NAIH tájékoztatás
Az adatvédelmi hatóság tájékoztatót tett közzé az egyes adatkezelők és szerződéses partnercégeik kapcsolattartóinak adatkezelését illetően.
Az adatkezelés jogalapja
El kell felejteni azt az – általunk is feleslegesnek tartott – gyakorlatot, hogy egyes vállalatok a szerződéses partnercégek dolgozóinak személyes adatai tekintetében adatfeldolgozói szerződéseket íratnak alá, más cégek hozzájárulásokat kívánnak beszerezni a kapcsolattartók adatainak kezelése érdekében.
A NAIH álláspontja szerint a GDPR 6. cikk f) pontja szerinti jogos érdek alapján történik az adatkezelés.
Kiegészítenénk azzal, amit a NAIH korábban az ügyfélszolgálati telefonbeszélgetések kiadhatóságával kapcsolatosan állapított meg:
A szolgáltatást nyújtó cég munkatársa a telefonos ügyfélszolgálat során a cég képviseletében, annak üzleti tevékenységével kapcsolatban jár el. Annak ellenére, hogy ennek során a cég alkalmazottja is szükségszerűen a saját hangját használja, a magánszféra védelmének aspektusa nem merül fel, az Infotv. szabályai e vonatkozásban nem alkalmazandóak. A munkáltató feladata, hogy munkavállalóját megfelelően tájékoztassa a munkakörének ellátásával kapcsolatba hozható adatkezelési kérdésekről.
Milyen adatokat kezelünk?
Gondoljunk bele, mennyiféleképp kezeljük az üzleti partnereink képviselőinek személyes adatait. Telefonszámukat elmentjük a telefonunkban, e-mail címüket levelezőnkben. Nevüket és még ki tudja milyen adataikat rögzítjük egy nyilvántartó rendszerben, vagy ha más nem, egy Excel táblázatban.
Valószínű, hogy egy személyes találkozó esetén beírjuk a naptárba is a találkozó dátuma és időpontja mellett a felkeresni kívánt kapcsolattartó nevét, esetleg telefonszámát.
Névjegykártyákat gyűjtünk, e-maileket nyomtatunk ki, szerződéseket tárolunk.
Mindezeket megosztjuk munkatársunkkal, könyvelővel, az adatokba betekintést nyerhet az auditor.
Jelentős adminisztrációs teher
Tökéletes megfelelést nehéz elvárni az adatkezelőktől, lehetetlennek tűnik minden adatkezelés tekintetében, részletekbe menő érdekmérlegelési tesztet végezni a GDPR 6. cikk f) pontja szerinti jogalap alkalmazása érdekében, és hasonlóan nehéz feladatnak tűnik mindezekkel kapcsolatosan az érintettek tájékoztatása.
Véleményünk szerint ma elsődlegesen az lenne az adatkezelők feladata, hogy magánszemély partnerei, ügyfelei, illetve munkatársai magánszférájának védelme kapcsán meg a GDPR által elvárt szükséges intézkedéseket.
Természetesen nem lehet kijelenteni, hogy nem kell eleget tenni a hatóság fenti elvárásainak, de tekintettel arra, hogy a természetes személyek jogai nem kerülnek veszélybe egy klasszikus üzleti ügymenettel együtt járó adatkezelés során, ezért jelenleg a GDPR bevezetés során nem érdemes erre a területre túl sok energiát fordítani.
Ami a fentebb felsorolt, klasszikus kapcsolattartási adatkezeléseken túlmutat (pl. egészségügyi alkalmassági igazolás szükséges a partner munkaadó területére belépéshez; megfigyelőrendszert alkalmaznak a partnercég munkavállalója tekintetében), ott elkerülhetetlen az érdekmérlegelési teszt elvégzése, és az érintettek tájékoztatása az adatkezelésről.
A tájékoztatás megtörténhet akár oly módon is, hogy az adatkezelővel kötött szerződésben a partnercég vállalja és szavatol azért, hogy az adatkezelő által megírt részletes adatkezelési tájékoztatót az adatkezelővel kapcsolatba kerülő munkavállalója rendelkezésére bocsátja.
Miert nem a szerzodes lete a jogalap?
Mert a partnercéggel nem áll szerződésben az adatkezelő.