GDPR: a cégeknek biztosítaniuk kell a hozzáférést az általuk kezelt adatokhoz

A GDPR a magánszemélyeknek jogokat biztosít, amelyek arra szolgálnak, hogy az érintettek – azaz akiknek az adatait kezelik – megfelelő ismeretekkel rendelkezzenek az őket érintő adatkezelésekről, és fel tudják ismerni az adataikkal való esetleges visszaéléseket, és tudjanak ezzel kapcsolatban cselekedni is.

Az uniós jogszabály előírja az érintettek átlátható, érthető és könnyen hozzáférhető tájékoztatását az adatkezelésről, az érintetti kérelem indokolatlan késedelem nélküli megválaszolását, illetve az intézkedés elmaradása esetén a jogorvoslati lehetőségek ismertetését is. A tájékoztatás – megalapozott és nem túlzó kérelem esetén – díjmentes kell legyen. Az érintettnek joga van arra, hogy bizonyos esetekben tiltakozzon személyes adatainak kezelése ellen, és a hozzájárulását visszavonja – de ettől a visszavonás előtti adatkezelés nem lesz jogszerűtlen. Az érintett panaszt tehet a felügyeleti hatóságnál, ha adatainak kezelése megsérti a GDPR-t, és bírósági jogorvoslatot is kérhet az adatkezelővel vagy akár a felügyeleti hatósággal szemben. A jogok megsértése esetén kártérítés, konkrét vagyoni kár nélkül pedig sérelemdíj illeti meg az érintettet. Az adatkezelőre emellett jelentős összegű – 20 millió euró vagy a teljes világpiaci forgalom 4 százalékát elérő – közigazgatási bírság is kiróható.

Az érintetti jogok az adatkezelő számára kötelezettségeket jelentenek: megfelelő technikai és szervezési intézkedéseket kell tegyen annak érdekében, hogy a személyes adatok kezelése összhangban legyen a GDPR-ral. Az intézkedéseket rendszeresen illetőleg szükség szerint felül kell vizsgálni és naprakésszé kell tenni.

„Az intézkedés részeként belső adatvédelmi szabályok megalkotása is szükségessé válhat – mondta dr. Vári Csaba, a Baker McKenzie IPTech csoportjának vezetője. – Ennek hiányában a hatóság akár nagy összegű adatvédelmi bírságot is kiróhat az adatkezelőre – mint történt ez akkor, amikor a belső kamerarendszerrel kapcsolatos adatvédelmi szabályozás hiányosságai miatt a hatóság 20 millió forint bírsággal sújtott egy áruházláncot. A közelmúltban egy másik esetben az érintett megfelelő tájékoztatásának hiánya vezetett többek között egy bankkal szemben kiszabott rekord összegű, 250 millió forintos bírsághoz.”

Az Európai Adatvédelmi Testület (EDPB) a közelmúltban kiadott iránymutatás tervezete további ajánlásokat fogalmaz meg az érintetti jogok gyakorlásával, ezen belül is a hozzáférési joggal kapcsolatban. Ennek célja az ajánlás szerint, hogy a magánszemélyek könnyen elérhető, pontos és átlátható információt kapjanak az adatkezelésről. Az érintettek így meggyőződhetnek arról, hogy az adatkezelés jogszerű, a velük kapcsolatban kezelt adatok pedig naprakészek. A hozzáférési jog elősegíti a magánszemélyek egyéb jogainak érvényesítését, például az adatok törlésének vagy kijavításának kérését. Ezeket a kéréseket az érintettnek alapesetben nem kell indokolnia, és az adatkezelő sem vizsgálhatja azt, hogy a kérés elősegíti-e az érintett által elérni kívánt cél teljesülését.

Az adatkezelőnek biztosítania kell, hogy az érintett a kérelmet megfelelő és felhasználóbarát csatornán keresztül terjessze elő, de a kérelmező nem köteles ezeket használni: küldheti az adatkezelő bármilyen hivatalos elérhetőségére, és a kérelemnek formai követelménye sincs. A Baker McKenzie arra is felhívja a figyelmet, hogy a GDPR határozza meg azt is, hogy az érintetti jogok milyen esetekben korlátozhatók – az adatkezelő és az érintett például nem állapodhat meg szerződésben ezen jogok korlátozásáról.