A Nemzeti Adatvédelmi és Információszabadság (NAIH) közzétett egy újabb határozatot, amelyben adatvédelmi bírságot állapít meg.
A Hatóság a kapcsolattartás céljából történő adatkezelés jogalapjának hiányára és a nem megfelelő tájékoztatásra tekintettel állapított meg 1 millió Ft összegű bírságot egy aláírásgyűjtési kezdeményezés kapcsán, valamint előírta az adatbázis törlését.
A hatósági eljárás megindításának előzménye volt, hogy a Hatóság két alkalommal is felhívta az adatkezelőt a kapcsolattartásra szolgáló adatok törlésére, amellyel azonban az adatkezelő nem értett egyet és erre tekintettel a felszólításnak nem tett eleget.
A Hatóság főbb megállapításai a különleges adatok kezelésével és a hozzájárulás kifejezett jellegével kapcsolatban:
- "Önmagában tehát egy kezdeményezés támogatása céljából az érintettektől gyűjtött név és elérhetőségi adatok nem tekinthetők különleges személyes adatnak, azonban ha azokat az adatkezelő olyan célból is gyűjti, hogy – a kezdeményezés eredeti célján túl – az érintettek megadott adatait egy politikussal, politikai jellegű szervezettel való kapcsolattartásra használja, jelen esetben nevezetesen arra, hogy az országgyűlési képviselői tevékenységével összefüggésben a későbbiekben tájékoztatást nyújtson részükre, úgy azok erre figyelemmel az általános adatvédelmi rendelet 9. cikk (1) bekezdése szerinti politikai véleményre utaló különleges személyes adatnak minősülnek." (Határozat, 10. o.)
-
"A Hatóság álláspontja szerint csupán az, hogy az érintett az aláírásgyűjtő íven megadja a kért adatokat, nem tekinthető az érintett ezen adatok kezelésére irányuló akarata konkrét, egyértelmű kinyilvánításának, továbbá az Adatvédelmi tájékoztató aláírással történő „elfogadása” sem tekinthető a személyes adatok felhasználásához való hozzájárulásra irányuló megerősítést félreérthetetlenül kifejező cselekedetnek. Az érintettnek – a hozzájáruláson alapuló adatkezelés esetén – nem a tájékoztatót kell „elfogadnia”, hanem a tájékoztatás alapján az adatkezeléshez kell hozzájárulnia, az adatkezeléshez történő hozzájárulásáról kell kifejezetten nyilatkoznia." (Határozat, 11. o.)
- "Az aláírásgyűjtő íven telefon és/vagy e-mail elérhetőség megadása – figyelembe véve, hogy az íven külön felhívás nincs arra vonatkozóan, hogy ezen adatok megadása nem kötelező – nem tekinthető egyrészt a személyes adatok felhasználásához való hozzájárulásra irányuló megerősítést félreérthetetlenül kifejező cselekedetnek, másrészt nem tekinthető az eredeti adatkezelési célon túl a személyes adatok kapcsolattartási célból történő kezeléséhez való hozzájárulásnak is. Amennyiben az adatkezelő ugyanarra a hozzájárulásra, mint jogalapra hivatkozik egy másik adatkezelési cél esetén, akkor sérül a kifejezett hozzájárulás követelménye, mert az érintett hozzájárulását nem lehet kiterjeszteni további, új adatkezelési célokra." (Határozat, 12. o.)
A Hatóság álláspontja szerint tehát az adatok megadása és az ív adatgyűjtésre szolgáló oldalán az „Adatkezelési tájékoztató – A tájékoztatót aláírásommal elfogadom” szöveg alatt történő aláírása nem tekinthető kifejezett hozzájárulásnak, így az adatkezelő nem rendelkezett a GDPR 6. cikkének és - a különleges adatokra tekintettel - a 9. cikk (2) bekezdésének megfelelő jogalappal az adatkezelésre.
Az aláírásgyűjtő ívek online feltöltése során történő adatkezelés jogalapjának érvényességével, a hozzájárulások önkéntességével kapcsolatban az alábbi főbb megállapításokat tette a NAIH:
- "Az adatkezelés jogszerűségéhez önálló, érvényes jogalapra van szükség valamennyi önálló célból történő adatkezeléshez, tehát mind a kezdeményezés támogatásának céljából, mind a kapcsolattartási célból történő adatkezeléshez. Az érintettek valamennyi adatkezelési célból történő adatkezeléshez való hozzájárulásának – a fent kifejtettek szerint – hiányoznak azon legfontosabb fogalmi elemei, amelyek megléte szükséges ahhoz, hogy a hozzájárulás, vagyis az adatkezelés jogalapja érvényes legyen. Hiányzik az érintett akaratának önkéntes, konkrét, megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel beleegyezését adja személyes adatai kezeléséhez." (Határozat, 17. o.)
- "[...] Ív feltöltésére tehát mindaddig nem volt lehetőség, ameddig a kért személyes adatokat a feltöltő személy – akár a kezdeményezést támogató, akár önkéntes, akár aktivista – nem adta meg, illetve a jelölőnégyzetet nem jelölte be." "A Hatóság álláspontja szerint az ívek online feltöltése során az adatok megadása nem tekinthető egyúttal az érintett hozzájárulásának ahhoz, hogy adatait kapcsolattartás céljából kezelje az adatkezelő, az adatok megadása nélkül – vagyis a hozzájárulás megtagadása esetén – ugyanis nem volt lehetőség arra, hogy az érintett az aláírásgyűjtő ívet az oldalon keresztül töltse fel."(Határozat, 18. o.)
Az ívek online feltöltése kapcsán leginkább az adatkezelési célonként (kezdeményezés támogatása, illetve kapcsolattartás) történő hozzájárulás megadásának lehetőségét hiányolta a Hatóság és erre tekintettel állapította meg a hozzájárulás, mint jogalap érvényességének hiányát.
A Hatóság álláspontja a tájékoztató tartalmára vonatkozóan:
- "A Hatóság az eljárás során megállapította, hogy az ív adatgyűjtésre szolgáló oldalán az egyes gyűjtendő adatköröknél külön jelzés vagy felhívás nem volt arra vonatkozóan, hogy az adott személyes adat megadása kötelező a kezdeményezés támogatásának érvényességéhez, vagy az adat megadása opcionális, és gyűjtésére a kezdeményezés támogatásától eltérő, más adatkezelési célból – jelen esetben politikai kapcsolattartási célból – kerül sor, amely a Hatóság álláspontja szerint megtévesztő a kezdeményezés támogatói számára. Az adatkezelés ugyanis látszólag jogszerűnek tűnik, az aláírókat azonban megtévesztő módon az ív adatgyűjtésre szolgáló oldalán kiemelten csak az adatkezelés elsődleges céljáról tájékoztatja az Adatkezelő, míg emellett hiányzik az arra történő felhívás, hogy amennyiben az e-mail és/vagy telefonos elérhetőségét is megadja az aláíró, – amely adatok megadása a kezdeményezés támogatásának érvényességéhez nem is szükséges – úgy valamennyi személyes adatát kapcsolattartási célból is kezelni fogja az Adatkezelő, és arról csak az ív hátoldalán található Adatvédelmi tájékoztatóban ad információt." (Határozat, 12. o.)
- "Az érintettek személyes adatai kapcsolattartási célból történő kezelésének tisztességessége és jogszerűsége tehát akkor állapítható meg, ha az érintett megfelelő tájékoztatást kapott arra vonatkozóan, hogy a személyes adatok gyűjtése két eltérő adatkezelési célból történik (kezdeményezés támogatása és további politikai kapcsolattartás), és az egyes céloktól függően eltérő a kötelező és az opcionálisan megadható személyes adatok köre, továbbá ha az érintett külön, azaz egyértelmű és konkrét hozzájárulását adta ahhoz, hogy az Adatkezelő az országgyűlési képviselői tevékenységével összefüggésben számára a későbbiekben tájékoztatást nyújtson a megadott elérhetőségein. Nem lehet elvitatni az érintettek azon választási lehetőségét, hogy az aláírásgyűjtés célját támogassák aláírásukkal, de emellett szabadon döntsenek arról, hogy kívánnak-e fogadni politikai jellegű küldeményeket az Adatkezelőtől, az aláírásgyűjtéstől elkülönülően." (Határozat, 14. o.)
- "A Hatóság álláspontja szerint a címzettekről történő tájékoztatás tehát abban az esetben lett volna teljes, ha az érintettek tájékoztatást kaptak volna arról, hogy az ívek és az azon szereplő személyes adatok közjegyzőnek történő átadására csak abban az esetben kerül sor, ha a megfelelő számú aláírás összegyűjtése sikerül, illetve tájékoztatást kaptak volna arról, hogy a közjegyzőnek történő benyújtást követően mi történt volna az ívekkel és így a rajta szereplő személyes adatokkal. A tájékoztatóban ennélfogva arra vonatkozóan sem volt információ, hogy nem elegendő számú aláírás összegyűjtése esetén mi fog történni az ívekkel és a rajta szereplő valamennyi személyes adattal. Ezen információk ugyanakkor adott esetben befolyással lehettek volna az érintett azon döntésére, hogy a kezdeményezést támogatja-e vagy sem, az információk ismeretében az érintett mérlegelni tudta volna, hogy érdemes-e élnie ezen jogával vagy sem." (Határozat, 15. o.)
-
"Nem tájékoztatták az érintetteket továbbá arról sem, hogy az Adatkezelő által megbízott aktivisták adatfeldolgozónak minősülnek-e, vagy sem. Nem világos továbbá, hogy kik értendők az Adatkezelő munkatársai, illetve a „stáb” alatt, nem tudni, hogy az Adatkezelő milyen jogviszonyban áll ezen személyekkel, kik milyen feladatokat látnak el az adatkezelés során." (Határozat, 15. o.)
-
"Arra vonatkozóan azonban nem volt információ, hogy amennyiben az ívek mégsem kerülnek a közjegyző részére benyújtásra, mikor kerül sor azok törlésére." (Határozat, 15. o.)
A Hatóság az ívek online feltöltése kapcsán is több ponton hiányosnak találta az adatkezelési tájékoztatót, mivel az nem adott egyértelmű, megfelelő és valós tájékoztatást a megadott személyes adatok kezelésének valamennyi lényeges körülményéről.
A bírság
A bírság kiszabása során a NAIH az Adatkezelő országgyűlési képviselői javadalmának összegét (havi bruttó tiszteletdíj) vette kiindulási alapként figyelembe, amely 1.008.800,- Ft. A kiszabott bírság összege tehát lényegében a havi bruttó tiszteletdíj összegének felel meg.
A Hatóság a bírságkiszabás során az alábbi körülményeket súlyosító körülményként értékelte:
- az Adatkezelő országgyűlési képviselői minősége miatt a Hatóság álláspontja szerint az Adatkezelőtől fokozottan elvárható, hogy az általa történő személyes adatok gyűjtése során a GDPR-nak megfelelően járjon el [GDPR, 83. cikk (2) bekezdés a) pont];
- az Adatkezelő által gyűjtött személyes adatok különleges kategóriájú személyes adat minősége [GDPR, 83. cikk (2) bekezdés g) pont];
- az adatkezelés hosszú időtartama és a jogsértéssel érintett érintettek nagy száma (körülbelül 680.000 támogatói aláírást gyűjtöttek a kezdeményezés során) [GDPR, 83. cikk (2) bekezdés a) pont];
- az Adatkezelőtől, mint a kezdeményezés szervezőjétől, és egyben országgyűlési képviselőtől azonban elvárható lett volna minden technikai és szervezési intézkedés megtétele az adatkezelés megfelelősége érdekében [GDPR, 83. cikk (2) bekezdés d) pont].
A Hatóság a bírságkiszabás során az alábbi körülményeket enyhítő körülményként értékelte:
- az Adatkezelő a Hatóság által vele szemben korábban, a GDPR 58. cikk (2) bekezdésében foglaltak alapján elrendelt intézkedésének részben eleget tett;
- a Hatóság a jogsértést gondatlan jellegűnek értékelte, mivel az Adatkezelő az adatkezelés megkezdése előtt annak megfelelősége érdekében látszólag tett intézkedéseket, azonban ezen intézkedések nem eredményezték az adatkezelés megfelelőségét [GDPR, 83. cikk (2) bekezdés b) pont].
Tanulságok a határozat kapcsán
Főbb tanulságok a határozat alapján:
- A hozzájárulás megszerzése kapcsán különbséget kell tenni az adatkezelési tájékoztatás megtörténte, annak tudomásulvétele és a hozzájárulás (kifejezett) megadása között.
- Abban az esetben, ha az adatkezelő több különböző célból is gyűjti az adatokat, akkor figyelemmel kell lennie arra, hogy a különböző célokból történő adatkezelésekhez célonként biztosított legyen a megfelelő jogalap megléte (adott esetben több külön hozzájárulás formájában). A célonkénti adatkezelési tájékoztatásnak is kiemelt jelentősége van.
- A több különböző adatkezelési cél kapcsán, valamennyi adatkezelési célra vonatkozóan megfelelő módon és átláthatóan szükséges a tájékoztatás megadása.