„Too long, didn’t read!” – A többszintű adatkezelési tájékoztatók alkalmazása

2020. január 13. | Hírek

„Too long, didn’t read!” – A többszintű adatkezelési tájékoztatók alkalmazása
Az internetes kommentmezők visszatérő eleme a webes olvasási szokásokról cinikus képet festő tldr (too long, didn’t read!) mozaikszó használata, amely arról hivatott informálni a kommentált tartalom szerzőjét, hogy a szöveget annak terjedelmessége miatt nem olvasták el, arról a tényleges tartalom ismerete nélkül alkotnak véleményt.

Nagy bizonyossággal feltételezhetjük, hogy a fáradságos munka árán megalkotott, novelláskötet terjedelmű adatkezelési tájékoztatókat is a tldr jelenség részeként, annak minimális átböngészése nélkül veszi tudomásul a címzettek többsége, majd az érdemi információ ismerete nélkül adja meg hozzájárulását az adatkezeléshez. Mielőtt elégedetten bólintunk, hogy „nagyon helyes, legalább nem akadékoskodnak annak tartalmával kapcsolatban”, érdemes tisztában lenni a GDPR átlátható tájékoztatásra vonatkozó előírásaival: a 12. cikk (1) bekezdése szerint ugyanis „az érintettek rendelkezésére bocsátandó tájékoztatást tömör, átlátható, világos és közérthető formában kell megtenni”.

De hogyan lehet tömör és átlátható a tájékoztatónk, miközben a GDPR 2 oldalon keresztül sorolja, mi mindent kell benne feltüntetnünk?! A látszólagos ellentmondásra egy praktikus és fogyasztóbarát megoldást javaslunk: az ún. többszintű adatkezelési tájékoztatók alkalmazását.

A 29. cikk szerinti EU adatvédelmi munkacsoportnak az átláthatóságról szóló iránymutatása szerint ugyanis többszintű megközelítésben is rendelkezésre bocsáthatók az érintettekre vonatkozó adatkezelési információk. A tájékoztatás első szintjén az adatkezelés legfőbb kritériumait kell rögzíteni, melyeket a munkacsoport az alábbiak szerint gyűjtött össze:

  • az adatkezelő személye;
  • az adatkezelés részletes céljai;
  • az érintett jogainak részletezése;
  • az érintettre legnagyobb hatással járó vagy számára meglepő információ az adatkezeléssel összefüggésben.

Ha kétségünk merül fel annak kapcsán, mely információk minősülnek „első szintűnek”, általános zsinórmértékként rögzíthető, hogy minden olyan körülmény ismertetendő, amely alapján az adatkezelés következményeit az érintettnek lehetősége adódik felmérni.

A többszintű tájékoztatás alkalmazása esetén az érintetteket informálni kell arról is, hogy az adatkezeléssel összefüggő, a GDPR 13. cikkében rögzített valamennyi információra kiterjedő tájékoztatást milyen felületen érhetik el. Webes környezetben praktikus megoldás lehet az első szintű tájékoztatásban elhelyezett hiperhivatkozás vagy QR kód használata, call center működtetése esetén pedig nyomógombos továbbirányítás a „részletes” adatkezelési tájékoztató eléréséhez.

A többszintű tájékoztatók használata különösen indokolt lehet olyan szituációkban, amikor terjedelmi korlátok miatt nincs lehetőség az érintettek részletes tájékoztatására. Rendezvényekkel kapcsolatos adatkezelés során például az adatkezelők gyakran egyáltalán nem, vagy nem megfelelő tartalommal tájékoztatják az érintetteket pusztán abból kifolyólag, hogy nem áll rendelkezésre olyan felület, amely a teljes körű tájékoztatást lehetővé tenné.

A nem megfelelő tájékoztatás következtében az azon alapuló adatkezelési hozzájárulás is érvénytelennek minősülhet, ezért a hozzájáruláson alapuló adatkezelések tekintetében mindenképpen javasoljuk, hogy az érintetteket ne csupán az adatkezelési irányelvekre való általános hivatkozással, hanem akár a többszintű tájékoztatók alkalmazásával informálják az adatok begyűjtését megelőzően.

Szerző

Dr. Szigeti-Szabó Andrea
Ecovis Hungary Legal
Ügyvéd | Partner | Felelős akkreditált közbeszerzési szaktanácsadó
Balogh, Bihary, B. Szabó, Jean, Zalavári és Társai Ügyvédi Iroda
szigetiszabo@ecovis.hu

Forrás: jogado.hu

Fotó: Pixabay