Nem szép dolog lehülyézni másokat, de néha muszáj, és a szó pontosan jellemzi azokat az eseteket, amikor tök idegen emberek postai csomagjáról, szerződéseiről, jegyvásárlásáról és online regisztrációjáról kapunk értesítéseket a privát emailfiókunkba. Mintha ezek az emberek nem tudnák a saját emailcímüket, és inkább egy másikat adnak meg.
Nyakunkon az adatkezelési bakikért gigabírsággal fenyegető GDPR, és az eddig hallottak alapján már az is problémásnak tűnik, hogy valaki ki- vagy megadta a személyes adatnak számító emailcímünket, ami nem az övék. De ennél is kellemetlenebb érzés, amikor a téves emailek tele vannak tök idegen emberek személyes adataival, és elvileg minket tesznek adatkezelővé.
Olyan szerződéseket, ügyvédi iratokat és árajánlatokat láttam már véletlenül nekem elküldött elamilekben, hogy elkezdtem aggódni, vajon a GDPR szigora a mások hülyeségét elszenvedő embert is utolérheti?
Aki bármilyen szolgáltatás igénybevételekor egy másik ember személyes adatait adja meg úgy, hogy arról az illető nem tud, az adatvédelmi jogsértést követ el
- válaszolta kérdésemre a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). Erre elég jó bizonyítékul szolgálhat egy regisztráció vagy szolgálatatói szerződés során aláírt dokumentum, amiben a téves cím szerepel.
Ezekben az esetekben az emailcím vagy telefonszám tulajdonosa az adatot kezelő céghez fordulhat, hogy töröljék az elérhetőséget. A vállalkozás akkor követ el jogsértést, ha nem tudja bizonyítani az adatok eredeti forrását (pl. nincs írott szerződés, amiben ez is látható), és nem tesz meg mindent a jogsértő helyzet megszüntetése érdekében, tovább kezeli az adatokat - közölte a NAIH.
nyugodt szívvel hagyhatják adatbűnözni a laikus ügyfeleiket
Azt nem kell ellenőriznie a vállalatnak, amikor felveszi egy új ügyfél személyes adatait, többek közt az értesítési emailcímet és telefonszámot, hogy ezek az információk helyesek-e - mondta a NAIH. Persze ettől még beleférne, hogy először egy visszaigazolást kérő emailt küldjenek ki. A legtöbb online szolgáltatás így működik, de például a Magyar Posta rendszere nem.
Ennél sokkal súlyosabb eseteket is láttunk már, főleg kisebb cégeknél: a regisztráció során megadott emailcímre kiküldik a felhasználónevet és a jelszót is, egyszerű szövegben, és ezzel a téves címzett hozzáférhet a másik fél minden egyéb személyes adatához. Ezeknek a cégeknek biztosan lesz gondjuk az adatvédelmi hatósággal.
Az is egy extrém eset, amikor az emailben, esetleg csatolt pdf-ekben megkapjuk vadidegen emberek szerződéseit, vagy más egyéb információkat. Szerencsére ezzel nem válunk automatikusan adatkezelővé, mert az emailben tárolt személyes adatok kezelésének célját nem mi határoztuk meg.
A GDPR 4. cikk 7. pontja alapján az minősül adatkezelőnek, aki a személyes adatok kezelésének céljait és eszközeit meghatározza.
A NAIH szerint lehetünk jó fejek, és írhatunk a küldőnek, hogy adatvédelmi incidenst követett el (én javasolnám ezt szó szerint így megírni, hátha elveszi az illető kedvét a trehányságtól). De dönthetünk úgy is, hogy rögtön bejelentést teszünk az adatvédelmi hatóságnál. Akadhat olyan incidens, amikor ez egyáltalán nem rossz fejség, mert a jogsértést közérdekből kell megakadályozni.
A tévesen kapott emaileket viszont tilos nyilvánosságra hozni! A hatóság megkaphatja az érintett levelet, de senki más nem. Ebben az esetben ugyanis már az emailt továbbküldő személy határozza meg az adatkezelés célját (= továbbküldés), és lesújthat rá az adathatóság, ha fény derül a jogosulatlan cselekedetre.