Ezekről eszünkbe jutott még egy rakás további olyan hétköznapi szituáció, amelyek eddig maguktól értetődőnek tűntek, de ha komolyan vesszük a GDPR szellemiségét, lehet, hogy fel kell őket áldoznunk a szigorúbb adatvédelem oltárán. Összegyűjtöttünk néhány ilyen esetet, és megkerestük velük Kulcsár Zoltánt, a PPOS adatvédelmi jogászát, hogy segítsen tisztázni, milyen eddig mindennapos gyakorlatoknál rezeghet ezentúl a léc (vagy miért nem). Nézzük az egyes szituációkat, illetve a szakértő válaszát:

Évek óta azt mondjuk az ügyfeleinknek, hogy nem jó az a gyakorlat, hogy a vásárlók elkezdik böngészni a többi vásárló ügyes-bajos bejegyzéseit, névvel és egyéb adatokkal. Meg kell oldani, hogy ne férjenek hozzá mások a bejegyzésekhez, amennyiben a vásárlók könyvébe bejegyzés kerül, azt haladéktalanul el kell távolítani és elzártan megőrizni, illetve a hatóság felszólítása esetén rendelkezésére bocsátani.

Átesünk a ló másik oldalára. Természetesen van az a helyzet, amikor valaki nem szeretné feltüntetni a nevét a kaputelefonon (például védett tanú vagy az erőszakos feleség elől a gyerekével bujkáló apuka), de ezeket kellene külön kezelni, és nem kell leszedni az összes kaputelefon-címkét.

Nemcsak politikai, de bármilyen aláírásgyűjtésnél problémás, ha más is látja a többi résztvevő adatait. Gondoljunk csak bele, könnyen kideríthetem, melyik szomszédom ajánlotta az adott párt jelöltjét. Nekem nagy kedvencem, amikor egy 200 fős rendezvénynél (mivel „ennyi hoszteszt nem tudunk biztosítani”) körbeadják a jelenléti ívet, hogy névvel, elérhetőségi adatokkal regisztráljanak – miközben ma már mindenkinél van egy kézi “szkenner”.

Önmagában a papíros gyűjtés teljesen rendben van, ha az egyéb feltételek is teljesülnek.

Sőt, akkor vegyük ide a nyilvános felelést is. Ha mindezeket alaposan megvizsgálnánk, bizony arra jutnánk, hogy nagy a baj. Azt az olvasóra lehet bízni, hogy az adatkezelési gyakorlattal nagy a probléma vagy a GDPR-ral.

Ezek kapcsán pont mostanában adott közzé egy állásfoglalást [pdf] a NAIH, és jogszerűnek találja, amennyiben egy érdekmérlegelési teszttel az iskola bizonyítja, hogy szükséges és az arányos adatkezelésről van szó. Nagy tétben mernék fogadni arra, hogy egy iskola sem készített erre megfelelő tesztet, így elmondhatjuk, hogy a teljes gyakorlat jogellenes.

Ez is problémás. Ezt a célt szolgálja a név nélküli “Foglalt” tábla, a kocsmáros pedig nyilvántartja maga, és egészen a nap végéig kezeli az adatot.

És a címet is. A mentőben pedig még azt is megtudhatjuk, mi a baja az illetőnek. Elavult technika, nem állná ki a GDPR próbáját. Az eset nekem analóg azzal, amikor köremailt küldünk minden ügyfélnek, és véletlenül nem a BCC (titkos másolat), hanem a címzett mezőbe írjuk be az összes emailcímet. Ezért már több esetben bírságolt a NAIH.

Határeset. Ha egy gyerekmegőrzőről van szó, akkor kérjék el a telefonszámot az ilyen esetekre. Ha a boltban csak úgy elkallódik a gyerek, akkor indokolt és jogszerű lesz a bemondás – jobb eszköz híján.

Ez belefér.

Ez is belefér, így könnyebb a kapcsolatfelvétel egy olyan munkakörben, ahol a vendég és az eladó közötti kommunikáció nagyon fontos. Fontos lehet az azonosíthatóság, ha esetleg késve érkezik vagy nem érkezik ki az asztalhoz a későbbre ígért menü. De jó megoldás lehet az a városi legenda is, mely szerint a gyorsétteremben van néhány fiú és lány névtábla, és ha megjön az új kollegina, akkor ő lesz az új Andi.

Problémás. Ehhez képest még nagyobb baj, amikor a műsorban a gyanútlan Ágit élő adásban be is kapcsolják, hogy átadják az üzenetet.

Kiváltható sorszámmal, indokolatlan és ebből eredően jogellenes a név szerinti szólítás.

Hogy mindebből mit fog valóban szankcionálni az adatvédelem felett őrködő Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), azt leginkább a következő időszak gyakorlata fogja megmutatni.