GDPR: Mikor kell törölni a személyes adatokat?

A hírlevél és a telefonos értékesítés nagyszerű marketing eszköz tud lenni a cégek számára. Azonban úgy, ahogy Ön magánemberként nem szívesen kap kéretlen e-maileket, illetve nem örül, ha folyton-folyvást hívogatják valamilyen „szenzációs” ajánlattal, ugyanígy azt az Ön ügyfelei, vásárlói sem nézik jó szívvel.

A fogyasztók védelme érdekében létrejött GDPR (General Data Protection Regulation) rendelet – többek között azt – szabályozza, hogy mennyi idő után kötelező törölni az adatbázisba felvett adatokat.

Fogyasztók jogai, vállalat kötelezettségei

Ha történik egy – akár telefonos, akár e-mailes – megkeresés az Ön részéről, fel kell készülnie rá, hogy a címzett érdeklődik, hogy milyen jogalapon keresték fel, hogyan jutottak hozzá az adataihoz, stb. (Bár megkereséstől függetlenül is érkezhet ilyen kérdés.)

Ezen kérdésre Önnek választ kell adnia 30 napon belül.

A válasz keretében köteles közölnie az érdeklődővel, hogy

• pontosan mely személyes adatait kezeli,
• milyen jogalapon,
• mikor és kitől vagy hogyan szerezte meg a személyes adatokat,
• meddig kezeli,
• kiknek továbbította azokat,
• valamint milyen érintetti jogai vannak az illető személynek.

Mikor kérhetik a személyes adatok törlését?

A fogyasztók kérhetik az adatkezelés megszüntetését bizonyos esetekben, attól függően, hogy mi az adatkezelés jogalapja.

Önkéntes hozzájárulás

Ha az illető korábban hozzá is járult személyes adatainak kezeléséhez (például egyszerűen feliratkozott a hírlevél listára), ezen hozzájárulását bármikor, indoklás nélkül visszavonhatja. Ebben az esetben törölni kell a jogalaphoz kapcsolódó személyes adatokat.

Jogos érdek

Ha az adatkezelés jogalapja a jogos érdek (például statisztikai adatok gyűjtése a weboldalon marketing célokra), akkor a felhasználó tiltakozhat személyes adatainak kezelése ellen. Jogos érdek alapú adatkezelést kizárólag abban az esetben végezhet, ha rendelkezik ügyfélkapcsolattal.

Törölni kell a személyes adatokat, ha

• Az adat kezelése jogellenes;
• hozzájáruláson alapuló adatkezelésnél a hozzájárulás visszavonásra került (az ügyfél kéri adatai törlését);
• az adat hiányos vagy téves – és ez az állapot jogszerűen nem orvosolható –, feltéve, hogy a törlést törvény nem zárja ki;
• az adatkezelés célja megszűnt, vagy az adatok tárolásának törvényben meghatározott határideje lejárt;
• nincs ügyfélkapcsolat az adatkezelő és az érintett között;
• a törlést bíróság vagy a hatóság elrendelte.

Méghozzá haladéktalanul, és visszaállíthatatlan módon.

Továbbá minden olyan harmadik felet tájékoztatni kell a törlési kötelezettségről, amely birtokában lehet az érintett adatoknak.

Ezekben az esetekben nem köteles törölni a személyes adatokat

• A szóban forgó adatok megőrzésére a törvény kötelezi a vállalatot.
• Az adatokra a szólásszabadság jogának gyakorlása érdekében van szükség.
• Közérdekű okból (pl. közegészségügyi, tudományos, statisztikai vagy történeti kutatási célból);
• Az megfelelő anonimizálási folyamaton mentek át (az illető személy teljes mértékig beazonosíthatatlan). (Statisztikai és marketing célokhoz még így is jól jöhet.)

Mi számít személyes adatnak?

Bármely információ, amely az azonosított vagy azonosítható érintett személlyel kapcsolatos. Személyes adat például:

• a név,
• a lakcím,
• a személyazonosító igazolvány / útlevél száma,
• a javadalmazással kapcsolatos információk,
• a kulturális azonossággal kapcsolatos információk,
• az IP-cím,
• kórház vagy orvos birtokában lévő adatok (melyek egészségügyi célból beazonosítják az érintettet).

A következő személyes adatok kezelése tilos:

• faji, illetve etnikai hovatartozásra vonatkozó adatok,
• szexuális irányultságra vonatkozó adatok,
• politikai nézetre vonatkozó adatok,
• vallási vagy világnézeti meggyőződésre vonatkozó adatok,
• szakszervezeti tagságra vonatkozó adatok,
• genetikai, biometrikus vagy egészségügyi adatok, néhány konkrét kivétellel (pl. ha az adatok által érintett személy kifejezetten hozzájárult az adatok kezeléséhez, vagy ha az adatkezelésre alapvető közérdekből, illetve uniós vagy tagállami jogi előírás alapján van szükség),
• büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatok, kivéve ha az ilyen jellegű adatok kezelését uniós vagy tagállami jogi előírás lehetővé teszi.