CLVPartners

érintetti jogok

Adatvédelmi aktualitások: az érintett hozzáférési joga és várható változásai

Olvasási idő: 7 perc

Az utóbbi időszakban ügyfeleinktől egyre gyakrabban érkezik kérdés azzal kapcsolatban, hogy pontosan meddig terjed az érintetti hozzáférési jog gyakorlása, és milyen gyakorlati elvárásoknak kell megfelelni a teljesítés során. A téma aktualitását az is növeli, hogy jelenleg az Általános Adatvédelmi Rendelet, azaz a GDPR egyes eljárási szabályainak módosítására irányuló jogalkotási folyamat is zajlik.

A GDPR alapján a hozzáférési jog az érintetti jogok egyik központi eleme. Egyrészt az átlátható adatkezelés alapját képezi, másrészt a gyakorlatban gyakran vezet jogvitákhoz: a felügyeleti hatósági eljárások és bírósági ügyek jelentős része ehhez a joghoz kapcsolódik. A hozzáférési jog teljesítése ugyanakkor nem pusztán az adatok rendelkezésre bocsátását jelenti. Magában foglalja az érintett megfelelő azonosítását, az adattakarékosság elvének érvényesítését, valamint az esetleges visszaélésszerű kérelmek kezelését is.

Jelen hírlevelünkben áttekintjük a hozzáférési jog tartalmát, az európai jogalkalmazási gyakorlatot formáló iránymutatásokat, valamint a közelmúltbeli és várható jogalkotási fejleményeket.

A hozzáférési jog tartalma

A GDPR 15. cikke alapján az érintett jogosult visszajelzést kapni arról, hogy személyes adatainak kezelése folyamatban van-e, és amennyiben igen, jogosult hozzáférni az alábbi információkhoz:

az adatkezelés célja,

a kezelt személyes adatok köre,

az adattovábbítás címzettjei, akikkel a személyes adatokat megosztják,

az adatok tárolásának időtartama,

az érintettet megillető jogokról, miszerint kérheti a személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen,

felügyeleti hatósághoz panasz benyújtásáról, annak módjáról,

valamint az adatok forrása (amennyiben nem az érintettől származnak).

A jog gyakorlásának egyik kritikus eleme az adatmásolat biztosítása. A joggyakorlat egyértelművé tette, hogy ez nem pusztán összefoglaló jellegű tájékoztatást jelent, hanem az érintettre vonatkozó konkrét adatok tényleges rendelkezésre bocsátását. Ez adott esetben teljes dokumentumok (pl. e-mailek, jelentések) releváns részeinek átadását is magában foglalhatja.

A hozzáférési kérelmek kezelésének jelentősége

A hozzáférési jog megfelelő teljesítése nem csupán formai kötelezettség, hanem az adatvédelmi megfelelés egyik központi eleme, mivel közvetlenül az átláthatóság és az elszámoltathatóság elvét érvényesíti.

Amennyiben az adatkezelő helyesen teljesíti a hozzáférési kérelmeket, azzal:

biztosítja a GDPR egyik alapelvének, az átlátható adatkezelésnek az érvényesülését,

biztosítja az érintetti jogok tényleges gyakorlását,

csökkenti a hatósági eljárások és bírságok kockázatát,

mérsékli a jogviták kialakulásának esélyét,

és erősíti az érintettek bizalmát az adatkezelési folyamatok iránt.

Ezzel szemben a hibás vagy hiányos teljesítés – például hiányzó adatmásolat, nem megfelelő anonimizálás vagy indokolatlan elutasítás – önálló jogsértéshez vezethet, gyakran az érintett hatóságnál tett panaszán alapuló vizsgálatok kiindulópontja is.

10 legfontosabb tudnivaló a hozzáférési jog gyakorlásáról

Az Európai Adatvédelmi Testület (EDPB) iránymutatása alapján a hozzáférési jog gyakorlásával kapcsolatban az alábbi gyakorlati szempontokra érdemes kiemelten figyelni:

  1. A hozzáférési kérelmeket tartalmuk szerint kell elbírálni; nem utasíthatók el pusztán formai okokból, és minden, a személyes adatok megismerésére irányuló megkeresést hozzáférési kérelemként kell kezelni.
  2. Az adatkezelő köteles minden releváns rendszerben keresést végezni, így különösen az elektronikus rendszerekben, e-mail fiókokban és archivált adatokban, szükség esetén papíralapú dokumentumokban is.
  3. Ha az érintett adatmásolatot kér, ténylegesen a róla kezelt személyes adatokat kell kiadni, nem elegendő egy összefoglaló vagy lista. Ez adott esetben dokumentumok (pl. e-mailek, jelentések) releváns részleteinek kiadását is jelentheti, természetesen az üzleti titkok megtartásával.
  4. A kiadott információnak közérthetőnek kell lennie; technikai vagy kódolt adatok esetén magyarázat biztosítása is szükséges lehet.
  5. Ha a kiadandó dokumentum más személyek adatait is tartalmazza, az adatkezelő köteles anonimizálást vagy kitakarást alkalmazni; a teljes dokumentum visszatartása csak kivételesen indokolt.
  6. Ha az adatkezelőnek megalapozott kétsége merül fel a kérelmező személyazonosságával kapcsolatban, az érintettet azonosítania kell, hogy a személyes adatok biztosan a jogosult személyhez kerüljenek, így biztosítva a személyes adatok védelmét és az érintetti joggyakorlást.
  7. Az azonosítás során az adatkezelő elsősorban a saját rendszerében már rendelkezésre álló adatok alapján jár el, szükség esetén kiegészítő egyeztetést (pl. e-mail ellenőrzés, online vagy személyes azonosítás) alkalmazva.
  8. Csak a feltétlenül szükséges mértékű adat kérhető az azonosításhoz; a túlzott vagy indokolatlan hitelesítési követelmény önmagában is jogsértést eredményezhet.
  9. Az azonosításnak mindig arányosnak és biztonságosnak kell lennie, figyelembe véve az adatok érzékenységét, a kérelem körülményeit és a visszaélés kockázatát.
  10. Az adatkezelőnek indokolt esetben dokumentálnia és igazolnia kell, hogy az alkalmazott azonosítási és teljesítési megoldások szükségesek és arányosak voltak.

GDPR módosítási javaslat – eljárásjogi reform

A GDPR jelenlegi szabályai szerint az érintetti kérelmeket alapvetően díjmentesen kell teljesíteni. Az adatkezelő csak akkor számíthat fel díjat vagy tagadhatja meg a kérelem teljesítését, ha az nyilvánvalóan megalapozatlan vagy túlzó, például ismétlődő jellegű. Ebben az esetben a bizonyítás az adatkezelőt terheli.

A tervezett GDPR-módosítás ezt a keretet pontosítaná, és külön nevesítené a „visszaélésszerű” kérelmek esetét. Ilyennek minősülhet például, ha valószínűsíthető, hogy az érintett nem az adatvédelem érvényesítése érdekében, hanem más célból – például nyomásgyakorlás vagy jogvita előkészítése miatt – él a jogával.

A javaslat egyik lényeges eleme, hogy az adatkezelő helyzete enyhülne: nem feltétlenül kellene teljes bizonyossággal igazolnia a visszaélést, elegendő lehet annak megalapozott valószínűsítése is.

Ugyanakkor az Európai Adatvédelmi Testület (EDPB) hangsúlyozza, hogy a hozzáférési jog korlátozása továbbra is kivételes marad, és a „visszaélésszerű kérelem” fogalmát szűken kell értelmezni. A javaslat nem a hozzáférési jog tartalmát változtatná meg, hanem várhatóan elsősorban az eljárások gyorsítását és a hatósági gyakorlat egységesítését szolgálná.

Összegzés

A hozzáférési jog továbbra is az adatvédelmi megfelelés egyik legkritikusabb területe. A joggyakorlat egyre inkább az érintettek tényleges információhoz jutását helyezi előtérbe, miközben az adatkezelőknek egyensúlyt kell teremteniük az érintetti jogok biztosítása, az adattakarékosság és az adatbiztonság követelményei között.

Az adatkezelők számára ezért különösen fontos a naprakész adatleltár fenntartása, egységes belső eljárásrend kialakítása az érintetti kérelmek kezelésére, megfelelő anonimizálási és dokumentumszűrési mechanizmusok alkalmazása, valamint az érintett munkavállalók rendszeres képzése. Különösen lényeges, hogy az adatkezelők dokumentálják az érintetti kérelmek kezelésével kapcsolatos döntéseiket, így az azonosítás lépéseit és az esetlegesen visszaélésszerűnek ítélt kérelmek megítélésének szempontjait is. Ez azért is fontos, mert a várható szabályozási változások és a fokozott hatósági figyelem mellett ezek a folyamatok kiemelt ellenőrzési ponttá válhatnak.

Kép forrása: pexels.com, El Jundi

Adatvédelmi aktualitások: az érintett hozzáférési joga és várható változásai Read More »

Érintetti jogok és a hozzájárulás fontossága az online tartalomkészítésben

Olvasási idő: 4 perc

A digitális platformok fejlődésével ma már bárkiből válhat tartalomgyártó: egy okostelefon, egy jó ötlet és néhány kattintás elég ahhoz, hogy üzeneteink, videóink vagy képeink akár több ezer emberhez is eljussanak. Az online jelenlét azonban nem csupán kreatív lehetőségeket, hanem jelentős jogi és adatvédelmi felelősséget és kockázatot is magában hordoz. A különféle tartalmak, így például posztok és videók megosztása során – különösen, ha azokban felismerhető személyek jelennek meg– személyes adatok kezelése valósul meg.

GDPR alkalmazhatósága általánosságban

A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló Európai Parlament és a Tanács (EU) 2016/679 rendelete („Általános Adatvédelmi Rendelet”, „GDPR”) kettős célt szolgál: egyrészt a természetes személyek személyes adatainak védelmét biztosítja, másrészt keretet ad az adatok Európai Unión belüli szabad áramlásának. A GDPR részletesen meghatározza, hogy az érintetteket milyen jogok illetik meg, és az adatkezelőket milyen kötelezettségek terhelik.

Ugyanakkor a GDPR-t egyes kivételes esetekben nem kell alkalmazni; ilyen kivétel például, amikor egy magánszemély kizárólag személyes célból kezel adatokat. Ilyennek minősül például a magánlevelezés akár papír alapon, akár elektronikus formában; címek, elérhetőségek tárolása; otthoni jegyzetek, napló; családi fotók; közösségi hálózatokon kapcsolattartás; egyéb online tevékenység. E kivételeket szűken kell értelmezni, és az adatkezelés csak akkor esik a GDPR hatályán kívül, ha az kizárólag magánjellegű célt szolgál, vagyis sem közösségi, sem szakmai, sem gazdasági vonatkozása nincs. Így például, ha az adatot meghatározhatatlan számú személy ismerheti meg vagy az nyilvánosságra kerül, már nem a magáncélú adatkezelés körébe tartozik. Gazdasági társaságok általi adatkezelés esetén pedig nem jöhet szóba a magáncélú használat, ezért bármely online tartalom közzététele, melyben személyes adatok szerepelnek (fénykép, hangfelvétel, más adat), legyen az munkavállaló, vagy bármely természetes személy, mindenképp megfelelő jogi körültekintést igényel.

Online tartalomkészítéssel kapcsolatos adatkezelés

A digitális platformok széles körben lehetővé teszik a felhasználóik részére, hogy fotókat, videókat vagy hangfelvételeket készítsenek és osszanak meg – akár más emberekről is. Felmerülhet a kérdés, hogy ilyen esetekben alkalmazandóak-e az adatvédelmi rendelkezések. Tekintettel arra, hogy a feltöltött felvételek – legyen szó arcról, hangról vagy más, személyhez köthető információról– személyes adatnak minősülnek, és e tartalmak a nyilvánosság számára is hozzáférhetővé válnak, azok kezelésére a GDPR rendelkezései irányadók.

Az adatvédelem egyik alapelve, hogy a személyes adatok kezeléséhez minden esetben szükség van érvényes jogalapra. Amikor egy adatkezelő személyes adatok kezelésével járó tevékenységbe kezd, mindig gondosan mérlegelnie kell, melyik jogalap felel meg leginkább a tervezett adatkezelés céljának. A tartalomgyártással összefüggő adatkezelések leggyakrabban az érintett hozzájárulásán alapulnak.

A hozzájárulás megszerzése kulcskérdés, hiszen más emberről felvételt készíteni és közzétenni csak akkor lehet jogszerűen, ha az érintett előzetesen, kifejezetten és megfelelő tájékoztatás birtokában egyezett bele. A kamera puszta jelenlétének eltűrése vagy egy kérdésre adott válasz önmagában még nem számít érvényes beleegyezésnek. Ez mutatja, hogy az adatvédelem területén milyen szigorúan értelmezett jogalapokra van szükség: a GDPR nem tartalmaz olyan kivételi szabályokat a tömegfelvétel vagy a közszereplés esetére, mint amelyeket a Polgári Törvénykönyvről szóló 2013. évi törvény („Ptk.”) a személyiségi jogoknál ismer. Ez az adatvédelem és más jogszabályok szerinti jogcímek párhuzamos valóságát jelzi, hiszen a Ptk.-nak megfelelő eljárás még megvalósíthat adatvédelmi szabálysértést, tehát eltérő feltételek szükségesek az egyes jogszabályok által megkövetelt jogszerűség biztosításához.

Megfelelés hiánya esetén felmerülő jogkövetkezmények

Az online térben való közzététel, amennyiben hozzájárulás, vagy más megfelelő jogalap nélkül valósul meg, az adatvédelmi előírások megsértését eredményezi. A jogsértő adatkezelésnek súlyos következményei lehetnek: hatósági eljárást és az adatvédelmi bírság kiszabását vonhatja maga után. Ha egy felvétel engedély nélkül készül és annak közzététele jelentős érdeksérelmet okoz, akkor a tevékenység nem csupán adatvédelmi szempontból jogellenes, hanem akár bűncselekményt is megvalósíthat, és megalapozhatja a Ptk. szerinti sérelemdíj-igényt is az eset körülményeitől függően. A felelősség minden esetben a felvétel készítőjét, illetve a tartalom közzétevőjét terheli.

Különösen kockázatos helyzet, ha gyermekekről, egészségügyi ellátásról, politikai véleményekről vagy más érzékeny adatokról készül felvétel. Ha a közzététel az érintett tudta és hozzájárulása nélkül történik, az nem esik a magáncélú kivétel alá, hanem teljes mértékben adatkezelésnek számít a GDPR alapján. Az érintetteknek ilyenkor joguk van tájékoztatást kérni, a hozzájárulásukat visszavonni, a felvételek törlését kérni, és akár jogi útra terelni az ügyet.

Összegzés

Az online térben való jelenlét – különösen vállalati kommunikáció, marketing vagy HR-tartalomgyártás esetén – körültekintő adatvédelmi gyakorlatot igényel. Ami a Ptk. alapján nem jár jogkövetkezménnyel, az adatvédelmi szempontból még jogsértő lehet.

A hozzájárulás tehát nem puszta formalitás, hanem a jogszerű adatkezelés egyik alapfeltétele. A szervezeteknek – akár tartalomkészítők, akár munkáltatók – ajánlott belső eljárásrendet, oktatást vagy szabályzatot kialakítaniuk az online tartalomkészítés adatvédelmi kockázatainak kezelésére.

Az érintetti jogok tiszteletben tartása, a hozzájárulások megfelelő dokumentálása és a GDPR-előírások betartása nemcsak jogi megfelelés kérdése, hanem a vállalati reputáció és bizalom megőrzésének záloga is.

Fotó forrása: pexels.com, Plann

Érintetti jogok és a hozzájárulás fontossága az online tartalomkészítésben Read More »

CLVPartners
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.