GDPR

Adatvédelem mindenkinek / Data protection for everyone

Újabb NAIH határozatok a GDPR alapján

2020. január 17. 09:30 - poklaszlo

A NAIH több, még 2019-ben a GDPR alapján hozott határozatot tett közzé a napokban. A határozatok több, különböző adatkezeléssel kapcsolatos kérdést is érintettek és az egyik határozatban bírság kiszabására is sor került, 1.5 millió Ft összegben

A határozatok az alábbi főbb témákat érintik:

  • kamerás megfigyelés jogellenessége (NAIH/2019/5421),
  • törléshez való jog megsértése, jogalap nélküli adatkezelés, célhoz kötöttség, adattakarékosság és átláthatóság elvének megsértése (NAIH/2019/4424),
  • célhoz kötöttség és adattakarékosság elvének megsértése, jogalap nélküli adatkezelés, adattovábbítás jogszerűségének vizsgálata, tájékoztatási kötelezettség (NAIH/2019/28/15),
  • hozzáféréshez való jog gyakorlása (NAIH/2019/3202).

1. Kamerás megfigyelés jogellenessége

Az eljárás alapját egy bejelentés képezte, amely szerint a magánszemély Kötelezettek az ingatlanuk területén elhelyezett kamerákkal magánterületük mellett a közterületet is megfigyelik

A Kötelezettek az eljárásban előadták, hogy a kamerák képén a közterületi, illetve a szomszédos lakóingatlan kertje el van maszkolva, így a rendszer kizárólag a saját kertet képes rögzíteni (ennek alátámasztására mellékeltek a kamerarendszer által megfigyelt területről mutatott képeket). A kamerákat birtokvédelmi célból szereltették fel. A kamerarendszert a Kötelezettek üzemeltették és rajtuk kívül más nem fért hozzá az adatokhoz, az adatkezeléshez adatfeldolgozót nem vettek igénybe.

A becsatolt, a kamerák látószögét bemutató pillanatfelvételek alapján a felszerelt 4 kamera közül 2 kamera  – a nem megfelelő kitakarás miatt – az ingatlan kerítése előtti közterület egy részét is megfigyelhetővé tette.

A bejelentők a rendőrségen is feljelentést tettek a kamerarendszer miatt. A rendőrség az eljárást - tekintettel arra, hogy a rendelkezésre álló adatok, illetve a bizonyítási eszközök alapján bűncselekmény elkövetése nem volt megállapítható - megszüntette. 

A NAIH által tett megállapítások: 

  • Adatkezelő személye: A Kötelezettek a kamerákat személyük és vagyonuk biztonságának biztosítása céljából szereltették fel és bíztak meg egy vállalkozást a telepítési munkákkal, ezért mint az adatkezelés célját és eszközeit meghatározó személyeket a Hatóság a Kötelezetteket adatkezelőnek tekintette.
  • Háztartási célú adatkezelés: Magánszemély által üzemeltetett kamera által folytatott adatkezelés a GDPR hatálya alá tartozik, ha nem minősül háztartási adatkezelésnek. "Nem tekinthető ugyanis kizárólag személyes vagy otthoni tevékenység keretében végzett adatkezelésnek az a vagyonvédelmi célú kamerás megfigyelőrendszerrel végzett adatkezelés, amely az adatkezelést végző személy magánszféráján kívülre irányul." "Tekintettel arra, hogy a Kötelezettek az általuk üzemeltetett kamerákkal oly módon készítenek képfelvételt, hogy annak maszkolási funkciója nem megfelelő, minek következtében a közterületet is megfigyelik, az adatkezelésük nem minősülhet háztartási adatkezelésnek."
  • Adatkezelés jogalapja: A Kötelezettek az eljárás során nem jelölték meg az általuk folytatott adatkezelés jogalapját, azt sem valószínűsítették, hogy rendelkeznének a közterületen tartózkodók hozzájárulásával, vagy hogy a kamerás megfigyelés megfelelő érdekmérlegeléssel alátámasztott jogos érdekeik érvényesítéséhez szükséges. A Hatóság megállapította, hogy azáltal, hogy két kamerával megfigyelik az ingatlanuk előtti közterületet is, így a Kötelezettek megsértették a GDPR 6. cikkét, ugyanis megfelelő jogalap nélkül kezelték, illetve kezelik a kamerák által megfigyelt közterületen tartózkodó, ott elhaladó érintettek személyes adatait.

A NAIH bírságot nem állapított meg, de utasította a Kötelezetteket, hogy az adatkezelési műveleteiket 30 napon belül hozzák összhangba a GDPR rendelkezéseivel.

(Korábban, hasonló ügyben már hozott a NAIH határozatot. Erről rövid összefoglaló itt érhető el.)

2. Törléshez való jog megsértése, jogalap nélküli adatkezelés, célhoz kötöttség, adattakarékosság és átláthatóság elvének megsértése

A Hatóság megállapította, hogy a Kötelezett nem tett eleget a Kérelmezők személyes adataik törléséhez való érintetti joguk gyakorlására irányult kérelmének, és jogalap nélküli kezeli a Kérelmezők telefonszám adatait, továbbá a telefonszám adatoknak az adatkezelési hozzájárulás visszavonását követő kezelésével a célhoz kötöttség és az adattakarékosság elvét is megsértette. Az ügyben a NAIH 1.5 millió Ft összegű bírságot is kiszabott, továbbá utasította az adatkezelőt, hogy teljesítse a mobiltelefonszámok törlésére irányult kérelmet, és ezeket az adatokat valamennyi nyilvántartásából törölje

Az eljárás arra tekintettel indult, hogy a Kérelmezők (érintettek) levélben kérték a hozzájárulásuk alapján kezelt telefonszámaik törlését, amelyre nem került sor, mivel továbbra is hívásokat kaptak a törölni kért telefonszámokra. A kérelem teljesítésének megtagadásáról a Kérelmezettől tájékoztatást nem kaptak.

Az ügy hátterében egy engedményezés állt, amely kapcsán a Kötelezett Kérelmező I.-vel szembeni követelést engedményezte és a követelést Kérelmező II.-vel szemben is próbálták érvényesíteni (a Kérelmezők házassági életközösségére hivatkozással). A Kötelezett és a Kérelmezett között „Közös Adatkezelői Szerződés” jött létre, amely azonban a kérelemmel érintett ügyben kifogásolt adatkezelés időszakában még nem létezett, de a Kötelezett és a Kérelmezett nyilatkozata szerint az a kérelemmel érintett időszakban követett gyakorlatukat tükrözte. A Kötelezett és Kérelmezett a Közös Adatkezelői Szerződésben hivatkoztak az egymással függő ügynöki behajtási tevékenységre kötött megbízási szerződésre, és arra, hogy a Kérelmezett a Kötelezett - hitelintézetekről és pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény szerinti - kiemelt közvetítője.

A NAIH által tett főbb megállapítások:

  • Közös adatkezelés: Az eljárás során a Kérelmezett és a Kötelezett nyilatkozatai azt támasztották alá, hogy Kérelmezők kérelméről nem közösen döntöttek. A Kérelmezett nem rendelkezik jogosultsággal arra vonatkozóan, hogy a közösen használt követeléskezelő rendszerből adatokat töröljön, az adattörlésre irányuló érintetti kérelmekről döntsön, illetve a döntéshozatalban részt vegyen. Mindezek alapján a Kötelezett és a Kérelmezett nem minősülnek - együttes/párhuzamos - adatkezelőnek, hanem a Kérelmezett adatfeldolgozó. (A Kötelezett pedig adatkezelő.)
  • Átláthatóság: A Hatóság álláspontja szerint a Kötelezett által a Kérelmezőknek küldött válaszlevél nem felelt meg az átláthatóság követelményének, mivel abban egyrészt nem szerepelt, hogy az a Kérelmezők által a Kérelmezettnek (tehát nem a Kötelezettnek) címzett igényre adott válasz (így a Kérelmezők abban a hiszemben voltak, hogy a Kérelmezett nem foglalkozott a beadványukkal), másrészt a válaszlevélben a felek (Kérelmezett és Kötelezett) szerepére vonatkozó információk is átláthatatlanok voltak és a Kérelmezők számára a felek közötti jogviszony tekintetében való eligazodást sem segítették. 
  • Adatkezelés jogalapja a hozzájárulás visszavonását követően: Nem fogadta el a Hatóság az adatkezelés jogalapjául a kötelező adatkezelést, mivel a faktoring tevékenység végzése és az ebből eredő követelésbehajtás nem jogi kötelezettség, hanem a jogosult döntése alapján történik. Szintén nem tartotta megfelelő jogalapnak a NAIH a szerződés teljesítéséhez kapcsolódó adatkezelést (".... az engedményezéssel a követelés elválik az alapjogviszonytól és az engedményes a követelés jogosultjává válik, a követelés engedményes általi érvényesítése, illetve az ahhoz kapcsolódó adatkezelés, többé már nem azon szerződés teljesítése érdekében történik, amelyből a követelés eredetileg származott, mivel ebben az esetben az engedményesnek nem a saját, hanem az engedményező javára kellene érvényesíteni az engedményezés útján megszerzett követelést"). A jogos érdek, mint jogalap elfogadható lehetne, azonban csak megfelelő érdekmérlegeléssel alátámasztva. 
  • Érdekmérlegelés: Az érdekmérlegelés kapcsán a "saját üzleti érdekek túlértékelése mellett" azt állapította meg a Hatóság, hogy az elvégzett érdekmérlegelés több hiányosságot is mutatott. Egyrészt a telefonszám kezelése nem minősül feltétlenül szükségesnek az adatkezelési cél elérése érdekében, másrészt az érdekmérlegelés egymásnak ellentmondó megállapításokat is tartalmaz.
  • Adattakarékosság: A Hatóság megállapítása szerint a telefonszám nem feltétlenül szükséges a követelés érvényesítéséhez, így annak kezelése sérti az adattakarékosság elvét is. 
  • Célhoz kötöttség: A nem megfelelően meghatározott, illetve alátámasztott adatkezelési célra tekintettel a célhoz kötöttség elvének sérelmét is megállapította a Hatóság. 

A bírság kiszabása kapcsán a NAIH az alábbi szempontokat mérlegelte: 

  • A jogalap nélküli adatkezelés az érintettek magánszféráját jelentősen érinti, mivel a hozzájárulás visszavonása után is rendszeresen telefonhívásokat kaptak, "annak ellenére, hogy a Kérelmezők egyértelműen elutasították ezt a kapcsolattartási módot." (GDPR 83. cikk (2) bekezdés a) pont)
  • A jogsértés súlyos, mert érintetti jog (törléshez való jog) gyakorlását érinti, továbbá a GDPR több rendelkezése is megsértésre került, köztük alapelvi jogsértés is megvalósult. (GDPR 83. cikk (2) bekezdés a) pont)
  • A jogsérelmet szándékos magatartás, adatkezelési gyakorlat idézte elő. (GDPR 83. cikk (2) bekezdés b) pont)
  • A Kötelezett elmarasztalására a GDPR megsértése miatt már sor került (NAIH/2019/2114/7. sz.). Azonban az ugyanezen szabály (átláthatóság elvének megsértése) sérelmét okozó magatartás, tevékenység eltér, ezért az ismétlődést a Hatóság figyelembe vette, de kifejezett súlyosbító körülményként nem értékelte. (GDPR 83. cikk (2) bekezdés e) és i) pont)

(Korábban, hasonló ügyben a NAIH már hozott határozatot, amelyről itt érhető el összefoglaló.)

3. Hozzáféréshez való jog gyakorlása

Az eljárás alapját nem teljesített hozzáférési igény jelentette, amely során az érintett 2002. január 01. és 2002. január 31. közötti időszakra vonatkozó egészségügyi intézményben igénybe vett ellátása során keletkezett ambuláns kezelőlapra vonatkozó adatok („betegéletút”) kiadását kérte.

A ambuláns kezelőlapok kiadását a NEAK (Kérelmezett) arra hivatkozással tagadta meg, hogy a Kérelmező által igényelt „ambuláns lap szélesebb adattartalommal bír”, mint az egészségügyi szolgáltatók által a Kérelmezett felé teljesített, finanszírozási adatokat tartalmazó jelentések, ezért az ambuláns lapok „teljes körű kezelésére a jogszabály nem ad felhatalmazást a NEAK számára”. Egy későbbi iratban a  NEAK arról tájékoztatta a Hatóságot, hogy a Kérelmező által kért időszak vonatkozásában az informatikai rendszer nem ad lehetőséget lekérdezésre. A Kérelmezett kijelentette, hogy "a Kérelmező által megkeresett ügyintézők, területi szervek nem tudták kiadni a kért adatokat", mivel ahhoz nem férhettek hozzá, ahhoz csak az adatgazda informatikai főigazgató-helyettes által erre feljogosított személyek férhetnek hozzá. A Kérelmezett utalt arra is, hogy ".... a kérdéses adatbázis jogszabályi kötelezettség alapján kezelt és a nemzeti adatvagyon részét is képezi, amely szükséges az egészségbiztosítási feladatai maradéktalan ellátásához." A Kérelmezett tájékoztatta a Hatóságot arról, hogy emiatt törlésre, anonimizálásra nem kerülhetett sor, az anonimizálás „felelősséggel történő végrehajtása hosszabb időt vesz igénybe”. A Kérelmezett végül megküldte a Kérelmező által igényelt adatokat a Hatóság részére azzal az ismételt megjegyzéssel, hogy kötelezés esetén megküldi a kért adatokat a Kérelmező részére is. 

A NAIH megállapításai: 

  • Megőrzési idő letelte: Bár a kérdéses adatok tekintetében a törvényben (Számviteléi törvény) megszabott őrzési idő letelt, de ez 2018. május 25-ét megelőző időszakra esett, "ezért ezen adatkezelés vonatkozásában a Hatóság e határozatban nem tesz megállapításokat. Ugyanis a 2018. május 25-ét megelőző adatkezelési időszakban az általános adatvédelmi rendelet még nem volt alkalmazandó és az általános adatvédelmi rendelet 77. cikk (1) bekezdése és az Infotv. 60. § (2) bekezdése értelmében annak vonatkozásában a Hatóság adatvédelmi hatósági eljárása iránti kérelem sem nyújtható be."
  • Hozzáférési jog: A hozzáférési jog kapcsán a Kötelezett az érintett számára valótlan tájékoztatást adott (hiszen az adatok tárolásra kerültek, de a megkereséseket kezelő ügyintézők nem fértek ezekhez hozzá), illetve nem biztosította a jog gyakorolhatóságát.  

A fentiek alapján az adatkezelő megsértette a GDPR 15. cikk (3) bekezdését, mert nem adta ki a „betegút” nyilvántartásban szereplő személyes adatait a kért időszakra vonatkozóan, továbbá megsértette az átlátható és tisztességes adatkezelés elvét, mert nem megfelelően tájékoztatta az érintettet a személyes adatainak kezeléséről. A Hatóság utasította az adatkezelőt a hozzáférési igény teljesítésére. 

4. Célhoz kötöttség és adattakarékosság elvének megsértése, jogalap nélküli adatkezelés, adattovábbítás jogszerűségének vizsgálata, tájékoztatási kötelezettség

A Kérelmező a Kérelmezettnél munkavégzésre irányuló jogviszonyban állt 2015. március 31. és december 21. napja között. A Kérelmező munkaviszonyának megszűnése után három korábbi ügyfele felmondta a biztosítását, melynek következtében a Kérelmezőnek a Kérelmezett számára a korábban kapott jutalékot vissza kellett fizetnie. A Kérelmező szerint a Kérelmezett több személy/követeléskezelő részére jogtalanul adta ki a személyes adatait, melyről őt tudomása szerint előzetesen nem tájékoztatták. A Kérelmezett (adatkezelő) ezzel szemben azt adta elő, hogy kizárólag adatfeldolgozó részére továbbított adatokat a követelés érvényesítése kapcsán. 

A Kérelmezett nyilatkozata szerint a személyes adatok kezelésének jogalapja egyrészt a jogszabályon alapuló jogi kötelezettség teljesítése a megbízási szerződés fennállása alatt, másrészt a jogos érdeke (amelyre vonatkozó érdekmérlegelési tesztet a Hatóság rendelkezésére bocsátotta).

A Hatóság az adatvédelmi hatósági eljárást a 2018. május 25-e előtti időszak adatkezelésének vizsgálatára irányuló részében megszüntette. 

A NAIH által tett megállapítások: 

  • Adattovábbítás jogos érdek alapján: "A követeléskezeléssel kapcsolatos feladatok átadása és az engedményezés esetén is az általános adatvédelmi rendelet 6. cikk (1) bekezdés f) pontra, azaz az adatkezelő jogos érdekére hivatkozással átadhatók a személyes adatok harmadik személynek, így a követeléskezeléssel megbízottnak is, tehát az ilyen célú adatátadás az általános adatvédelmi rendelet rendelkezései alapján nem tekinthető jogellenes adatkezelésnek."
  • Jogi igények előterjesztéséhez, érvényesítéséhez, védelméhez szükséges adatok: "A Hatóság álláspontja szerint azonban – jogi igények érvényesítése céljából - nem minden, a Kérelmezett által kezelt személyes adat szükséges, tehát a törlési kérelem elutasításának indokaként nem mindegyik esetében hivatkozható az általános adatvédelmi rendelet 17. cikk (3) bekezdés e) pontja." (Erre tekintettel "... a Hatóság álláspontja szerint az érdekmérlegelési tesztben felsorolt személyes adatok közül a telefonszám, az e-mail cím, adószám, egyéni vállalkozói nyilvántartási szám, személyi igazolvány szám, kliens szám, PSZÁF/MNB regiszter szám, bankszámlaszám, képzési adatok, licenszek, továbbá a Kérelmező önéletrajzában szereplő adatai nem szükségesek a jogi igények érvényesítéséhez.")
  • Átláthatóság, tájékoztatás: A Kérelmezett - bár határidőben válaszolt a megkeresésre - válaszában nem jelölte meg a jogszabályi hivatkozást, mely alapján köteles kezelni a Kérelmező személyes adatait, továbbá arról sem adott tájékoztatást, hogy a Kérelmező panaszt nyújthat be a Hatóságnál, és élhet bírósági jogorvoslati jogával. Az érintett nem kapott megfelelő tájékoztatást a tiltakozási jogáról sem. 
  • Eredeti céltól eltérő célra történő adatkezelés (és erre vonatkozó tájékoztatás): Az adatkezelő az eredeti adatkezelési céltól eltérő egyéb célból (igényérvényesítés) is kezeli az érintett adatait azon túlmenően is, mint amiről a jogviszony megszűnésekor tájékoztatást adott. "Ezen cél tekintetében alkalmaznia kellett volna az általános adatvédelmi rendelet 6. cikk (4) bekezdésében foglaltakat, és meg kellett volna állapítania, hogy az adatkezelés eredeti és ettől eltérő célja összeegyeztethető-e. A Kérelmezett ezt a mérlegelést nem végezte el, ezért a jogalapot ezen adatkezelési cél vonatkozásban sem igazolta." Továbbá megfelelő tájékoztatást kellett volna adnia az új adatkezelési célról és az ehhez kapcsolódó releváns információkról. 
Szólj hozzá!
Címkék: bírság átláthatóság portfolioblogger Magyarország NAIH HU engedményezés kamerás megfigyelés jogalap érintetti jogok közös adatkezelés jogos érdek háztartási célú adatkezelés

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr3315412850

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása