Online hivatali időpontfoglalások veszélyeire figyelmeztet a hatóság

január 25, 2021
Cikkek, GDPR oktatás

A Cseh Adatvédelmi Hatóság (UOOU) 2020. december 23-án tett közzé egy sajtóközleményt, melyben kritizálja a kormányzati intézmények és hivatalok adatkezelését az online időpontot foglaló érintettek adataival kapcsolatban. A Hatóság korábban is előtérbe helyezte az online adatkezelés ellenőrzését, legutóbb kéretlen üzenetekért bírságolt és az egyik legnépszerűbb vírusirtó program adatkezelését is vizsgálta.

A cseh hivatalokban jelenleg használatban levő rendszer a magyarhoz hasonlóan működik; az ügyfelek online tudnak időpontot foglalni, ha valamilyen adminisztratív ügyben akarnak eljárni (pl. személyi igazolványt vagy jogosítványt igényelni). Ehhez általában az e-mail címükre van szükség, melyre egy PIN kódot kapnak. Ennek a kódnak a beírásával kapnak sorszámot a hivatalban a szükséges ügyintézéshez.

Ezzel az ügymenettel kapcsolatos bejelentés érkezett az UOOU-hoz egy ügyféltől, aki személyi igazolványt akart kiváltani a helyi okmányirodában. Ezt az online felületen keresztül kívánta elintézni, de amikor az időpontfoglalási folyamathoz érkezett, észrevette, hogy a weboldal átirányította egy másik, külsőleg üzemeltetett weboldalra. Ugyanakkor semmilyen tájékoztatást nem kapott arra vonatkozóan, hogy személyes adatait milyen módon kezeli ez a harmadik fél.

A Hatóság véleménye szerint ezzel az hivatal megsértette a GDPR átláthatósági alapelvét. Az UOOU szintén megjegyezte, hogy az érintett hozzájárulása a foglalási rendszerben történő adatkezeléshez emiatt nem tekinthető jogszerűnek, mivel például a címzettekkel kapcsolatosan nem kapott megfelelő tájékoztatást.

A vizsgálat további fázisaiban a Hatóság azt is megállapította, hogy az időpontfoglaláshoz elegendő az igénylő email címe, nincs szükség emellé még kiegészítő adatokra. A hivatal azonban az érintettek telefonszámát is kérte, az adatkezelés céljának megjelölése nélkül. Mivel a telefonszám megadása kötelező volt és az adatkezelő nem jelölt meg azzal kapcsolatos adatkezelési célt, ezért a Hatóság kimondta a GDPR adattakarékossági elvének megsértését is, és megállapította a készletező adatkezelést.

Megjegyezték, hogy a telefonszám kezelése egyébként szabályos lehetne, de kizárólag, mint opciós elem, a konkrét cél megjelölésével. Például megfelelő alap lenne a kezelésre egy korábban foglalt időpont módosításának vagy törlésének közlése, ilyen azonban a hatályban levő adatkezelési nyilatkozatban nem szerepelt.

Az UOOU vizsgálatának befejezéseként néhány általános tanáccsal látta el a kormányzati intézményeket, felsorolva a leggyakrabban elkövetett hibákat:

olyan adatok kérése, melyekre nincs szükség az adott ügyben (pl. telefonszám, személyi szám kérése időpontfoglaláskor),
az érintettek átlátható tájékoztatásának elmulasztása (pl. annak az információnak a mellőzése, miszerint az adatkezelésbe egy külső, harmadik fél is bevonásra kerül),
érintetti hozzájárulás szabálytalan megszerzése (pl. a hozzájárás visszavonásával kapcsolatos tájékoztatás elmulasztása),
az érintett hozzájárulása nem megfelelő tájékoztatáson alapul (pl. azelőtt adta, hogy az adatkezelés szabályairől információt kapott).

A Hatóság az ügy summázásaként még egyszer leszögezte, hogy a közintézményeknek tájékoztatást kell nyújtaniuk az érintetteknek, hogy milyen adatokat milyen célra szándékoznak kezelni, valamint be kell számolniuk a külső partnerek adatkezeléséről, és azt folyamatosan ellenőrizniük kell. Mint minden esetben, az adatkezelő felel az általa kezelt személyes adatokért, illetve az adatkezelés jogszerűségéért, akkor is, ha az adatkezelő közintézménynek minősül.

NAIH határozat: érintetti joggyakorlás teljesítése során megvalósuló jogsértés

Ismét asztalon az internetes cookiek kérdése

Belgium: Bírság a DPO összeférhetetlensége miatt