Érintetti kérelmek — Teljes útmutató DPO-knak

Az érintetti kérelem egy természetes személy hivatalos kérelme az adatkezelőhöz, amellyel a GDPR 15. cikke szerinti jogát gyakorolja, hogy megerősítést kapjon arról, hogy személyes adatait kezelik-e, és amennyiben igen, hozzáférést kapjon ezekhez az adatokhoz, valamint meghatározott kiegészítő információkhoz. Bármely természetes személy, akinek adatait kezelik, benyújthat érintetti kérelmet. Nincsenek formai követelmények — a kérelem szóban, e-mailben, webes űrlapon vagy akár közösségi médián keresztül is benyújtható. A kérelmező személyazonosságát ellenőrizni kell, de a szervezet nem támaszthat ésszerűtlen akadályokat a kérelem benyújtásához. Az érintetti kérelmek nem korlátozódnak az ügyfelekre. Alkalmazottak, korábbi alkalmazottak, állásjelöltek, weboldal-látogatók és még üzleti kapcsolatok is benyújthatják. Jelentős HR-működéssel rendelkező szervezeteknél az alkalmazotti érintetti kérelmek gyakran a legösszetetebbek — amelyek a bérszámfejtési rendszerekben, e-mail archívumokban, teljesítményértékelésekben és más rendszerekben szétszórt adatokat érintik.

Az érintetti kérelemre való válaszadás szokásos határideje a kérelem beérkezésétől számított egy hónap — nem a személyazonosság-ellenőrzéstől vagy a visszaigazolástól, hanem a beérkezéstől. A határidőt naptári hónapban számítják: a március 15-én beérkezett kérelem április 15-ig esedékes. A GDPR 12. cikk (3) bekezdése alapján meghosszabbítás lehetséges: ha a kérelem különösen összetett, vagy ha a szervezet nagyszámú kérelmet kap, a határidő további két hónappal meghosszabbítható. Az adatkezelőnek azonban az eredeti egy hónapos határidőn belül tájékoztatnia kell az érintettet a meghosszabbításról, beleértve a késedelem okait. A gyakorlatban a legtöbb felügyeleti hatóság nem nézi jó szemmel a rutin gyakorlatként alkalmazott meghosszabbításokat. Ezeket valóban összetett esetekre szánták — nem alapértelmezett puffernek. Ha rendszeresen van szüksége meghosszabbításra, az azt jelzi, hogy az érintetti kérelem kezelési folyamatán javítani kell. A 15 ügyfelet kezelő külső DPO-k számára, átlagosan évi 3 érintetti kérelemmel ügyfelenként, ez 45 egyedi határidőt jelent nyomon követni. A kézi nyomon követés naptárbejegyzésekkel hibaérzékeny és nem skálázódik. Egyetlen elmulasztott határidő panaszhoz vezethet a felügyeleti hatóságnál, és hírnévkárosodást okozhat mind az ügyfélnek, mind a DPO-nak.

A 15. cikk előírja, hogy az adatkezelők az érintetti kérelemre válaszul az alábbi információkat adják meg: az adatkezelés céljai, az érintett személyes adatok kategóriái, a címzettek vagy címzettek kategóriái, a tervezett megőrzési időszak vagy annak meghatározási szempontjai, a helyesbítéshez, törléshez vagy korlátozáshoz való jog megléte, a felügyeleti hatóságnál való panasztételhez való jog, az adatok forrása (ha azokat nem közvetlenül az érintettől gyűjtötték), valamint az automatizált döntéshozatal — beleértve a profilalkotást — megléte. E metaadatokon felül az adatkezelőnek a kezelt személyes adatok másolatát is rendelkezésre kell bocsátania. Az első másolatot ingyenesen kell biztosítani; további másolatokért ésszerű adminisztratív díj számítható fel. A választ — ha a kérelmet elektronikusan nyújtották be — általánosan használt elektronikus formátumban kell megadni. Tömörnek, átláthatónak és világos, közérthető nyelven megfogalmazottnak kell lennie — különösen, ha az érintett gyermek.

Nem minden érintetti kérelmet kell maradéktalanul teljesíteni. A 12. cikk (5) bekezdése lehetővé teszi az adatkezelők számára, hogy elutasítsák a "nyilvánvalóan megalapozatlan vagy túlzó" kérelmeket — például ugyanattól a személytől érkező ismételt kérelmeket, amikor nem történt új adatkezelés. A bizonyítási teher, hogy egy kérelem nyilvánvalóan megalapozatlan, az adatkezelőt terheli. A jogi védettség és az üzleti titkok szintén korlátozhatják, hogy mit kell közzétenni. Ha az adatok teljes másolatának kiadása felfedné a szabadalmaztatott algoritmusokat, üzleti stratégiákat vagy más személyekre vonatkozó információkat, az adatkezelő kitakarhatja vagy visszatarthatja az adott információt — de összességében továbbra is válaszolnia kell a kérelemre. Az alkalmazotti érintetti kérelmek különösen összetettek. Gyakran több részleg (HR, IT, pénzügy, vezetőség) által kezelt adatokat érintenek, és az alkalmazottra vonatkozó belső kommunikációt is tartalmazhatnak. A felügyeleti hatóságok általában elvárják, hogy a szervezetek valamennyi releváns rendszert átkutassák, beleértve az e-maileket is, de az átszervezésre vagy fegyelmi eljárásokra vonatkozó bizalmas vezetői megbeszélések bizonyos feltételek mellett mentesülhetnek. Kétség esetén dokumentálja az alkalmazott korlátozásokra vagy mentességekre vonatkozó indokolását. A felügyeleti hatóságok sokkal megértőbbek, ha az adatkezelő átgondolt, dokumentált döntéshozatali folyamatot tud felmutatni, mint amikor általános elutasításokkal találkoznak.