 ##Helytelen megoldások, amik súlyos bírsághoz vezettek! A GDPR Rendelet a személyes adatok kezelésére vonatkozó elvek c. fejezetének 5. cikk (1) bekezdés c) pontja alapján a személyes adatok az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk, ezt nevezzük röviden adattakarékosságnak, illetve adatminimalizálásnak. **Ez azt jelenti, hogy csak annyi személyes adat kezelhető, amennyire feltétlenül szükség van az adott cél eléréséhez.** Álljon itt néhány **magyar és nemzetközi példa**, amikor az adatkezelők nem a kellő gondossággal jártak el és több adatot begyűjtöttek és/vagy tároltak, mint amennyire feltétlenül szükségük volt. Babaváró kölcsönnel összefüggésben végzett adatkezelés kapcsán egy magyar „ügyfél” megsértette az adattakarékosság elvét azzal, hogy a várandósgondozási könyvekről, illetve zárójelentésekről készített másolatokban olyan személyes, köztük egészségügyi adatokat is kezelt, amelyek az adatkezelési cél eléréséhez nem voltak szükségesek. Így a védőnők, háziorvosok egyedi megjegyzéseit, pl. hány napos volt a várandós nő menstruációs ciklusa 15 évesen vagy az első gyermekét hány hónapos koráig szoptatta. Ezen adatok, különösen az egészségügyi adatok kezelése nem szükségesek ahhoz, hogy a várandósság 12. hetének betöltését és a szülés várható időpontját a támogatottak az ügyfél felé igazolják. Az ügyfél által a várandósgondozási könyvek másolataiban kezelt adatok – ide nem értve a szülés várható időpontját, és a várandósság betöltött hetére vonatkozó bejegyzést – az adatkezelés céljának elérésére nem megfelelőek és nem relevánsak, azok a szükséges adatkörön jelentősen túlterjeszkednek. Ennek okán (valamint egyéb, az üggyel összefüggő adatvédelmi jogsértések miatt) **az Adatvédelmi Hatóság 35 millió forint adatvédelmi bírságot szabott ki az adatkezelőre.** Az izlandi adatvédelmi hatóság kb. 2,5 millió forintnak megfelelő pénzbírsággal sújtott egy konferencia központot azzal kapcsolatban, hogy elektronikus jegyvásárlás keretében gyűjtötte a vásárlók személyi azonosítószámát és a születési dátumát. Az adatvédelmi hatóság arra a következtetésre jutott, hogy a jegykiállításhoz nem lett volna szükség adatgyűjtésre, hiszen e gyűjtés nélkül is lehetett volna adásvételi szerződést kötni. Emiatt megállapításra került, hogy a konferencia központ megsértette az adatminimalizálás elvét. Az olasz adatvédelmi hatóság közel 38 millió forintnak megfelelő összegű bírságot szabott ki egy gyógyfürdőre amiatt, mert az érintett egy olyan levelet kapott az adatkezelőtől, amelyen „rendellenes hitel” felirat szerepelt. A levél azonban nem tartalmazott fizetési felszólítást, hanem csak a banki és pénzügyi szolgáltatások átláthatóságára vonatkozó információkat közölt. Emiatt az adatvédelmi hatóság megállapította, hogy az adatkezelő megsértette a jogszerűség és az átláthatóság, valamint az adatminimalizálás elvét. A borítékon feltüntetett kifejezés lehetővé teheti harmadik felek számára, hogy a címzett anyagi helyzetéről információkat szerezzenek, függetlenül a boríték tartalmától, így a jogszerűség, átláthatóság és az adatminimalizálás elve sérül. **Elbizonytalanodott, hogy Ön betartja-e az adattakarékossági követelményeket? Írjon nekünk, és mi segítünk! gdpr@saldo.hu**
2022-03-23