GDPR

Adatvédelem mindenkinek / Data protection for everyone

75 milliós bírság a LED-csereprogramban felmerülő adatvédelmi hiányosságokért

2026. április 16. 11:30 - poklaszlo

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) hivatalból indított eljárásában (NAIH-19-18/202475 millió forintos adatvédelmi bírságot szabott ki egy energetikai vállalkozásra, amely az országos LED-csereprogram keretében több mint 132 ezer ember személyes adatait kezelte súlyos adatvédelmi hiányosságok mellett. Az eset nemcsak a bírság mértéke, hanem a feltárt jogsértések sokrétűsége miatt is figyelemre méltó és számos tanulsággal szolgál minden olyan szervezet számára, amely nagyszámú érintett adatát kezeli, illetve okmánymásolatokat kezel.

A NAIH határozatával szemben az adatkezelő bírósági felülvizsgálatot kezdeményezett, de a keresetet a Fővárosi Törvényszék elutasította és a Törvényszék döntésével szembeni felülvizsgálati kérelmet a Kúria elutasította.  

1. Tényállás

A kötelezett energetikai vállalkozás az energiahatékonysági jogszabályi kötelezettségének teljesítése érdekében indított egy országos programot, amelynek keretében lakossági felhasználók ingyenesen juthattak LED fényforrásokhoz. A program 2021 decemberében indult el, és a résztvevőknek online regisztrálniuk kellett egy erre kialakított adatbázison keresztül. A regisztráció során a jelentkezőknek a szokásos személyes adatokon (név, lakcím, születési hely és idő, anyja neve) túl fel kellett tölteniük személyazonosító igazolványuk és lakcímkártyájuk mindkét oldalának másolatát, valamint egy villanyszámlát is.

A programba 2024 közepéig mintegy 132.546 természetes személy regisztrált, és 262 önkormányzat is közreműködött a lebonyolításban. A NAIH-hoz az ország több pontjáról érkeztek panaszok és bejelentések 2022 őszétől, amelyek nyomán a hatóság 2023. október 6-án hivatalból megindította az adatvédelmi hatósági eljárást.

2. Milyen jogsértéseket állapított meg a hatóság?

A NAIH számos GDPR-rendelkezés megsértését állapította meg, amelyek az alábbi főbb csoportokba sorolhatók:

  • Átláthatóság és tájékoztatás hiánya: 2023 novemberéig a programhoz kapcsolódó regisztrációs felületen nem volt elérhető kifejezetten a programra vonatkozó adatkezelési tájékoztató. Az egyetlen elérhető tájékoztató ráadásul elavult volt: a GDPR előtti jogszabályi környezetre hivatkozott, a hatóság korábbi székhelyét és postafiók címét tartalmazta, és a programhoz kapcsolódó adatkezelésről egyáltalán nem szólt. A regisztrációs felületen nem volt közvetlen hivatkozás az adatkezelési tájékoztatóra, az csak a weboldal "Dokumentumok" menüpontjából volt elérhető. Mindez sértette a GDPR 5. cikk (1) bekezdés a) pontja szerinti átláthatóság elvét, a 12. cikk (1) bekezdése szerinti hozzáférhetőségi követelményt, valamint a 13. és 14. cikkek szerinti tájékoztatási kötelezettségeket.
  • Az adattakarékosság elvének sérelme: A hatóság megállapította, hogy a személyazonosító okmányok másolatainak gyűjtése nem volt szükséges a program céljának eléréséhez. Az okmánymásolatok digitális képe ugyanis nem alkalmas az érintett személyazonosságának hiteles megállapítására, erre az eredeti okmány bemutatása szolgál. Az okmányokon ráadásul az azonosításhoz nem szükséges adatok is szerepeltek, mint az arcképmás, aláíráskép vagy a személyi szám, ami tovább fokozta az adattakarékosság elvének sérelmét.
  • Jogalap hiánya: Az érintettek hozzájárulása nem volt érvényes, mivel a regisztrációt és így a programban való részvételt csak az okmánymásolatok feltöltésével lehetett befejezni, vagyis a hozzájárulás nem volt valóban önkéntes. A vállalkozás más jogalapot (szerződés teljesítése, jogos érdek, jogi kötelezettség) sem tudott megfelelően igazolni az okmánymásolatok kezelésére.
  • Adatbiztonsági hiányosságok: Az adatbázis adminisztrációs felületére egyszerű felhasználónév-jelszó párossal, másodlagos azonosítás nélkül lehetett belépni. Nem létezett olyan technikai intézkedés, amely megakadályozta volna az okmánymásolatok lementését vagy a képernyőmentések készítését. Egyes közreműködők hozzáférési jogosultságai a közreműködésük megszűnése után sem kerültek visszavonásra.
  • Korlátozott tárolhatóság elvének megsértése: Az okmánymásolatokat a vállalkozás saját nyilatkozata szerint az ellenőrzést követően törölnie kellett volna, ennek ellenére a helyszíni szemlén 374 személy kapcsán még mindig tároltak okmánymásolatot, amelyek közül a legrégebbiek több mint egy évvel korábban kerültek feltöltésre.
  • Adatfeldolgozói szerződések hiányosságai: Az önkormányzatokkal kötött együttműködési megállapodás - egy időszakban - nem felelt meg a GDPR 28. cikk követelményeinek.

3. A bírság kiszabásánál figyelembe vett szempontok

A hatóság az alábbi szempontokat mérlegelte a bírság összegének (75 millió Ft) meghatározása során: 

  • Súlyosbító körülményként értékelte, hogy a jogsértések több mint két éven át, országos szinten, különösen nagyszámú érintettet érintve valósultak meg. Súlyosbítónak minősült az is, hogy a vállalkozás érzékeny adatokat (személyi számot, pénzügyi adatokat) kezelt okmánymásolatokon és villanyszámlákon. A hatóság továbbá rámutatott arra, hogy a vállalkozás nem észlelte a saját adatkezelési gyakorlatának hiányosságait, annak ellenére, hogy az érintettektől is érkeztek tájékoztatási kérések. Az is súlyosbító tényezőként merült fel, hogy a hatóság több külső bejelentés alapján szerzett tudomást a jogsértésekről.
  • Enyhítő körülményként vette figyelembe a hatóság, hogy a vállalkozás az eljárás során végig együttműködő volt, határidőben és teljeskörűen válaszolt a megkeresésekre. Enyhítő tényező volt az is, hogy a vállalkozás korábban nem követett el releváns jogsértést, valamint hogy a program társadalmilag hasznos célt szolgált és az érintetteknek anyagi előnyt biztosított az energiamegtakarítás révén. A hatóság a jogsértések jellegét összességében gondatlannak, és közepes súlyosságúnak minősítette.

4. Tanulságok

Ez a határozat több gyakorlati tanulsággal is szolgál olyan adatkezelést végző szervezetek számára, amelyek nagyszámú személy adatait kezelik:

  • Az adatkezelési tájékoztatónak az adatgyűjtés megkezdésekor már elérhetőnek, naprakésznek és az adott szolgáltatás, illetve adatkezelés sajátosságait tükrözőnek kell lennie. Nem elegendő egy általános, régi tájékoztatót elhelyezni, ráadásul egy eldugott menüpontban.
  • Az adattakarékosság nem opcionális. A hatóság egyértelműen kimondta, hogy a személyazonosító okmányok digitális másolatainak gyűjtése nem felel meg az adattakarékosság elvének, ha az azonosítás más módon is megoldható (például az okmány személyes bemutatásával vagy digitális azonosítási megoldásokkal). Ez a megállapítás széles körben releváns minden olyan szervezet számára, amely okmánymásolatokat kér ügyfeleitől.
  • A hozzájárulásnak valódi választási lehetőséget kell biztosítania. Ha az adatszolgáltatás a szolgáltatás igénybevételének feltétele, a hozzájárulás nem tekinthető önkéntesnek, és nem alkalmas jogalapként.
  • Adatbiztonság és hozzáférés-kezelés. Különösen érzékeny adatok kezelése esetén elengedhetetlen a megfelelő technikai védelem, így pl. a többfaktoros azonosítás, a hozzáférési jogosultságok rendszeres felülvizsgálata és a jogosulatlan adatlementés elleni technikai intézkedések kialakítása.

Az ügy arra is figyelmeztet, hogy az adatvédelmi megfelelés nem technikai részletkérdés, hanem stratégiai szintű feladat, különösen akkor, ha egy program tíz- vagy százezres nagyságrendben érint természetes személyeket.

Szólj hozzá!
Címkék: alapelvek bírság tájékoztatás hozzájárulás átláthatóság portfolioblogger Magyarország NAIH HU okiratmásolat jogalap bírósági felülvizsgálat adattakarékosság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr9219085131

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása