Az érintetti kérelmek (joggyakorlások) fogadásának nehézségei
A Nemzeti Adatvédelmi és Információszabadság Hatóság egy 2020-ban hozott határozatában 20 millió Forint bírságot szabott ki a Deichmann Cipőkereskedelmi Kft-vel szemben térfigyelő kamerákkal kapcsolatban. A határozatban a hatóság foglalkozott azzal is, hogy sem a vállalat bolti alkalmazottai, sem a vásárlók könyvébe tett bejegyzés vállalaton belüli intézése során eljáró személyek nem ismerték fel, hogy azok egyben érintetti kérelmek, hanem azt fogyasztóvédelmi panaszként kezelték.
A határozat e részét olvasva valószínűleg sokan úgy gondolták, hogy a kérelmek felismerése épp olyan alapvető és egyszerű kérdés, mint, hogy hova kerüljön a kamerás megfigyelésre vonatkozó tájékoztató vagy piktogram.
Miért nem ilyen egyszerű a helyzet?
A gyakorlati tapasztalat az, hogy minél több kirendeltséggel és alkalmazottal rendelkezik egy adatkezelő, annál komolyabb kihívást jelent biztosítani azt, hogy bármely üzletben bármely ott dolgozó személy felismerje egy ilyen kérelem természetét. Ez akkor is így van, ha az adatkezelő egyébként mindent megtesz az adatvédelmi megfelelés érdekében.
Mik a nehézségek az adatkezelői oldalon?
A dolgozók számára alapvetően a vásárlótól, ügyféltől érkező ilyen jellegű kérelem a munkáltató működésével kapcsolatos, vagyis fogyasztóvédelmi ügy. Minél összetettebb egy vállalat működése, a dolgozók annál több képzést kapnak, és az adott pillanatban, a vásárlói igény elhangzásakor kihívást jelenthet számukra azonnal előhívni a követendő eljárást. Ha egy adatkezelőnél magas a fluktuáció a vásárlókkal, ügyfelekkel foglalkozó pozíciókban, az alkalmazottak nem szereznek gyakorlatot a kérelmek felismerésében.
Az érintett ezenkívül nemcsak az adatkezelő alkalmazottaihoz mehet oda a kérelmével, hanem pl. alvállalkozó alkalmazottjához is, aki nem részesült az adatkezelő által biztosított ismeretekben. Az ismeretek hiánya mellett a „régi beidegződések” is hátráltathatják a megfelelő ügyintézést, ékes példája ennek az, ami a Deichmann ügyben is felmerült: a vagyonvédelmi törvény korábbi rendelkezései, alapján még indoklás kellett az adatkezelés korlátozásához.
Milyen nehézségek merülnek fel az érintett oldalán?
Készülhet bármilyen jó szabályzat, az az érintetteket nem köti. Ha az érintett nem az érintetti kérelmek intézésére szolgáló csatornát használja, tehát pl. a vásárlók könyvében rögzítette a kérelmét, vagy nem az adatvédelmi ügyek intézésére szolgáló emailcímet használta, az adatkezelő ezzel már nem tud mit tenni, hanem megoldást kell találnia arra, hogy a kérelem így is célba érjen.
Azt, hogy az érintettek gyakran az útjukba kerülő első kontaktadatot használják a kérelmeik, igényeik előterjesztésére, alátámasztják az olyan esetek is, amikor az érintett az adatkezelési tájékoztatóban található DPO-kontaktcsatornákon érdeklődik álláslehetőség, termék vagy szolgáltatás iránt. Ennek az az oka, hogy az átlagember számára nem különül el, hogy ő fogyasztó vagy érintett, egyszerűen csak kapcsolatba akar lépni az adott vállalattal, a legegyszerűbb módon, ahogy csak lehet.
Ráadásul gyakran valóban nem különül el a fogyasztóvédelmi ügy és az érintetti kérelem, így aki azt megkapja, észlelnie kell, hogy két jogszabály alapján, két külön szálon kell az ügyet intézni. Ez történik például, ha a fogyasztó elégedetlen egy termékkel vagy szolgáltatással, és ebből kifolyólag érintettként visszavon egy adatkezelési hozzájárulást – leiratkozik egy hírlevélről, de ezeket nem külön-külön jelzi.
Ebben az esetben ugyanaz igaz, amit fentebb említettem, vagyis, hogy ilyenkor az a lényeg, hogy a kérelem minden része célba érjen, vagyis az abban eljárni jogosult részleg vagy személy intézze azt.
Hogyan alakítsuk ki az érintetti kérelmek intézését, hogy a fenti nehézségek ellenére megfelelően kezeljük azokat?
- A munkavállalók helyzetének megkönnyítése érdekében ne terheljük őket olyan ismeretekkel, amik szükségtelenek számukra, azaz a kérelem intézési folyamatának azt a részét oktassuk nekik, amit valóban használniuk kell, ez pedig legtöbb esetben a kérelem felismerése;
- A GDPR által használ terminológia mellett vagy helyett adjunk meg számukra kulcsszavakat, írjunk le tipikus szituációkat, ahogy az érintetti kérelem megjelenhet;
- Tudatosítsuk bennük, hogy ha nem is értik, hogy az érintett mit szeretne, soha ne küldjék el, hanem kérjék meg, hogy vagy rögzítse helyben a kérelmét, vagy küldje el azt az erre kijelölt csatornán;
- Ehhez az szükséges, hogy legyenek tisztában az érintetti kérelmek fogadására szolgáló elérhetőségekkel, ezt tartalmazhatja például a részükre biztosított segédanyag;
- Legyenek tisztában az adatvédelmi tisztviselő elérhetőségeivel, legyen természetes számukra, hogy kétség esetén segítséget nyújt abban, hogy mit mondjanak az érintettnek, ez leginkább úgy érhető el, ha az adatvédelmi tisztviselőnek kapcsolata van a dolgozókkal vagy legalább az őket irányító közvetlen vezetőkkel;
- A nem adatvédelmi jellegű ügyeket intéző kollégákat is részesítsük olyan ismeretekben, ami alapján képesek kiszűrni az érintetti kérelmeket, ha az hozzájuk került, így a rossz helyre kerülő kérelem intézése nem sikkad el;
- Ha úgy látjuk, hogy szükséges, biztosítsunk oktatási anyagot (szintén kulcsszavakkal vagy más, könnyen érthető módon) a saját munkavállalókon túl az adatfeldolgozók alkalmazottai részére is;
- Ha úgy alakítjuk ki az eljárást, hogy a munkavállalónk opcióként felajánlja az érintett részére, hogy a kérelem helyi benyújtása helyett közvetlenül az adatvédelmi tisztviselőhöz forduljon, azt is jelezze részére, hogy azt lehetőleg aznap tegye meg (ez kiemeleten lényeges egy kamerafelvétellel kapcsolatos betekintés vagy másolat esetén, ahol az adatkezelési idő rövid), így nem marad az érintettben az az érzés, hogy a kérelmével nem foglalkoznak.
A fentieken túl természetesen az adatkezelő felépítése és a folyamatok jellege alapján további intézkedések is hozhatóak, de a fenti néhány lépés is segít abban, hogy a kérelmek célba érjenek, és a GDPR-nak megfelelően intézze őket az adatkezelő. Korábbi cikkében a portál is foglalkozott azzal, hogy a NAIH határozatok alapján mely folyamatok azok, amelyeket az adatkezelőknek részletesen kell szabályozniuk. Ezeknek a szabályozásoknak, eljárásrendeknek lehetőség szerint a fent írtakkal összehangban a különböző hátterű munkavállalók számára is könnyen érthetőnek kell lenniük, melyre mankóként támaszkodhatnak a mindennapi munkájuk során.
Ezzel az érintettek megfelelő ügyintézésben részesülnek, melynek köszönhetően az adatkezelő elkerülheti, hogy egy egyébként egyszerűen teljesíthető, megválaszolható kérelem sikeres lezárása helyett hatósági vizsgálattal vagy rosszabb esetben bírsággal záruljon az adott ügy.
Szerző:
Dr. Csekő Katalin
adatvédelmi tisztviselő, MADAT főtitkár