GDPR

Adatvédelem mindenkinek / Data protection for everyone

Adatvédelmi bírság a Központi Hitelinformációs Rendszerben történő téves adatrögzítés miatt

2020. június 04. 10:30 - poklaszlo

A NAIH újabb 1 millió forintos adatvédelmi bírságot szabott ki jogalap nélküli adatkezelés, illetve a célhoz kötöttség elvének sérelme miatt.

1. Tényállás

A Kérelmező (érintett) a Kérelmezett pénzintézet (adatkezelő) nyilvántartásában egy hitelügyletnél adóstársként került rögzítésre és ezzel összefüggésben az adatai a Központi Hitelinformációs Rendszerbe (KHR) is továbbításra kerültek annak ellenére, hogy az érintett nem volt részese semmilyen kölcsönügyletnek az adott pénzintézettel. A téves adatrögzítést akkor észlelte, amikor egy másik pénzintézettel kötött volna kölcsönszerződést, de ezt az igényét elutasították a KHR-ben szereplő adatokra tekintettel.

Az eljárás során megállapításra került, hogy az érintett korábban folyószámlát vezetett a pénzintézetnél, amely még 2005-ben megszűnt és a pénzintézet az adatait (és a szerződést) a vonatkozó jogszabályi megőrzési időre tekintettel kezelte. Az érintett rögzítésére a KHR-ben tévesen került sor egy hitelszerződéshez kapcsolódóan, amely téves manuális adatrögzítés miatt fordulhatott elő. 

Az érintett 700.000 Ft összegű sérelemdíjat követelt jogellenes adatkezelésre tekintettel a pénzintézettől. A pénzintézet 200.000 Ft összegű kártérítést utalt át az érintett részére.

2. A Hatóság által tett megállapítások

A Hatóság megállapította, hogy a jogellenes adatkezelését a téves adatrögzítés okozta, ugyanakkor a szándékosság hiánya (adminisztrációs hiba) nem mentesíti a Kérelmezettet az adatkezelői felelősség alól, mivel a GDPR alapján 4. cikk 7. pontja) adatkezelőnek minősül. A NAIH rögzíti - hivatkozva a 29. Cikk szerinti Adatvédelmi Munkacsoport 1/2010. sz. véleményére az „adatkezelő” és az „adatfeldolgozó” fogalmáról -, hogy

Az ügyintéző által végrehajtott téves adatrögzítés ténye tehát nem minősül kimentési oknak, ebben az esetben is az adatkezelő viseli a felelősséget. (Határozat, III.1. pont, 8. o.)

Az ügyfélszám hibás rögzítése miatt az adatok nyilvántartására jogalap nélkül került sor egy másik személy hitelügyletéhez kapcsolódóan, továbbá emiatt a korábbi ténylegesen fennálló folyószáma-szerződéssel összefüggésben a megőrzési kötelezettség lejárta után tévedésből használta fel az adatkezelő. A jogalap nélküli adatkezeléssel pedig megvalósult a GDPR 6. cikk (1) bekezdésének a sérelme.

Kimondta a Hatóság azt is, hogy az adatoknak egy olyan hitelszerződéshez kapcsolása révén, amelyben az érintett nem volt fél, az adatkezelő az érintett személyes adatait az adatkezelés eredeti céljától eltérő céllal kezelte, megsértve a célhoz kötöttség elvét.

A Kérelmező szóbeli panaszában, amelyben a Kérelmező az adósi minőségével kapcsolatos kifogását fogalmazta meg, nem tett utalást arra, hogy ezt a panaszát érintetti kérelemnek is kell tekinteni. Erre tekintettel a Hatóság álláspontja szerint

a Kérelmező szóbeli kifogása annak tartalma alapján a fentiek miatt nem minősül érintetti joggyakorlásra irányuló kérelemnek, és ebből következően a Kérelmezőt érintetti minőségében jogsérelem nem érte. (Határozat, III.4.1. pont, 9. o.)

A Kérelmező második panaszára, amely érintetti kérelemnek is minősült, a Kérelmezett írásban a GDPR-nak megfelelő tartalommal választ adott, így e tekintetben nem volt megállapítható a Rendelet megsértése.

3. A jogkövetkezmények (bírság) alkalmazása során figyelembe vett szempontok

A Hatóság az alábbi súlyosító körülményként vette figyelembe:

  • A jogalap nélküli adatkezelés az érintettet jelentősen érintette. "A Kérelmezett belső eljárásrendje nem küszöbölte ki, hogy a Kérelmező, akinek az adatkezelésről tudomása sem volt, az érdekeit súlyosan sértő helyzetbe kerüljön, és neki magának kelljen a jogsértés elhárítása érdekében lépéseket tennie." (GDPR 83. cikk (2) bekezdés a) pont; Határozat, 10. o.)
  • A jogsértés súlyos, mert a GDPR több cikkének a megsértése is megállapítható volt, hogy "... tévesen a megőrzési kötelezettséggel érintett – passzív státuszban levő - adatai aktívan felhasználásra - rögzítésre - kerültek egy másik ügyletben".(GDPR 83. cikk (2) bekezdés a) pont; Határozat 10. o.)
  • A Kérelmezett (adatkezelő) elmarasztalására a GDPR megsértése miatt már sor került korábban, amely ügyben "… a Hatóság megállapította, hogy egy jelzáloghitel szerződéssel összefüggésben kezelte egy érintettszemélyes adatait, és tévedésből kötelezettként jelölte meg a szerződésben, annak ellenére, hogy az érintett nem szerepelt sem félként, sem egyéb kötelezettként abban a szerződésben, melyhez a rendszerében a Kérelmezett őt rögzítette, majd emiatt a kérelmező személyes adatait tévedésből jogellenesen a szerződésadósa rendelkezésére bocsátotta. Ebben az ügyben bírság kiszabására nem került sor." (GDPR 83. cikk (2) bekezdés e) és i) pont; Határozat 10. o.)

A Hatóság az alábbi enyhítő körülményként vette figyelembe:

  • A jogellenes adatkezelés egy személyt érintett és a hiba észlelése után rövid időn belül kijavításra került.  (GDPR 83 .cikk (2) bekezdés a) pont)
  • A jogellenes adatkezelése nem szándékos magatartására vezethető vissza. (GDPR 83. cikk (2) bekezdés b) pont).
  • A Kérelmezett 200.000 Ft azonnali„ kártérítés”-t fizetett meg az érintettnek. (GDPR 83. cikk (2) bekezdés c) pont)

A határozat szerint a kiszabott bírság az adatkezelő éves árbevételének 0,00847%-a volt.

Szólj hozzá!
Címkék: bírság portfolioblogger Magyarország NAIH HU jogalap célhoz kötöttség

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr315738310

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása