A NAIH korábban bejelentést kapott, hogy a szövetség nyilvánosan elérhető oldalán bárki hozzáférhet a nyilvántartásban szereplő több mint 65 ezer játékos olyan személyes adataihoz, mint neve, születési ideje és helye, anyja neve, állampolgársága, testmagassága, lakcíme és fényképe. Az ügy azért volt különösen súlyos, mert a nyilvántartás több mint 30 ezer kiskorú adatait is tartalmazta.

Nem kértek hozzájárulást sem

Az MKOSZ szerint a nyilvános adatbázisra a sportszervezetek miatt volt szükség, hogy ellenőrizhessék, egy adott név alatt nem szerepel más sportoló, illetve, hogy mérkőzésekkor szükség esetén ellenőrizhessék a játékengedélyeket. Dr. Bitai Zsófia GDPR-szakértő szerint azonban a hozzájárulás ebben az esetben nem tekinthető önkéntesnek, mivel ehhez nem csak az érintett hozzájárulása szükséges, hanem mindenfajta külső befolyástól mentesnek kell lennie.

A szakértő szerint ez itt nem valósult meg, mert a hozzájárulás elmaradásakor a játékos nem kapott játékengedélyt. Ráadásul a személyes adatok nyilvánosságra hozatala egy bárki által hozzáférhető és kereshető adatbázisban nem elengedhetetlenül szükséges az adatkezelés céljának eléréséhez és nincs is szükség ilyen sok adat megadására – mondta.

A NAIH megállapította, hogy az adatkezelő a 2013 előtt nyilvánosságra hozott adatok kezeléséhez egyáltalán nem szerezte be az érintettek hozzájárulását, így ezen adatokat jogalap nélkül kezelte, a nyilvántartásból a személyes adatokat pedig csak az érintett kifejezett kérése esetén törölték, így olyanok adatai is nyilvánosságra kerültek, akik már nem is voltak játékosok.

Még számtalan ilyen eset lehet

Ilyen jellegű szabálysértés ráadásul sok esetben előfordulhat, a kis- és középvállalkozások csaknem harmada még csak nem is hallott az egységes EU-s rendeletről, ami az uniós tagországok vállalatainak adatkezelési szokásait szabályozza. Fellowes kutatása szerint a vállalatok 70 százaléka saját elmondása szerint tudja, hogy miként érinti cégét az új adatvédelmi rendelet. A kkv-k 24 százaléka ugyan hallott a rá is vonatkozó EU-s rendeletről, de nem foglalkozik vele.

Arra a kérdésre, hogy kezelnek-e céges szempontból kényes vagy személyes jellegű adatokat, a megkérdezettek 72 százaléka igennel válaszolt – a maradéknak magyarán arról sincs elképzelése, hogy egy telefonszám, e-mail cím, vagy egy adószám is védendő. További részletek >>>

Akkor vegyük át még egyszer...

Az Egységes Európai Adatvédelmi Rendelet (Genderal Data Protection Regulation) bevezetésével egységessé válik az adatvédelmi szabályozás az EU-ban. Az új szabályzat minden szervezetre és gazdasági társaságra kiterjed, amely az EU-ban tartózkodók személyes adatait kezeli vagy feldolgozza.

A szervezetek kötelesek a lehető legvilágosabb, legérthetőbb tájékoztatást adni a személyes adatok felhasználásának módjáról – ezért kaphattunk mostanság annyi GDPR témájú hírlevelet. Emellett azoknak az intézményeknek, amelyek nagy tömegben, automatizáltan kezelnek személyes adatokat - például a bankok, biztosítók, egészségügyi, valamint informatikai szolgáltatók -, és azoknak, amelyek különlegesen érzékeny személyes adatokat - politikai nézet, szakszervezeti tagság, szexuális irányultság - kezelnek, adatvédelmi felelőst kell kinevezniük. Ő felel a megfelelő adatvédelmi rendszer működtetéséért és az adatok védelméért.

A GDPR emellett jelentősen bővíti a személyes adatok körét, ezentúl ezekhez sorolja a többi között:

• a nevet,
• a születési és egészségügyi adatokat,
• a bankszámlaszámot,
• a jövedelmet,
• a helymeghatározó adatot (GPS),
• az e-mail-címet,
• a vállalati és magántelefonszámot,
• a levelezési címet, vagy
• az IP-címet is.

Az új rendelet megerősíti a személyes adatok törlésének jogát: ha valaki már nem szeretné, hogy adatait a továbbiakban feldolgozzák, és az adott szervezetnek nincs alapos indoka azok tárolására, akkor a szervezetnek törölnie kell a kérdéses adatokat rendszeréből.