Előző cikkünkben részletesen kifejtettük milyen jogsértéseket követett el egy Szépségszalon kamerás adatkezelési tevékenysége során. Most folytatjuk a Nemzeti Adatvédelmi és Információszabadság Hatóság által megállapított tényállás elemzését.

A Szalon nemcsak a kamerás megfigyelés során vétett hibákat, hanem általános adatkezelése során is.  A Hatóság több mint ezer olyan szerződést talált a cég által vezetett nyilvántartásban, amely olyan érvényességi kezdettel rendelkezett, amikor a Társaság még nem is létezett. Ezzel megsértették a GDPR rendelkezéseit, hiszen a Társaság nem tudta igazolni vendégeinek nagy részénél, hogy a szerződéses jogalap alapján kezelt személyes adatok köthetőek-e konkrét érvényes szerződéshez.

A hírlevélre való feliratkozásra utaló checkbox az online bejelentkező felületen elérhető ugyan, de azok esetében akik személyesen töltötték ki a konzultációs lapot, külön nem tudtak feliratkozni rá. Nekik ezen lap aláírásával automatikusan küldték ezt követően a hírleveleket. A konzultációs lapon nem található olyan nyilatkozat vagy jelölőnégyzet, amely a marketing megkeresések engedélyezésére irányulna, így nem igazolható a hozzájárulás önkéntessége.

A Szalon esetében nem volt igazolható sem az adatkezelés jogszerűségéhez szükséges előzetes tájékoztatás megadása, sem a megfelelő jogalap megléte, hiszen nem rendelkeztek részletes adatkezelési tájékoztatóval.

A cég korábban ajánlásos rendszert működtetett, amely azt jelentette, hogy a vendégek megadhatták azon személyek neveit, elérhetőségeit, akiket szerintük még érdekelhetnek a szalon által kínált szolgáltatások. Ezen gyakorlatával a szalon később felhagyott ugyan, de így is nagyszámú adatot kezeltek, amelyek esetében az ajánlott személy tudta és hozzájárulása nélkül történt az adatainak átadása.

De ami a Hatóság vizsgálata során a legaggályosabb, hogy a Szalon az érintett vendégek adatlapján egy megjegyzés rovatban az egészségügyi állapotukra vonatkozó adatokat jegyezte fel. Például, hogy milyen betegségben szenved a vendég, várandós-e vagy kapott-e oltást. Egészségügyi adatoknak, mint a természetüknél fogva különlegesen érzékeny személyes adatoknak a kezelése csak meghatározott esetekben, az általános adatvédelmi rendelet szigorúbb szabályainak betartása mellett kezelhetők. A Társaság nem kezelte jogszerűen az érintettek egészségügyi személyes adatait, hiszen a vizsgálat során nem igazolta, hogy az egészségügyi adatok kezelése az általa nyújtott szolgáltatások teljesítéséhez elengedhetetlenül szükségesek lennének. Arra hivatkoztak, hogy az egészségügyi adatokat az érintettek hozzájárulása alapján kezelik. De erre vonatkozó részt a konzultációs lap, amit bejelentkezéskor kitöltenek a vendégek, nem tartalmazott. Nincs olyan része,  ahol a vendégek a különleges személyes adatok kezelésével kapcsolatban kifejezhetnék a szándékukat.

Feleljen meg a GDPR rendelkezéseinek! Adatvédelmi, GDPR csomagjaink a szabályzatok elkészítését szolgálják, továbbá ügyvédeink adatvédelmi, adatbiztonsági szakjogászok, így akár a teljes megfeleltetésben, akár DPO tisztség betöltésében is tudunk segíteni.

A Webes GDPR csomagot azon ügyfeleinknek ajánljuk, akik nem értékesítenek a weboldalukon, nem üzemeltetnek webshopot, nem lehet előfizetni a weboldalukon semmilyen szolgáltatásra; de ezek ellenére bekérnek személyes adatokat a weboldalon (pl. kapcsolati, ajánlatkérő űrlapon, hírlevél-feliratkoztatást alkalmaznak, cookie-kat használnak).

Előfizetek a naprakész GDPR-t biztosító Webes GDPR csomagra

A webshop csomagot a klasszikus webáruházak részére ajánljuk, azon ügyfeleinknek, akik egy csomagban szeretnék a webshop üzemeltetéshez szükséges jogi teendőket elvégeztetni. Ebben a csomagban a webshophoz szükséges ÁSZF-et, adatkezelési tájékoztatót (GDPR) készítünk a VirtualJog rendszerén keresztül.

Előfizetek a naprakész ÁSZF-et és GDPR-t biztosító Webshop csomagra

A kamerás GDPR csomagot azon ügyfeleinknek ajánljuk, akik kamerás megfigyelést végeznek például az üzlethelyiségükben, ipari létesítményeinkben, vagy akár elektronikus megfigyelést alkalmaznak a munkahelyen.

Előfizetek a naprakész kamerás GDPR-t biztosító Kamerás GDPR csomagra