Az üzleti életben sok esteben külső segítséget kérünk egy-egy ügyfélpanasz vagy kérdés kezeléséhez.  Ilyen esetekben leggyakrabban a legegyszerűbb kezelést vagy a megszokott ügymenetet választjuk, és csak továbbítjuk az ügyfél levelét minden előzménnyel együtt.

GDPR szempontból a kifogásolható tevékenység akkor következik be, ha az ügyfél kérdését, panaszát személyes adataival együtt tovább küldjük harmadik fél részére anélkül, hogy az ügyfelet előzetesen tájékoztattuk volna személyes adatainak átadásáról.

Tipikus példa erre, amikor a külsős IT üzemeltető továbbítja az ügyfél kérdéseit a gyártó vagy fejlesztő felé, vagy amikor a magyarországi kereskedelmi képviselet munkatársa egy értékesítés során felmerült probléma megoldásához támogatást kér a termék gyártójától.

A GDPR (személyes adatok védelme) szempontjából a levelezés célja, illetve a támogatás típusa lényegtelen.

Ha az ügyintéző az ügyfélnek (Érintett) úgy küldi vissza a választ, hogy a levélben látszik az email váltás teljes története és azok szereplőinek személyes adatai is, akkor ez a tevekénység csak akkor felel meg a GDPR elvárásainak, ha a támogató szervezet előzetesen tájékoztatta az Érintetteket, hogy személyes adataikat harmadik fél részére átadja. Ide tartozik mind az Ügyfél mind pedig a támogató szervezet.

A hatósági ellenőrzés kockázatát ma még nem lehet felmérni, bizonytalan a hatóság kapacitása és terheltsége.

A büntetési kockázatát mégis magasra értékelte Sándor Zsolt András – a Gill & Murry Kft. ügyvezető partnere –, mert elég egy elégedetlen ügyfél, hogy az email-t a hatóságnak elküldve vizsgálatot kezdeményezzen. Sajnos a levelezéssel tökéletes bizonyítékot szolgáltathatunk arra, hogy a hatóság egy vizsgálat során elmarasztaló határozatot hozzon és borsos bírságot állapítson meg.

A belső munkafolyamatok, többek között az email kezelési rend felülvizsgálatával, valamint az adatvédelmi tájékoztató frissítésével elkerülhetők az email kezelésből származó ehhez hasonló incidensek. Bár ezen a példán felül még számos megoldandó feladat vár a GDPR rendeletnek megfelelni kívánó szervezetekre – tette hozzá Sándor Zsolt András.