A GDPR első éve: tanulságok a NAIH bírságolásaiból – I. rész

Szerző: Dr. Molnár Gergő Zsolt, Dr. Varga Júlia | 2019.04.04 | Adatvédelem

A GDPR már lassan egy éve alkalmazandóvá vált, melynek értelmében a Nemzeti Adatvédelmi és Információszabadság Hatóság jogosult arra, hogy bírságot szabjon ki az irányadó adatvédelmi jogszabályokat be nem tartó adatkezelőkkel szemben. Sok témában még a szakértők is sötétben tapogatóznak, azonban a Hatóság első bírságai mindenképp tanulságosak és egyértelművé teszik sok kérdésben a követendő gyakorlatot, így érintőlegesen ezeket a döntéseket járjuk körbe következő bejegyzéseinkben, a döntések minden részletre kiterjedő vizsgálata nélkül.

A pontosság elvének megsértése

500 000 forintos bírságot szabott ki a Hatóság egy pénzügyi szolgáltatóra, mivel az érintett panaszában sérelmezte, hogy telefonszámán megkereséseket kap a banktól olyan fennálló követelés kapcsán, aminek nem ő az alanya, hiszen nem áll semmilyen jogviszonyban a bankkal. A pénzügyi szolgáltató azért, hogy bizonyítást nyerjen, hogy az adott telefonszám valóban az érintetthez és nem a bank által a telefonszámmal összekapcsolt adóshoz tartozik, bekérte a telefonszámra vonatkozó előfizetői szerződés másolatát az érintettől, melyre nem jogosult, és többszöri törlési kérelem ellenére a telefonszámot az előfizetői szerződés hiányában nem törölte adatbázisából azzal az indokolással, hogy a törlést kizárólag a bank adósának kérelmére tudja kivitelezni.

Megjelent a friss ECOVIS HUNGARY LEGAL HÍRLEVÉL

Benne kiemelt témánk: SZJA 1% felajánlása

További aktuális híreket olvashat előadásainkról és a legújabb cikkeket Bányajog és Közbesz blogjainkból.

A GDPR-ban rögzített pontosság alapelve értelmében az adatkezelő felelőssége, hogy az általa kezelt személyes adatok pontosak és naprakészek legyenek, így minden pontatlan személyes adatot törölnie kell. Mindezek értelmében az érintett jogosult kérni az adatkezelés korlátozását, ha vitatja az adott személyes adat pontosságát, azonban az adatkezelő ennek a kérelemnek a konkrét esetben nem tett eleget. A Hatóság döntésében kimondta, hogy a bank adatkezelése a telefonszám vonatkozásában addig volt jogszerűnek tekinthető, amíg vélelmezhető volt, hogy a nyilvántartott telefonszám az ügyfeléé, de amikor ez kétségessé vált az érintett bejelentése folytán, az adatkezelőnek intézkednie kellett volna az adat kezelésének korlátozásáról a helyzet tisztázásáig, az adatpontosság ellenőrzéséig. Külön érdemes kiemelni a döntésből, hogy a Hatóság kimondta, hogy a pontosság elvének teljesülése nem csak az adatkezelőtől, hanem az adatalanytól is megköveteli a szükséges intézkedések megtételét és az együttműködést.

Érintetti joggyakorlásra vonatkozó kérelem elbírálása

A második tényállás szintén követeléskezeléssel összefüggő, melyben a kérelmezett egy általa megvásárolt követelés új jogosultja, aki adósát felszólította a tartozás megfizetésére, azonban válaszként az adós vitatta a fennálló tartozását és egyben a követelés új jogosultjának adatkezelését is, mely vitatással egyidejűleg tájékoztatást kért arról, hogy a jogosult milyen személyes adatait, milyen dokumentumok alapján kezeli. A tájékoztatás megadása érdekében a követelés jogosultja kérte az adóst, hogy természetes személyazonosító adataival azonosítsa magát, melynek hiányában a kérelemre választ adni nem tud, azonban az adós a kért adatokat nem adta meg, egyben kérte, hogy e-mail-címét törölje az adatkezelő, aki az azonosítás meghiúsulása okán a panaszeljárást lezárta. Az adós ismételten kérte adatainak törlését, mely kérelemnek az adatkezelő ezúttal eleget tett, figyelemmel arra, hogy a követelést időközben visszavásárolta annak korábbi jogosultja, így tájékoztatta az érintettet, hogy adatait törli, azonban azok az informatikai rendszerről kötelezően készített biztonsági mentésekben továbbra is fellelhetők maradnak, de ha azok behívására lenne szükség, akkor a belső biztonsági másolatokra vonatkozó szabályzatának megfelelően ismét intézkednek a törlés felől.

Munkaerő-Gazdálkodás 2019
Tb- és Bérügyintézők Kézikönyve

Szerző: Orosz Péter, Széles Imre
Ár: 9.900 Ft helyett 6.900 Ft

A Hatóság a döntésében kimondta, hogy az érintett azonosításához a legtöbb esetben a név és a további három személyazonosító adat közül az egyik szükséges ténylegesen, ezért az adatkezelőnek mérlegelnie kellett volna, hogy az érintett beazonosításához szükséges-e mind a négy természetes személyazonosító adat, azonban az adatkezelő ezt a mérlegelést nem végezte el. A tényállás értelmében az adatkezelő az érintett kérelmének elutasítása során nem tájékoztatta megfelelően az érintettet arról, hogy milyen módon és további eszközökkel tudja sikeresen gyakorolni jogait, ezzel nem segítette elő az érintetti joggyakorlást, ezért a GDPR-t megsértette. A Hatóság azért állapította meg az adatkezelő jogsértését, mert az átláthatóság követelményét nem valósította meg, mivel az érintett adattörlési kérelmére adott válaszban hivatkozott a belső, biztonsági másolatokra vonatkozó szabályzatára, ami azonban nem volt elérhető az érintett számára, valamint az adatkezelő nem tájékoztatta megfelelően az érintettet arról, hogy melyik az az utolsó biztonsági mentés, amiben még szerepelnek a személyes adatai, és ezek felhasználására milyen esetben kerülhet sor.

Mindezek értelmében a Hatóság kimondta, hogy az adatkezelő megsértette az átláthatóság követelményének alapelvét, és 500 000 forintos bírságot szabott ki a jogsértés jogkövetkezményeként.

Jogalap nélküli adattovábbítás

A Hatóság 1 000 000 forintos bírság megfizetésére kötelezte Kecskemét Polgármesteri Hivatalát, mivel az jogellenesen járt el azzal, hogy jogalap nélkül adta át, továbbította az érintett személyes adatait tartalmazó közérdekű bejelentését harmadik személy részére, aki így jogosulatlanul hozzáfért azokhoz. A tényállás értelmében az érintett a munkáltató intézményének működése kapcsán közérdekű bejelentést tett a Polgármesteri Hivatal felé, amely bejelentést a munkáltató intézmény teljes terjedelmében kapott meg, és ami ilyen módon az érintett személyes adatait is tartalmazta. Az érintettet foglalkoztató munkáltatói intézmény az érintett által tett közérdekű bejelentésre hivatkozással az érintett közalkalmazotti jogviszonyát megszüntette. Az érintett tájékoztatás kérése kapcsán megállapítást nyert, hogy a Polgármesteri Hivatal nem jogszerűen továbbította a személyes adatokat, ezzel adatvédelmi incidens valósult meg.

A Hatóság a döntésében kimondta, hogy a közérdekű bejelentésben szereplő személyes adatok csak a bejelentés alapján kezdeményezett eljárás lefolytatására hatáskörrel rendelkező szerv részére adhatók át, és ez akkor is irányadó, ha a közérdekű bejelentő neve elhallgatását külön nem kéri, tehát mindezek értelmében a személyes adatok harmadik személlyel való közlésével megvalósuló adatkezelésre jogalap hiányában került sor, tehát az adatot továbbító szerv megsértette a GDPR-t.

A fenti eseteket áttekintve látható, hogy a Hatóság kiemelten vizsgálja, hogy a kérdéses adatkezelések kapcsán a GDPR-ban rögzített alapelvek érvényesülnek-e, és a bírság kiszabását értelemszerűen nem akadályozza, ha csak egy érintett vonatkozásában állapít meg jogsértést a Hatóság. Tanulságként az első három eset áttekintése után is leszűrhető, hogy minden adatkezelőnek kiemelt figyelmet és erőforrást kell szentelnie arra, ha érintetti kérelem érkezik az adatkezelés kapcsán, és érdemes minden adatkezelés és adattovábbítás kapcsán tudatosan, előre átgondoltan eljárni, hogy a jogszerű adatkezelés ne sérüljön.

Ossza meg ismerőseivel:

Dr. Molnár Gergő Zsolt

Dr. Molnár Gergő Zsolt
Ecovis Hungary Legal
Ügyvéd | Partner
Balogh, B. Szabó, Jean, Zalavári és Társai Ügyvédi Iroda
gergo.molnar@ecovis.hu
A szerző szakmai profilja