GDPR

Adatvédelem mindenkinek / Data protection for everyone

NAIH bírság: Adatkezelés jogos érdek alapján a hozzájárulás visszavonását követően

2019. augusztus 05. 11:30 - poklaszlo

Az Adatvédelmi Hatóság (NAIH) 1 millió Ft összegű bírságot szabott ki júniusban az érintett törlésre vonatkozó kérelmének elutasítása és jogalap nélkül történő adatkezelés, illetve a célhoz kötöttség és az adattakarékosság elveinek megsértése miatt (NAIH/2019/2402). 

A határozat több tekintetben is érdekes és fontos megállapításokat tartalmaz: egyrészt az érdekmérlegelési teszt elvégzésével és tartalmával (eredetitől eltérő célra történő adatkezelés kapcsán), illetve egyes információk üzleti titokként kezelésével kapcsolatban.

Az ügy

A érintett kérelemmel fordult az adatkezelőhöz, hogy az minden telefonos elérhetőségi adatát, továbbá e-mail címét törölje. Az adatkezelő válaszában arról tájékoztatta az érintettet, hogy amíg az érintett (adós) a tartozását nem rendezi, addig az adatkezelő jogosult az érintettet (adóst) egyéb elérhetőségein is – akár személyesen, akár telefonon vagy írásban – felvenni a kapcsolatot az adatkezelő jogos érdekeinek érvényesítése, azaz a tartozás behajtása vagy a gépkocsi birtokbavétele érdekében.

Az adatkezelés eredeti jogalapja a hozzájárulás volt (2008-ban a kölcsönszerződés megkötésekor rögzítették az adatokat), míg a GDPR alkalmazandóvá válása után a jogalap a GDPR 6. cikk (1) f) szerinti jogos érdek. Az adatkezelő a NAIH rendelkezésére bocsátotta az elvégzett érdekmérlegelési tesztet is.

Az adatkezelő kérte a Hatóságtól, hogy az érintettel kötött szerződést, az érintettel folytatott levelezést, továbbá az érdekmérlegelési tesztet és a vonatkozó belső utasításának tartalmát kezelje üzleti titokként.  

Adatkezelés a hozzájárulás visszavonást követően, érdekmérlegelés 

A GDPR alapján a személyes adatokat a hozzájárulás visszavonását követően törölni kell, ha az adatkezelésnek nincs más jogalapja. Az adatkezelő a törlési kérelem elutasításakor arra hivatkozott, hogy a hozzájárulás visszavonását követő adatkezelésének jogalapjaként az általános adatvédelmi rendelet 6. cikk (1) bekezdésének f) pontját (jogos érdek) alkalmazza és közölte, hogy az adatkezelés jogi igények előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges (vö. GDPR 17. cikk (3) bekezdés e) pont).

Az adatkezelő által rendelkezésre bocsátott érdekmérlegelési teszttel kapcsolatban a NAIH az alábbi hiányosságokat állapította meg: 

  • a telefonszám kezelésére vonatkozó érdekmérlegelés ellentmondásos, mert egyrészt azt tartalmazza, hogy "az érintett jogos érdeke egyensúlyban van az adatkezelő jogos érdekével", másrészt később azt rögzíti, hogy "az adatkezelő jogos érdeke felülmúlja az érintett érdekeit”, 
  • az érdekmérlegelés csak egy adatkezelési céllal kapcsolatban tartalmazza az adatkezelés szükségessége melletti, részletesen kifejtett érveket, annak ellenére, hogy több adatkezelési cél kapcsán is sor kerül a személyes adat kezelésére,
  • nem foglalkozik azzal az esettel, amikor az érintett tiltakozik az adatkezelés ellen, nem vizsgálja, hogy a felek érdekeinek mérlegelése milyen eredményre vezet, ezzel pedig az érdekmérlegelések lényegi elemét nem tartalmazza, 
  • érdekmérlegelés helytelenül azonosítja az érintetti érdekeket, mert általános következtetést von le egyes érintetti esetekből, és azt mondja ki a Hatóság, hogy: "Az nem elfogadható érv egy adatkezelés mellett, hogy az érintettek jelentős hányada kifejezetten igényli azt.",
  • mivel a gépjármű forgalomból való kivonásáról szóló döntés tartalmi elemeit az azt szabályozó jogszabályok írják elő, így amennyiben az adott közigazgatási döntés a jogszabályokban előírt kellékekkel rendelkezik és joghatás kiváltására alkalmas, abban az esetben külön SMS-ben küldött vagy szóbeli értesítés nem szükséges.

Összefoglalóan megállapítja a Hatóság, hogy 

Az érintettnek lehetővé kell tenni, hogy választhassa az írásbeli kapcsolattartást is, ha nem kíván telefonhívásokat és SMS üzeneteket fogadni. Az érdekmérlegelésben nincs olyan adatkezelői érdek, mely az érintett ezen jogával szemben elsődlegességet élvezne, és nehezen is képzelhető el ilyen érdek fennállta.

A fentiekre tekintettel a Hatóság megállapította, hogy az adatkezelőnek nincs a GDPR 17. cikk (1) bekezdés b) pontjához felhívható más jogalapja.

Fontos általános iránymutatás lehet az adatkezelőknek az érdekmérlegelési tesztek készítése során, a Hatóság által a bírságkiszabás kapcsán rögzített elvárás: 

Ugyanis a jogos érdek fennállta, mint jogalap nem egy kötetlenül, bármely az adatkezelő érdekében álló esetre, esetkörre alkalmazható szabály, hanem a jogos érdekre történő hivatkozás precíz alátámasztása is szükséges.

Üzleti titoknak minősítés

Az adatkezelő egyes információk (pl. érdekmérlegelési teszt, belső utasítás, érintettel kötött szerződés és az érintettel folytatott levelezés) üzleti titokként történő kezelését is kérte. 

Az érdekmérlegelés üzleti titokként történő kezelésével kapcsolatban a NAIH megállapította: 

  • Az általános adatvédelmi rendelet 12. cikk (3)-(4) bekezdésben meghatározott tájékoztatási kötelezettség körébe tartozó információk nem minősülhetnek az üzleti titok tv. szerinti üzleti titoknak, tekintettel arra, hogy azokat az érintettek jogosultak megismerni.
  • Az érintettek ahhoz fűződő érdeke, hogy meggyőződhessenek arról, hogy az adatkezelés valóban arányosan korlátozza-e a jogaikat, megelőzi az adatkezelőnek az érdekmérlegelés üzleti titokként történő kezelésének az adatkezelő szerinti üzleti érdekét.
  • Tekintettel arra, hogy az érintett az érdekmérlegelés tartalmáról nem kapott tájékoztatást az adatkezelőtől, azt csak a hatósági határozatból ismerheti meg.
  • Az érdekmérlegelési teszt tehát nem tekinthető üzleti titoknak.

Az adatkezelői belső utasítás az adatkezelő eljárásrendjére vonatkozó olyan dokumentáció, mellyel kapcsolatban az adatkezelőt a GDPR 12. cikk (3)-(4) bekezdésben meghatározott tájékoztatási kötelezettség nem terheli, tehát amennyiben az adatkezelő üzleti titokként kívánja az utasítást kezelni, abban az esetben ez a GDPR rendelkezéseibe nem ütközik. Ettől függetlenül az utasítás egyes szabályai a vonatkozó jogi szabályozás alapján nyilvánosnak minősülhetnek (pl. az adatvédelmi tisztviselő elérhetősége).

A bírságkiszabás szempontjai 

A Hatóság a bírság kiszabása során az alábbi tényezőket vette figyelembe:

  • A jogalap nélküli adatkezelés az érintett magánszféráját jelentősen érinti, és az ezzel okozott jogsérelmet az adatkezelő szándékos magatartása, adatkezelési gyakorlata idézte elő.
  • A jogsértés súlyos, mert érintetti jog (törléshez való jog) gyakorlását érinti, továbbá az adatkezelés a GDPR több cikkét is megsértette, köztük alapelvi jogsértést (célhoz kötöttség, adattakarékosság) is megvalósított.
  • A bírságkiszabással a Hatóság speciális prevenciós célja az, hogy ösztönözze az adatkezelőt, hogy vizsgálja felül a telefonszám adat kezelésével kapcsolatos adatkezelési gyakorlatát.
  • A bírságkiszabás során figyelembe vette a NAIH az elérni kívánt generálpreventív célt is, mellyel valamennyi piaci szereplő adatkezelési gyakorlatának a jogszerűség irányába való mozdulását kívánja elérni. "Ugyanis a jogos érdek fennállta, mint jogalap nem egy kötetlenül, bármely az adatkezelő érdekében álló esetre, esetkörre alkalmazható szabály, hanem a jogos érdekre történő hivatkozás precíz alátámasztása is szükséges."
  • Az adatkezelő elmarasztalására a GDPR megsértése miatt még nem került sor.
  • A jogsértés jellege alapján – érintetti jogok sérelme – a kiszabható bírság felső határa 20 000 000 EUR, illetve az előző pénzügyi év teljes világpiaci forgalmának legfeljebb 4%-a.
  • Az adatkezelő 2018. évi eredménykimutatása alapján az adózás előtti eredménye [~7,3 milliárd] Ft volt. A kiszabott adatvédelmi bírság jelképes összegű és nem lépi túl a kiszabható bírság maximumát.

A NAIH fenti határozata fontos iránymutatást ad arról, hogy az adatkezelőknek milyen hatósági elvárásoknak kell megfelelniük, amikor a jogos érdeken alapuló adatkezelésüket érdekmérlegelési teszttel támasztják alá. 

Az érdekmérlegelés elvégzése előtt érdemes a NAIH korábbi határozatai közül más határozatokat is áttanulmányozni, így különösen:

Szólj hozzá!
Címkék: bírság hozzájárulás portfolioblogger üzleti titok Magyarország NAIH HU jogos érdek érdekmérlegelési teszt

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr6614972628

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása