Európai Adatvédelmi Testületi iránymutatás a hozzáférési jogról

Megosztás Tetszik

Iránymutatást tett közzé 01/2022. számon az Európai Adatvédelmi Testület, amely 2022. március 11-éig véleményezhető. Egyes rendelkezései valóban segítik a 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) értelmezését, mások viszont kevéssé gyakorlati javaslatokat fogalmaznak meg. Az iránymutatás lényegét az alábbiakban foglaljuk össze.

A hozzáférési jog széles információs jogosítvány

A GDPR 15. cikkében nevesített hozzáférési jog egy adatvédelmi alapjog, mely minden adatkezelés vonatkozásában érvényesíthető. Tartalmilag tájékoztatást jelent arról, hogy az adatkezelés folyamatban van, illetve információt az adatkezelés céljairól, az egyes személyes adatokról, az adattovábbításokról, az adatkezelés időtartamáról, az érintetti jogokról, a személyes adatok forrásáról, a felügyeleti panasz benyújtásának lehetőségéről, illetve az adatkezeléssel összefüggésben alkalmazott automatizált döntéshozatalról, valamint profilalkotásról. Ezen túlmenően az érintett jogosult a személyes adatok másolatára is. Kiemeli azonban a rendelet, hogy az érintett joggyakorlása nem érintheti hátrányosan mások jogait és szabadságait. Az iránymutatás ezen rendelkezés fogalmait, feltételeit értelmezi.

Információszolgáltatás előtt a jogosultság ellenőrizendő

Mielőtt egy vállalkozás a hozzáférési kérelmet teljesítené, így például az ügyfélről kezelt valamennyi személyes adatot kiadná, szükséges az érintett ügyfél beazonosítása. Ellenkező esetben adatvédelmi incidens következhet be. Kiemeli ugyanakkor az iránymutatás, hogy az azonosítás a GDPR 12. cikk (6) bekezdés alapján nem lehet túlzó és szükségtelen. Ha az adatkör nem tartalmaz különleges, illetve „érzékeny” adatokat, abban az esetben a személyazonosító okmányok megtekintése nem tekinthető arányos lépésnek. Ehelyett felhasználónév és jelszó, valamint egyszeri, generált azonosítókód alkalmazását javasolja. Javasolja továbbá, hogy amennyiben ilyen adatokra vonatkozóan a hozzáférési kérelem már beazonosított csatornán érkezik (például regisztrált e-mail-cím), abban az esetben további azonosítás ne kerüljön alkalmazásra. Ha mégis alkalmaz ilyet az adatkezelő, abban az esetben biztonsági kérdés alkalmazása is megfelelő (például: kedvenc állata neve). Nem tartja kizártnak a személyazonosító okmány ellenőrzését sem, amennyiben az adatkérés különleges – például egészségügyi – adatokat érint, személyazonosító okiratot másolni azonban ilyen esetben sem lehet. Ha személyazonosítás történik, a szükségtelen adattartalom kitakarható. Ezzel összefüggésben azonban kissé életszerűtlen és megmosolyogtató az a javaslat, miszerint az okmány sorszámát, az állampolgárságot, a magasságot, szemszínt és a fotót ki lehet takarni. Ha ezt az érintett nem teszi meg, abban az esetben az adatkezelőnek ajánlott megtennie. Jogilag azonban az kérdéses, hogy egy ilyen, az érintett által kitakart azonosítás mennyiben tartható hitelesnek.

OLVASSA TOVÁBB CIKKÜNKET, amelyből megtudja, hogy milyen adatokat, hogyan, milyen formában, milyen határidőn belül kell kiadni az érintett részére!