Akár húszmilliós bírságot is kaphatnak a hozzáférési jogot megsértő cégek

A GDPR jelentősen bővítette a magánszemélyek személyes adatokkal kapcsolatos jogait. Az úgynevezett hozzáférési jog alapján az érintettek tájékoztatást kaphatnak arról, hogy az adatkezelő mely személyes adataikat kezeli, sőt, ezekhez az adatokhoz hozzá is férhetnek. Az adatkezelőnek a tájékoztatást fő szabályként már az adatok gyűjtésekor meg kell adnia, de az érintett bármikor kérhet részletes felvilágosítást az adatkezelés céljáról, időtartamáról, illetve arról, hogy kik kaphatják meg adataikat, beleértve azt is, hogy Európán kívülre eljutnak-e ezek az adatok.

„A digitalizáció, például a dolgok internetének (Internet of Things) egyik következménye, hogy a cégek egyre nagyobb számú adatot kezelnek, egyre összetettebb és átláthatatlanabb módon – mondta dr. Vári Csaba, a Baker McKenzie IP/Tech praxisának vezetője. – A cégek számára a hozzáférési joggal kapcsolatos szabályozás betartása olykor nehézségekkel járhat, különösen akkor, ha nagy mennyiségben és eltérő célokból kezelnek személyes adatokat.”

Az Európai Adatvédelmi Testület (EDPB) iránymutatásának tervezete és a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) gyakorlata alapján körvonalazódik, hogy mire jogosítja fel az érintettet a hozzáférési jog, és mire érdemes odafigyelniük az adatkezelőknek a hozzáférési kérelmek kezelése során.

„A hozzáférési jog megsértésével kapcsolatos eljárásokat a NAIH jellemzően érintetti panasz alapján folytatja le. Ennek során a hatóság nem kizárólag az adott jogsértést, hanem az adatkezelő teljes vonatkozó adatkezelési gyakorlatát vizsgálja – mondta dr. Gaál András, a Baker McKenzie ügyvédjelöltje. – A jogi megfelelés érdekében ezért érdemes a kérelmek kezelését, illetve magát az adatkezelési tevékenységet is úgy kialakítani, hogy a hozzáférési kérelmek egyszerűen és hatékonyan teljesíthetők legyenek.”

A jogsértések eddig elrendelt szankciói az adott jogsértés egyedi körülményeitől függenek. A NAIH vizsgálja például a kezelt adatok jellegét, az érintettek számát, és azt is, hogy alkalmi adatvédelmi visszásságról vagy rendszerszintű problémáról van-e szó. Így előfordul a hatóság gyakorlatában figyelmeztetés, de kiróttak már 20 millió forintos bírságot is.

A hozzáférési kérelem teljesítése előtt az adatkezelőnek meg kell győződnie arról, hogy valóban az a személy fordult hozzá, akinek joga van kikérni az adatokat. Elhunyt személyek adatai esetén például alaposabb utánjárást igényelhet a jogszerű képviselő személyének megállapítása.

A kérelmet az érintettel kapcsolatban kezelt összes személyes adatra kiterjedően kell értelmezni. Ha azonban az adatkezelő az érintettel kapcsolatban nagy számban kezel személyes adatot, kérhet pontosítást – például egy kamerafelvétel esetén a pontos időintervallum meghatározását.

Ha az érintett másolatot kér a kezelt személyes adatokról, az adatkezelőnek azokat tömör, átlátható, érthető és könnyen hozzáférhető, valamint maradandó formában kell az érintett rendelkezésére bocsátania.

A hozzáférési kérelmekre legkésőbb egy hónapon belül válaszolni kell, akkor is, ha az adatkezelő elutasítja a kérelem teljesítését. A határidő indokolt esetben legfeljebb további két hónappal meghosszabbítható, és erről az érintettet tájékoztatni kell.

A hozzáférési jogot korlátozni lehet, ha az mások jogait és szabadságait – például üzleti titkot vagy mások személyes adatainak titkosságát – sértené. Ha az érintett kérelme megalapozatlan vagy túlzó, az adatkezelő észszerű összegű díjat számíthat fel, vagy akár meg is tagadhatja a kért intézkedést. Az első másolat az érintett számára ingyenes, azonban a további másolatokért az adatkezelő adminisztratív díjat számíthat fel. A hozzáférési jogot bizonyos esetekben jogszabályok is korlátozhatják: például a hatóság által kirendelt szakértő az őt kirendelő szerv utasítása alapján megtagadhatja a hozzáférési kérelem teljesítését.

A NAIH gyakorlata alapján a hozzáférési kérelmek teljesítése során jelentős hiba lehet, ha az adatkezelő nem vizsgálja meg, hogy pontosan milyen adatkezelésekre vonatkozik a hozzáférési kérelem, és emiatt nem nyújt információt releváns adatkezelésekről. Ilyen lehet például, ha csak egy adott adatbázist vesz figyelembe, de a biztonsági mentéseket, a papíralapú dokumentumokat vagy a panasznyilvántartásokat nem vizsgálja. Ugyancsak előfordul, hogy az adatkezelő összetéveszti a hozzáférési kérelmeket más jellegű kérelmekkel, például panaszbeadványokkal, vagy nem kezeli megfelelően a biztonsági kamera-felvételekkel kapcsolatos hozzáférési kérelmeket. Ennek oka akár szervezeti szintű probléma is lehet.