Az üzleti életben sok esetben kérnek külső segítséget egy-egy ügyfélpanasz vagy kérdés kezeléséhez. Ilyen esetekben sokan általában a legegyszerűbb kezelést vagy a megszokott ügymenetet választják, és csak továbbítják az ügyfél levelét minden előzménnyel együtt.
A személyes adatok védelmének (GDPR) szempontjából a kifogásolható tevékenység akkor következik be, ha az ügyfél kérdését, panaszát
személyes adataival együtt küldik tovább a harmadik fél részére anélkül, hogy az ügyfelet előzetesen tájékoztatták volna személyes adatainak átadásáról.
Tipikus példa erre, amikor a külsős IT-üzemeltető továbbítja az ügyfél kérdéseit a gyártó vagy fejlesztő felé, vagy amikor a magyarországi kereskedelmi képviselet munkatársa egy értékesítés során felmerült probléma megoldásához támogatást kér a termék gyártójától.
A személyes adatok védelme szempontjából a levelezés célja, illetve a támogatás típusa lényegtelen.
Ha az ügyintéző az ügyfélnek úgy küldi vissza a választ, hogy a levélben látszik az email váltás teljes története és azok szereplőinek személyes adatai is, akkor ez a tevékenység csak akkor felel meg a GDPR elvárásainak, ha a támogató szervezet előzetesen tájékoztatta az érintetteket, hogy személyes adataikat harmadik fél részére átadja. Ide tartozik mind az ügyfél, mind pedig a támogató szervezet.
A hatósági ellenőrzés kockázatát ma még nem lehet felmérni, bizonytalan a hatóság kapacitása és terheltsége.
A büntetés kockázatát mégis magasra értékelte Sándor Zsolt András, a Gill & Murry Kft. ügyvezető partnere, mert
elég egy elégedetlen ügyfél, hogy az email-t a hatóságnak elküldve vizsgálatot kezdeményezzen.
Sajnos a levelezéssel tökéletes bizonyítékot szolgáltathatunk arra, hogy a hatóság egy vizsgálat során elmarasztaló határozatot hozzon és borsos bírságot állapítson meg - tették hozzá.
A belső munkafolyamatok, többek között az email kezelési rend felülvizsgálatával, valamint az adatvédelmi tájékoztató frissítésével elkerülhetők az email-kezelésből származó ehhez hasonló incidensek. Bár ezen a példán felül még számos megoldandó feladat vár a GDPR-rendeletnek megfelelni kívánó szervezetekre – közölte Sándor Zsolt András.