Az adatkezelőnek intézkedéseket kell tennie, hogy a hozzá érkező érintetti kérelmek megfelelően kerüljenek kezelésre. Eltérő álláspontok alakultak ki azzal kapcsolatban, hogy milyen intézkedések várhatóak el az adatkezelőtől ebben a körben. A spanyol hatóság legújabb határozatával mindenesetre kimondta, hogy a kérelem mellőzésének nem lehet indoka, ha azt az érintett nem a dedikált adatvédelmi csatornán nyújtotta be, és egy „GDPR szabályzat nem elég a felelősség alóli mentesüléshez”. A spanyol hatóság a 15.000.- EUR bírásgot is megállapított az ügyben.
Minden adatkezelőnek javasolt felülvizsgálnia ezirányú gyakorlatát, és olyan intézkedéseket hoznia, melyek biztosítják, hogy az érintetti kérelmek eljussanak a kezelésükre kijelölt személyhez. Ennek érdekében – a megfelelő szabályzatok mellett – elengedhetetlennek látszik a munkatársak oktatása, hogy egyáltalán felismerjék az érintetti kérelmeket.
Az ügy részletes ismertetése a GDPRHub.eu cikke alapján:
Az érintett, egy lengyel futár, miután problémákba ütközött egy szállítással kapcsolatban, felkereste a futárok ügyfélszolgálatát, és beszélgetést folytatott egy alkalmazottal. Mivel az érintett ezt a beszélgetést szerette volna felhasználni a jogi eljárás megindításához, kérte az ügyfélszolgálattól a beszélgetés hangfelvételét. Az adatkezelő megtagadta a hangfelvétel kiadását. Ezt követően az érintett az ügyfélszolgálati portálon keresztül hozzáférési kérelmet nyújtott be a GDPR 15. cikke alapján. Az adatkezelő ismét kijelentette, hogy nem tudja kiadni a felvételt.
Az érintett panaszt nyújtott be a lengyel adatvédelmi hatóságnál (DPA). Mivel az adatkezelő fő székhelye Spanyolországban található, a lengyel adatvédelmi hatóság az 56. és 60. cikk alapján továbbította a panaszt a spanyol adatvédelmi hatóságnak.
Az adatkezelő azzal érvelt, hogy a hozzáférési kérelmet nem a dedikált e-mail címen keresztül küldték el, hanem a futárok problémáinak kezelésére szolgáló üzenetküldő rendszeren keresztül. Ezen túlmenően azt állította, hogy a hozzáférési kérelemről csak akkor szerzett tudomást, amikor az adatvédelmi hatóság továbbította azt. Továbbá megjegyezte, hogy belső szabályzata előírja, hogy minden alkalmazott köteles a GDPR-kérelmeket továbbítani az adatvédelmi tisztviselőhöz (DPO). Az adott esetben a késedelmet az okozta, hogy csak egy alkalmazott nem tartotta be ezt a szabályzatot.
Végül arra hivatkozott, hogy az érintett végül nem indított jogi eljárást, amelyet az első üzenetben kilátásba helyezett.
A hatóság döntése
Először is, az adatvédelmi hatóság elutasította az adatkezelő azon érvelését, miszerint az érintett nem a hozzáférési kérelmekhez dedikált e-mail címet használta. Rámutatott, hogy az érintett a futárok számára elérhető portálon keresztül nyújtotta be a kérelmét, amelyet az adatkezelő megfelelő csatornaként ismert el a futárokkal kapcsolatos kérések benyújtására.
Az adatvédelmi hatóság szerint, ha az üzenetet fogadó személy nem volt képes a GDPR-kérelmek kezelésére, az adatkezelőnek továbbítania kellett volna a kérelmet a megfelelő osztálynak.
Ebben a kérdésben az adatvédelmi hatóság megállapította, hogy bár az adatkezelő szabadon alakíthatja belső szervezeti működését, ez nem jelentheti azt, hogy nem tesz eleget az érintett GDPR szerinti jogainak. Az adott esetben az adatkezelő úgy döntött, hogy centralizálja a GDPR-kérelmek kezelését egyetlen e-mail címen keresztül. Azonban az adatvédelmi hatóság szerint ez nem jelenti azt, hogy más csatornákon keresztül érkezett kérelmeket figyelmen kívül lehet hagyni.
Az adatvédelmi hatóság továbbá hivatkozott az Európai Adatvédelmi Testület (EPDB) 01/2022 számú, az érintetti jogokról szóló iránymutatásának 56. bekezdésére, amely szerint az adatkezelőnek minden ésszerű erőfeszítést meg kell tennie annak érdekében, hogy a kérelmet egy általános e-mail címről az adatvédelmi kapcsolattartó ponthoz irányítsa, és a GDPR által előírt határidőn belül megválaszolja.
Az adatkezelő hozzáférési kérelemmel kapcsolatos magatartásának figyelembevételével az adatvédelmi hatóság megállapította, hogy az adatkezelő nem tett ilyen ésszerű erőfeszítéseket.
Ezen túlmenően az adatvédelmi hatóság megállapította, hogy egy szigorú belső szabályzat megléte a GDPR-kérelmek kezelésére, valamint az, hogy a jogsértés egyetlen alkalmazott hanyagságán múlik, nem elegendő a felelősség alóli mentesüléshez. Éppen ellenkezőleg, az adatkezelőnek meg kell tennie a szükséges intézkedéseket annak biztosítására, hogy minden alkalmazott teljes mértékben betartsa ezeket a szabályzatokat. Ezért az adatvédelmi hatóság megállapította, hogy az alkalmazott szabályzat megszegése nem releváns.
Végül az adatvédelmi hatóság elutasította az adatkezelő érvelését, miszerint az, hogy az érintett végül nem indított pert, irreleváns.
Ezen megállapítások alapján az adatvédelmi hatóság a GDPR 15. cikkének megsértését állapította meg, és 15 000 eurós bírságot szabott ki.
Forrás:
