Az ügyfélportál létesítése nem köthető az adóazonosító jel megadásához

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH szerint az adóazonosító jel, mint személyes adat nem szükséges az ügyfélportál megnyitásához és a belépéshez, illetve az alkalmazott módszer nem felel meg az adatbiztonság és az adattakarékosság követelményeinek sem.

Az alapügy

Egy érintett azért fordult a NAIH-hoz, mert az adatkezelő ügyfélportáján történő regisztrálásakor köteles volt megadni az adóazonosító jelét, enélkül a portál nem engedte őt regisztrálni.

A NAIH a bejelentés alapján vizsgálatot folytatott le és felvette a kapcsolatot az adatkezelővel. A Hatóság arra volt kíváncsi, hogy az adatkezelő milyen jogszabály értelmezésével jutott arra, hogy az érintettek adóazonosító jelét jogosult és köteles kezelni.

Az adatkezelő válaszában kifejtette, hogy a kárkifizetésekről bejelentést kell tennie a Nemzeti Adó- és Vámhivatalnak (NAV), a bejelentésben pedig meg kell adni a biztosított adóazonosító jelét, illetve az adatkezelés az ügyfélportál sajátosságai miatt is szükséges.

Az adatkezelő adatvédelmi tisztviselője tájékoztatta a NAIH-ot, hogy a biztosítottak adóazonosító jelét a szerződéskötés során kérik el és az adatkezelés célja az ügyfelek egyedi megkülönböztethetőségének biztosítása, valamint az ügyfélportál esetében az adóazonosító jel kezelése a biztonságot is garantálja.

Az adóazonosító jel kezelését az is indolja az adatkezelő szerint, hogy a NAV adóazonosító jel alapján szokott megkereséseket intézni hozzájuk, amelyeket a biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény (Bit) alapján kötelesek megválaszolni.

Az adatkezelő válaszában kifejtette, hogy a GDPR hatálybalépését követően is folytatja ezen gyakorlatát, azonban az egyéves határozott idejű casco szerződések lejáratával, az igazgatósági tanács döntése alapján, az adóazonosító jelek további kezelését megszünteti.

A NAIH álláspontja

A Hatóság felhívta az adatkezelő figyelmét, hogy a vizsgált adatkezelés nem kizárólag a casco szerződésekre vonatkozik, ezért ezen adatkezelés megszüntetése nem érinti a NAIH többi adatkezelési tevékenységre vonatkozó megállapításait.

A Hatóság a célhoz kötöttség és szükségesség keretein belül vizsgálta az adatkezelő tevékenységét és nyilatkozatit.

A NAIH a fentiek értékelését követően arra a megállapításra jutott, hogy az adatkezelő nem rendelkezik érvényes jogalappal arra, hogy az ügyfelek adóazonosító jelét már a szerződéskötéstől kezdődően kezelje, illetve arra sem, hogy azt az ügyfélportálra történő belépés során technikai azonosítóként alkalmazza.

A Hatóság felhívta ezért az adatkezelőt a jogellenes adatkezelési tevékenységének azonnali megszüntetésére.

A NAIH felhívásában a személyazonosító jel helyébe lépő azonosítási módokról és az azonosító kódok használatáról szóló 1996. évi XX. törvényre (Szaztv.) hivatkozott, amely előírja, hogy az állami azonosítók csak törvény felhatalmazása vagy ennek hiányában az érintett előzetes írásbeli vagy az ügyintézésben tett hozzájárulása alapján kezelhetők.

A Szaztv. tételesen felsorolja, hogy a törvény alapján mely szervezetek jogosultak az azonosítók kezelésére, az adatkezelő a Bit. alapján azonban nem esett ezen kategóriák egyikébe sem.

A NAIH szerint az adatkezelő nem jelölte meg az adatkezelésének jogszabályi alapját, illetve a Hatóság arra is felhívta a figyelmet, hogy az adóazonosító jel az adatkezelő jogos érdeke alapján sem kezelhető az ügyfélportálra történő beléptetés céljából.

A Hatóság szerint az adóazonosító jel ilyen célú használata alkotmányossági aggályokat is felvet és ellentétes az univerzális azonosító szám alkotmányjogi tilalmával, amely kimondja, hogy az adóazonosító jel olyan szakrendszeri azonosító, amelyet más funkcióval nem lehet felruházni.

Az adóhatóság felé történő bejelentési kötelezettség jogszerűsége szintén a Szaztv-n és a Bit-en alapul, ezért a NAIH az adóazonosító jel ilyen célú kezelését jogszerűnek ismerte el, ugyanakkor kifejtette, hogy a törvényi felhatalmazást a lehető legszűkebben kell értelmezni és semmiképp nem lehet úgy tekinteni, hogy az felhatalmazást ad az ügyfélportálon, technikai azonosítóként való kezelésre.

A Hatóság vizsgálta az érintett hozzájárulását mint jogalapot is, amellyel kapcsolatban arra jutott, hogy a hozzájárulás önkéntessége nem teljesül. Az önkéntesség nem teljesül, illetve az ügyfelet hátrány is éri, ha az adóazonosító jel megadásának megtagadása esetén nem köt vele szerződést az adatkezelő, vagy nem használhatja az ügyfélportált.

Az adattakarékosság elvével összefüggésben a NAIH felhívta a figyelmet, hogy az adóazonosító jel technikai azonosítóként való alkalmazása ezen elvet is megsérti, mivel az adóazonosító jel ilyen célból való kezelése nem szükséges.

A fenti adatkezelés a Hatóság szerint az adatbiztonság elve alapján nem tekinthető „megfelelő szervezési intézkedésnek” sem, így az adatkezelő ezen jogszabályi kötelezettségét sem teljesítette, sőt az adatkezelés valójában növelte is az adatbiztonsági kockázatot.

A NAIH szerint a beépített és alapértelmezett adatvédelem követelményének csak egy ügyfél-azonosítási célból létrehozott, pszeudonim azonosító használata felel meg.

A fentiek alapján a NAIH felszólította az adatkezelőt az adóazonosító jelek technikai számként történő kezelésének azonnali megszüntetésére, az adatkezelési gyakorlatának átalakítására, illetve az adóazonosító jelek törlésére, azon érintettek esetén, akiknek személyes adatát megfelelő jogalap hiányában, jogszerűen nem tudja kezelni.

(naih.hu)

---