A magyar adatvédelmi hatóság NAIH-175-12/2022 ügyszámú döntése egy finom különbségtételre hívja fel a figyelmet a politikai vélemény GDPR szerinti kezeléséről.
Egy politikai szervezet aláírásgyűjtést kezdeményezett, ahol az aláírók személyes adatait is gyűjtötte. Volt online adatkezelési tájékoztatója is az adatkezelésről.
A hatóság a teljes folyamattal kapcsolatban több rendellenességet is talált, emiatt a szervezetet és az érintett magánszemélyt 3-3 millió Forintra megbírságolta.
A hatósági indoklásból egy érdekes megkülönböztetés viszont mindenképpen figyelmet érdemel.
„I.1.3. Az általános adatvédelmi rendelet 9. cikke határozza meg a személyes adatok különleges kategóriáit. A rendelet a különleges kategóriájú – így a politikai véleményre utaló – személyes adatok kezelését főszabályként tiltja, illetve szigorú feltételektől teszi függővé.
Valamely politikai szervezet kezdeményezésének támogatása céljából megadott személyes adatok azonban nem minősülnek egyúttal különleges kategóriájú személyes adatnak. Amennyiben azonban az érintett a petíciós cél mellett kifejezetten olyan célból történő adatkezeléshez is hozzájárulását adja, hogy őt, mint szimpatizánst a későbbiekben a politikai szervezet tájékoztathassa a tevékenységéről, politikai tevékenységéhez kapcsolódóan kapcsolatba lépjen vele, az érintettek által megadott személyes adatok közül az ezen további kapcsolattartáshoz szükséges személyes adatok, mint pártszimpátiára utaló adatok különleges kategóriájú – politikai véleményre utaló – személyes adatnak is minősülnek.”
Azaz, vagy az adatkezelési tájékoztatóban található megfogalmazás („egyéb megkereséshez” való hozzájárulás), vagy az adatkezelés biztonsága/minősége nem volt megfelelő.
Ha a GDPR szerinti különleges kategóriájú személyes adatokat (is) kezelünk, akkor az adatkezelésnek sokkal szigorúbb adatvédelmi eljárásoknak, szabályoknak, folyamatoknak kell megfelelniük.
Vagy: lehetőség szerint kerüljük az ilyen adatok kezelését.