Tetőzik az adatbiztonsági őrület

A napokban az e-mail-fiókokat elárasztó, adatkezelési beleegyezést kérő levelek zöme nem megfelelő felhatalmazást kér, más cégeknek pedig nem is kellene kiküldeniük ilyen kérelmeket.

Túlzás nélkül állíthatjuk, hogy az elmúlt napokban minden ember életét megnehezítette az az e-mail-áradat, amely az Európai Unió Egységes Adatvédelmi Rendeletének (GDPR) hatálybalépése miatt árasztotta el az elektronikus postafiókokat. Az e-mail-dömping a jogi szakértők szerint ráadásul jórészt értelmetlen volt, miután a szabályoknak nem megfelelő módon kérték hozzájárulásunkat adataink jövőbeli tárolásához.

Kusztos Dénes, a BDO Magyarország üzletfejlesztési igazgatója kiemelte: az adatkezelőnek előzetesen be kell jelentenie, hogy milyen adatot milyen célból kezel, így azok a megoldások, amelyek egyfajta általános beleegyezést kérnek az adatkezeléshez, nem elfogadottak. Márpedig a megküldött levelek a legritkább esetben tartalmaznak arra vonatkozó információkat, hogy milyen személyes adatok kezeléséhez kell a hozzájárulás.

Nagy kérdés, mi számít hozzájárulásnak. Az elmúlt napokban a cégek e téren is teljesen eltérő gyakorlatot követtek. Volt, ahol egy új adatlapot kellett kitölteni, máshol elég volt beikszelni, hogy – a persze el sem olvasott adatkezelési tájékoztató alapján – elfogadjuk az adatkezelést. Máshol az adatok törlésére való megbízásra lehet kattintani, megint más esetben pedig a kapott levél arról tájékoztat, hogy ha az ügyfél nem jelez vissza, elfogadottnak tekintik az adattárolást. A BDO szakértője szerint e tekintetben az adattárolásra való kifejezett beleegyezés (az első két eset) minősül beleegyezésnek, mivel a GDPR rendelet kifejezett nyilatkozatot ír elő, ami tevőleges magatartást követel.

Zempléni Kinga ügyvéd szerint lehetséges, hogy sok vállalatnak nincs is szüksége újabb hozzájárulásra. Azoknak a cégeknek például, amelyeknek a hírlevelére előzetesen feliratkoztak az emberek, a kezükben van a hozzájárulás az adatkezeléshez, illetve a hatályos jogszabály alapján előzetesen tájékoztatták a felhasználókat az adatkezelés főbb részleteiről, ott felesleges lehet ennek újbóli megerősítése. Más esetekben a korábbi áru-szolgáltatás vásárlási szerződés létrejötte miatt van meg a cégnek az adat (él például a felhasználói fiók), ilyen esetekben csak tájékoztatni kell az ügyfelet az új adatkezelési szempontokról.

A jogi szakértő felhívja a figyelmet, hogy alapvetően a hírlevélre való feliratkozásra szolgáló e-mailek kiküldése sem jogszerű, hiszen az adatkezelő nem tudja igazolni, hogy milyen célból kezeli azoknak az e-mail-címét, akiknek a feliratkozásra történő felhívást kiküldte. Miután maga az e-mail-cím is személyes adat, így ezek tárolásához is felhatalmazást kellene kérni előzetesen. Egyes szakértői vélemények szerint a mostani adatkezelési dömpingben sokan tudják majd így legalizálni a jogellenesen birtokukba került személyes adatok tárolását, felhasználását.