GDPR

Adatvédelem mindenkinek / Data protection for everyone

Adatvédelmi bírság engedély nélküli követelésvásárláshoz kapcsolódó adatkezelés miatt

2019. szeptember 09. 11:30 - poklaszlo

A NAIH 1 millió Ft összegű bírságot szabott ki engedély nélküli követelésvásárlással összefüggő adatkezeléssel kapcsolatban, továbbá megtiltotta, hogy az adatok követeléskezelési célból történő kezelését.

Az eset több szempontból is érdekes, egyrészt az engedélyköteles tevékenység megfelelő engedély nélküli folytatása és az ehhez kapcsolódó adatkezelés megítélése szempontjából, másrészt azt is megmutatja, hogy a Hatóság jogkörei közül - a bírságolás mellett - nagyon fontos eszköz a jogellenes adatkezelés megtiltása,  illetve az adatkezelés korlátozása, harmadrészt az eljárás során a Hatóság eljárási bírságot is kiszabott, mivel a Kötelezett nem adott megfelelően válaszokat a NAIH által feltett kérdésekre. 

Az eset

Az érintettek bankhitet vettek fel, és az abból származó, a hitelt nyújtó bank felé fennálló követelést az ügyben Kötelezettként szereplő követeléskezelő (adatkezelő) vásárolta meg (engedményezésre került sor). A követelés átadásával az érintettek személyes adatai is továbbításra kerültek. A követelésvásárlás időszakában a Kötelezett nem rendelkezett megfelelő engedéllyel a tevékenysége folytatására, így az MNB megállapítása szerint, engedély nélküli követelésvásárlási pénzügyi tevékenységet folytatott. 

Bár a követelés megvásárlására a GDPR alkalmazandóvá válását megelőzően (2014-ben) került sor, az eljárás tárgyát a 2018. május 25-ét követő, azaz a GDPR alapján folytatott adatkezelés képezte. 

A Hatóság megállapításai

A Hatóság egyrészt vizsgálta az adatkezelés jogalapját és ezzel kapcsolatban - a korábbi hatósági gyakorlattal és jogértelmezéssel összhangban lévő - általános megállapításokat is tett:

Az engedményes a követelés behajtása céljából saját érdekében és saját javára jár el, hiszen az engedményezéssel ő válik a követelés jogosultjává, és a követelés érvényesítése, az adós teljesítésre bírása, valamint az ennek érdekében végzett adatkezelés az ő jogos érdekét, nem pedig az alapul fekvő szerződés teljesítését szolgálja, mivel a követelés az engedményezéssel függetlenné vált a szerződéstől.

Ennek megfelelően az adatkezelés jogalapja a jogos érdek lehetne, a szerződés teljesítése azonban nem, hiszen az engedményezési szerződés esetében az érintett nem szerződő fél, az alapul fekvő szerződés pedig megszűnt. 

Megjegyezte azt is a Hatóság, hogy - bár az eljárás tárgyát ez kifejezetten nem képezte, de - más adatkezelési célok a különféle hatóságok eljárásával összefüggésben az adatok kezelése (a keletkező okiratok tárolása) a Kötelezett jogi igényeinek előterjesztéséhez, érvényesítéséhez, illetve védelméhez szükséges. Ez pedig a GDPR 17. cikk (3) bekezdés e) pontjára tekintettel a személyes adatok törlésének korlátjára lehet. Ezeken kívül jogi kötelezettsége a Kötelezettnek magának az engedményezési szerződésnek a megőrzése is – a benne foglalt kérelmezői személyes adatokkal a számvitelről szóló törvény alapján (mint a könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatra). 

Az adatkezelés jogszerűsége és célja tekintetében megállapította a Hatóság, hogy a Kötelezett - az engedményezési szerződés alapján - a követelések jogosultjaként a követelések érvényesítése céljából kezeli személyes adataikat. Ez a cél pedig önmagában jogszerűnek minősül. Ugyanakkor tekintettel arra, hogy az MNB megállapította, miszerint a Kötelezett "engedély nélkül végezte a Hpt. 6. § (1) bekezdés 60. pontja szerinti követelésvásárlási tevékenységet, mely miatt el is tiltotta e tevékenység végzésétől, a Hatóság álláspontja szerint e jogellenesen végzett tevékenységgel összefüggő adatkezelés és annak célja is jogellenes."

A fentiek alapján a Kötelezett megsértettet a GDPR 5. cikk (1) bekezdés a) és b) pontját („jogszerűség, tisztességes eljárás és átláthatóság”, illetve "célhoz kötöttség"). "Ugyanakkor a Kötelezett a vele szemben indult hatósági eljárások során keletkezett iratokban szereplő kérelmezői személyes adatokat jogszerűen kezelheti az általános adatvédelmi rendelet 17. cikk (3) bekezdés e) pontjára tekintettel, emiatt a Hatóság ezen személyes adatok törlését határozatában nem rendelte, hanem helyette korlátozza a Kérelmezők személyes adatainak kezelését.

A jogkövetkezmények alkalmazása

A Hatóság a bírságkiszabás során az alábbi körülményeket vette figyelembe:

  • A Kötelezett szándékosan járt el, amikor az MNB engedélyéhez kötött követelésvásárlási pénzügyi szolgáltatási tevékenységet engedély nélkül végezte, és ennek során kezelte a Kérelmezők személyes adatait.
  • A Kötelezett azzal, hogy a Hatóság részére nem nyújtott megfelelő tájékoztatást, felróhatóan megsértette az  együttműködési és adatszolgáltatási kötelezettségét is, ezzel nehezítette a tényállás feltárását, és további eljárási cselekmény foganatosítását tette szükségessé.
  • A Kötelezett elmarasztalására a GDPR megsértése miatt még nem került sor.
  • A Hatóság súlyos jogsértésnek értékelte, hogy a Kötelezett jogszerűtlenül követeléskezelési célból kezeli a Kérelmezők személyes adatait.

Az ügy érdekessége továbbá, hogy eljárási bírság kiszabására is sor került (50.000 Ft összegben), mivel a Kötelezett ugyan határidőben nyilatkozatot tett, azonban a Hatóság által feltett kérdésekre nem válaszolt, és a kért dokumentumokat nem küldte meg. 

Szólj hozzá!
Címkék: bírság portfolioblogger Magyarország NAIH HU jogalap jogos érdek

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr4615051940

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása