GDPR

Adatvédelem mindenkinek / Data protection for everyone

Újabb nagy összegű adatvédelmi bírságok Magyarországon

2021. február 08. 11:30 - poklaszlo

A NAIH két, a közelmúltban közzétett határozatában összesen 95 millió Ft bírságot szabott ki két adatkezelőre. Az első esetben a Vodafone (a UPC jogutódjaként) kapott 60 millió Ft összegű adatvédelmi bírságot a személyes ügyfélszolgálati irodákban való hangrögzítési gyakorlat jogellenessége miatt. A másik ügyben 35 millió Ft bírság került megállapításra babaváró kölcsönnel összefüggésben végzett adatkezelés jogellenességére tekintettel, amely alapvetően a várandósgondozási könyvekről történő másolatkészítés jogellenessége miatt került megállapításra. Ez a két bírság rögtön átírta az eddig nyilvánosságra hozott magyarországi adatvédelmi bírságok "toplistáját", amelyen - jelenleg - a képzeletbeli dobogó 2. és 3. fokát foglalják el. Az alábbiakban a személyes ügyfélszolgálatokon történő hangrögzítéssel kapcsolatos határozatot foglalom össze. (Egy következő posztban pedig a másik határozat lényegi elemeit ismertetem majd.) 

Ügyfélszolgálati irodákban való hangrögzítési gyakorlat jogellenessége (NAIH/2020/2758/4)

1. Tényállás 

Az ügyfélszolgálaton – bármiféle különbségtétel nélkül – valamennyi ügycsoport elintézése során hangrögzítés történt, amelyről a sorszámhúzó berendezésen keresztül adott tájékoztatást az adatkezelő. A hangrögzítés a GDPR 6. cikk (1) bekezdés f) pontja szerint, az adatkezelő jogos érdeke alapján történt, amelyre vonatkozó érdekmérlegelési tesztet az adatkezelő a Hatóság rendelkezésére bocsátotta. (Ugyanakkor a sorszámhúzó berendezésen szereplő tájékoztatásban az szerepelt, hogy az ügyfelek jelezzék, amennyiben a hangfelvétel készítéséhez nem járulnak hozzá, azaz úgy lehetett érteni, hogy az adatkezelés jogalapja a hozzájárulás.) Az adatkezelés kapcsán hatásvizsgálat is készült. 

Az – az érdekmérlegelési teszt szerint – az érintettek jogainak biztosítása érdekében a következő garanciákat kerültek beépítésre az adatkezelés folyamatába:

  • a személyes adatokat öt évig történő megőrzése
  • az adatokhoz nagyon korlátozott számú személy férhetett hozzá,
  • az érintetti jogok megfelelően biztosítottak: a UPC külön kiemelte, hogy az érintett jogosult tiltakozni az adatkezelés ellen, valamint jogosult a beszélgetésekbe belehallgatni az ügyfélszolgálati irodákban, és bármikor kérhet másolatot a felvételekről adathordozón, valamint elektronikus úton is,
  • a megfelelő tájékoztatást a sorszámhúzó rendszeren elhelyezett „kifejezett figyelmeztetés” biztosítja, 
  • a személyes adatokat nem továbbítják harmadik fél részére, azok alapján nem történik sem automatikus döntéshozatal, sem profilalkotás.

Amennyiben az ügyfelek jelezték a hangrögzítés kapcsán a tiltakozásukat, úgy az ügyintézőknek azt mérlegelés nélkül le kellett állítaniuk. 

2. Megállapított jogsértések

A Hatóság - a 2018. május 25. és 2020. március 15. közötti időszak tekintetében - a személyes ügyfélszolgálati irodákban való hangrögzítési gyakorlat jogellenessége kapcsán megállapította, hogy az adatkezelő megsértette
a) a GDPR 6. cikk (1) bekezdésében szereplő, az adatkezelés megfelelő jogalapjával kapcsolatban előírt rendelkezéseit;
b) az általa nyújtott tájékoztatás során a GDPR 12. cikk (1) bekezdését, 13. cikkét, valamint az 5. cikk (1) bekezdés a) pontját ("jogszerűség, tisztességes eljárás és átláthatóság");
c) a GDPR  5. cikk (1) bekezdés b) pontja szerinti célhoz kötöttség alapelvét;
d) a GDPR 5. cikk (1) bekezdés c) pontja szerinti adattakarékosság alapelvét. 

Az érdekmérlegelés kapcsán azt állapította meg a Hatóság, hogy "az egymással szemben álló érdekeket a UPC nem tudta azonosítani, illetve az érintettek – adatkezeléssel szemben álló – érdekeit lényegében semmilyen formában nem jelenítette meg a tesztben, továbbá a teszt általános mérlegelést tartalmaz, nem ügyintézési típusonként/önállóan megjelenő érdekekként/célonként elvégzett mérlegelést, a Hatóság megállapította, hogy nem állnak fenn a GDPR 6. cikk (1) bekezdés f) pontjában előírt feltételek." (Határozat, 10. o.) 

A célhoz kötöttség sérelme kapcsán a NAIH arra a megállapításra jutott, hogy a végzett adatkezelés ugyan nem volt cél nélküli, illetve a megnevezett adatkezelési célok sem minősülnek alapvetően jogellenesnek, nem került sor annak kellően egyértelmű meghatározására, hogy milyen célból is készülnek a hangfelvételek valamennyi ügyintézésről, ehelyett az összes cél, érdek, szempont és körülmény, valamint adatkezelés által elérhető pozitív hatás felsorolásra került, amelyek az adatkezelés jogszerűségét alátámaszthatják (lásd Határozat 10. o.). Egyes célok túl általánosak, illetve a leendő ügyfelek esetében nem azonosított a Hatóság jogszerű adatkezelési célt sem. 

Az adattakarékosság elvének sérelme kapcsán a Hatóság kiemelte: 

Amennyiben egy tevékenység adatkezeléssel jár együtt, úgy az adatvédelmi rendelkezések betartása alapvető feltétele annak, hogy a tevékenység jogszerű legyen. Követendő példa, ha egy vállalkozás szem előtt tartja a környezetvédelmi tényezőket, illetve az ügyfelek számára kedvező megoldást (egyszerűség, gyorsaság) választ, továbbá e szempontok megjelenhetnek az érdekmérlegelésben is, azonban ezek a kritériumok akkor és azt követően juthatnak érvényre, ha egyébként az adatkezelő azt a megoldást választja, amely a legkevesebb adat kezelésével jár együtt, és amely megoldás a legkevésbé intrúzív, azaz ezek a szempontok két, adatvédelmi szempontból ugyanannyira megfelelő megoldás közötti választás során érvényesülhetnek. (Határozat, 12. o.)

A tájékoztatás kapcsán a Hatóság megállapította, hogy a sorszámhúzó rendszeren keresztüli tájékoztatás alapvetően megfelelő módja volt a figyelem felhívásának, hiszen ezen a felületen az ügyfelek tipikusan találkoznak az információval, ugyanakkor ennek megvalósítási módját kifogásolta a Hatóság: 

A Hatóság álláspontja szerint a színben és betűtípusban nem eltérő, a menüpontok szövegezéséhez képest nagyjából feleakkora méretű, ugyan bekeretezett, de ezen túl bármiféle piktogram, illetve egyéb figyelemfelhívásra alkalmas motívum (pl. nagyméretű felkiáltó jel) nélkül elhelyezett szöveg nem alkalmas arra, hogy felhívja valamennyi érintett figyelmét a hangrögzítésre. (Határozat, 13. o.)

A tájékoztatást tartalmilag sem találta megfelelőnek a Hatóság, egyrészt azt a félrevezető hatást keltette, hogy a hangfelvétel készítése az érintett hozzájárulásán alapul, másrészt a sorszámhúzó berendezésén elhelyezett, az adatkezelés tényére vonatkozó tájékoztatáson túl hiányzott a részletesebb, a jogszabályban meghatározott tartalmú tájékoztatás. A tájékoztatás elérhetővé tétele kapcsán kiemelt a NAIH az alábbiakat is: 

A tájékoztatási kötelezettség teljesítése során ugyanis az adatkezelőnek „rendelkezésre bocsátási” kötelezettsége van, ami azt jelenti, hogy az adatkezelőnek aktív lépéseket kell tennie annak érdekében, hogy az érintett rendelkezésére bocsássa az adott információt, vagy az érintettet aktívan az információ helyére kell irányítania. (Határozat, 14. o.)

3. Bírság összegének megállapítása 

A Hatóság a bírságkiszabás során az alábbi tényezőket súlyosbító körülményként vette figyelembe:

  • az adatkezelési gyakorlat több alapelvi rendelkezést sértett, ezért súlyos jogsértésnek minősül [GDPR 83. cikk (2) bekezdés a) pont];
  • az érintettek igen magas számát (havonta 45000-55000 személyt, 2019-ben összesen 609 619 személyt)  [GDPR 83. cikk (2) bekezdés a) pont];
  • a jogellenes adatkezelés hosszú időn át, több, mint másfél éven keresztül zajlott [GDPR 83. cikk (2) bekezdés a) pont];
  • az alkalmazott módszernek lett volna elérhető és megvalósítható alternatívája [GDPR 83. cikk (2) bekezdés k) pont];
  • az alaptevékenységhez tartozott, hogy hosszú évekig rendszeresen és tömegesen ügyfeleket fogadott az ügyfélszolgálati irodákban, amelyre tekintettel a megfelelő adatvédelmi tudatosság elvárható lett volna, így felelősségének mértéke magasabb [GDPR 83. cikk (2) bekezdés d) pont];
  • a nem kellően precízen és konkrétan átgondolt jogalap- és célmeghatározás hiánya, ezáltal az elnagyolt adatkezelés súlyosan gondatlan magatartásra utal [GDPR 83. cikk (2) bekezdés b) pont].

A Hatóság kifejezett enyhítő körülményt nem tudott figyelembe venni. 

A Hatóság a bírságkiszabás során az alábbi egyéb tényezőket vette figyelembe:

  • az adatkezelő eleget tett a Hatóság felé fennálló együttműködési kötelezettségének [GDPR 83. cikk (2) bekezdés f) pont];
  • az adatkezelés nem érintette a személyes adatok különleges kategóriáit [GDPR 83. cikk (2) bekezdés g) pont];
  • a kiszabott bírság akkor képes elérni célját, ha annak összege – a Kötelezett értékesítési árbevételéhez is viszonyítva – érezhető mértékű.
Szólj hozzá!
Címkék: bírság tájékoztatás hangrögzítés portfolioblogger Magyarország NAIH HU jogalap jogos érdek érdekmérlegelési teszt adattakarékosság célhoz kötöttség

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr8516417542

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása