Hamarosan új korszak köszönt be a cégek életében, amely jelentős változást hoz majd az adatkezelés terén. Májusban lép ugyanis hatályba az Európai Unióban működő vállalatok számára az EU 2016/679 számú, úgynevezett Általános Adatvédelmi Rendelete (General Data Protection Regulation), azaz a GDPR.

A május 25-től érvényes uniós szabályozás az eddigieknél jóval szigorúbb adatvédelmi szabályokat ír elő. Pontosan meghatározza, hogy egy cég az alkalmazottakról vagy az ügyfelekről milyen adatokat gyűjthet össze, milyen jogalappal kell rendelkeznie ehhez, illetve milyen módon és meddig szabad tárolnia ezeket az információkat. Az adatok törlését azonban nemcsak akkor kell elvégezni, ha a tárolásukra már "nincs szükség", hanem bizonyos esetekben akkor is, ha azt a munkavállaló vagy az ügyfél kéri.

"A GDPR a kialakult gyakorlatnak megfelelően biztosítja  a törléshez, azaz az elfeledtetéshez való jogot" – mondta el a hvg.hu-nak Vári Csaba, a DLA Piper Magyarország jogásza. A szakember szerint az adatvédelmi jog ezen rendelkezését épp az Európai Unió Bírósága egy 2014-es döntése nyomán alakították ki. Ez kimondta, hogy a magánszemélyeknek jogukban áll a rájuk vonatkozó találatok eltávolítását kérni az internetes keresőkből, mint például a Google.

Hogy ki, milyen formában kérheti egy cégtől a róla szóló adatok törlését, az cégenként eltérő. Ideális esetben a szervezet adatvédelmi tisztviselőjéhez vagy adatvédelmi felelőséhez fordulhatunk a kéréssel, így rajta keresztül gyakorolhatjuk az elfeledtetéshez való jogot.

"Persze nem minden cégnél van ilyen pozíció, ám ahol nagyszámú, rendszeres, szisztematikus adatkezelés folyik, ott ki kell nevezni egy adatvédelmi tisztviselőt. Ám függetlenül attól, hogy van-e ilyen munkatársa a vállalatnak, az adatvédelmi tájékoztatóban minden esetben meg kell adni, hogy az adatkezeléssel kapcsolatos kérésekkel kihez lehet fordulni" – magyarázza Vári. Sok esetben ez például egy olyan e-mail-címet jelent, amin keresztül fogadják és feldolgozzák a különböző kéréseket.

A kérelem elküldése azonban nem jelenti azt, hogy azonnal végre is hajtják. A cégeknek ugyanis meg kell győződniük arról, hogy valóban az arra jogosult személy – vagy annak meghatalmazottja – kéri a vonatkozó információk törlését. A GDPR ugyanis azt is meghatározza, hogy egy személy milyen esetekben gyakorolhatja a törléshez való jogát.

"Ilyen lehet, ha az adatgyűjtés eredeti célja teljesült, és már nincs szükség az adatok kezelésére. Jó példa erre, ha valaki jelentkezik egy álláshirdetésre, de a munkát nem ő kapja meg. Persze ilyenkor egyébként is automatikusan törölni kellene egy idő után az összegyűjtött adatokat" – hangsúlyozza Vári Csaba.

Szintén törölni kell az adatokat, ha azok kezeléséhez az érintett személy korábban hozzájárult, időközben azonban visszavonta azt. Hasonlóan kell eljárni akkor is, ha az illető tiltakozik az adatkezelés ellen. Ugyanakkor mindkét esetnél alapfeltétel, hogy a töröltetni kívánt információk kezelésére ne legyen semmilyen más jogalapja a cégnek. Ilyen például egy rendőrségi nyomozás, ahol az adatok bizonyítéknak minősülnek.

Mindezek mellett olyan eset is előfordulhat, hogy a személyes adatot jogellenesen kezeli egy cég. Ha ezt az érintett észreveszi, szintén kérheti annak törlését.

A törléshez való jognak ugyanakkor vannak bizonyos korlátai. Hiába kéri ugyanis valaki az adatok törlését, nem biztos, hogy ezt a cég tudja teljesíteni. "Ha az adott információ például a véleményszabadsághoz és a tájékozódáshoz való jog gyakorlásához szükséges, akkor az adatkezelő megtagadhatja azok eltávolítását. Ugyanez igaz arra az esetre is, ha az adatkezelés jogi kötelezettség teljesítéséhez kapcsolódik. Hiába kéri valaki, hogy a születési idejét vagy az adóazonosító jelét törölje a munkáltató, ezt nem fogja megtenni, hiszen a foglalkoztatásához szükség van ezekre az adatokra" – emeli ki a DLA Piper Magyarország ügyvédje.

Szintén megtagadható a kérelem, ha azt népegészségügyi közérdek indokolja vagy statisztikai adatként használják, illetve, ha a cég úgy látja, hogy egy esetleges jogi igény előterjesztéséhez vagy védelméhez (per) kapcsán még szükség lehet rá.

A cégeknek azonban minden esetben reagálniuk kell a kérelmekre. Az előírás szerint indokolatlan késedelem nélkül, de legfeljebb egy hónapon belül kell megválaszolniuk a beérkező kérelmet.