GDPR

Adatvédelem mindenkinek / Data protection for everyone

Újabb NAIH bírságok a GDPR alapján

2019. március 25. 09:00 - poklaszlo

A tavaly decemberben kiszabott első NAIH bírság után, további négy ügyben bírságolt a Hatóság, legutóbb múlt hét végén tettek közzé két bírságot megállapító határozatot. Az alábbiakban röviden áttekintem a négy utóbbi bírságot tartalmazó határozat főbb megállapításait. 

Az eddigi bírságot megállapító határozatokból az rajzolódik ki, hogy a Hatóság különösen nagy hangsúlyt fektet az érintetti joggyakorlás megfelelő biztosítására, valamint a GDPR-ban meghatározott alapelvek érvényesülésére. 

1. Törléshez és helyesbítéshez való jog (ügyszám: NAIH/2019/2526)

A Hatóság megállapította, hogy

  • az adatkezelő nem tett eleget az érintett törlésre vonatkozó kérelmének,
  • jogalap nélküli kezeli az érintett telefonszámát, így az adat kezelésével a célhoz kötöttség és az adattakarékosság elveit is megsértette, 
  • az adatkezelő nem adott előzetesen tájékoztatást a személyes adat gyűjtés céljától eltérő célból történő kezeléséről. 

A Hatóság

  • 1 millió Ft összegű bírságot szabott ki,
  • megtiltotta az adat további kezelését és
  • felhívta az adatkezelőt a jogellenesen kezelt adat törlésére (valamint értesítse az érintettet az adattörlés tényéről és ezt igazolja a Hatóságnak is). 

Az ügy tényállása szerint az érintett és az adatkezelő között gépkocsi beszerzésének finanszírozására kölcsönszerződés áll fenn, amelyre tekintettel az érintett levélben jelezte az adatkezelőnek lakcímének megváltozását és kérte telefonszámának a törlését. Az adatkezelő válaszlevelében azt közölte az érintettel, hogy a bejelentett lakcímet csak akkor fogja rögzíteni, ha az érintett megküldi számára a lakcímkártya másolatát (e körben, az okiratmásolat tekintetében a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvényre hivatkozott). A telefonszám törlését pedig arra való hivatkozással tagadta meg, hogy azt jogos érdek alapján a lejárt tartozás telefonos megkeresés útján történő érvényesítése érdekében és céljából kezeli. 

A Hatóság az érdekmérlegelési teszttel kapcsolatban több hiányosságot is megállapított:

  • az érdekmérlegelés nem célonként került elvégzésre, hanem összevontan több célra vonatkozott, 
  • az adatkezelő gazdasági érdeket és kényelmi szempontokat helyezett előtérbe az érintett érdekeivel és alapvető jogaival szemben, úgy, hogy ezen érdekek elsődlegességét nem bizonyította és arányosítást lényegében nem végzett,
  • az érintett érdekei hiányosan és helytelenül kerültek azonosításra,
  • a célok megjelölése sem történt megfelelően, 
  • az érdekmérlegelés irreleváns szempontokat is tartalmaz (pl. adatbiztonsági megfelelésre hivatkozást), 
  • túl általános garanciákat tartalmaz az érdekmérlegelés és általános hivatkozások szerepelnek benne, nem kerül pontosan megjelölésre, hogy milyen ajánlásokra, előírásokra hivatkozik. 

A fenti hiányosságokra tekintettel a Hatóság kimondta, hogy "megfelelő érdekmérlegelés hiányában a Kötelezett nem hivatkozhat a jogos érdekre, mint jogalapra, tehát a Kötelezett a Kérelmező telefonszám adatának a kezelését az általános adatvédelmi rendelet 6. cikk (1) bekezdés f) pontjára nem alapozhatja, így a vizsgált adatkezelésnek nincs jogalapja, ezért a Kötelezett jogellenesen tartja nyilván a telefonszám adatot."

Az eredeti adatkezelési céltól (szerződés teljesítése) eltérő egyéb célból történő adatkezelés (pl. az ügyfélszolgálati tevékenység fejlesztése), nem került megfelelően nevesítésre, és az adatkezelő nem alkalmazta a GDPR 6. cikk (4) bekezdésében foglaltakat, és nem került megállapításra az sem, hogy az adatkezelés eredeti és ettől eltérő célja összeegyeztethető-e. Az eredeti céltól eltérő, de azzal összeegyeztethető célra vonatkozóan az adatkezelő nem adott megfelelő tájékoztatást sem az érintettek részére.

Tekintettel arra, hogy a telefonszám kezelése a követelés behajtásához és a kapcsolattartáshoz nem elengedhetetlenül szükséges, hiszen egyéb elérhetőségi adatokat is kezel az adatkezelő. "A Hatóság álláspontja szerint az adatkezelés eredeti célja szempontjából az írásbeli kapcsolattartási forma elegendő és megfelelő. Az érintettnek lehetővé kell tenni, hogy választhassa az írásbeli kapcsolattartást is, ha nem kíván rendszeres telefonhívásokat fogadni. Az érdekmérlegelésben nincs olyan adatkezelői érdek, mely ezzel szemben elsődlegességet élvezne, és nehezen is képzelhető el ilyen érdek fennállta." Ennek megfelelően az adattakarékosság és a célhoz kötöttség elvei is sérültek

A lakcímkártya másolatának bekérése kapcsán a Hatóság azt állapított meg, hogy "... az nem kifogásolható, hogy a lakcímadat módosításához a Kötelezett az adat megváltozásának igazolását kéri, mert az általános adatvédelmi rendelet kifejezetten nem tiltja a pontosság elve és a Pmt. 12. § miatt észszerű intézkedésnek is tekinthető."

A Hatóság a bírság kiszabása során az alábbi tényezőket vette figyelembe:

  • A jogalap nélküli adatkezelés az érintett magánszféráját jelentősen érinti, és az ezzel okozott jogsérelmet az adatkezelő szándékos magatartása, adatkezelési gyakorlata idézte elő.
  • A jogsértés súlyos, mert érintetti jog (törléshez való jog) gyakorlását érinti, továbbá az adatkezelő adatkezelésével az általános adatvédelmi rendelet több cikkét is megsértette, köztük alapelvi jogsértést is megvalósított.
  • A bírságkiszabással a Hatóság speciális prevenciós célja az, hogy ösztönözze az adatkezelőt arra, hogy vizsgálja felül a telefonszám adat kezelésével kapcsolatos adatkezelési gyakorlatát.
  • A Hatóság a kiszabott bírságösszeg meghatározásakor a speciális prevenciós cél mellett figyelemmel volt a bírsággal elérni kívánt generálpreventív célra is, azaz valamennyi piaci szereplő adatkezelési gyakorlatának a jogszerűség irányába való mozdulását kívánja elérni. Ugyanis a jogos érdek fennállta, mint jogalap nem egy kötetlenül, bármely az adatkezelő érdekében álló esetre, esetkörre alkalmazható szabály, hanem a jogos érdekre történő hivatkozás precíz alátámasztása is szükséges.
  • Az adatkezelő elmarasztalására az általános adatvédelmi rendelet megsértése miatt még nem került sor, továbbá az adatkezelő a jogsértés feltárása során együttműködő magatartást tanúsított, melyet a Hatóság enyhítő körülményként értékelt.
  • A jogsértés jellege alapján – érintetti jogok sérelme – a kiszabható bírság felső határa az általános adatvédelmi rendelet 83. cikk (5) bekezdés b) pont alapján 20 000 000 EUR, illetve az előző pénzügyi év teljes világpiaci forgalmának legfeljebb 4%-a.

2. Jogalap nélküli adattovábbítás (ügyszám: NAIH/2019/596)

A Hatóság megállapította, hogy az adatkezelő jogellenesen járt el, mivel jogalap nélkül adta át, továbbította az érintett személyes adatait tartalmazó közérdekű bejelentését harmadik személy részére, aki így jogosulatlanul hozzáfért azokhoz. 

A Hatóság a fentiekre tekintettel 

  • 1 millió Ft összegű adatvédelmi bírságot szabott ki, és
  • elrendelte a végleges határozatnak az adatkezelő azonosító adatainak közzétételével történő nyilvánosságra hozatalát.  

A Határozat kötelezettje (adatkezelő) a Kecskemét Megyei Jogú Város Polgármesteri Hivatala volt, amely egy incidensbejelentés kapcsán lefolytatott eljárás eredményeként kapott bírságot. 

A közérdekű bejelentés az Önkormányzat által alapított és felügyelt intézmény működésére vonatkozott. Az érintett az intézmény alkalmazottja volt a bejelentés időpontjában. A bejelentés kivizsgálása során, az intézmény vezetője további információként kérte a közérdekű bejelentés teljes tartalmának rendelkezésére bocsátását, amelynek az adatkezelő üggyel foglalkozó munkatársa eleget is tett, vagyis a személyes adatokat tartalmazó dokumentumot – az érintett közérdekű bejelentését – teljes terjedelmében, anonimizálás nélkül megküldte az intézménynek, amely egyébként az érintett munkáltatója, és egyben a közérdekű bejelentésben kezdeményezett eljárás tárgya is volt. Ezt követően az érintett közalkalmazotti jogviszonyát rendkívüli felmentéssel megszüntette a bejelentéssel érintett intézmény. Az incidenst az Önkormányzat bejelentette a Hatóságnak. 

A közérdekű bejelentő személyes adatainak harmadik személlyel való közlése jogalap nélkül történt, a Panasztörvényben (a panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény) előírt kifejezett tiltás ellenére, ezáltal megsértette a GDPR 5. cikk (1) bekezdés a) pontját („jogszerűség, tisztességes eljárás és átláthatóság” elve), és 6. cikkét (adatkezelés jogalapja).

A jogellenes adatközlés egyidejűleg adatvédelmi incidensnek is minősült, mivel az adatok biztonsága olyan módon sérült, hogy az a kezelt személyes adatok jogellenes, jogosulatlan közlését és azokhoz jogosulatlan hozzáférést eredményezett. Az incidens kezelése kapcsán a Hatóság nem állapított meg jogsértést, mivel az adatkezelő az incidenst bejelentette a Hatóságnak és mivel úgy értékelte, hogy az valószínűsíthetően magas kockázatot jelent az érintettre, így az érintett tájékoztatása is megtörtént.

Tekintettel arra, hogy az Önkormányzat az Infotv. 61. § (4) bekezdés b) pontja hatálya alá tartozik, így a vele szemben kiszabható bírság mértéke százezertől húszmillió forintig terjedhet.  

A bírság kiszabása során a Hatóság az alábbi szempontokat vette figyelembe: 

  • A jogsértés csak egyetlen érintettre terjedt ki, de számára jelentős következménnyel járt, mivel a jogsértés és közalkalmazotti jogviszonyának megszüntetése között közvetlen ok-okozati kapcsolat áll fenn.
  • A kezelt személyes adatok köre, jellege, illetve az ezek szigorúbb védelmére szolgáló, speciális törvényi szabályozás is azt támasztják alá, hogy az ilyen adatok kezelésekor az adatkezelőknek fokozott elővigyázatossággal kell eljárniuk, és az ilyen kategóriájú személyes adatokra vonatkozó jogsértés esetén súlyosabb szankcionálás lehet indokolt. Erre tekintettel, az alkalmazott szankció speciális és generális preventív funkciója különös jelentőséggel bír. 
  • Enyhítő körülményként vette figyelembe a Hatóság, hogy a tényállás feltárása során nem utalt semmi arra, hogy a jogsértés visszavezethető lenne az adatkezelőnél fennálló rendszerszintű problémára, és általában az adatkezelő – a belső szabályozók és az adatvédelmi tisztviselő feladatellátása révén – az adatvédelmi szabályok betartására törekszik. 
  • A Hatóság végül figyelemmel volt arra is, hogy az adatkezelő az érintett személyes adatainak jogosulatlan személy általi megismerésről való tudomásszerzést követően következetesen alkalmazta belső eljárásrendjét annak érdekében, hogy az adatvédelmi incidens körülményeit kivizsgálja, és megtegye a szükséges intézkedéseket, illetve együttműködött a Hatósággal az ügy kivizsgálásában. 

3. Érintetti joggyakorlásra vonatkozó kérelem elbírálása (ügyszám: NAIH/2019/1841)

A Hatóság megállapította, hogy 

  • az adatkezelő nem segítette elő az érintett jogainak gyakorlását, és
  • az adatkezelő a törlési kérelem elbírálása és a kérelem alapján megtett intézkedésekről való tájékoztatás során nem tett eleget az átláthatóság követelményének.

A Hatóság a fentiekre tekintettel 

  • 500.000 Ft összegű adatvédelmi bírságot szabott ki, 
  • felszólította az adatkezelőt, hogy tájékoztassa az érintettet a személyes adatait tartalmazó biztonsági mentések törlésének időpontjáról, valamint a biztonsági mentések felhasználásának feltételeiről (a tájékoztatás megtörténtét pedig igazolnia kell  Hatóság felé is). 

A törlésre irányuló kérelmet ugyanakkor a Hatóság elutasította. 

A tényállás szerint az érintettel szemben fennálló követelést az adatkezelőre engedményeztek, amelynek teljesítésére az adatkezelő felhívta az érintettet. Az érintett nem tartotta jogosnak a követelést, így az adatkezelőnek írt elektronikus levelében vitatta a követelést és az adatkezelés jogszerűségét, továbbá kérte, hogy az adatkezelő bocsássa a rendelkezésére azon dokumentumokat, amelyekre a követelését alapozta, illetve tájékoztatást kért a kezelt személyes adatairól. Az adatkezelő kérte az érintettől, hogy természetes személyazonosító adataival azonosítsa magát, mivel csak így tud eleget tenni a kérelmének, ezt azonban a érintett megtagadta, mivel álláspontja szerint az ügyszám és a neve elegendő az azonosításához. Az érintett ismét elektronikus levélben kérte az adatkezelőtől, hogy a korábban kért dokumentumokat postai úton küldjék meg a részére, továbbá kérte, hogy az adatkezelő törölje az e-mail címét. Az adatkezelő tájékoztatta az érintettet, hogy mivel nem volt sikeres az azonosítása, ezért a panasza kivizsgálására irányuló eljárást lezárja.

Ezt követően az érintett postai levélben kérte a személyes adatai törlését. Az adatkezelő tájékoztatta, hogy az engedményes a követelést visszavásárolta, és az érintett személyes adatai törlése iránt intézkedik, de a személyes adatai továbbra is fellelhetők az informatikai rendszeréről készített biztonsági másolatokban, azonban ismételten intézkednek a törlésről, ha a biztonsági másolatok behívására lenne szükség, ennek hiányában pedig a biztonsági másolatokkal együtt véglegesen törlésre kerülnek a biztonsági másolatokra vonatkozó szabályzatának megfelelően.

A Hatóság megállapította, hogy az érintett által küldött e-mail nem tartalmazott olyan a néven kívüli további személyes adatot, amelyből az adatkezelő meggyőződhetett volna az érintett kilétéről, mivel az adatkezelő által megadott ügyszám elsődlegesen az ügy és nem az ügyfél azonosítására szolgál. Ebből kifolyólag az nem kifogásolható, hogy az adatkezelő további személyes adat megadását kérte, azonban mérlegelnie kellett volna, hogy a Kérelmező beazonosításához szükséges-e mind a négy természetes személyazonosító adat. Az adatkezelő ezt a mérlegelést nem végezte el. A GDPR 5. cikk (1) bekezdés c) pontja szerinti adattakarékosság elve sérelmének veszélye fennállt a születési dátum azonosítás céljából történő bekérése során, mivel a felszólítás idején az adatkezelő nem rendelkezett az érintett születési dátumával. 

A panasz kivizsgálásának lezárásakor az adatkezelő nem adott információt arról, hogy a panasza kivizsgálását postai levélben is kérheti, és az ilyen formán benyújtott kérelmét további természetes személyazonosító adatok megadásának hiányában is elbírálja, ha az tartalmazza a nevét, az ügyszámot és az aláírását. Az adatkezelő tehát nem segítette elő az érintetti jogok gyakorlását, nem tájékoztatta az érintetti jogérvényesítés további lehetőségeiről, ezzel megsértve a GDPR 12. cikk (2) bekezdését.

Tekintettel arra, hogy az e-mailes megkeresések tekintetében az adatkezelő nem tudta azonosítani az érintettet, így a hozzáférési jog gyakorlására irányuló kérelem nem teljesítése kapcsán nem sértette meg a GDPR vonatkozó rendelkezéseit (15. cikk), mivel a postai úton előterjesztett kérelemben az érintett már nem tett a hozzáférési, illetve másolatkiadáshoz való joga gyakorlására irányuló kérelmet. 

Az adatkezelő által - Kormányrendeletben meghatározott - biztonsági mentési kötelezettség alapján történő adatkezelés kapcsán nem állapított meg jogsértést a Hatóság, ugyanakkor az átláthatóság követelményének megsértését mondta ki, az adatkezelő biztonsági másolatokra, azok kezelésére vonatkozó szabályzata nem nyilvános, az az érintettek számára, így az adatkezelő nem tájékoztatta megfelelően az érintettet arról, hogy melyik az az utolsó biztonsági mentés, amiben még szerepelnek a személyes adatai, milyen esetekben kerülhet sor a biztonsági mentések felhasználására, illetve felhasználás hiányában mikor törli azt az utolsó biztonsági mentést, amelyben a törlést megelőzően még szerepeltek az érintett személyes adatai. 

A bírság kiszabása során a Hatóság az alábbi szempontokat értékelte: 

  • az elkövetett jogsértések a GDPR 83. cikk (5) bekezdés a) és b) pontja szerint súlyosabb jogsértésnek minősülnek, 
  • a jogsértés az adatkezelőnek felróható, az érintett joggyakorlás iránti kérelmének teljesülését tudatosan, a GDPR rendelkezéseibe ütköző módon intézte, azt ténylegesen hátráltatva, 
  • a jogsértő magatartás a konkrét ügyben ténylegesen is közrehatott az érinteti jogok gyakorlása alacsonyabb szintjére,
  • a megállapított jogsértések együttesen hozzájárulhattak ahhoz is, hogy az érintett a jogait csak késedelmesen és az eredetileg tervezett – és őt megillető – szélesebb körű jogosultságokat nem gyakorolhatta. 

4. A pontosság elvének megsértése (ügyszám: NAIH/2019/363)

A Hatóság megállapította, hogy az adatkezelő nem tett eleget a pontosság elvében megfogalmazott, továbbá az érintetti jogok elősegítésére vonatkozó kötelezettségének. 

A Hatóság kötelezte az adatkezelőt 500.000 Ft adatvédelmi bírság megfizetésére.

A tényállás szerint az érintett telefonszámára szöveges üzenetben értesítéseket kapott hitelkártya tartozással kapcsolatban, annak ellenére, hogy az adatkezelőnek nem ügyfele. Az adatkezelő értesítette az érintettet, hogy a panasz alapján a szükséges lépéseket megtette, ennek ellenére az érintett ismét kapott telefonon keresztül szöveges üzenetben értesítést.

A Hatóság megállapította, hogy az adatkezelő adatkezelése, az általa tárolt telefonszámra való sms küldése kapcsán csak addig volt jogszerű, amíg vélelmezhető volt, hogy a nyilvántartott telefonszám az ügyfeléé, amikor ez kétségessé vált, az adatkezelőnek intézkednie kellett volna az adat kezelésének korlátozásáról a helyzet tisztázásáig, az adatpontosság ellenőrzéséig. Az adatkezelő ennek a kötelezettségének nem tett eleget, mert a bejelentést követően is küldött sms-t és az értesítések küldésére felhasználta a telefonszámot, ezzel megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés d) pontját (pontosság elve).

A pontosság elve nem csak az adatkezelőtől, hanem az adatalanytól is megköveteli a szükséges intézkedések megtételét, tehát szükséges az adatalany együttműködése is. A szerződéses kapcsolat és az ebből származó együttműködési kötelezettség alapján az ügyfelének az adatkezelő által küldött adatpontosító levélre válaszolnia kellett volna, sőt még azt megelőzően, a változások beállta után indokolatlan késedelem nélkül értesítenie kellett volna a személyes adataiban történt változásról az adatkezelőt. Ez nem történt meg, azonban ez nem indok arra, hogy az adatkezelő továbbra is használja az adatot, és nem ad felmentést az adatkorlátozással kapcsolatos intézkedések megtétele alól.

Az adatkezelőnek - felhívás helyett - arról kellett volna tájékoztatnia az érintettet, hogy az előfizetői szerződés bemutatásával igazolhatja azt, hogy a telefonszám a személyes adata, ebben az esetben a pontatlan adatot törli a nyilvántartásból. Amennyiben az érintett az előfizetői szerződést nem kívánja bemutatni, az adatkezelő a telefonszám adat kezelését korlátozza az adat pontosságának ellenőrzéséhez szükséges időtartamra. Az érintettnek ezen tájékoztatás alapján lett volna lehetősége felismerni azt, hogy az adott intézkedések és a saját döntései milyen hatással lesznek a magánszférájára. Az érintettek a megfelelő tájékoztatáson keresztül ismerhetik meg a személyes adataikra vonatkozó adatkezelést, illetve ezáltal érvényesülhet az információs önrendelkezési joguk, azonban az érintett nem kapott ilyen tájékoztatást. Az adatkezelő nem segítette elő az érintetti jogok gyakorlását a küldött felhívásával, mert az részben megtévesztő volt, ugyanis az előfizetői szerződés másolatának bekérésére az adatkezelő nem volt jogosult, ennek kezelésére, adattartalmának megismerésére az érintett adhatott volna számára hozzájárulást.

A Hatóság a bírság kiszabása során az alábbiakat vette figyelembe

  • a jogsértés jellege körében értékelte azt, hogy alapelv sérelme történt, 
  • az adatkezelő pedig nem segítette elő az érintetti jogok gyakorlását
  • súlyos jogsértésként értékelte a Hatóság, hogy az adatkezelő nem intézkedett az adatkezelés korlátozása iránt az adatok pontossága vizsgálatának idejére,
  • többszöri panasz ellenére sem segítette elő az adatok pontosságára vonatkozó alapelv érvényesülését, nem korlátozta az adatkezelést, ezért a jogellenes adatkezelés huzamosabb ideig fennállt, 
  • enyhítő körülmény, hogy az adatkezelő ügyfelének adatváltozás bejelentési kötelezettségének elmulasztása is közrehatott a jogellenes adatkezelésében,
  • enyhítő körülményként került értékelésre az is, hogy az adatkezelő elmarasztalására a GDPR megsértése miatt még nem került sor, továbbá a jogsértés feltárása során együttműködő magatartást tanúsított.