A törléshez való jog érvényesülésének felülvizsgálata 2025-ben
Az Európai Adatvédelmi Testület („EDPB”) 2020. októberében az Európai Parlament és a Tanács (EU) 2016/679 általános adatvédelmi rendelete, azaz a GDPR szerint összehangolt végrehajtási keretről szóló dokumentumot fogadott el, amely értelmében minden évben egy meghatározott adatvédelmi témát vizsgálnak a tagállami hatóságok az EDPB által meghatározott keretek, módszerek alapján. Ezen összehangolt fellépések célja többek között a jogszabályoknak való megfelelés elősegítése, a tudatosság növelése.
Az idei évben az EDPB a törléshez való érintetti jogok gyakorlásának módját, az adatkezelők általi biztosítását kívánják górcső alá venni. Jelen cikkünkben az ezzel kapcsolatos fontosabb tudnivalókat foglaljuk össze.
A felülvizsgálat jelentősége
AZ EDPB 2025-ben a törléshez való jog érvényesülését kívánja vizsgálni, mivel ez az egyik leggyakrabban gyakorolt érintetti jog a GDPR hatályba lépése óta, azonban ennek biztosításával kapcsolatban nagyszámú panasz érkezik a felügyeleti hatóságokhoz. Ennek érdekében az EDPB idén a tagállami hatóságok segítségével a törlési jog biztosításával kapcsolatos gyakorlatokat kívánja megvizsgálni és felmérni, hogy az adatkezelők hogyan kezelik a hozzájuk beérkező törlési kérelmeket, hogyan alkalmazzák az e jog gyakorlására vonatkozó, GDPR-ban meghatározott feltételeket és kivételeket.
Mi a törléshez való jog?
A GDPR meghatározza azokat az alapvető jogokat, amelyekről az adatkezelő – legyen az munkáltató, beszállító partner vagy vállalkozó –köteles az érintettet előzetesen tájékoztatni és ezeket az adatkezelés során részére biztosítani. Többek között az érintett jogosult a rá vonatkozó személyes adatok törlését kérelmezni, amit az adatkezelő indokolatlan késedelem nélkül köteles megtenni.
A törléshez való jog gyakorlásának ugyanakkor feltételei is vannak, arra a következő esetek valamelyikében kerülhet sor:
- ha a személyes adatokra már nincs szükség abból a célból, amelyből azokat kezelték;
- ha az adatkezelés az érintett hozzájárulásán alapult és azt az érintett visszavonta;
- ha az érintett tiltakozik az adatkezelés ellen, amennyiben az adatkezelés jogalapja az adatkezelő vagy harmadik fél jogos érdekeinek védelme;
- ha az adatok kezelésére jogellenesen került sor; vagy jogi kötelezettség alapján szükséges az adatot törölni.
Érintetti jog biztosítása
Az adatkezelőnek a természetes személyek személyes adatainak kezelése során mindvégig megfelelően biztosítania kell az érintettek adatkezeléshez fűződő jogait. Ehhez az egyik legfontosabb lépés az adatkezelő elérhetőségének garantálása, a kapcsolattartás lehetővé tétele, amelyet célszerű olyan mechanizmusokkal elérni, melyek megkönnyítik az érintett jogainak gyakorlását.
A személyes adatok kezelése kapcsán felmerülő bármely érintetti kérés esetén az adatkezelő köteles a kérés beérkezésétől számított legrövidebb időn belül, de nem később, mint 1 hónapon belül az érintetti jog gyakorlását biztosítani, vagy amennyiben ehhez további információra van szüksége, haladéktalanul felvenni a kapcsolatot az érintettel a kérés ügyintézése céljából, lehetőség szerint az érintett által alkalmazott kommunikációs csatornán. Ha pedig az adatkezelő az érintetti kérelemnek nem tesz eleget, arról is köteles indokolást adnia.
Ahhoz, hogy az adatkezelő az érintett kérelmét el tudja bírálni és annak eleget tudjon tenni, fontos, hogy az adatkezeléshez megfelelő szervezési és technikai intézkedéseket alkalmazzon. A joggyakorlás biztosítása kiemelkedő jelentőségű, ugyanis nem megfelelő adatkezelés esetén az érintett akár az illetékes hatósághoz – Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatósághoz – vagy akár bírósághoz is fordulhat panaszával.
Adatkezeléssel kapcsolatos teendők
A GDPR 2018-ban történt hatálybalépése óta a szervezetek széleskörű adatkezelési gyakorlatra tettek szert, valamint jelentős jogszabályváltozások történtek az adatkezeléssel érintett területeken.
Ugyanakkor tapasztaljuk, hogy a GDPR megfelelést egy egyszeri projektként kezelő vállalkozások nem vizsgálják felül (néhány) évente a folyamataikat, dokumentumaikat és a háttérjogszabályokat, ezért évek múltán az adatkezelési tájékoztató nem a valóságot tükrözi, amiért felelősségre vonhatóak.
Azt javasoljuk, hogy azok a cégek, akik az alábbi kritériumok közül valamelyikben magukra ismernek, vizsgálják meg adatkezelési dokumentációjukat, és ha kell, hozzák összhangba a tényleges folyamataikkal:
- Új szoftver bevezetése
- Üzletág vagy egyes folyamatok átszervezése
- Új beszállítók választása
- Megrendelőkkel való együttműködés módosítása
- Folyamatok kiszervezése – akár harmadik országba, akár az EU területén belül
- Tanúsítványok bevezetése (ISO, Tisax, stb.)
- Új jogszabályoknak történő megfelelés (pl. Panasztörvény, GPSR, Pay Transparency Irányelv)
- Cégcsoportban történő változások (pl. új befektető tulajdonos)
- Kommunikációs platform módosulása (Pl. intranet, chatbot)
- Adatbázisok létrehozása vagy egyesítése
Kép forrása: Freepik.com