CLVPartners

Adatvédelmi aktualitások: az érintett hozzáférési joga és várható változásai

Olvasási idő: 7 perc

Az utóbbi időszakban ügyfeleinktől egyre gyakrabban érkezik kérdés azzal kapcsolatban, hogy pontosan meddig terjed az érintetti hozzáférési jog gyakorlása, és milyen gyakorlati elvárásoknak kell megfelelni a teljesítés során. A téma aktualitását az is növeli, hogy jelenleg az Általános Adatvédelmi Rendelet, azaz a GDPR egyes eljárási szabályainak módosítására irányuló jogalkotási folyamat is zajlik.

A GDPR alapján a hozzáférési jog az érintetti jogok egyik központi eleme. Egyrészt az átlátható adatkezelés alapját képezi, másrészt a gyakorlatban gyakran vezet jogvitákhoz: a felügyeleti hatósági eljárások és bírósági ügyek jelentős része ehhez a joghoz kapcsolódik. A hozzáférési jog teljesítése ugyanakkor nem pusztán az adatok rendelkezésre bocsátását jelenti. Magában foglalja az érintett megfelelő azonosítását, az adattakarékosság elvének érvényesítését, valamint az esetleges visszaélésszerű kérelmek kezelését is.

Jelen hírlevelünkben áttekintjük a hozzáférési jog tartalmát, az európai jogalkalmazási gyakorlatot formáló iránymutatásokat, valamint a közelmúltbeli és várható jogalkotási fejleményeket.

A hozzáférési jog tartalma

A GDPR 15. cikke alapján az érintett jogosult visszajelzést kapni arról, hogy személyes adatainak kezelése folyamatban van-e, és amennyiben igen, jogosult hozzáférni az alábbi információkhoz:

az adatkezelés célja,

a kezelt személyes adatok köre,

az adattovábbítás címzettjei, akikkel a személyes adatokat megosztják,

az adatok tárolásának időtartama,

az érintettet megillető jogokról, miszerint kérheti a személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen,

felügyeleti hatósághoz panasz benyújtásáról, annak módjáról,

valamint az adatok forrása (amennyiben nem az érintettől származnak).

A jog gyakorlásának egyik kritikus eleme az adatmásolat biztosítása. A joggyakorlat egyértelművé tette, hogy ez nem pusztán összefoglaló jellegű tájékoztatást jelent, hanem az érintettre vonatkozó konkrét adatok tényleges rendelkezésre bocsátását. Ez adott esetben teljes dokumentumok (pl. e-mailek, jelentések) releváns részeinek átadását is magában foglalhatja.

A hozzáférési kérelmek kezelésének jelentősége

A hozzáférési jog megfelelő teljesítése nem csupán formai kötelezettség, hanem az adatvédelmi megfelelés egyik központi eleme, mivel közvetlenül az átláthatóság és az elszámoltathatóság elvét érvényesíti.

Amennyiben az adatkezelő helyesen teljesíti a hozzáférési kérelmeket, azzal:

biztosítja a GDPR egyik alapelvének, az átlátható adatkezelésnek az érvényesülését,

biztosítja az érintetti jogok tényleges gyakorlását,

csökkenti a hatósági eljárások és bírságok kockázatát,

mérsékli a jogviták kialakulásának esélyét,

és erősíti az érintettek bizalmát az adatkezelési folyamatok iránt.

Ezzel szemben a hibás vagy hiányos teljesítés – például hiányzó adatmásolat, nem megfelelő anonimizálás vagy indokolatlan elutasítás – önálló jogsértéshez vezethet, gyakran az érintett hatóságnál tett panaszán alapuló vizsgálatok kiindulópontja is.

10 legfontosabb tudnivaló a hozzáférési jog gyakorlásáról

Az Európai Adatvédelmi Testület (EDPB) iránymutatása alapján a hozzáférési jog gyakorlásával kapcsolatban az alábbi gyakorlati szempontokra érdemes kiemelten figyelni:

  1. A hozzáférési kérelmeket tartalmuk szerint kell elbírálni; nem utasíthatók el pusztán formai okokból, és minden, a személyes adatok megismerésére irányuló megkeresést hozzáférési kérelemként kell kezelni.
  2. Az adatkezelő köteles minden releváns rendszerben keresést végezni, így különösen az elektronikus rendszerekben, e-mail fiókokban és archivált adatokban, szükség esetén papíralapú dokumentumokban is.
  3. Ha az érintett adatmásolatot kér, ténylegesen a róla kezelt személyes adatokat kell kiadni, nem elegendő egy összefoglaló vagy lista. Ez adott esetben dokumentumok (pl. e-mailek, jelentések) releváns részleteinek kiadását is jelentheti, természetesen az üzleti titkok megtartásával.
  4. A kiadott információnak közérthetőnek kell lennie; technikai vagy kódolt adatok esetén magyarázat biztosítása is szükséges lehet.
  5. Ha a kiadandó dokumentum más személyek adatait is tartalmazza, az adatkezelő köteles anonimizálást vagy kitakarást alkalmazni; a teljes dokumentum visszatartása csak kivételesen indokolt.
  6. Ha az adatkezelőnek megalapozott kétsége merül fel a kérelmező személyazonosságával kapcsolatban, az érintettet azonosítania kell, hogy a személyes adatok biztosan a jogosult személyhez kerüljenek, így biztosítva a személyes adatok védelmét és az érintetti joggyakorlást.
  7. Az azonosítás során az adatkezelő elsősorban a saját rendszerében már rendelkezésre álló adatok alapján jár el, szükség esetén kiegészítő egyeztetést (pl. e-mail ellenőrzés, online vagy személyes azonosítás) alkalmazva.
  8. Csak a feltétlenül szükséges mértékű adat kérhető az azonosításhoz; a túlzott vagy indokolatlan hitelesítési követelmény önmagában is jogsértést eredményezhet.
  9. Az azonosításnak mindig arányosnak és biztonságosnak kell lennie, figyelembe véve az adatok érzékenységét, a kérelem körülményeit és a visszaélés kockázatát.
  10. Az adatkezelőnek indokolt esetben dokumentálnia és igazolnia kell, hogy az alkalmazott azonosítási és teljesítési megoldások szükségesek és arányosak voltak.

GDPR módosítási javaslat – eljárásjogi reform

A GDPR jelenlegi szabályai szerint az érintetti kérelmeket alapvetően díjmentesen kell teljesíteni. Az adatkezelő csak akkor számíthat fel díjat vagy tagadhatja meg a kérelem teljesítését, ha az nyilvánvalóan megalapozatlan vagy túlzó, például ismétlődő jellegű. Ebben az esetben a bizonyítás az adatkezelőt terheli.

A tervezett GDPR-módosítás ezt a keretet pontosítaná, és külön nevesítené a „visszaélésszerű” kérelmek esetét. Ilyennek minősülhet például, ha valószínűsíthető, hogy az érintett nem az adatvédelem érvényesítése érdekében, hanem más célból – például nyomásgyakorlás vagy jogvita előkészítése miatt – él a jogával.

A javaslat egyik lényeges eleme, hogy az adatkezelő helyzete enyhülne: nem feltétlenül kellene teljes bizonyossággal igazolnia a visszaélést, elegendő lehet annak megalapozott valószínűsítése is.

Ugyanakkor az Európai Adatvédelmi Testület (EDPB) hangsúlyozza, hogy a hozzáférési jog korlátozása továbbra is kivételes marad, és a „visszaélésszerű kérelem” fogalmát szűken kell értelmezni. A javaslat nem a hozzáférési jog tartalmát változtatná meg, hanem várhatóan elsősorban az eljárások gyorsítását és a hatósági gyakorlat egységesítését szolgálná.

Összegzés

A hozzáférési jog továbbra is az adatvédelmi megfelelés egyik legkritikusabb területe. A joggyakorlat egyre inkább az érintettek tényleges információhoz jutását helyezi előtérbe, miközben az adatkezelőknek egyensúlyt kell teremteniük az érintetti jogok biztosítása, az adattakarékosság és az adatbiztonság követelményei között.

Az adatkezelők számára ezért különösen fontos a naprakész adatleltár fenntartása, egységes belső eljárásrend kialakítása az érintetti kérelmek kezelésére, megfelelő anonimizálási és dokumentumszűrési mechanizmusok alkalmazása, valamint az érintett munkavállalók rendszeres képzése. Különösen lényeges, hogy az adatkezelők dokumentálják az érintetti kérelmek kezelésével kapcsolatos döntéseiket, így az azonosítás lépéseit és az esetlegesen visszaélésszerűnek ítélt kérelmek megítélésének szempontjait is. Ez azért is fontos, mert a várható szabályozási változások és a fokozott hatósági figyelem mellett ezek a folyamatok kiemelt ellenőrzési ponttá válhatnak.

Kép forrása: pexels.com, El Jundi

CLVPartners
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.