GDPR

Adatvédelem mindenkinek / Data protection for everyone

Jogszerűtlen adatkezelés szociális ösztöndíj pályázatok kapcsán

2021. február 12. 11:30 - poklaszlo

A NAIH 2020. decemberében hozott és a napokban publikált határozatában megállapította, hogy a Budapesti Műszaki és Gazdaságtudományi Egyetem rendszeres szociális ösztöndíj iránti pályázatok benyújtása, valamint azok elbírálása során végzett adatkezelése jogellenes és 8 millió Ft összegű adatvédelmi bírságot szabott ki. 

1. Tényállás

A NAIH összesen 3 tanulmányi félév vonatkozásában vizsgálta az Egyetem rendszeres szociális ösztöndíjak iránti pályázatokkal kapcsolatos adatkezelését. Az Egyetem nyilatkozata alapján az adatkezelést "[...] a pályázatban feltüntetett valamennyi személyes adatot a pályázó hallgató hozzájárulása, valamint az Nftv. 3. számú melléklete I/B. alcímének 1. be) pontja alapján egyaránt kezel." (Határozat, 3. o.) A felsőoktatásban részt vevő hallgatók juttatásairól és az általuk fizetendő egyes térítésekről szóló 51/2007. (III. 26.) Korm. rendelet (a "Korm. rendelet") 16. § (1) bekezdése szerint a rendszeres szociális ösztöndíj a hallgató szociális helyzete alapján folyósított juttatás, ami az intézményi térítési és juttatási szabályzatban rögzített eljárási rend és elvek szerint történik. 

Az Egyetem álláspontja szerint - bár az ösztöndíjpályázatok elbírálásához kért személyes adatok kezelése állításuk szerint ún. „kötelező adatkezelés” - a hallgatók nem kötelesek pályázatot leadni, ezért maga a kérelem benyújtása és ehhez kapcsolódóan az adatok megadása kifejezetten önkéntes, azaz hozzájáruláson alapul. A hozzájárulás az ESZR felületén egy check-box kipipálásával adható meg, enélkül nem lehet leadni pályázatot.

Az ügy szempontjából fontos körülmény, hogy a szociális pályázatokkal összefüggésben nem csak a pályázók, hanem azok családtagjainak a személyes adatai (részben különleges adatok) is kezelésre kerülnek. 

2. Megállapított jogsértések 

A NAIH megállapította, hogy az Egyetem  

  • az irányadó jogszabályokon túlterjeszkedve olyan személyes adatokat kezelt, melyekhez nem rendelkezett a GDPR 6. cikk (1) bekezdés szerinti jogalappal;
  • a pályázóval egy háztartásban élő személyek különleges adatait a GDPR 9. cikk (2) pontjában szereplő megfelelő jogalap nélkül kezelte;
  • a kezelt adatkört a GDPR 5. cikk (1) bekezdés a), b) és c) pontjának (jogszerűség, tisztességes eljárás és átláthatóság; célhoz kötöttség és adattakarékosság) megsértésével határozta meg;
  • az általa nyújtott tájékoztatás során megsértette a rendelet 12. cikk (1) bekezdését, 13. cikkét, valamint az 5. cikk (1) bekezdés a) pontját ("jogszerűség, tisztességes eljárás és átláthatóság").

Az adatkezelés jogalapja körében a Hatóság leszögezte, hogy - bár az Infotv. 5. § (3) bekezdése azon követelményének, miszerint a GDPR 6. cikk (1) bekezdés c) és e) pontjában meghatározott adatkezelés (kötelező adatkezelés) esetén az adatkezelés főbb paramétereit az adatkezelést elrendelő törvényben, illetve önkormányzati rendeletben kell meghatározni, a vonatkozó jogszabály nem tesz eleget,  így az Egyetem belső szabályzatában rögzíti a kezelt adatok körét - a jogalkotó hiányosságát nem értékeli az Egyetem, mint adatkezelő terhére. Ennek megfelelően az adatkezelés jogalapja lehet a GDPR 6. cikk (1) bekezdés e) pontja szerinti adatkezelés, ha az Egyetem nem terjeszkedik túl az Nftv. és a Korm. rendeletben előírtakon. A különleges adatok kezelése kapcsán - addig, amíg az Egyetem az Nftv. és a Korm. rendelet előírásai alapján jár el, és olyan különleges adatok kezeléséről dönt, amely adatok a Korm. rendelet által előírt szempontok megítéléséhez szükségesek - a Hatóság nem rótta az Egyetem terhére azt, hogy a különleges adatok kezelése nem felelt meg a GDPR 9. cikk (2) bekezdésének. 

Az Egyetem által alkalmazott kettős jogalap, azaz a közérdekű adatkezelés mellett a hozzájárulás alkalmazása, nem fogadható el, hiszen

[...] a leadott pályázatokban szereplő valamennyi adat kezelésének jogalapja kizárólag a GDPR 6. cikk (1) bekezdés e) pontja lehet. Amennyiben az Egyetem olyan adatot is kezel, amely kezelése nem szükséges a Korm. rendelet által meghatározott szempontok figyelembevételéhez, illetve ezen felül új szempontokat is meghatároz, akkor adatkezelése jogalap nélküli, azaz a GDPR 6. cikkét sérti. (Határozat, 25. o.)

A Határozat azt is leszögezi, hogy

[a] „kötelező adatkezelés” éppen abban nyilvánul meg, hogy az adatkezelőnek van egy jogszabály által meghatározott feladata, amely szükségszerűen adatkezeléssel jár együtt, illetve van egy jogalkotó által meghatározott adatkör (jelen esetben egy szigorúan körül határolt szempontrendszer), az Egyetemnek pedig e jogszabályok keretei között kell eljárnia. Ilyen jogi környezetben pedig fel sem merülhet, hogy az önkényesen – tehát a jogszabályban foglaltaktól eltérően – meghatározott többlet-adatkör kezelésének jogalapja az érintett hozzájárulása lehet. (Határozat, 25. o., kiemelés tőlem)

A kötelezően kezelendő adatok körén túlmenően előírt adatkezelés tekintetében megállapítja a NAIH, hogy

[a] saját hatáskörben előírt többletkövetelmények meghatározása során az Egyetem a hallgató egészségügyi adatainak kezeléséről döntött, amely adatok kezelése – mivel azok túlmutatnak a Korm. rendelet által előírt szempontokon – akkor jogszerű, ha a 6. cikk (1) bekezdésében szereplő valamely feltétel érvényesülésén túl a GDPR 9. cikk (2) bekezdésében szereplő feltétel fennáll.

Mivel a pályázó hallgató egészségügyi állapotára vonatkozó adatok kezelése esetén sem a GDPR 6. cikk (1) bekezdése, sem a 9. cikk (2) bekezdése szerinti feltétel nem érvényesült, így ezen adatok kezelésének nem volt jogalapja. (Határozat, 26. o.)

Szintén jogalap nélküli adatkezelést állapított meg a Hatóság a pályázóval egy háztartásban élő személyek személyes adatai, köztük különleges adatai tekintetében is. 

Az adatkezelés alapelveinek érvényesülése kapcsán a Hatóság négy fő esetcsoportot (egy főre jutó jövedelem, lakóhely és képzési hely távolsága, pályázó saját körülményei, pályázóval egy háztartásban élő személy körülményei) vizsgált. Az egyes esetcsoportok részletes vizsgálatát követően - összegzésképpen -  a Hatóság "[...] arra a megállapításra jutott, hogy az Egyetem az adatkör meghatározásakor megsértette a GDPR 5. cikk (1) bekezdés a) és b) pontjait, illetve nagy mértékben megsértette a GDPR 5. cikk (1) bekezdés c) pontját." (Határozat, 37. o.) Különösen jogsértőnek találta a NAIH a teljes okmányok másolatának bekérését annak mérlegelése nélkül, hogy "[...] az okmány milyen adatkört tartalmaz, és szükséges-e valamennyi adat kezelése vagy elegendő helyette az okmány kivonatának benyújtása." (Határozat, 37. o.) Az okmányok, illetve igazolások benyújtása kapcsán az Egyetem nem törekedett az adatminimalizálásra sem, hanem "[...] az jelent meg gyakorlatában, hogy minden igazolni kért körülmény biztosan alá legyen támasztva, akkor is, ha esetleg adott körülmény igazolása így szükségtelenül plusz adatkör kezelésével járt együtt." (Határozat, 37. o.)

A tájékoztatás kapcsán a Hatóság kiemelte annak megtévesztő jellegét, hiszen - ahogy a jogalap kapcsán is láthattuk - a hozzájárulás feltételei valójában nem álltak fenn, így az a hamis látszat alakulhatott ki, mintha a pályázók visszavonhatnák az adatkezeléshez adott hozzájárulásukat, pedig erre valójában nem volt lehetőségük. Az adatkezelési célokról adott tájékoztatás sem volt megfelelő, mivel azt túl általánosan tartalmazta csak a tájékoztató, az egyes adatkezelések konkrét célja így átláthatatlan volt az érintettek számára. Az egyes információk hozzáférhetőségével kapcsolatban is hiányosságot állapított meg a Hatóság, mivel a kezelt adatok köre nem szerepelt a tájékoztatóban, hanem az igazoláslistából lehetett ezt megállapítani, amely ugyan elérhető volt a honlapon, de az adatkezelő nem linkelte ezt a tájékoztatóból. Az érintetti jogokkal kapcsolatos tájékoztatás pedig részben hiányos volt, illetve már nem hatályos szabályokra utalt, részben pedig túl általános, nem az adott adatkezelés tekintetében adott eligazítást az érintetteknek.   

3. Bírság összegének megállapítása és egyéb jogkövetkezmények 

A kiszabott 8 millió Ft összegű bírság kapcsán lényeges kiemelni, hogy a magyar jogalkotó - élve a GDPR adta felhatalmazással - az Infotv. 61. § (4) bekezdés b) pontjában a közhatalmi vagy egyéb, közfeladatot ellátó szervek, így az Egyetem vonatkozásában is a kiszabható bírság maximumát húszmillió forintban állapította meg. Az Infotv. szerinti maximumhoz képest pedig a kiszabott 8 millió Ft (azaz a maximális összeg 40%-a) már elég jelentős bírságnak tekinthető.  

A Hatóság az alábbi tényezőket súlyosbító körülményként vette figyelembe:

  • az Egyetem súlyos jogsértést követett el, mivel az általa alkalmazott általános adatkezelési gyakorlat több alapelvi rendelkezést nagy mértékben sértett, túllépve a jogszabályi felhatalmazás keretein, ráadásul mindezt olyan módon tette, hogy adatkezelése – a konkrét adatkezelési célok meghatározásának hiányában – teljesen átláthatatlan volt [GDPR 83. cikk (2) bekezdés a) pont];
  • az érintettek magas számát [GDPR 83. cikk (2) bekezdés a) pont];
  • a jogellenes adatkezelés hosszú időn át, több, mint másfél éven keresztül zajlott [GDPR 83. cikk (2) bekezdés a) pont];
  • az adatkezelés a személyes adatok különleges kategóriáit is érintette [GDPR 83. cikk (2) bekezdés g) pont];
  • az Egyetem minden félévben ösztöndíjpályázatokat ír ki és bírál el, amely tevékenysége nagy számú személyes adat és különleges személyes adat kezelésével jár együtt, amelyre tekintettel a megfelelő adatvédelmi tudatosság elvárható lett volna tőle, így felelősségének mértéke magasabb [GDPR 83. cikk (2) bekezdés d) pont];
  • a nem kellően precízen és konkrétan célmeghatározás hiánya, az ebből következő átláthatatlan adatkezelés, illetve, hogy az Egyetem nem tudta azonosítani, hogy nagy számban különleges adatokat kezel, amely adatok kezelésére szigorúbb szabályok vonatkoznak, az Egyetem súlyosan gondatlan magatartására enged következtetni [GDPR 83. cikk (2) bekezdés b) pont].

A Hatóság enyhítő körülményként vette figyelembe:

  • a GDPR 6. cikk (1) bekezdés e) pont szerinti jogalap esetén a jogalkotó feladata, hogy jogszabályban meghatározza – többek között – a kezelendő adatok fajtáit és az adatkezelés célját és feltételeit; amennyiben e fő szempontok a jogszabályban nem jelennek meg, úgy a jogalkalmazóra hárul a felelősség annak mérlegelése során, hogy egy közérdekű feladat kezelése céljából milyen adatkör lehet szükséges;
  • a Hatóság a 150 napos ügyintézési határidőt túllépte.

A Hatóság a bírságkiszabás során az alábbi egyéb tényezőket vette figyelembe:

  • a Hatóság felé fennálló együttműködési kötelezettség teljesítése [GDPR 83. cikk (2) bekezdés f) pont];
  • a kiszabott bírság akkor képes elérni célját, ha annak összege érezhető mértékű. Az Egyetemnek 2019-es évben 17 707 800 000 forint „költségvetési bevétele” és 17 468 058 000 forint „finanszírozási bevétele” volt.

A bírság kiszabása mellett a Hatóság kötelezte az adatkezelőt adatkezelési gyakorlatának felülvizsgálatára, és átalakítására, továbbá a jogellenesen kezelt adatok törlésére.   

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr4216418290

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása