Az adatkezelés részletei nem minősülhetnek üzleti titoknak

2019. augusztus 06. 08:46
Az adatkezelő vállalkozások egyik alapvető kötelezettsége az, hogy az adatkezeléseiket az érintettek számára adatkezelési tájékoztatók, érdekmérlegelési tesztek stb. formájában bemutassák. Rendszeresen visszatérő panasz ezzel összefüggésben a vállalkozások részéről, miszerint az adatkezelési folyamataik láthatóvá tétele, bemutatása üzleti titkaikat fedi fel. Kiderülhet például az, hogy mely szolgáltatókkal, szerződéses partnerekkel (bérszámfejtő, könyvelő, külsős rendszergazda stb.) állnak kapcsolatban, illetve, hogy milyen ügyviteli rendszereket használnak. Az alábbiakban azt vizsgáljuk meg, hogy mi ennek a tájékoztatási kötelezettségnek a terjedelme.

Az adatkezelési tájékoztatási kötelezettség széles körű

A személyes adatok védelmét szabályozó 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) számos tájékoztatási kötelezettséget előír. Ennek keretében az érintett számára tömör, áttekinthető módon tájékoztatást kell adni a kezelt személyes adatok köréről, azok forrásáról, az adatkezelés jogalapjáról, jogos érdeken alapuló adatkezelés esetén az érdekmérlegelési tesztről, hozzájárulás esetében a hozzájárulás megtagadásának következményeiről, az adatkezelés céljáról, időtartamáról, a címzetti körről (kik kapják meg, férnek hozzá a személyes adatokhoz), illetve az érintetti jogokról is. Ezen tájékoztatási elemek közül az érdekmérlegelés, illetve a címzettekről való tájékoztatás tartalmazhatnak „bizalmasabb” adatokat. Fontos azonban azt látni, hogy ezen adatok pontos megadása szükséges ahhoz, hogy az érintett a személyes adatai kezelésének útját átláthassa, az azzal összefüggő érdemi döntéseket meghozhassa.

 

Az érdekmérlegelésnek valamennyi szempontot tartalmaznia szükséges

Érdekmérlegelési teszt készítésére, illetve az érdekmérlegelés eredményéről való tájékoztatásra abban az esetben van szükség, amennyiben a személyes adat kezelésének a jogalapja az adatkezelő vagy harmadik személy jogos érdeke. Ilyen esetben érdekmérlegelési teszt keretében be kell mutatni az adatkezelés alapjául szolgáló jogos érdeket, az érintett jogait és érdekeit, el kell végezni a mérlegelést (előnyök, hátrányok összevetése, számíthat-e az érintett az adatkezelésre, szükségesség, arányosság bemutatása stb.), majd pedig az érdekmérlegelést dokumentálni is szükséges. A felügyeleti hatóság döntései szerint az érdekmérlegelésnek minden releváns tényt, akár üzleti érdeket tartalmaznia szükséges és arra is ki kell térnie, hogy mi fog történni, amennyiben az érintett tiltakozási jogával él. Be kell mutatni ilyen esetben azt is, hogy milyen nyomós körülmény indokolja az adatkezelés továbbfolytatását. Tiltakozás esetén ugyanakkor a hatóság meglehetősen szigorú gyakorlatot folytat. Nem fogadja el például gazdasági, kényelmi szempontok érvényesítését (ügyfélszolgálat feladatának könnyítése), sőt az igényérvényesítéssel összefüggésben több döntésében lefektette, hogy az ügyféllel való kapcsolattartás módját is az ügyfél határozza meg. Nem kereshető így meg az ügyfél például telefonon keresztül, amennyiben a postai úton történő megkereséshez ragaszkodik. Az érdekmérlegelés elkészítése tehát meglehetősen összetett feladat. Az érdekmérlegelési tesztet az adatkezelési tájékoztatóhoz hasonló módon az adatkezelés megkezdését megelőzően az érintettek tudomására kell hozni.

 

Ritkán címzetti kör is megadható

Címzettnek az a külső szereplő minősül, amely valamely célból egy vállalkozástól személyes adatokat kap vagy azokhoz fér hozzá. Ilyen lehet a bérszámfejtő, könyvelő, vállalatcsoport vagy egy külsős rendszergazda. Tekintettel arra, hogy a címzettekről való tájékoztatást a GDPR előírja, így ezek személyéről az adatkezelési tájékoztatóban kimerítő tájékoztatást kell adni. Bizonyos esetekben ugyanakkor lehetséges csupán a címzettek körét (típusát) megjelölni. Erre kivételes jelleggel például akkor van lehetőség, amennyiben a címzettek nagy száma miatt a teljes körű tájékoztatással a tájékoztatás átláthatósága romlana (lsd. NAIH állásfoglalás a címzetti kör megadásáról). Ezzel azonban érdemes elővigyázatosnak lenni. Egyrészt az érintett hozzáférési joga alapján minden esetben jogosult tájékoztatást kérni. Másrészt pedig a címzetti körről való tájékoztatás nem szolgálhatja a tájékoztatáshoz való jog ellehetetlenítését. Nem jogszerű így az arról történő tájékoztatás, hogy a munkavállalók személyes adatait a vállalatcsoport kezeli, mivel abból nem derül ki, hogy a címzetti körbe mely vállalatok tartoznak bele és nem ellenőrizhető az adattovábbítások szükségessége és jogszerűsége sem. Az sem elegendő, ha a vállalkozás adatkezelési tájékoztatójában azt tűnteti fel, hogy az informatikai hátteret a vállalatcsoport biztosítja, mert ennek konkrét részletei (szereplők, az adatkezelés terjedelme) fontos adatokkal szolgálnak, melyekre az általános leírásból következtetni sem lehet.

 

dr. Kéri Ádám

ügyvéd

Kapcsolódó cikkek

Orbán Viktor: 2,5 millió honfitársunk beoltva. Újraindulhatnak az üzletek és a szolgáltatások!

2021. április 07. 08:41
Átlépte a beoltottak száma a két és félmilliót, újraindulhatnak az üzletek és a szolgáltatások - jelentette be Orbán Viktor miniszterelnök a Facebookon közzétett videóban.

Betegen ne!

2020. február 06. 07:43
Az Egészségügyi Világszervezet nemzetközi vészhelyzetet hirdetett a koronavírus okozta járvány miatt. Hogyan végezzük a munkánkat járvány esetén?