Az érintetti kérelmek elbírálása során különös figyelmet kell fordítani arra, hogy a jogait gyakorló érintettet adatkezelő megfelelő módon azonosítsa, ellenkező esetben könnyen adatvédelmi incidens következhet be. Vagyis az érintetti kérelmek elbírálásának első eleme, hogy a GDPR szerinti joggyakorlást és a kérelmező érintett személyazonosságát is megállapítsuk, beazonosítsuk.

A GDPR rendelkezéseivel összhangban hogyan azonosítható az érintett? Milyen és mennyi személyes adat kezelhető a kérelmező érinett beazonosításához? Egy egyszerű e-mailes megkeresésre adhat-e adekvát választ adatkezelő?

A GDPR 12. cikk (6) bekezdése szerint „a 11. cikk sérelme nélkül, ha az adatkezelőnek megalapozott kétségei vannak a 15-21. cikk szerinti kérelmet benyújtó természetes személy kilétével kapcsolatban, további, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti.”

Fontos azt látni, hogy jelen esetben egy újabb adatkezelés valósul meg, melyre tekintettel ugyancsak meg kell határozni az adatkezelés célját és jogalapját, valamint különös figyelemmel kell lenni az adatkezelési elvekre.

A közelmúltban megjelent NAIH-6484-2/2022. sz. adatvédelmi hatósági határozat értelmében, amennyiben az adatkezelő előre meghatározott szabályok szerint, csak az érintettek személyazonosságának kétséget kizáró megállapítását követően bírálja el az érintetti kérelmeket, úgy ezen feltételekről az adatkezelési tájékoztatóban informálni szükséges az érintetteket. Sérti az átláthatóság követelményét, ha az érintetti jogok gyakorlásának előfeltételére vonatkozó elvárásokat adatkezelő nem teszi elérhetővé. A Hatóság szerint az, hogy adatkezelő kezeli a kérelmező érintett személyes adatai egyes kategóriáit, nem teszi önmagában jogsértővé, így például a célhoz kötöttség vagy az adattakarékosság elvébe ütközővé a személyes adatok más kategóriáinak ügyfél-azonosítás céljából történő kezelését.

A cikket készítette: dr. Farkas Beáta adatvédelmi szakjogász, GDPReg Kft.

Felhasznált források és hivatkozott jogszabályok:

NAIH-6484-2/2022. sz. adatvédelmi hatósági határozat

Az Európai Parlament és a Tanács 2016. április 27-i (EU) 2016/679 rendelete a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről (általános adatvédelmi rendelet) 5. cikk, 12. cikk