Korábban már beszámoltunk arról, hogy sokak számára csak hónapokkal a regisztráció után derült ki, hogy valójában nem sikerült a jelentkezniük oltásra, a háziorvosuk nem látta őket a regisztráltak listáján. A hiba persze könnyen elkerülhető lenne, ha a vakcinainfo.gov.hu weboldala a regisztrációt követően visszaigazoló üzenetet küldene. De ezt valamiért kifelejtették a rendszerből.
Informatikus olvasónk kiszúrta a vakcinainfo.gov.hu adatkezelési tájékoztatójában, hogy az uniós General Data Protection Regulation (GDPR) szabályzata alapján, a hozzáféréshez való jogra hivatkozva ki lehet kérni a személyes adatainkat, hogy megtudjuk célba ért-e a regisztrációnk.
Az adatkezelési tájékoztatóban ez egészen pontosan így hangzik:
„A hozzáféréshez való jog alapján Ön mint érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy tájékoztatást kapjon az adatkezelés céljáról, az érintett személyes adatok kategóriáiról, a címzettekről, akikkel a személyes adatokat közölték vagy közölni fogják, a személyes adatok tárolásának időtartamáról, valamint a személyes adatok gyűjtésének módjáról. A hozzáféréshez való jog keretén belül az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát az érintett rendelkezésére bocsátja.”
A tájékoztatóból az olvasható ki, hogy a regisztráció adatai előbb a Miniszterelnöki Kabinetirodába futnak be, ahonnan továbbítják a Nemzeti Egészségbiztosítási Alapkezelőhöz (NEAK), amely ezután „a közölt személyes adatokat a részére megadott szempontrendszer alapján az általa vezetett nyilvántartásokkal összeveti és annak eredményéről az érintett háziorvosát tájékoztatja a koronavírus elleni védőoltás beadhatóságának megállapítása érdekében”.
Olvasónk küldött is emailt a Miniszterelnöki Kabinetirodának az adatkezelő tájékoztatóban is feltüntette e-mail címre, hogy megtudja náluk vannak-e az adatai.
„Az alapján, ami kívülről látszik a rendszerből, abban sem lehet biztos az ember, hogy a regisztráció valóban sikeres volt. Anno, amikor bejött a GDPR, akkor én kényszerből ezt jobban is megnéztem, és ezért emlékeztem, hogy a személyes adatokat kötelező kérésre kiadni. Így jött az ötlet, hogy akkor nosza, a GDPR alapján tegyük ezt meg, és akkor választ kapok arra, amit nekik alapból hozni kellene, és amit minden garázscég webshopja is helyből tud” – írta a 444-nek.
Azonban a 30 napos határidő lejárta után sem kapott semmilyen reakciót a Miniszterelnöki Kabinetirodától, ezért megkereste a Nemzeti Adatvédelmi és Információszabadság Hatóságot (NAIH), amely vizsgálatot indított az ügyben, de egyelőre még nincs eredménye.
Mi is megkerestük a NAIH-t, hogy megtudjuk a GDPR alapján valóban jogosult-e bárki arra, hogy megtudja a Miniszterelnöki Kabinetirodától vagy a NEAK-tól, hogy kezelik-e a regisztrációját.
Azt írták:
„Ahogyan azt a Honlapon közzétett Adatkezelési Tájékoztató Ön által hivatkozott része is tartalmazza, a regisztrációt elvégző személy mint az adatkezelés érintettje jogosult a hozzáférési jogával (GDPR 15. cikk) élni az adatkezelő felé. A kérelemmel összefüggésben megtett intézkedésekről az adatkezelő főszabály szerint a kérelem beérkezésétől számított 1 hónapon belül tájékoztatja az érintettet. A kérelem összetettsége, valamint a kérelmek nagy számára tekintettel a határidő 2 hónappal meghosszabbítható. A késedelem okairól azonban 1 hónapon belül az adatkezelő köteles tájékoztatni az érintettet.”Ezek szerint az olvasónk esetében azt is elmulasztották, hogy egyáltalán értesítsék arról, hogy további két hónappal meghosszabbítják az eljárást.
A TASZ jogásza, Remport Ádám is megerősítette nekünk, hogy a hozzáféréshez való jog alapján kikérhetők a személyes adatok. Elmondása szerint a GDPR szabályzata elég bőkezű, ezért mindent meg lehet tudni a regisztrációnkról: kezeli-e még az adott szerv, törölték, továbbították-e máshova.
Remport Ádám szerint az adatkezelés tájékoztató nem fogalmaz teljesen pontosan, hogy a Miniszterelnöki Kabinetiroda törli-e az adatainkat, miután továbbította a NEAK-nak, ugyanis csak annyi áll a tájékoztatóban, hogy „az átadását követően a Miniszterelnöki Kabinetiroda a közölt személyes adatokat nem kezeli”. Az viszont egyértelmű, hogy a Miniszterelnöki Kabinetirodának a hozzáféréshez való jog alapján kötelessége lett volna jelezni olvasónk felé, hogy kezelik vagy nem kezelik az adatait akár továbbították már a NEAK felé, akár törölték.
Ezzel a módszerrel tehát elvben – ha valóban válaszolnának az adatkezelő szervek – meg lehetne tudni, hogy eljutott-e a háziorvoshoz a regisztrációnk, persze sokkal egyszerűbb lenne, ha a vakcinainfo.gov.hu erről automatikusan küldene üzenetet.