A minap az egyik nagy forgalmú magánrendelő mint adatkezelő az én kifejezett érintetti kérésemre sem küldte el titkosítatlan emailben a leletemet, amely titkosítva viszont nem volt megnyitható, mert a kapott kód nem működött – a magyarázat az volt, hogy számukra „a titkosítás a GDPR miatt kötelező” és attól még kérésemre sem térhetnek el.
Az orvosi lelet mint egészségügyi, és ekként a szenzitív adatok kategóriájába tartozó adat továbbítása tekintetében a GDPR a Preambulum (83) bekezdésében azt írja elő, hogy az adatkezelő a „biztonság fenntartása és az e rendeletet sértő adatkezelés megelőzése érdekében” értékeli … [a] kockázatokat, és … [a] kockázatok csökkentését szolgáló intézkedéseket, például titkosítást alkalmaz.”
A GDPR 24. cikke az adatkezelő feladatairól, 32. cikke pedig az adatkezelés biztonságáról rendelkezik – ennek keretében azt rendeli el, hogy a kockázatok számon vételével az adatkezelő az adatbiztonság garantálására „megfelelő technikai és szervezési intézkedéseket hajt[son] végre… ideértve, többek között, adott esetben” az „adatok álnevesítését és titkosítását”.
A titkosítás tehát eleve nem is kötelező, pusztán egy a lehetséges utak közül. Számos más út lehetséges, amelyeket a GDPR nem sorol fel és nem ír elő; ezt nem is tudná megtenni, hiszen minden konkrét eset egyedi megoldást igényel.
Ha valamely esetben pedig titkosított email-küldéssel kíván az adatkezelő eleget tenni a GDPR előírásainak, akkor sem szűnik meg az érintett lehetősége arra, hogy ettől eltérő megoldást kérjen és kapjon, mivel az érintett a saját adatainak az „ura”. Ez fejeződik ki a GDPR 9. cikk (2) bekezdésének a) pontja, valamint 15. cikke együttes olvasatával, miszerint az érzékeny adatok érintetti hozzájárulás esetén kezelhetők, és az érintettnek hozzáférési joga van a saját adataihoz.
Ha tehát az érintett bármilyen módon kéri a saját személyes adatainak megküldését, az adatkezelő ennek a kérésnek köteles eleget tenni. Akár titkosítatlanul is.
A GDPR kapcsán 2017 és 2020 között több, mint 50 átfogó adatvédelmi átvilágításban vett részt, a vizsgált szervezetek között állami, versenyszférába tartozó és nonprofit szervezetek egyaránt előfordultak.
Az ELTE JOTOKI által szervezett Adatbiztonsági és Adatvédelmi Jogi Szakokleveles Szakember képzésének 2015 óta munkajogi előadója, Adatbiztonsági és Adatvédelmi Szakjogász képzésének a 2018-19 tanévtől kezdődően szakdolgozati konzulense.
Számos adatvédelmi konferencián, így az Inventum, Magyar Biztonsági Fórum, Alphasonic, Bureau Veritas által szervezett több konferencián is szerepelt előadóként.
A GDPR kapcsán adott legátfogóbb, sok kérdést felölelő leírása itt található: https://7blog.hu/gdpr/.