skip to Main Content

Az érintett azonosítása távoli ügyintézés vagy joggyakorlás esetén

Az érintettek a GDPR-ban meghatározott jogaik érvényesítése, az adatkezeléssel kapcsolatos tájékoztatás kérése, észrevételeik megtétele érdekében különböző csatornákon vehetik fel a kapcsolatot az adatkezelőkkel. Ezen megkeresések tipikusan elektronikus úton, e-mail üzenetben érkeznek, azonban előfordulhat az is, hogy az érintettek postai úton, telefonon vagy akár személyesen keresik fel az adatkezelőket.

Érintetti jogok a GDPR-ban:

– hozzáférési jog,
– helyesbítéshez való jog,
– törlési jog (az elfeledtetéshez való jog),
– az adatkezelés korlátozáshoz való jog,
– adathordozhatósághoz való jog,
– tiltakozáshoz való jog.

Az érintett jogainak biztosítása, valamint az adatbiztonság követelményeinek való megfelelés érdekében az adatkezelőknek kétséget kizáróan meg kell győződniük arról, hogy a kérelmet benyújtó fél valóban azon érintett személy, akinek a személyes adatait kezelik. A GDPR lehetőséget ad arra, hogy amennyiben az adatkezelőnek megalapozott kétségei vannak a kérelmet benyújtó természetes személy kilétével kapcsolatban, az érintett személyazonosságának megerősítéséhez szükséges információk nyújtását kérheti és ennek érdekében az adatkezelő a kérelmezőt adatszolgáltatásra kötelezheti (Rendelet 12. cikk (6) bekezdés).

Milyen adatok alapján lehetséges a személyazonosság igazolása?

A személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról szóló 1996. évi XX. törvény 4. § (1) bekezdése rendelkezik arról, hogy a polgárokat milyen módon kell azonosítani. Ez alapján fő szabály szerint a természetes személy azonosítható a négy természetes személyazonosító adata alapján (teljes név, születési hely, születési idő, anyja születési neve), a természetes személyazonosító adatokból kiválasztott, az adatkezelés célja szerint szükséges és megfelelő mértékű adattal vagy törvényben meghatározott esetben családi és utónevével, valamint a törvényben meghatározott azonosító kóddal (tipikusan: adóazonosító jel, TAJ szám, személyi azonosító szám). Fontos hangsúlyozni, hogy azonosító kódok azonosításra csak törvény kifejezett felhatalmazása esetén kezelhetőek.

Az a gyakorlat tehát nem megfelelő, amikor az érintett személyazonosításához a személyi igazolvány számot használja valamely adatkezelő, mivel ennek az azonosítónak nem ez a törvényben meghatározott funkciója. A NAIH a NAIH/2018/3654/2/V. számú állásfoglalásban az alábbiak szerint foglal állást a témában:

A személyi azonosító kezelésére a kérelmező azonosításának céljából többletinformációként a már meglévő személyes adatok mellett nincs lehetőség, akkor sem, ha a személyi azonosító kezeléséhez a kérelmező előzetesen írásban formálisan hozzájárult, hiszen a hozzájárulás önkéntessége, mint e jogalap mellőzhetetlen ismérve, nem áll fenn.

Az adóazonosító jel azonosítás céljára történő kezelésével kapcsolatban a NAIH a NAIH/2018/1371 számú ügyben az alábbiak szerint foglal állást:

Az ún. állami azonosítók, tehát a személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról szóló 1996. évi XX. törvény (a továbbiakban: Szaztv.) 7. §-a alapján az azonosító kódok – köztük a természetes személyek adóazonosító jele – csak törvény felhatalmazása, ennek hiányában az érintett előzetes írásbeli hozzájárulása, illetőleg az ügyintézési rendelkezésben tett hozzájárulása alapján használható fel.

A személyazonosság igazolása és az azonosítás nem azonos fogalmak

Ahogyan azt a NAIH az érintetti jogok gyakorlására irányuló adatkezelői gyakorlat vizsgálata tárgyában indított NAIH/2019/1841 ügyben kifejezetten rögzítette, a személyazonosság igazolása és az azonosítás nem azonos fogalmak:

Azonban a személyazonosság igazolása és az azonosítás nem azonos fogalmak, ezért az azonosításhoz csak kivételes esetben szükséges mind a négy természetes személyazonosító adat megadása, a legtöbb esetben elegendő a név és a további három személyazonosító adat közül az egyik, amennyiben az az ügyfél azonosításához ténylegesen szükséges. Ez természetesen nem zárja ki a név és ügyfélszám vagy a név, az ügyfélszám és a lakcím kombinációjával történő azonosítást sem.

A hagyományos azonosítási módszerek problémái

A mai digitalizált világban az emberek a személyes adataikat megszámlálhatatlan online szolgáltatás igénybevétele során, akár nyilvánosan megadják, mely az azonosításuk szempontjából komoly kockázatokat hordoz magában adatekzelői részről.

A Facebookon például az emberek sokszor megosztják a születésnapjuk pontos időpontját, ezzel gyakorlatilag az összes ismerős, illetve, ha valakinek publikus a profilja, akkor bárki számára megismerhetővé válik az egyik személyazonosító adata.

Szintén a Facebookon, sok esetben roppant egyszerűen kideríthető valakinek az édesanyja, az sem kizárt, hogy a profiljában az illetőnek konkrétan be is van jelölve, így a négyből egy további adat is potenciálisan több száz vagy ezer ember számára könnyedén megismerhető.

A cégjegyzékben az alábbi adatok mindenki számára nyilvánosan elérhetők valamennyi gazdasági társaság esetében:

– vezető tisztségviselők: teljes név, anyja neve, születési dátum, adóazonosító jel, lakcím;
– tulajdonosok (tagok): teljes név, az anyja neve, a születési dátum, lakcím;
– könyvvizsgáló: teljes név, anyja neve, lakcím;
– felügyelőbizottsági tagok: név, anyja neve, lakcím.

A fentieken túl ezeket az adatokat a rokonok, barátok, közelebbi, távolabbi ismerősök is tudhatják, akik között ha haragos a viszony, akkor ezek az adatoka a figyelmetlen adatkezelők kijátszására is felhasználhatók.

A fentieken túl még érdemes megemlíteni, hogy az egyszerű azonosítási módszerek ellentétesek a „privacy by design” elvével is, hiszen látható, hogy ezek mekkora kockázatokat hordoznak ma már magukban. A „privacy by design” lényege pont abban rejlik, hogy az adatkezelő az adatkezelés megkezdése előtt mérlegeli a kockázatokat, és az adatkezelés teljes folyamatát aszerint alakítja ki, hogy ezeket objektíve megakadályozza, vagy a lehetőségüket csökkentse.

Látható tehát, hogy telefonos ügyintézés során például, ha valakit csupám a személyazonosító adataival próbálnak azonosítani, az adatok könnyű megismerhetősége és hozzáférhetősége miatt, csupán ezek bemondása alapján elhinni, hogy az érintettel beszélünk, roppant kockázatos dolog.

Megoldás: azonosítás szolgáltatás-specifikus adattal

A fentiekre tekintettel a XXI. században számos egyéb, a természetes személyazonosító adattól eltérő vagy azt kiegészítő, azonban az érintett azonosítására alkalmas adatot kezelnek a különböző szolgáltatók. Ilyenek lehet első körben például szolgáltatások igénybevétele során generált ügyfélszámok, az érintett által létrehozott felhasználónevek, illetve egyéb olyan kódok, amelyek a szolgáltatások igénybevételéhez köthetőek.

Ennél egy fokkal még jobb megoldás, ha az érintettnek olyan kérdéseket tesznek fel, melyek a nyújtott szolgáltatás igénybevételével kapcsolatos. Vegyünk például egy banki telefonos ügyintézési példát erre:

– melyik bankfiókban járt utoljára, milyen ügyet intézett, járt-e valamelyik fiókban az elmúlt időszakban, tipikusan melyik bankfiókban intézi az ügyeit, melyik ATM-ből vett fel utolájra pénzt,
– fizetése az adott számlára érkezik-e, milyen havi levonások vannak, akár az aznapi költéseivel kapcsolatos valódi és beugratós kérdések,
– legutóbb igénybe vett szolgáltatásokra, azok igénybevételére vonatkozó kérdések, ha ez értelmezhető.

Összegzés

A fentieken túl fontos kiemelni, hogy az adatkezelőnek esetről esetre kell vizsgálnia, hogy a kérelmet benyújtó személy kilétével kapcsolatban van-e a Rendelet 12. cikk (6) bekezdése szerint megalapozott kétsége, amennyiben igen, úgy annak eloszlatásához pontosan mely személyes adat kezelése szükséges.

Az azonosításhoz bekérni szándékozott adatok tekintetében fontos figyelemmel lenni azonban arra, hogy további információk bekérése semmi esetre sem vezethet olyan adatok kezeléséhez, amelyek nem szükségesek az azonosítás céljából, illetve amely adatok kezelésére egyébként az adatkezelőnek nincs jogalapja.

Ahhoz, hogy az egyes kérelmek teljesítése során az adatkezelő biztosítsa a Rendeletnek való maradéktalan megfelelést, célszerű belső eljárásrendben rögzíteni a kérelmek teljesítésének rendjét, a felelősségi köröket és az egyes feladatokat, részletesen szabályozva az érintettek azonosítására vonatkozó belső szabályokat.

Back To Top