Bár jövőre lesz 7 éve, hogy hazánkban is alkalmazni kell az Általános Adatvédelmi Rendelet – ismertebb nevén GDPR – szabályait, azonban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) határozataiban még mindig sokszor olvasható, hogy az adatkezelők nem vagy nem megfelelően tesznek eleget előírt kötelezettségeiknek.
Az adatkezelők egyik fontos feladata, hogy megfelelően tájékoztassák az érintetteket (vagyis azokat a személyeket, akiknek az adatait kezelik) az adatkezelésük részleteiről. A tájékoztatási kötelezettség a GDPR 5. cikk (1) bekezdés a) pontjában meghatározott jogszerűség, tisztességes eljárás és átláthatóság alapelvéből is logikusan következik. A hivatkozott rendelkezés ugyanis kimondja, hogy a személyes adatok kezelését jogszerűen, tisztességesen, valamint az érintett számára átlátható módon kell végezni. Az átláthatóság követelményének pedig kifejezetten úgy tud eleget tenni az adatkezelő, ha már az adatkezelés megkezdése előtt információt ad arról, hogy miként fog sor kerülni a személyes adatok kezelésére. Az előzetes tájékoztatás mellett fontos feladat az is, hogy ha bármely érintettől kérdés vagy kérés érkezik az adatkezelőhöz – különösen a GDPR 15-22. cikkében meghatározott érintetti jogok gyakorlása tekintetében – akkor azt az adatkezelőnek indokolatlan késedelem nélkül meg kell válaszolnia.
Az átlátható tájékoztatás tekintetében nemcsak az említett alapelvekből indulhatunk ki, ugyanis maga a GDPR is kimondja, hogy az adatkezelőnek megfelelő intézkedéseket kell hoznia annak érdekében, hogy az érintettek részére
- a személyes adatok kezelésére,
- az érintetti jogok gyakorlására, valamint
- az adatvédelmi incidensekre vonatkozóan minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa [GDPR 12. cikk (1) bekezdés].
Azt a GDPR nem határozza meg, hogy mit tart „megfelelő intézkedésnek”, azonban a hatálybalépés óta formálódó gyakorlat és kiadott iránymutatások segíthetnek ebben a kérdésben.
Különösen hasznos a 29. cikk szerinti munkacsoport által az átláthatósággal összefüggésben kiadott iránymutatás (a továbbiakban: Iránymutatás). Az Iránymutatás szerint az adatkezelőnek a megfelelő intézkedések meghatározásakor az adatgyűjtés és adatkezelés valamennyi körülményét számításba kell vennie, így pl. azt, hogy milyen eszközöket alkalmaz az adatkezelése során vagy milyen jellegű interakciókba lép az érintettekkel. Az említett szempontok mérlegelése rámutat arra, hogy az adatkezelő által megvalósított vagy megvalósítani kívánt adatkezelési folyamatokról és a releváns információkról milyen módon érdemes tájékoztatni az érintetteket.
A forma tekintetében szintén nincs egyértelmű szabály, a GDPR is csak annyit rögzít, hogy az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni [GDPR 12. cikk (1) bekezdés]. A NAIH és a tagállami adatvédelmi hatóságok gyakorlatából látható, hogy a preferált mód mindenképpen az írásban is rögzített és az érintettek számára mindig elérhető, naprakész adatkezelési dokumentum (tipikusan adatkezelés tájékoztató).
A forma és megvalósítási mód tekintetében tehát konkrét szabályok nincsenek a GDPR-ban, azt azonban megtalálhatjuk, hogy milyen információkról kell tájékoztatást adni. A GDPR 13-14. cikke értelmében – többek között – a személyes adatok kezelésének célját és jogalapját, az adatkezelő megnevezését, a címzettek körét (vagyis azokat, akiknek potenciálisan továbbításra kerülhetnek személyes adatok), az adatok kezelésének időtartamát és az érintetti jogokat mindenképpen meg kell osztani az érintettekkel.
A tájékoztatási kötelezettséget nem szabad félvállról venni, ugyanis az eljárásai során a NAIH számos alkalommal állapít meg jogsértést és szab ki bírságot arra tekintettel is, hogy azt az adatkezelő nem vagy nem megfelelően teljesíti.
A hatóság egy 2023 nyarán közzétett döntésében 1.000.000 forintos bírságot szabott ki egy távhőszolgáltatóval szemben, mert az nem nyújtott megfelelő tájékoztatást a bejelentő (az a személy, aki az eljárást kezdeményezte a NAIH-nál) személyes adatainak kezeléséről, továbbá nem tudta igazolni, hogy miként kerültek a bejelentő személyes adatai a rendszerébe (vagyis, hogy mi az adatok forrása). Ezzel pedig nemcsak a tájékoztatáshoz való jog, hanem az elszámoltathatóság elve is sérült.
Szintén 2023-ban, ugyancsak 1.000.000 forintos bírságot állapított meg a hatóság egy olyan természetgyógyásszal szemben, aki semmiféle adatkezelési tájékoztatóval nem rendelkezett, így az érintetteknek rálátásuk sem volt arra, hogy az adataikat hogyan és miért kezelik.
2022-ben 5.000.000 forintos büntetést kapott egy telekommunikációs vállalat, mert a telefonhívásokat úgy rögzítették, hogy arról előzetesen nem tájékoztatták a hívott felet, csak a hívás végén és a tájékoztatás sem volt teljeskörű és egyértelmű.
A közelmúlt néhány esetén kívül még számos olyan, bírságot is kiszabó döntés született, amelyben a tájékoztatáshoz való jog sérelme is megvalósult. Érdemes tehát az adatkezelőknek átgondolni, hogy megfelelően tájékoztatják-e az érintetteket a GDPR rendelkezései alapján, hiszen a mulasztás magas pénzbüntetéshez vezethet.