A NAIH/2019/133 számú határozata – amely az érintett hozzáférési joga gyakorlása (és annak az Adatkezelő általi elősegítése) kapcsán tartalmaz fontos megállapításokat – kapcsán célszerűnek mutatkozik néhány gondolatot, illetve a GDPR-ban megfogalmazott előírást körüljárni.
a) A hozzáférési jog tartalmát, és az adatkezelő ezzel kapcsolatos legfontosabb kötelezettségeit a GDPR 15. cikk rögzíti, ami szerint az érintett a személyes adatai kezelésével kapcsolatos ott megjelölt információkról jogosult tájékoztatást kapni, valamint jogosult a kezelt személyes adatai másolatát – első alkalommal díjmentesen – megkapni.
b) A tájékoztatás határideje: figyelemmel a 12. cikk előírásaira, az érintett kérése esetén a részére szóló tájékoztatás indokolatlan késedelem nélkül, de mindenképpen 1 hónapon belül meg kell adni.
Szükség esetén, figyelembe véve a kérelem összetettségét és a kérelmek számát, ez a határidő további két hónappal meghosszabbítható. A határidő meghosszabbításáról az adatkezelő a késedelem okainak megjelölésével a kérelem kézhezvételétől számított egy hónapon belül tájékoztatja az érintettet.
c) A tájékoztatás módja: ha az érintett elektronikus úton nyújtotta be a kérelmet, a tájékoztatást lehetőség szerint elektronikus úton kell megadni, kivéve, ha az érintett azt másként kéri.
d)Többlet kötelezettség az adatkezelő késedelme esetén: ha az adatkezelő nem tesz intézkedéseket az érintett kérelme nyomán, késedelem nélkül, de legkésőbb a kérelem beérkezésétől számított egy hónapon belül tájékoztatja az érintettet az intézkedés elmaradásának okairól, valamint arról, hogy az érintett panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet bírósági jogorvoslati jogával.
A fent említett NAIH határozatban a hatóság tulajdonképpen tisztán azon az alapon marasztalta el az adatkezelőt, hogy az határidőben „nem teljesítette a Kérelmező hozzáférési joga gyakorlására irányuló kérelmét, és a határidő-hosszabítás szükségességét sem jelezte, továbbá nem indokolta azt sem, hogy milyen okból történt a válaszadási határidő túllépés” (ráadásul a késedelmes teljesítés hiányos is volt).
A határozat indoklását áttekintve látható, hogy önmagában a – megfelelő indok nélküli – késedelmes teljesítést a hatóság súlyosabb jogsértésként értékelte, amelyre tekintettel bírságot szabott ki. Adott esetben tehát egy megfelelő tartalmú, de késedelmesen teljesített kérelem is ilyen súlyú jogsértést valósít meg.
A kérelem tartalmával összefüggésben célszerű utalni arra az indoklás szerint az adatkezelő „ azzal, hogy bizonyos adatokat korábban folyamatosan a jogszabályok alapján a Kérelmező rendelkezésére bocsátott, nem mentesül az általános adatvédelmi rendelet 15. cikke szerinti hozzáférési kérelem teljesítése aló”.
Mindez azt jelenti, hogy a hozzáférési jog gyakorlása keretében nem érvényesül az általános tájékoztatási kötelezettséghez kapcsolódó azon előírás, amely szerint az érintett tájékoztatása mellőzhető, ha és amilyen mértékben az érintett már rendelkezik az információkkal.
A fentiek alapján is látható, hogy a hozzáférési jog alapján történő tájékoztatást nem szabad összekeverni a GDPR 13-14. cikk alapján történő előzetes (vagy közkeletű nevén általános) tájékoztatással. Ez utóbbi egy adott adatkezelési tevékenység típus legfontosabb adatkezelési információit rögzíti, az előbbi pedig egy konkrét érintett, konkrét személyes adatainak kezelésével összefüggő konkrét információk közlését.