GDPR szerinti tájékoztatási kötelezettség: címzettek vs. címzetti kör

A Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban: NAIH) állásfoglalást bocsátott ki arról, hogy az Európai Parlament és a Tanács (EU) 2016/679 sz. általános adatvédelmi rendeletében (továbbiakban: GDPR) előírt tájékoztatással és a személyes adatokhoz való hozzáféréssel kapcsolatos kötelezettségek (13.-15. cikk) teljesítése során mikor elégséges csupán a címzettek kategóriáját közölni az érintettekkel.

A NAIH tájékoztatása szerint, miután a GDPR – a tisztességes és átlátható adatkezelés elve érdekében – arról rendelkezik, hogy az adatkezelőnek az érintettek tudomására kell hoznia a személyes adatok címzettjeit, illetve a címzettek kategóriáit, mindig eseti vizsgálatot igényel annak eldöntése, hogy mikor elegendő mindössze a címzettek kategóriáit közölni. Állásfoglalásában a NAIH kifejti, hogy elegendő lehet csupán a kategória közlése, amennyiben a címzetti kör jelentős, és tételes felsorolásuk megsértené az átlátható tájékoztatás követelményét, ugyanakkor nem elegendő, amennyiben a címzettek köre alacsony, személyük pedig konkrétan meghatározható.

Az általános tájékoztatási kötelezettségről (13.-14. cikkek) a NAIH úgy fogalmaz, hogy az eltér az érintett hozzáférési jogának gyakorlása esetén adandó tájékoztatástól (15. cikk). Míg az előbbiek célja az érintett általános és átfogó tájékoztatása a személyes adatai kezeléséről, addig az utóbbi esetében az érintett kifejezetten a saját személyes adatainak kezeléséről kap tájékoztatást, hogy ellenőrizze annak jogszerűségét. Ezért, fő szabály szerint a hozzáférés jogának gyakorlása esetén minden esetben konkrétan kell tájékoztatni az érintettet azon címzettek személyéről, akiknek az érintett személyes adatai továbbításra kerültek. A hozzáférési jog gyakorlása esetén tehát csak kivételes helyzetben lehet eltekinteni a címzettek konkrét megnevezésétől.

Továbbá, az adatkezelő üzleti titokra hivatkozással sem tagadhatja meg általános érvényűen a címzettekről való tájékoztatást, miután az információ közlését jelen esetben az uniós jog írta elő, amelynek következménye az, hogy az információ felfedése nem minősül üzleti titok megsértésének.

A Hatóság továbbá felhívja a figyelmet, hogy ezen körülményeknek az értékelése mindig az adatkezelő felelősségi körébe tartozik, valamint kifejezetten előnyösnek ítéli, ha az adatkezelő a tájékoztatás során minél pontosabb és részletesebb adatokat szolgáltat az érintettek számára.

 

close
ENEN