Mi minősül személyes adatnak?

A GDPR hatálya nem fed le minden adatkezelést, csupán a természetes személyek személyes adatainak kezelésére vonatkozik. Személyes adat minden olyan információ, mely egy beazonosítható természetes személlyel közvetlenül kapcsolatba hozható, róla közvetve valamit elárul. Az első kategóriára példa a név, lakcím, adószám, e-mail-cím, telefonszám vagy a bankszámlaszám, a  másodikra pedig az a minősítés, hogy az ügyfél „jól fizető” vagy éppen „rendszeresen késedelmesen fizet”. Valamennyi személyes adatról tájékoztatást kell adni.

Amikor jogi személy az ügyfél

Érdemes azt is megvizsgálni, kit számít természetes személynek. A zrt., nyrt., kft., illetve a bt. jogi személyek, így a rájuk vonatkozó különféle adatok (név, adószám, bankszámlaszám stb.) nem tartoznak a GDPR hatálya alá, a nevükben eljáró, illetve a kapcsolattartó személyek személyes adatai viszont már igen, habár ez az adatkezeléseknek nem az „érdemi” része. A kapcsolattartó személyek vonatkozásában – a felügyeleti szerv iránymutatása szerint – saját munkavállaló esetében a szerződés teljesítése,míg az üzleti partner munkavállalója vonatkozásában jogos érdek az adatkezelés jogalapja.

Az egyéni vállalkozó természetes személynek minősül

Az egyéni vállalkozó jogilag természetes személynek minősül. Ha tehát az üzleti partner (ügyfél) egyéni vállalkozó, úgy annak személyes adatainak kezelésére alkalmazni kell a GDPR szabályait, és úgy kell eljárni, mint természetes személyek esetén. Az egyéni vállalkozók személyes adatainak kezelése során így figyelemmel kell lenni egyebek mellett arra is, hogy az adatkezelés a szükséges mértékre korlátozódjon. Ezen túlmenően az egyéni vállalkozók számára tájékoztatás is nyújtandó személyes adatainak kezeléséről. 

Melyik jogalapot kell alkalmazni?

A GDPR 6. cikke számos jogalapot vezet be, melyek közül legalább egyet kell kiválasztani az adatkezelés jogalapjaként. Fontos ezzel összefüggésben arra rámutatni, hogy minden egyes adatkezelést egyenként kell jogalaphoz kötni, így valamennyi adatkezelés vonatkozásában be kell mutatni az ahhoz tartozó jogalapot (is). Mindazon személyes adatok, melyek a szerződés teljesítéséhez szükségesek (például név, lakcím, szállítási cím, természetes személy vevő esetében az adószám) szerződés teljesítése jogalapon kezelhetők a GDPR 6. cikkének (b) bekezdése alapján.

Erre a jogalapra azonban csak akkor lehet támaszkodni, ha az érintett ügyfél szerződő fél, vagy ő kezdeményezte a kapcsolatfelvételt (például árajánlatot kért). Ez a jogalap tehát akkor alkalmazható, ha az ügyfél természetes személy vagy egyéni vállalkozó.

Sok esetben azonban az ügyfél jogi személy, s azok a természetes személyekre vonatkozó adatok, amelyek birtokába kerül az adatkezelő, nem az ügyfelének a személyes adatai (hiszen az jogi személy), hanem például az ügyfél természetes személy partnereinek, munkavállalóinak személyes adatai. Ilyen esetekben szerződés teljesítésére, mint jogalapra nem lehet hivatkozni. Tehát például, ha (adatkezelőnek minősülő) könyvelők vagy könyvvizsgálók a hozzájuk kerülő anyagokban természetes személyek adatait látják, kezelik, azok esetén azért nem lehet szerződés teljesítése a megfelelő jogalap, mert a könyvelt cég ügyfelei, munkavállalói nem részesei a „könyvelési szerződésnek”, nem szerződéses partnerek. Az ő személyes adataikat tehát más, leginkább jogos érdek jogalapon lehet kezelni.

Azonosítás céljából kért személyes adat 

Az adatvédelem szabályai az utóbbi években jelentősen szigorodtak. Míg korábban az volt a gyakorlat, hogy az ügyféllel kapcsolatban minden lehetséges személyes adatot érdemes begyűjteni, erre a hatályos szabályozás alapján már nincs lehetőség.

Elsőként arra kell ügyelni, hogy csak olyan személyes adatot lehet kezelni, amely az adatkezelés céljához (például a szerződés teljesítéséhez) szükséges. Ha több adatot kezel valaki, mint amennyi feltétlenül kell, akkor készletező adatkezelési tevékenységet folytat, ami nem jogszerű.

Felmerül tehát a kérdés, hogy a szerződésben milyen személyes adatokat lehet feltüntetni, illetve az ügyfeleket mely személyes adataikkal lehet azonosítani. A leggyakoribb személyazonosító adatok a név, a lakcím, a születési hely és idő, illetve az édesanya neve. A felügyeleti szerv álláspontja szerint ezen adatokból általában két adat is elegendő az azonosításhoz, az összes személyes adat megadása ritkán felel meg a célhoz kötöttség elvének.

Ki felel az ügyfél adatainak pontosságáért

A GDPR előírja, hogy az adatkezelő kötelezettsége annak biztosítása, hogy az általa kezelt személyes adatok pontosak és naprakészek legyenek. Rendszeres időközönként, illetve gyanú esetén ellenőrizni kell tehát, hogy az ügyfél adatai nem változtak-e meg. Ha például adott telefonszámon más személy jelentkezik be, mint korábban, és feltételezhető, hogy a telefonszám már más előfizetőhöz tartozik, akkor korlátozni kell az adatkezelést, és az érintettet más módon haladéktalanul meg kell keresni.

Az ügyfél által megadott személyes adatokat (például elérhetőségi adatok) így ellenőrizni is kell. Jogsértést állapított meg a felügyeleti szerv azon esetben is, amikor a szolgáltató az ügyfél által tévesen megadott e-mail-címre küldte ki az ügyfél szerződését. A szolgáltató ugyanis nem járt el kellő gondossággal, és úgy továbbított személyes adatokat harmadik személynek, hogy nem ellenőrizte előzetesen, hogy megfelelő-e az e-mail-cím. Részben tehát még az ügyfél mulasztása miatt is felelősség terhelheti az adatkezelőt.