GDPR

Adatvédelem mindenkinek / Data protection for everyone

Adatvédelmi bírság kapcsolattartói adat kezelésével kapcsolatban

2020. június 10. 10:30 - poklaszlo

A NAIH 300.000 Ft összegű adatvédelmi bírságot szabott ki a pontosság elvének megsértése és jogalap nélküli adatkezelés miatt egy követeléskezeléssel összefüggő adatkezelés vizsgálata kapcsán (NAIH/2020/2555). 

1. Tényállás

A Kötelezett (adatkezelő) az érintett (Kérelmező) lakcímére kézbesített fizetési felszólítást. A felszólítás címzettje ugyanakkor nem a Kérelmező volt, hanem egy másik személy, aki életvitelszerűen külföldön tartózkodik. A Kérelmező a fizetési felszólítás átvételének napján telefonon beszélt a Kötelezettet képviselő személlyel, akivel a Kérelmező közölte, hogy a követelést maximum 2-3 napon belül ki fogja egyenlíteni a megadott számlaszámra és a pénzösszeget a Kérelmező fogja személyesen befizetni. A Kötelezett megbízottja a telefonos megbeszélés alkalmával nem közölte a Kérelmezővel azt, hogy a telefonos beszélgetés, illetve a neve és a telefonszáma rögzítésre kerül-e, és arról sem tájékoztatta, hogy esetleg a későbbiekben ügyfélként fogják kezelni.

A tartozást a Kérelmező kiegyenlítette, ugyanakkor ezt követően is több megkeresést kapott a Kötelezettől a tartozás kiegyenlítésére vonatkozóan. 

A Kötelezett az eljárásban úgy nyilatkozott, hogy a Kérelmező személyes adatait nem kezeli, csak a sérelmezett telefonszámot rögzítették a nyilvántartásukban, melyet a Kérelmező közölt a Kötelezettel azzal együtt, hogy mivel az adós tartósan külföldön tartózkodik, ezért ezen a telefonszámon tudják probléma esetén elérni őt, mint kapcsolattartót. A telefonszámot a Kötelezett a rendszerében nem a Kérelmezőhöz, hanem az ügyfeléhez, azaz az általa behajtani kívánt követelés adósához rögzítette, aki a Kérelmezőtől eltérő személy. A Kérelmező a Kötelezettnek küldött levélben kért adatkezelési tájékoztatást és kérte a személyes adatai törlését. A Kötelezett nyilatkozata szerint a sérelmezett telefonszámot törölték is a rendszerükből. 

2. A Hatóság megállapításai 

A Hatóság fontos megállapítást tett azzal kapcsolatban, hogy a Kérelmező telefonszáma, amely egy jogi személlyel kötött előfizetési szerződés alapján, a magánszemély által használt telefonszám a természetes személy használó személyes adatának minősül:

Tekintettel azonban arra, hogy a jogi személy által előfizetett telefonszáma Kérelmezőhöz köthető, mivel képviselőként ő a használója, hívás kezdeményezése és fogadása során közvetlenül vele létesíthető kapcsolat, illetve jelen esetben a Kérelmezettel való kapcsolatfelvétel során ezt a telefonszámot használta és a személyével egyértelműen kapcsolatba hozható, így az ő személyes adatának tekinthető az általános adatvédelmi rendelet 4. cikk 1. pontja alapján. (Határozat, 6. o.)

A Kérelmező telefonszámának a Kötelezett ügyfele adataihoz történő rögzítését nem találta jogszerűnek a hatóság és megállapította a pontosság elvének sérelmét, mivel 

  • a Kötelezett tudta az adat rögzítésekor, hogy nem az ügyfele adatáról van szó, és
  • nem az ügyfél az adat forrása, továbbá
  • a Kérelmező az ügyfél képviseletére, nevében való eljárásra vonatkozóan sem rendelkezett meghatalmazással.

Megállapításra került, hogy a pontosság elvének sérelme miatt (a Kérelmező telefonszámának a Kérelmezőtől elkülönülő, másik személyhez, mint ügyfélhez rögzítése) az adatkezelő a Kérelmező törlési kérelmét nem tudta a kiegészítő információk közlése nélkül teljesíteni, mivel nem tudta azonosítani. A kiegészítő információk rendelkezésére bocsátása után törölte a Kötelezett a személyes adatát. 

A Kötelezett az adat kezeléséhez történő hozzájárulás meglétét sem tudta igazolni, így a Hatóság a GDPR 6. cikk (1) bekezdésének a sérelmét is megállapította. 

3. A bírság 

A bírság megállapítása kapcsán a Hatóság figyelembe vette, hogy 

  • a jogsértés közepesen súlyosnak minősült, alapelvi rendelkezést sértett, 
  • a jogalap nélküli adatkezelést az adatkezelő részéről tapasztalható gondatlan magatartás idézte elő, 
  • az adatot az adatkezelő, a megfelelő azonosítást követően, még a hatósági eljárás előtt törölte (enyhítő körülmény),
  • az adatkezelőt korábban nem marasztalta el a Hatóság,  
  • speciális prevenció keretében az adatkezelő ösztönözhető az adatrögzítési gyakorlatának felülvizsgálatára. 

Az eset több szempontból is fontos kérdéseket érint, egyrészt a jogi személy által előfizetett, de a természetes személy által használt hívószám személyes adatként történő kezelése kapcsán, másrészt a kapcsolattartói adatok rögzítésének szempontjai vonatkozásában. Érdekes eleme a határozatnak a GDPR 11. cikk (2) bekezdésének alkalmazása is, ugyanakkor ez csak említésként jelenik meg a határozatban.   

Szólj hozzá!
Címkék: bírság pontosság személyes adat portfolioblogger Magyarország NAIH HU

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr2715753526

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása