kapcsolatban nagy számban kezel személyes adatot, kérhet pontosítást – például egy kamerafelvétel esetén a pontos időintervallum meghatározását. Ha az érintett másolatot kér a kezelt személyes adatokról, az adatkezelőnek azokat tömör, átlátható, érthető és könnyen hozzáférhető, valamint maradandó formában kell az érintett rendelkezésére bocsátania.

A hozzáférési kérelmekre legkésőbb egy hónapon belül válaszolni kell, akkor is, ha az adatkezelő elutasítja a kérelem teljesítését. A határidő indokolt esetben legfeljebb további két hónappal meghosszabbítható, és erről az érintettet tájékoztatni kell.

A hozzáférési jogot korlátozni lehet, ha az mások jogait és szabadságait – például üzleti titkot vagy mások személyes adatainak titkosságát – sértené. Ha az érintett kérelme megalapozatlan vagy túlzó, az adatkezelő észszerű összegű díjat számíthat fel, vagy akár meg is tagadhatja a kért intézkedést. Az első másolat az érintett számára ingyenes, azonban a további másolatokért az adatkezelő adminisztratív díjat számíthat fel. A hozzáférési jogot bizonyos esetekben jogszabályok is korlátozhatják: például a hatóság által kirendelt szakértő az őt kirendelő szerv utasítása alapján megtagadhatja a hozzáférési kérelem teljesítését.

A NAIH gyakorlata alapján a hozzáférési kérelmek teljesítése során jelentős hiba lehet, ha az adatkezelő nem vizsgálja meg, hogy pontosan milyen adatkezelésekre vonatkozik a hozzáférési kérelem, és emiatt nem nyújt információt releváns adatkezelésekről. Ilyen lehet például, ha csak egy adott adatbázist vesz figyelembe, de a biztonsági mentéseket, a papíralapú dokumentumokat vagy a panasznyilvántartásokat nem vizsgálja. Ugyancsak előfordul, hogy az adatkezelő összetéveszti a hozzáférési kérelmeket más jellegű kérelmekkel, például panaszbeadványokkal, vagy nem kezeli megfelelően a biztonsági kamera-felvételekkel kapcsolatos hozzáférési kérelmeket. Ennek oka akár szervezeti szintű probléma is lehet.

Címkék:
vállalkozás, cég, bírság, gdpr, naih,