Az adatkezelőnek a tájékoztatást fő szabályként már az adatok gyűjtésekor meg kell adnia, de az érintett is bármikor kérhet ezzel kapcsolatos felvilágosítást és hozzáférést. Ezt a jogot nevezzük hozzáférési jognak, amely a nagy számú és egyre összetettebb, átláthatatlanabb adatkezelések miatt egyre fontosabbá válik - gondoljunk csak az Internet of Things (magyarul "dolgok internetének") világára.
A cégek oldaláról a hozzáférési kérelmek megválaszolása olykor nehézségekkel járhat, különösen akkor, ha az adatkezelő a személyes adatokat nagy mennyiségben, és eltérő célokból kezeli. Az Európai Adatvédelmi Testület (EDPB) nemrég közzétett iránymutatásának tervezete és a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) gyakorlata alapján körvonalazódik, hogy a hozzáférési jog mire jogosítja fel az érintettet és az adatkezelőknek mikre érdemes odafigyelniük a hozzáférési kérelmek kezelése során.
A hozzáférési jog tartalma
A GDPR és a kialakuló gyakorlat alapján az érintett egyrészt tájékoztatást kérhet arról, hogy kezelnek-e adatot vele kapcsolatban, másrészt ezekhez az adatokhoz hozzá is férhet, harmadrészt pedig bővebb felvilágosítást is kérhet az adatkezelés részleteiről, például annak céljáról, időtartamáról, vagy arról, hogy kik kaphatják meg adataikat, beleértve azt is, hogy Európán kívülre eljutnak-e ezek az adatok. Ha az érintett kéri, az adatkezelőnek az érintett rendelkezésére kell bocsátania egy másolatot a róla kezelt személyes adatokról. Ez nem feltétlenül jelenti azt, hogy minden esetben egy dokumentum pontos másolatát kell átadni az érintettnek, sokszor elégséges, ha egy kivonat vagy összesítő készül, amiben a kezelt adatok feltüntetésre kerülnek. Mindazonáltal, másolat készítése szükséges lehet akkor, ha a kezelt személyes adat jellege alapján a hozzáférési jog más módon nem teljesíthető megfelelően (ilyen eset lehet például, ha egy biztonsági kamera felvételét kéri az érintett).
A GDPR-ban nincs kifejezetten előírva, de a gyakorlat alapján, ha az érintett a hozzáférési kérelmében az adatkezelés céljáról és jogalapjáról kér tájékoztatást, az adatkezelőnek ezeket a részleteket személyes adatonként kell megadnia, összhangban az átláthatóság követelményével. Ennek megvalósítása tekintetében úgy véljük, hogy a kezelt személyes adatok csoportosítva is részletezhetők, feltéve, hogy az adatkezelés célja és jogalapja megegyezik a csoportban felsorolt összes adat vonatkozásában. Ezzel szemben nem tartjuk megfelelőnek, ha az adatkezelő az adatkezelési célokat és jogalapokat általános jelleggel említi meg, és a válaszából nem derül ki, hogy az egyes személyes adatok tekintetében mely adatkezelési cél illetve jogalap irányadó.
A hozzáférési jog azonban nem korlátlan. Ha annak gyakorlása mások jogait és szabadságait hátrányosan érinti, akkor korlátozni lehet. Ilyen eset például, ha a hozzáférési jog teljesítése üzleti titkot sértene vagy mások személyes adata kerülne indokolatlanul kiadásra. Ha az érintett kérelme egyértelműen megalapozatlan vagy túlzó, az adatkezelő a kért információ nyújtásával vagy a kért intézkedés meghozatalával járó ésszerű összegű díjat számíthat fel, vagy akár meg is tagadhatja a kérelemben kért intézkedés megtételét. A hozzáférési jogot bizonyos esetekben jogszabályok is korlátozhatják, például a hatóság által kirendelt szakértő megtagadhatja az érintett hozzáférési kérelmének teljesítését, ha az őt kirendelő szerv — megfelelő indokok alapján, pl. mások jogainak védelme érdekében — erre utasítja.
Hogyan kell teljesíteni a hozzáférési kérelmeket?
Első körben az adatkezelőnek meg kell győződnie arról, hogy valóban az a személy fordult hozzá, akinek joga van kikérni az adatokat. Ez a feladat általában könnyen teljesíthető, de például elhunyt személyek adatai kapcsán már alaposabb utánjárás lehet szükséges a jogszerű képviselő személyének megállapításához. Ha az érintett a kérelmében másképp nem nyilatkozik, a hozzáférési kérelmet az érintettel kapcsolatban kezelt összes személyes adatra kiterjedőként kell értelmezni, és a releváns adatkezelésekről teljes körű tájékoztatást kell adni. Természetesen nem életszerű, hogy az adatkezelő minden esetben — kifejezett indok nélkül — hatalmas adattömegeket gyűjtsön össze, ezért, ha az adatkezelő az érintettel kapcsolatban nagy számban kezel személyes adatot és nem egyértelmű, hogy az érintett kérelme mire irányul, az adatkezelő felszólíthatja az érintettet arra, hogy pontosítsa a kérelmét, például jelölje meg azt az időintervallumot, ami a kamerás felvétel tekintetében fontos.
A kérelem megválaszolásának formája tekintetében az EDPB esetről esetre javasolja megvizsgálni, hogy az információk ún. "réteges" szerkezetben történő rendelkezésre bocsátása átláthatóbbá teheti-e a választ. A "réteges" szerkezet arra utal, hogy a hozzáférési kérelem alapján releváns információk csoportokba szedhetők (akár külön dokumentumokban, akár egy dokumentumon belül a tartalom részekre bontásával), így például az első rétegben az adatkezelés részletei, az érintetti jogok és a kérelem vonatkozásában legrelevánsabb személyes adatok szerepelnek, a második rétegben pedig a kérelemmel szintén célzott további személyes adatok.
Ha az érintett másolatot kér a kezelt személyes adatokról, az adatkezelőnek az adatokat tömör, átlátható, érthető és könnyen hozzáférhető, valamint maradandó (pl. elektronikusan letölthető és később tárolható, tehát nem csupán ideiglenesen elérhető) formában kell az érintett rendelkezésére bocsátania. Az első másolat az érintett számára ingyenes, azonban a további másolatokért az adatkezelő ésszerű mértékű adminisztratív díjat számíthat fel. E tekintetben fontos megjegyezni, hogy ha az érintett egy új kérelmet nyújt be az adatkezelőhöz olyan személyes adatokra vonatkozóan, amelyekre a korábbi kérelme nem terjedt ki (például az első kérelem arra irányult, hogy az adatkezelő az érintettel fennálló szerződésének teljesítése céljából milyen személyes adatokat kezel, a második pedig az adatkezelő panaszkezeléssel kapcsolatos adatkezelését érinti), az újonnan benyújtott kérelem alapján relevánssá vált személyes adatokról az érintett az első másolatot ismét ingyenesen kérheti.
A hozzáférési kérelmeket késedelem nélkül, de legkésőbb a kérelem kézhezvételétől számított egy hónapon belül kell megválaszolni. A választ nem csak akkor kell megadni, ha az adatkezelő helyt ad a kérelemnek, hanem akkor is, ha az adatkezelő elutasítja annak teljesítését. Az egy hónapos határidőt indokolt esetben — a kérelem összetettségét és a kérelmek számát figyelembe véve — legfeljebb további két hónappal lehet meghosszabbítani. Ha az adatkezelő meg kívánja hosszabbítani a határidőt, erről tájékoztatnia kell az érintettet, a kérelem kézhezvételétől számítva legkésőbb egy hónapon belül.
Jelentős hibák és a szankciók az eddigi gyakorlat tükrében
A NAIH gyakorlata alapján a hozzáférési kérelmek teljesítése során jelentős hiba lehet, ha az adatkezelő nem vizsgálja meg azt, hogy a hozzáférési kérelem pontosan milyen adatkezelés(ek)re vonatkozik és emiatt nem nyújt információt egyes — a kérelem alapján valójában releváns — adatkezelési tevékenységek vonatkozásában (például az adatkezelő csak egy adott adatbázist vesz figyelembe és nem vizsgálja a biztonsági mentéseket, a papíralapú dokumentumokat, a panasznyilvántartásokat, illetve egyéb forrásokat). Ugyancsak előfordul, hogy az adatkezelő összetéveszti a hozzáférési kérelmeket más jellegű kérelmekkel, például panaszbeadványokkal, vagy nem kezeli megfelelően a biztonsági kamera-felvételekkel kapcsolatos hozzáférési kérelmeket, melynek oka akár szervezeti szintű probléma is lehet.
A jogsértések okán eddig elrendelt szankciók ügyről ügyre változnak, igazodva az adott jogsértés egyedi körülményeihez (például az adatkezelés és a kezelt adatok jellegéhez, az érintettek számához és ahhoz, hogy egy alkalmi adatvédelmi visszásságról van-e szó, vagy egy rendszerszintű problémáról). A NAIH eddigi gyakorlatában előfordult olyan eset, hogy a hozzáférési jog megsértése csupán a NAIH figyelmeztetését vonta maga után, de nyilvánosan elérhető olyan döntés is, amiben a jogsértés 20 millió forint adatvédelmi bírságot eredményezett. A hozzáférési jog megsértésével kapcsolatos eljárásokat a NAIH jellemzően érintetti panasz alapján folytatja le. Lényeges, hogy a NAIH nem kizárólag egy adott jogsértést vizsgál, hanem az adatkezelő teljes vonatkozó adatkezelési gyakorlatát is.
A jogi megfelelés leghatékonyabb eszköze az, ha a folyamatok — mind a kérelmek kezelése, mind pedig az adatkezelési tevékenységek — eleve úgy kerülnek kialakításra, hogy azok során a hozzáférési kérelmek és egyéb érintetti kérések egyszerűen és hatékonyan teljesíthetők legyenek.
Vári Csaba és Gaál András