Illés
17 °C
29 °C

Mihez kezd a GDPR az emberi hülyeséggel?

gdpr
2018.05.09. 15:37

Nem szép dolog lehülyézni másokat, de néha muszáj, és a szó pontosan jellemzi azokat az eseteket, amikor tök idegen emberek postai csomagjáról, szerződéseiről, jegyvásárlásáról és online regisztrációjáról kapunk értesítéseket a privát emailfiókunkba. Mintha ezek az emberek nem tudnák a saját emailcímüket, és inkább egy másikat adnak meg.  

Nyakunkon az adatkezelési bakikért gigabírsággal fenyegető GDPR, és az eddig hallottak alapján már az is problémásnak tűnik, hogy valaki ki- vagy megadta a személyes adatnak számító emailcímünket, ami nem az övék. De ennél is kellemetlenebb érzés, amikor a téves emailek tele vannak tök idegen emberek személyes adataival, és elvileg minket tesznek adatkezelővé.

Olyan szerződéseket, ügyvédi iratokat és árajánlatokat láttam már véletlenül nekem elküldött elamilekben, hogy elkezdtem aggódni, vajon a GDPR szigora a mások hülyeségét elszenvedő embert is utolérheti?

Az adathatóság a többieket nyúzza meg

Aki bármilyen szolgáltatás igénybevételekor egy másik ember személyes adatait adja meg úgy, hogy arról az illető nem tud, az adatvédelmi jogsértést követ el

- válaszolta kérdésemre a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). Erre elég jó bizonyítékul szolgálhat egy regisztráció vagy szolgálatatói szerződés során aláírt dokumentum, amiben a téves cím szerepel. 

Ezekben az esetekben az emailcím vagy telefonszám tulajdonosa az adatot kezelő céghez fordulhat, hogy töröljék az elérhetőséget. A vállalkozás akkor követ el jogsértést, ha nem tudja bizonyítani az adatok eredeti forrását (pl. nincs írott szerződés, amiben ez is látható), és nem tesz meg mindent a jogsértő helyzet megszüntetése érdekében, tovább kezeli az adatokat - közölte a NAIH.

nyugodt szívvel hagyhatják adatbűnözni a laikus ügyfeleiket

Azt nem kell ellenőriznie a vállalatnak, amikor felveszi egy új ügyfél személyes adatait, többek közt az értesítési emailcímet és telefonszámot, hogy ezek az információk helyesek-e - mondta a NAIH. Persze ettől még beleférne, hogy először egy visszaigazolást kérő emailt küldjenek ki. A legtöbb online szolgáltatás így működik, de például a Magyar Posta rendszere nem.

Ennél sokkal súlyosabb eseteket is láttunk már, főleg kisebb cégeknél: a regisztráció során megadott emailcímre kiküldik a felhasználónevet és a jelszót is, egyszerű szövegben, és ezzel a téves címzett hozzáférhet a másik fél minden egyéb személyes adatához. Ezeknek a cégeknek biztosan lesz gondjuk az adatvédelmi hatósággal.      

Személyes adatot véletlenül nem kezelünk

Az is egy extrém eset, amikor az emailben, esetleg csatolt pdf-ekben megkapjuk vadidegen emberek szerződéseit, vagy más egyéb információkat. Szerencsére ezzel nem válunk automatikusan adatkezelővé, mert az emailben tárolt személyes adatok kezelésének célját nem mi határoztuk meg.

A GDPR 4. cikk 7. pontja alapján az minősül adatkezelőnek, aki a személyes adatok kezelésének céljait és eszközeit meghatározza. 

A NAIH szerint lehetünk jó fejek, és írhatunk a küldőnek, hogy adatvédelmi incidenst követett el (én javasolnám ezt szó szerint így megírni, hátha elveszi az illető kedvét a trehányságtól). De dönthetünk úgy is, hogy rögtön bejelentést teszünk az adatvédelmi hatóságnál. Akadhat olyan incidens, amikor ez egyáltalán nem rossz fejség, mert a jogsértést közérdekből kell megakadályozni.

A tévesen kapott emaileket viszont tilos nyilvánosságra hozni! A hatóság megkaphatja az érintett levelet, de senki más nem. Ebben az esetben ugyanis már az emailt továbbküldő személy határozza meg az adatkezelés célját (= továbbküldés), és lesújthat rá az adathatóság, ha fény derül a jogosulatlan cselekedetre.