Személyes adatok törlési kötelezettségének megsértése
Az adatvédelmi vagy az Általános Adatvédelmi Rendeletet (GDPR) sértő cselekedetek súlyos bírságokkal szankcionálhatók. A Hamburgi Adatvédelmi és Információszabadságért Felelős Biztos (HmbBfDI) egy követeléskezeléssel foglalkozó vállalatra 900 000 eurós bírságot szabott ki, mert az nem törölte időben a személyes adatokat.
Az Általános Adatvédelmi Rendelet (GDPR) bevezetésével az adatvédelmi követelmények vállalatokra vonatkozó elvárásai jelentősen nőttek. A vállalatoknak a személyes adatok kezelése során megfelelő intézkedéseket kell hozniuk az adatok védelme érdekében. Ezenkívül az érintett személyek jogosultak határidőn belüli adat törlésre. Az adatvédelmi törvényt vagy a GDPR-t megsértő vállalatok számíthatnak súlyos bírságokra, közölte a MTR Legal gazdasági ügyvédi iroda, amely többek között IT jogi tanácsadással is foglalkozik.
Vállalatok vizsgálata a követeléskezelés területén
Személyes adataik tárolása különösen nagy terhet jelenthet a mulasztó adósok számára. Adataikat rendszeresen továbbítják a hitelinformációs hivatalokhoz is. Ez jelentősen megnehezítheti például szerződés megkötését. Ezért az adósok számára kulcsfontosságú, hogy adataikat a megfelelő határidők lejárta után töröljék.
Hamburg a követeléskezelés területén jelentős központ. Ezért a Hamburgi Adatvédelmi és Információszabadságért Felelős Biztos (HmbBfDI) célzott vizsgálat keretében piacvezető vállalatokat vizsgált meg a követeléskezelési piacon.
Többnyire pozitív összegzés
A vizsgálat során alapvetően azt ellenőrizték, hogyan tárolják és dolgozzák fel a személyes adatokat a vállalatok. Az adatvédelmi biztos csapatával felkereste a helyszínen néhány vállalat irodáját. A vizsgálat eredményeként az adatvédelmi tisztviselők többnyire pozitív összegzést vontak le. Különösen a vállalatok átláthatósága javult az érintett személyekkel szemben – közölte az adatvédelmi biztos a 2024. november 12-i sajtóközleményében.
Adatokat túl sokáig tartottak meg
Azonban vannak kivételek is. Az ellenőrök egy vállalatnál megállapították, hogy az adatkészleteket továbbra is tárolta, pedig a törlési határidők már rég lejártak. A vállalat így személyes adatok hatjegyű készletét jogalap nélkül tárolta. Ez az 5. cikk (1) bekezdés a), valamint a 6. cikk (1) bekezdés GDPR megsértését jelenti. Bár az adatokat nem adták tovább harmadik félnek, a törvényes megőrzési határidők lejárta után még 5 évig tárolták, és nem törölték az adatbázisból – közölte a Hamburgi Adatvédelmi Biztos.
E megsértés miatt az adatvédelmi biztos 900 000 eurós bírságot szabott ki a vállalatra. A vállalat elfogadta a bírságot. Az, hogy a vállalat az adatvédelmi jogsértés feltárásához együttműködött az ellenőrző hatósággal, a bírság mértékében is figyelembe vételre került. Hasonló jogsértéseket egy másik vállalatnál is megállapítottak. Ennél az esetnél a vizsgálatok még nem fejeződtek be.
Amikor egy ügyfélkapcsolat megszűnik, az adatokat azonnal vagy a megőrzési határidők lejárta után törölni kell. A törlési kötelezettség megsértése költséges lehet, amint azt a hamburgi vállalat példája is mutatja. Az ilyen jogsértések elkerülése érdekében a vállalatoknak hatékony adatvédelmi megfelelést kell integrálniuk.
Adatok határidőn belüli törlése
Az érzékeny személyes adatok jogszerű kezelésének biztosítása érdekében szisztematikus törlési koncepciót is ki kell dolgozni, hogy azok ne legyenek jogtalanul tárolva, és így ne jelentsenek GDPR-megsértést. Már az adatok gyűjtésekor egyértelműnek kell lennie, hogy meddig és milyen módon szabad őket tárolni és feldolgozni. Így elkerülhetők az adatvédelmi jogsértéseket büntető bírságok és erősíthető az ügyfelek bizalma.
Fontos megjegyezni, hogy az adatvédelem nemcsak az ügyfelekkel való külső kapcsolatokban játszik fontos szerepet, hanem a munkavállalókkal való belső viszonyokban is. Az alkalmazottaknak a GDPR szerint joguk van tájékoztatást kérni munkáltatójuktól személyes adataik használatáról.
Az MTR Legal Rechtsanwälte szaktanácsadást nyújt a adatvédelmi jog és átfogó IT jogi kérdésekben.
Lépjen kapcsolatba velünk!
