A NAIH tájékoztatóik felülvizsgálatára hívja fel az adatkezelőket

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) ajánlást adott ki arról, hogyan kell megfelelően tájékoztatni az érintetteket arról, ha személyes adataikat kívánjuk kezelni – fejtette ki dr. Tamás Zita.

A Hatóság ellenőrzései során ugyanis azt tapasztalta, hogy a tájékoztatók legtöbbször nem felelnek meg az adatvédelmi követelményeknek, ez pedig az adatok jogellenes kezeléséhez vezethet. A NAIH ezért azt javasolja az adatkezelőknek, hogy vizsgálják felül a tájékoztatójukat, és igazítsák azt az új ajánlásban foglaltakhoz.

Az adatainkat a mindennapjaink során lépten-nyomon megadjuk különféle szervezeteknek, személyeknek. Ez történik például, ha egy webáruházban regisztrálunk, egy kérdőívet töltünk ki, megadjuk az adatainkat egy irodaházba való belépéskor vagy éppen egy ügyfélszolgálatot hívunk fel, ahol rögzítésre kerül a beszélgetés.

A jogszabályok fokozottan védik a magánszférát és alkotmányos követelmény annak biztosítása, hogy mindenki tudja követni és ellenőrizni, hogy a személyes adatait ki, hol, mikor és milyen célra használja fel.

Miről kell tájékoztatást adni és miért fontos ez?

Először is mindenki csak ahhoz az adatkezeléshez tud hozzájárulni, amiről maga is tud – húzta alá a KRS Ügyvédi Iroda szakértője.

Éppen ezért fontos, hogy azok a személyek vagy cégek, akik mások személyes adatait szeretnék kezelni, előzetes tájékoztatást adjanak arról, hogy az adatokat milyen célból és hogyan kezelik, megadva minden lényeges részletet.

Így például adatkezelőként tájékoztatást kell adni arról, hogy az adatok megadása önkéntes-e, pontosan milyen adatokat, milyen célból és mennyi ideig fognak kezelni, átadják-e az adatokat más személyeknek - csak hogy néhány fontosabb körülményt említsünk. Ezen kívül az érintett személyt minden esetben ki kell oktatni az adatkezeléssel kapcsolatos jogairól, és arról, hogy panasz esetén hova fordulhat.

Adatvédelmi tájékoztató a honlapon is!

A tájékoztatási kötelezettségének a legegyszerűbb módon úgy tehet eleget az adatkezelő, ha egy adatkezelési tájékoztatót készít, és ezt elérhetővé teszi az érintettek számára. Így az adatok megadása előtt az érintettek elolvashatják és megismerhetik az adatkezelés fontosabb részleteit.

A hatóság ajánlásában kifejezetten kihangsúlyozza, hogy ma már elvárható a honlappal rendelkező adatkezelőktől, hogy az adatvédelmi tájékoztatójukat az interneten folyamatosan elérhetővé tegyék. Ez vonatkozik arra az esetre is, ha az adatok nem az interneten keresztül kerülnek rögzítésre, hanem személyesen vagy telefonos ügyfélszolgálaton keresztül. A tájékoztatót mindig a nyitóoldalon kell elhelyezni, hogy azt bárki könnyen megtalálhassa.

A tájékoztatónak közérthetőnek kell lennie

Fontos szempont a tájékoztató elkészítésénél, hogy megértse az, akihez szól. Ez így elsőre egyszerűnek hangzik, de a tapasztalat az, hogy az adatvédelmi tájékoztatók többsége tele van nehezen érthető szakszavakkal és jogszabályi rendelkezésekkel. A hatóság az ajánlásában kihangsúlyozza, hogy ez nem megfelelő, sőt még ennél tovább is megy: ha azonosítható a célcsoport, akihez szólni kívánunk, akkor a megfogalmazásnál és a tájékoztató formai megjelenítésénél ezt is figyelembe kell venni.

A hatóság ajánlása szerint így például ügyelni kell a megfelelő betűméretre különösen, ha nyugdíjasokhoz szólunk, illetve elvárható a magyar mellett az angol nyelvű tájékoztató, ha külföldiek személyes adatait is kezeljük (például szálláshelyek esetében). Ezen kívül külön kitér az ajánlás arra is, hogyan segítsük a fogyatékossággal élők (például gyengén látók) egyenlő esélyű hozzáférését az adatvédelmi tájékoztatókhoz.

Tartalmi követelmények

Az ajánlás részletesen taglalja a tájékoztatók tartalmi követelményeit is. Így megtudhatjuk, hogy például a tájékoztatóban fel kell sorolni részletesen és tételesen a kezelt adatokat (például: név, telefonszám, email cím, stb.); fel kell tüntetni az adatkezelés alapjául szolgáló pontos jogszabályt, meg kell adni minden esetben az adatkezelő email címét, postai címét és honlapját illetőleg a NAIH elérhetőségeit, ahol az érintettek panaszt tehetnek.

A hatóság azt is támogatja, hogy az adatkezelők írják bele a tájékoztatókba, hogy probléma esetén elsősorban az adatkezelőhöz forduljanak, mielőtt hatósági vagy bírósági eljárást kezdeményeznének, mert ez tapasztalatai szerint is segíthet elkerülni a hosszadalmas eljárásokat.

A hatóság elvárja azt is, hogy a tájékoztatóban az adatbiztonsággal kapcsolatos intézkedésekről is tájékoztassák az érintetteket annak ellenére, hogy ezt az adatvédelmi törvény külön nem emeli ki. A gyakorlatban ez azt jelenti, hogy a tájékoztatóban be kell mutatni azokat az intézkedéseket, melyeket az adatkezelő az adatok elvesztése, megsemmisülése vagy azok illetéktelen személyek általi hozzáférése ellen tesz.

Jogellenes adatkezelés esetén a hatóság bírságolhat is!

Jogellenes az adatkezelés, ha az előzetes tájékoztatás nem történik meg, de akkor is, ha hiányos a tájékoztatás, és ez jelentősen befolyásolja az érintettet abban, hogy a hozzájárulását megadja, ugyanis ilyenkor az érintett nincs abban a helyzetben, hogy felmérje, mit jelent rá nézve az adatkezelés.

Ha az adatkezelés jogellenes, akkor a NAIH - hatósági eljárása keretében - akár 20 millió forint bírságot is kiszabhat a jogsértőre vagy súlyos esetben elrendelheti az adatok megsemmisítését is.

Éppen ezért javasolt az adatvédelmi tájékoztatóját minden adatkezelőnek felülvizsgálnia, és módosítania, ha az nem felel meg a hatósági ajánlásnak. Ez a jövőre nézve orvosolja az esetleges hiányosságokat, viszont a korábbi hozzájárulások alapján végzett adatkezelés jogszerűségét nem érinti, tekintve, hogy az érintettek a régi tájékoztató ismeretében adták meg a hozzájárulást.

A NAIH ajánlásában kihangsúlyozta, a múltbéli hiányosságokat csak újbóli hozzájárulás beszerzésével lehet orvosolni – mutatott rá végezetül a KRS Ügyvédi Iroda szakértője.