Az ír Data Protection Commission (DPC) 2020. szeptember 5-én közzétette iránymutatásait arra vonatkozóan, hogy mi a teendő abban az esetben, ha egy személy vagy szervezet véletlenszerűen jut személyes adatok birtokába. Az iránymutatás csomag részletesen foglalkozik a természetes személyek, a szervezetek, illetve az érintett adatkezelők teendővel is. E dokumentumok így rendkívül hasznos információkat tartalmaznak az említett incidensek előfordulása esetén folytatandó eljárásokról és intézkedésekről.

Kiindulási alap

A DPC hangsúlyozza, hogy a modern infokommunikációs technológiák elterjedése számos veszélyt jelenthet a magánéletünkre. A személyes adatok kezelése, különösen továbbítása rengeteg kockázatot rejt magában, amelyek közül egy nagyon gyakori az, amikor az adatkezelő véletlenül egy harmadik fél számára továbbítja, teszi hozzáférhetővé a személyes adatokat. Az ilyen adatvédelmi incidensek teszik ki a gyakorlatban előforduló nemvárt események nagy részét.

Az említett incidensek során a személyes adatok egy olyan személy számára válnak megismerhetővé, aki vagy amely azokat nem kívánta kezelni, illetve nem is fűződik jogi érdeke az említett információk felhasználásához. Az adatalany oldalán egyértelműen beáll az érdeksérelem, ennek megfelelően a személyes adatokhoz hozzáférő személy köteles tiszteletben tartani az érintett jogait és szabadságait, illetve mindent megtenni annak érdekében, hogy az említett sérelem következményei minimálisak legyenek.

A magánszemélyek által követendő eljárás

A fentiek alapján a DPC számos ajánlást megfogalmazott az olyan természetes személyek részére, akik véletlenül kerülnek személyes adatok birtokába. Ezek közül a legfontosabbak:

• az adatkezelő azonosítsa és tájékoztatása az incidensről (nem érdemes várni arra, hogy az adatkezelő vegye fel a kapcsolatot a címzettel);
• az e-mail mellékletek megnyitása kerülendő;
• együttműködés az adatkezelővel a kockázatok és következmények enyhítése, csökkentése érdekében;
• kapcsolatfelvétel az adatvédelmi hatósággal, amennyiben nem lehetséges az adatkezelő azonosítása;
• tilos az érintettel történő kapcsolatfelvétel;
• tilos megosztani a személyes adatok harmadik felekkel vagy közzétenni azokat.

Fontos kiemelni, hogy a DPC álláspontja szerint az a személy, aki véletlenül kerül személyes adatok birtokába, nem minősül adatkezelőnek, mivel esetében nem teljesülnek az általános adatvédelmi rendelet (GDPR) 4. cikk 7. pontja szerinti követelmények. Amennyiben azonban az adott személy maga hoz döntéseket a személyes adatok vonatkozásában (pl. azokat tovább kezeli az érintettel történő kapcsolatfelvétel céljából, jogellenesen megőrzi az adatokat vagy nyilvánosságra hozza őket), akkor már adatkezelőnek fog minősülni, ennek megfelelően pedig számolnia kell az esetleges hátrányos jogkövetkezményekkel is az adatalanyok és az adatkezelő részéről is. Vagyis, a DPC megfogalmazásában, nem célszerű az amúgy is rossz helyzetet még rosszabbá tenni.

A szervezetek által követendő eljárás

Szemben a magánszemélyekkel, a DPC a szervezetek – legyenek azok a köz-, a magán- vagy a civilszektor szereplői – esetében már azt az elvárást fogalmazta meg, hogy azoknak számítania kell és megfelelő módon fel kell készülnie a személyes adatokhoz történő véletlen hozzáférésre. Az ilyen szervezetek ugyanis a GDPR 4. cikk 7 pontja szerinti adatkezelőnek minősülnek attól függetlenül, hogy szándékosan vagy véletlenül jutottak a személyes adatok birtokába. A személyes adatoka ezért csak a rendeletben foglaltaknak megfelelően kezelhetik, különös tekintettel az adatkezelés jogalapjaira.

A szervezetek vonatkozásában a DPC a következő eljárásrendet ajánlotta:

• a levél küldőjének megfelelő tájékoztatása a téves címzésről;
• a levél és mellékleteinek végleges törlése (anélkül, hogy azokat a szervezet megnyitná);
• postai küldemény esetén a feladó azonosításának megkísérlése a postai azonosítók segítségével (tilos a küldemény elolvasása);
• szükség esetén a küldemény biztonságos megőrzésének biztosítása.
• kapcsolatfelvétel az adatvédelmi hatósággal, amennyiben nem lehetséges az adatkezelő azonosítása.

Az adatkezelők által követendő eljárás

A legtöbb esetben az adatkezelő és a téves címzett között megfelelő együttműködés alakul ki az incidens következményeinek kezelése érdekében, a címzett ilyenkor jellemzően – az adatkezelő kérésének megfelelően – törli a személyes adatokat vagy visszajuttatja azokat a küldő félnek. A jogszerű adatkezelés feltételeinek helyreállítása elsődlegesen az adatkezelő felelőssége. Előfordulnak azonban olyan esetek is, amikor a címzett szándékosan nem kíván együttműködni az adatkezelővel, a személyes adatokkal vissza kíván élni, vagy azokat oly módon kívánja felhasználni. Az incidens bejelentése mellet ilyenkor mindent meg kell tenni a további jogsértések elkerülése érdekében.

A DPC az alábbiakat javasolja az személyes adatokat küldő adatkezelők részére:

• a címzettek tájékoztatása arról, hogy a személyes adatok megőrzése általuk jogellenes adatkezelést és az érintettek jogainak sérelmét eredményezi;
• jogi képviselő tanácsának kikérése, különös tekintettel a rendelkezésre álló ideiglenes intézkedésekről és más, hasonló eszközökről;
• szükség esetén a nyomozóhatóságok tájékoztatása.