Ha a politikai szereplő vagy kampányszerv telefonon kampányüzenetet küld vagy kampányhívást bonyolít le, a megkeresettet tájékoztatni kell az üzenet megrendelőjéről – hívta fel a figyelmet közleményében a Nemzeti Adatvédelmi és Információszabadság Hatóság elnöke.
Péterfalvi Attila kiemelte: azt is tudatni kell, hogyan jutottak hozzá az elérhetőségi adatához, mi az adatkezelés jogalapja és hol kaphat további tájékoztatást az adatkezelésről. A szervezet tapasztalata szerint e tájékoztatás nélkül a polgárokban felmerül a gyanú, hogy jogszerűtlenül szerezték meg adataikat.
A megkeresettnek joga van adatainak törlését kérni, ezt a kérdéses telefonszámról indított hívással kezdeményezheti.
A politikai hírlevél elektronikus úton küldéséhez nem szükséges az érintett lakcímének, azonosító adatainak ismerete: elegendő a név, e-mail-cím rögzítése, és a hírlevél lemondásához sem szükséges több adat.
A NAIH tapasztalatai alapján a kampányidőszakban gyakran előfordul, hogy a kampányüzenetet küldők nem legális forrásból gyűjtik a választók egyes adatait. Nem elfogadható, ha vásárolt adatbázist használnak fel ehhez jogellenesen, ha korábbról meglévő, más célból megadott adatokat, adatbázist használnak fel, vagy ha más cég, call center adatbázisa segítségével érik el az abban szereplőket úgy, hogy ehhez nincs jogalapjuk – tudatta Péterfalvi Attila. Hangsúlyozta:
automatizált hívásokhoz arra van szükség, hogy az előfizető azokhoz előzetesen hozzájáruljon, illetve ne tegyen ellenző nyilatkozatot, és kifejezetten tilos olyan számok hívása, amelyek nincsenek az online tudakozóban vagy letiltották a marketing- vagy kutatási célú megkeresést.
A véletlenszám-generátor használatánál is jogellenes az adatkezelés, a közvélemény-kutatóknak pedig be kell jelenteniük az NMHH-nál a hívásokhoz használni kívánt telefonszámot, amely nem lehet rejtett szám.
Felhívta a figyelmet arra: csak az adott célhoz (üzenet eljuttatása, kampány) valóban szükséges adatok felvétele indokolt, például a személyi azonosító kérésére politikai marketing, kapcsolattartás céljából nincs szükség. Kifejezetten ellentétes az adatvédelmi előírásokkal az a gyakorlat, hogy egy konkrét ügy támogatása, véleménynyilvánítás egy adott témában egyben feliratkozást jelentene egy adott párt vagy politikai szervezet hírlevelére – írta.
Az ajánlás szerint az online adatgyűjtések során az a jó gyakorlat, ha az önkéntesen megadható adatoknál feltüntetik, mely célból, miért adható meg az adat, vagyis milyen egyéb adatkezelés alanya lesz ezáltal a felületet kitöltő.
A GDPR szerint a politikai párt minősül adatkezelőnek akkor is, ha csak a „nevét adja” az adatkezelési cél eléréséhez és ezért együttműködik másokkal.
Az adatkezelői felelősség alól nem lehet kibújni szerződési láncolattal, vagy azt palástolni egy pénzügyileg nehezebben felelősségre vonható szervezet mögé bújva – tette hozzá a NAIH elnöke. A tényleges adatkezelőknek viselniük kell az ezzel járó felelősséget – írta, kiemelve: a NAIH az eljárásaiban megvizsgálja az adatkezelői, adatfeldolgozói szerepeket, a szerződéses viszonyokat, és felülbírálja, ha a ténylegesen adatkezelést végző szervezet magát adatfeldolgozónak beállítva kíván mentesülni az adatkezelői felelősség és felelősségre vonás alól.
Fontosnak nevezte, hogy a választási kampányban részt vevő szervezetek közöljék, kik az adatfeldolgozóik és hogyan működnek közre az adatkezelésben.
A politikai véleményhez kötődő személyes adatok érzékeny információk, ezek külföldi szervereken, külföldi adatfeldolgozók általi tárolása adott esetben jogos kétségeket, adatszuverenitási és nemzetbiztonsági kérdéseket vethet fel, ezért nem ajánlott a magyar választók adatainak külföldön tárolása – közölte Péterfalvi Attila.
Kiemelte: az adatkezelőknek meg kell felelniük az átláthatóság és elszámoltathatóság követelményének, hogy a választók/érintettek és a NAIH is átlássa az adatok pontos útját és felhasználását, és ellenőrizhesse a jogszabályok tényleges betartását. Jó gyakorlatnak tartja a hatóság, ha a honlapokon és a tájékoztatókban minden adatkezelést közérthetően mutatnak be és a közzétett tájékoztató anyagokat rendszeresen felülvizsgálják.
Gyakori, hogy az adatkezelési tájékoztatók semmitmondóak, sablonosak, csupán a jogszabályi előírásokat ismétlik, és érdemi információt nem adnak.
Az adatkezelőknek biztosítaniuk kell a tájékoztató szövegük közérthetőségét, világosságát és átláthatóságát Az adatkezelőknek emellett igazolniuk kell, hogy az érintettek hozzájárultak a személyes adataik kezeléséhez, és biztosítaniuk kell, hogy a hozzájárulásukat bármikor visszavonhassák – fejtette ki Péterfalvi Attila.
Az applikációkat, feliratkozási weboldalakat használó adatkezelőknek pedig könnyen érthető tájékoztatót kell adniuk az alkalmazott technológiáról, módszerekről is.
Ha például a Facebookot, Messengert kampányeszközként veszik igénybe, rövid tájékoztatást kell adniuk a platformok szabályairól. Péterfalvi Attila azt írta: az adatkezelőnek a kampányt követően is tudnia kell igazolni a NAIH-nál, hogy eljárása megfelel a GDPR-nak.
A hatóság az ajánlásban foglaltaknak meg nem felelő politikai célú adatkezeléseket a jövőben is kiemelten vizsgálja, és fellép a jogszerűség és az érintettek jogainak védelméért – írta ajánlásában a NAIH elnöke.