Adatvédelmi hozzáférési jog biztosítása: összehangolt ellenőrzést indít az EU-s testület

Megosztás Tetszik

Az Európai Adatvédelmi Testület (European Data Protection Board) összehangolt ellenőrzési akciói keretében idén a GDPR 15. cikkében nevesített hozzáférési jog betartására fókuszál. Cikkünkben ismertetjük az akció kereteit, illetve azt, miben rejlik a hozzáférési jog lényege.

Az Európai Adatvédelmi Testület (EDPB) 2023-ban elfogadta az érintettek jogairól (hozzáférési jog) szóló iránymutatást, amely gyakorlati segítséget nyújt az adatkezelők számára a GDPR (2016/679. számú európai uniós rendelet) 15. cikkében foglalt érintetti jog értelmezésében.

Annak felmérése érdekében, hogy az adatkezelők a gyakorlatban hogyan felelnek meg a hozzáférési jog gyakorlásához kapcsolódó követelményeknek, a részt vevő felügyeleti hatóságok többféle módon hajtják végre az összehangolt végrehajtást. A közös fellépésben résztvevő felügyeleti hatóságok elsősorban információt gyűjthetnek, amit adott esetben formális vizsgálat is követhet. Emellett formális (hivatalból indított) eljárásokat folytathatnak le, illetve az összehangolt fellépést már folyamatban lévő formális eljárásokba csatornázhatják be.

Első lépésben a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) meghatározott szektorokat céloz meg kérdőív segítségével. Az idei összehangolt fellépésben a vagyonvédelmi tevékenységet folytató vállalkozásoknak, közműszolgáltatóknak és távközlési szolgáltatóknak a GDPR szerinti hozzáférési jog biztosításával kapcsolatos gyakorlatát kívánja felmérni a NAIH a felügyeleti hatóságok szakértői által összeállított közös kérdőív segítségével. Fontos, hogy a kérdőív az összehangolt felmérés ezen szakaszában nem kapcsolódik formális vizsgálati eljáráshoz. A hatóság célja, hogy minél átfogóbb képet kapjon a GDPR szerinti hozzáférési jog biztosításának gyakorlatáról. Az összehangolt fellépés eredményének elemzését követően döntenek majd a hatóságok arról, hogy további lépések szükségesek-e. Az eredményeket nyilvánosságra is hozzák.

A GDPR 15. cikke (hozzáférési jog) kibővített tájékoztatási kötelezettséget jelent. Az (1) bekezdés szerint az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon

– az adatkezelés céljai;
– az érintett személyes adatok kategóriái;
– azon címzettek vagy címzettek kategóriái, akikkel, illetve amelyekkel a személyes adatokat közölték vagy közölni fogják, ideértve különösen a harmadik országbeli címzetteket, illetve a nemzetközi szervezeteket;
– adott esetben a személyes adatok tárolásának tervezett időtartama, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjai;
– az érintett azon joga, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen;
– a valamely felügyeleti hatósághoz címzett panasz benyújtásának joga;
– ha az adatokat nem az érintettől gyűjtötték, a forrásukra vonatkozó minden elérhető információ; illetve
– a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozó érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel bír, s az érintettre nézve milyen várható következményekkel jár.

Míg tehát a GDPR 13-14. cikkei az előzetes tájékoztatás kötelezettségét szabályozzák, addig a 15. cikk az érintett megkeresése esetére vonatkozó tájékoztatási és adatszolgáltatási kötelezettséget rögzíti. Tekintettel arra, hogy az érintett figyelmét az érintetti jogokra előzetesen is fel kell hívni, célszerű az előzetes tájékoztatásba valamilyen módon a hozzáférési jog elemeit is beépíteni.

Bizonyos szempontokra ügyelni kell a hozzáférési jog kapcsán. Az egyik ilyen körülmény az, hogy egyedi, személyre szabott tájékoztatást csupán annak az érintettnek lehet adni, akit előtte egyedileg beazonosítottak. További fontos körülmény, hogy amennyiben felvételt (például képfelvétel, hangfelvétel) bocsát az adatkezelő az érintett rendelkezésére, ügyeljen arra, hogy az mások jogait és szabadságát hátrányosan ne érintse. Adott esetben a felvételen bizonyos részeket ki kell takarni vagy törölni kell.

Tudni kell, hogy ha egyéb másolatot (például levelezés) ad ki az adatkezelő, az nem feltétlenül kell, hogy iratmásolatot jelentsen. Bizonyos esetekben a dokumentumban található adatok tételes jegyzéke is megfelelő lehet. E tekintetben érdemes elolvasni az Európai Adatvédelmi Testület magyar nyelven is elérhető iránymutatását. Végezetül arra is ügyelni kell, hogy a megkeresésre fő szabály szerint 30 napon belül reagálni kell.

A NAIH egyre több hozzáférési jog sérelmével kapcsolatos határozatot hoz nyilvánosságra, melyekből megismerhetők a hatósági elvárások. A legutóbbi döntések közül kiemelendő az ügyvédi titok, valamint a hozzáférési jog viszonyát taglaló döntés (NAIH-186-2/2024.), az életbiztosítási szerződés adataihoz való hozzáférést vizsgáló döntés (NAIH-1248-8/2023.) vagy a pénzügyi szolgáltatásokat érintő határozat (NAIH-4727-9/2023.).