Az üzleti életben sok esetben kérnek külső segítséget egy-egy ügyfélpanasz vagy kérdés kezeléséhez. Ilyen esetekben sokan általában a legegyszerűbb kezelést vagy a megszokott ügymenetet választják, és csak továbbítják az ügyfél levelét minden előzménnyel együtt.

A személyes adatok védelmének (GDPR) szempontjából a kifogásolható tevékenység akkor következik be, ha az ügyfél kérdését, panaszát

személyes adataival együtt küldik tovább a harmadik fél részére anélkül, hogy az ügyfelet előzetesen tájékoztatták volna személyes adatainak átadásáról.

Tipikus példa erre, amikor a külsős IT-üzemeltető továbbítja az ügyfél kérdéseit a gyártó vagy fejlesztő felé, vagy amikor a magyarországi kereskedelmi képviselet munkatársa egy értékesítés során felmerült probléma megoldásához támogatást kér a termék gyártójától.

A személyes adatok védelme szempontjából a levelezés célja, illetve a támogatás típusa lényegtelen.

Ha az ügyintéző az ügyfélnek úgy küldi vissza a választ, hogy a levélben látszik az email váltás teljes története és azok szereplőinek személyes adatai is, akkor ez a tevékenység csak akkor felel meg a GDPR elvárásainak, ha a támogató szervezet előzetesen tájékoztatta az érintetteket, hogy személyes adataikat harmadik fél részére átadja. Ide tartozik mind az ügyfél, mind pedig a támogató szervezet.

A hatósági ellenőrzés kockázatát ma még nem lehet felmérni, bizonytalan a hatóság kapacitása és terheltsége.

A büntetés kockázatát mégis magasra értékelte Sándor Zsolt András, a Gill & Murry Kft. ügyvezető partnere, mert

elég egy elégedetlen ügyfél, hogy az email-t a hatóságnak elküldve vizsgálatot kezdeményezzen.

Sajnos a levelezéssel tökéletes bizonyítékot szolgáltathatunk arra, hogy a hatóság egy vizsgálat során elmarasztaló határozatot hozzon és borsos bírságot állapítson meg - tették hozzá.

A belső munkafolyamatok, többek között az email kezelési rend felülvizsgálatával, valamint az adatvédelmi tájékoztató frissítésével elkerülhetők az email-kezelésből származó ehhez hasonló incidensek. Bár ezen a példán felül még számos megoldandó feladat vár a GDPR-rendeletnek megfelelni kívánó szervezetekre – közölte Sándor Zsolt András.