Félmilliós adatvédelmi bírságot szabott ki a NAIH, mert az adatkezelő (Kérelmezett) csupán az ÁSZF-jére való utalással tájékoztatta az érinettet (Kérelmező) személyes adatai kezeléséről, és nem biztosította jogszerűen az érintett hozzáférési jogát.

A GDPR az érintetti jogok között szabályozza a hozzáféréshez való jogot. Ez alapján az általános adatvédelmi rendelet 15. cikk (1) bekezdése szerint az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adataihoz és az adatkezelésre vonatkozó információkhoz hozzáférést kapjon.

A Hatóság álláspontja a Kérelmező hozzáférési kérelmének Kérelmezett általi teljesítésével kapcsolatban az, hogy a GDPR 15. cikk szerinti jogosultság lényege, hogy az érintett tájékoztatást kaphat az adatkezeléssel összefüggésben, a kapott információk révén pedig képessé válik az adatkezelő folyamatban lévő tevékenységeinek ellenőrzésére, gyakorolhatja a számára biztosított jogokat, illetve jogorvoslatot vehet igénybe.

ászf készítés

A hozzáférés keretében rendelkezésre bocsátandó információk alapvetően három kategóriába sorolhatók be tartalmi szempontból: az adatkezelés ténye, az adatkezelő által ténylegesen kezelt személyes adatok, valamint az adatkezelés lényeges körülményei. Az előzetes tájékozódás és a hozzáféréshez való jog gyakorlása esetén nyújtandó tájékoztatás közötti különbséget az első két kategória jelenti, amelyek kizárólag a már folyamatban lévő adatkezelések vonatkozásában értelmezhetők, az adatkezelés megkezdését megelőzően nem. A hozzáférési jog alapján tehát arról kell tájékoztatást nyújtania az adatkezelőnek, hogy az érintettnek konkrétan kezeli-e személyes adatait, és ha igen, melyeket, azokat milyen cél(ok)ból, és minden további, az általános adatvédelmi rendelet 15. cikk (1) bekezdés szerinti információt is az érintett rendelkezésére kell bocsátani.

Jelen ügyben ettől eltérően a Kérelmezett oly módon teljesítette a Kérelmező hozzáférési kérelmét, hogy az ÁSZF-re utalt, abban megtalálja a Kérelmező az adatkezelés jellemzőit, és annak megfelelően kezeli a Kérelmező személyes adatait. Ennek a tájékoztatási módnak az volt az oka, hogy a Kérelmezett álláspontja szerint a Kérelmező rendelkezik olyan ismeretekkel, amelyek alapján az ilyen módon tett tájékoztatással is megkap minden szükséges információt.

A GDPR 15. cikk (1) bekezdése azonban akként fogalmaz, hogy az abban megjelölt információkhoz jogosult hozzáférést kapni az érintett, a konkrét, őt érintő adatkezelés tekintetében. A Kérelmezettnek pontosan, a Kérelmezőre szabva kellett volna tájékoztatást adni, hogy konkrétan a Kérelmezőnek mely személyes adatait kezeli, milyen cél(ok)ból, milyen jogalap(ok) alapján, mennyi ideig, mely címzett(ek)hez mely személyes adatait továbbítja, milyen cél(ok)ból és jogalap(ok) szerint, milyen forrás(ok)ból jutott a Kérelmezett a Kérelmező személyes adataihoz, ha nem tőle gyűjtötte. Ezen kívül minden más, általános adatvédelmi rendelet 15. cikk szerinti információról is személyre szabott tájékoztatást kellett volna adni a Kérelmezettnek a Kérelmező részére.

ászf generátor

Az ÁSZF-re való utalással történő tájékoztatás valójában az előzetes tájékoztatásnak feleltethető meg. E jog egyrészt azt hivatott tudatosítani az adatalanyokban, hogy az adatkezelő velük kapcsolatban személyes adatokat kíván kezelni. Másrészt a tájékoztatás révén az adatalanyok megítélhetik azt, hogy a tervezett adatkezelés milyen hatást gyakorolhat a magánéletükre, illetve milyen egyéb kockázatokat és veszélyeket rejt magában. Végezetül pedig az egyének a kapott információk révén válnak képessé arra, hogy gyakorolják információs önrendelkezési jogukat.

Mindezek alapján a Hatóság megállapította, hogy a Kérelmezett, bár határidőben válaszolt a Kérelmezőnek, de, mivel nem megfelelően teljesítette a hozzáférési kérelmét, a Kérelmezett megsértette az általános adatvédelmi rendelet 15. cikk (1) bekezdését, ezért bírságot szabott ki.

Feleljen meg a GDPR rendelkezéseinek! Adatvédelmi, GDPR csomagjaink a szabályzatok elkészítését szolgálják, továbbá ügyvédeink adatvédelmi, adatbiztonsági szakjogászok, így akár a teljes megfeleltetésben, akár DPO tisztség betöltésében is tudunk segíteni.

A Webes GDPR csomagot azon ügyfeleinknek ajánljuk, akik nem értékesítenek a weboldalukon, nem üzemeltetnek webshopot, nem lehet előfizetni a weboldalukon semmilyen szolgáltatásra; de ezek ellenére bekérnek személyes adatokat a weboldalon (pl. kapcsolati, ajánlatkérő űrlapon, hírlevél-feliratkoztatást alkalmaznak, cookie-kat használnak).

Előfizetek a naprakész GDPR-t biztosító Webes GDPR csomagra

A webshop csomagot a klasszikus webáruházak részére ajánljuk, azon ügyfeleinknek, akik egy csomagban szeretnék a webshop üzemeltetéshez szükséges jogi teendőket elvégeztetni. Ebben a csomagban a webshophoz szükséges ÁSZF-et, adatkezelési tájékoztatót (GDPR) készítünk a VirtualJog rendszerén keresztül.

Előfizetek a naprakész ÁSZF-et és GDPR-t biztosító Webshop csomagra

A kamerás GDPR csomagot azon ügyfeleinknek ajánljuk, akik kamerás megfigyelést végeznek például az üzlethelyiségükben, ipari létesítményeinkben, vagy akár elektronikus megfigyelést alkalmaznak a munkahelyen.

Előfizetek a naprakész kamerás GDPR-t biztosító Kamerás GDPR csomagra