Bírságolt a NAIH a törléshez való jog megsértése miatt


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH 1.000.000,- forintos bírságot szabott ki az adatkezelőre, mert az érintett kérésére nem törölte a telefonszámát, ezzel pedig megsértette az érintett törléshez való jogát és az adattakarékosság elvét.

Az alapügy

Egy kérelmező azért fordult a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH, Hatóság), mert az adatait kezelő társaság nem teljesítette a személyes adatai helyesbítésére és törlésére irányuló kérelmét.

A kérelmező korábban kölcsönszerződést kötött az adatkezelő jogelődjével. A szerződésben foglalt és jogszabály által előírt tájékoztatási kötelezettségének eleget téve, a kérelmező jelezte, hogy megváltozott a lakcíme, illetve kérte, hogy telefonszámát, mint személyes adatát az adatkezelő ne kezelje tovább és törölje azt nyilvántartásaiból.

Az adatkezelő válaszlevelében arról tájékoztatta a kérelmezőt, hogy lakcímét csak akkor tudja módosítani, ha a kérelmező megküldi részére a lakcímkártya fénymásolatát. A telefonszámmal kapcsolatos törlési kérelmet az adatkezelő elutasította és az adatkezelés jogalapjaként az érintett, jövőbeli, esetleges, lejárt tartozásának telefonon keresztüli követelését, mint jogos érdeket jelölte meg.

Az érintett kérésére a NAIH vizsgálatot indított az adatkezelő adatkezelési tevékenységének vizsgálatára. Az adatkezelő tájékoztatta a Hatóságot, hogy a telefonszámot az érintettől, hozzájárulása alapján szerezte meg, azonban a hozzájárulás visszavonását követően, a fent megjelölt jogos érdeke alapján kívánja kezelni azt.

A lakcímadat módosításával kapcsolatban az adatkezelő arról tájékoztatta a NAIHot, hogy azt csak a lakcímkártya bemutatása vagy fénymásolatának megküldése esetén módosítja. A fénymásolatot álláspontja szerint a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (Pmt.)alapján jogosult kezelni.

A NAIH döntése

A telefonszám törlésével kapcsolatban a Hatóság úgy foglalt állást, hogy az adatkezelő nem támasztotta alá megfelelően a telefonszám kezelésére vonatkozó jogos érdekét.

A NAIH álláspontja szerint adatkezelési célonként külön-külön kell érdekmérlegelést végezni, amelyet az adatkezelő nem tett meg, ugyanis a követelésérvényesítésen kívül más célból is kezelte az érintett telefonszámát.

A Hatóság azt is kifogásolta, hogy az adatkezelő gazdasági érdekeit és kényelmi szempontjait úgy helyezte előtérbe az érintett érdekeivel szemben, hogy a saját érdekeinek elsőbbségét nem bizonyította és arányosítást nem végzett. Ez azért kiemelt jelentőségű, mert telefonos megkeresés esetén az érintettnek azonnal döntést kell hoznia, nincs ideje átgondolni a válaszait, ezért ez az adatkezelés nagyobb beavatkozást jelent a magánszférájába, mint egy postai vagy e-mailes megkeresés.

A NAIH szerint az adatkezelő hiányosan és helytelenül azonosította az érintetti érdekeket is. Az adatkezelő a telefonos megkeresés során a behajtási esélyeket is felméri, azonban az érdekmérlegelésben ezt a lényeges érdeket fel sem tünteti.

A NAIH az adatkezelő által megjelölt garanciákat sem tartotta megfelelőnek, mivel azok túl általánosan kerültek megfogalmazásra, azaz nem lehetett következtetni arra, hogy az adatkezelő adatkezelése során konkrétan milyen intézkedéseket alkalmaz.

Az adatkezelő adatkezelési tevékenysége a Hatóság által feltártak szerint nem felelt meg a célhoz kötöttség és az adattakarékosság elvének sem.

A célhoz kötöttség elve azt jelenti, hogy meg kell jelölni a konkrét adatkezelési célt és ennek megfelelően kell felmérni, hogy ahhoz mely személyes adatok kezelése szükséges.

A telefonszám követeléskezelési célú felhasználása a Hatóság szerint nem fogadható el, mivel a követeléskezelés nem jogi eljárás, hanem a felek konszenzusán alapuló, jogi eljárást megelőző, egyeztetés.

Mivel az adatkezelőnek a kötelezett más elérhetőségei is rendelkezésre álltak, ezért a telefonszám kezelését a NAIH nem látta szükségesnek, sőt kifejezetten úgy foglalt állást, hogy az írásbeli kapcsolattartás elegendő és megfelelő az adott jogviszonyban, ezért az érintettnek biztosítani kell az írásbeli kapcsolattartást, tehát nem lehet telefonos kapcsolattartásra kötelezni. A NAIH szerint nehezen jelölhető meg olyan érdek az adatkezelő oldalán, amely az érintett telefonos kapcsolattartásra kötelezését megalapozná.

A Hatóság a fentiek alapján megállapította, hogy az érdekmérlegelés nem megfelelő, ezért az adatkezelő jogos érdeke alapján nem kezelhette az érintett telefonszámát, így adatkezelése jogellenes, mivel az érintett telefonszámának törlése esetén az érintett postai címe, kapcsolattartási adatként az adatkezelő rendelkezésére áll.

A NAIH tehát megállapította, hogy az érintett törlési kérelmének elutasításával az adatkezelő megsértette az érintett GDPR alapján biztosított törléshez való jogát.

Az adatkezelő eredetileg a szerződés teljesítése érdekében szerezte meg az érintett személyes adatait, azonban az érdekmérlegelési teszt szerint azokat az ügyfélszolgálat fejlesztése érdekében is felhasználta. A Hatóság álláspontja szerint ezt a GDPR bizonyos korlátokkal lehetővé teszi, de az adatkezelőnek meg kellett volna vizsgálnia, hogy az adatkezelés eredeti és ettől eltérő célja összeegyeztethető-e. Az adatkezelő azonban az ügyfélszolgálat fejlesztését meg sem jelölte adatkezelési célként, így össze sem hasonlította azt az adatkezelés eredeti céljával.

A NAIH kifejtette, hogy amennyiben az új adatkezelési cél összeegyeztethető az eredetivel, úgy az adatkezelőnek a GDPR 13. cikke szerint tájékoztatnia kellett volna az érintettet az új adatkezelésről. Ha az összevetés eredményeképpen az adatkezelő megállapította volna, hogy az új adatkezelés az eredeti céllal nem egyeztethető össze, úgy nyilvánvalóan nem kezelhette volna az érintett adatokat az általa meghatározott új célból.

A lakcímadat változásának bejelentésével kapcsolatban a NAIH szerint nincs lehetőség a megváltozott lakcímet tanúsító igazolvány személyes bemutatására, mert az adatkezelő által megküldött, az adatkezelő által szerkesztett formanyomtatvány szerint csak postai úton vagy az adatkezelő webfelületén lehet a lakcímkártya másolatát megküldeni.

Az adatkezelő a lakcímváltozás bejelentéséhez a lakcímkártya fénymásolatát a Pmt. 6. §-a alapján törvényi kötelezettsége teljesítése érdekében kezeli. A NAIH álláspontja szerint a Pmt. 7. §-a taxatív felsorolást tartalmaz arról, hogy az ügyfél-azonosítás során mikor kell a személyi okmányokat lefénymásolni, azonban a lakcím változása nem tartozik ezek közé.

Az adatkezelő úgy nyilatkozott, hogy csak a lakcímadatot tartalmazó rész másolatát kérik az érintettektől, a papír alapon beérkező fénymásolatokat a digitalizálást követően azonnal megsemmisítik és a digitális másolatokat is csak 15 napig őrzik, azt követően azokat is megsemmisítik.

A NAIH nem kifogásolta az adatkezelő által bemutatott eljárásrendet, illetve a lakcímkártya bemutatásának megkövetelését, amely összhangban van a GDPR által előírt adatpontosság követelményével, illetve a Pmt. 12. §-a is indokolja.

Jogkövetkezmények

A Hatóság 1.000.000,- Ft adatvédelmi bírságot szabott ki az adatkezelővel szemben.

A bírság összegének megállapítása során figyelembe vette, hogy a törléshez való jog gyakorlásának megakadályozása súlyos jogsértésnek minősül, az adatkezelő a GDPR több cikkét is megsértette, illetve az érintett jogainak sérelmét az  szándékos magatartása okozta.

A Hatóság a bírság kiszabása során a fentieken kívül figyelembe vette az adatkezelő előző üzleti évben elért árbevételét is, amelyhez képest a bírság jelképes összegűnek tekinthető.

A NAIH célja a bírság kiszabásával inkább az adatkezelőt kívánta ösztönözni a telefonszámra vonatkozó adatkezelési gyakorlatának felülvizsgálatára. A Hatóság generál preventív célja az adatkezelő újabb jogsértésének megakadályozása, illetve a többi adatkezelő ösztönzése a helyes adatkezelési gyakorlat kialakítására.


Kapcsolódó cikkek

2024. december 3.

DLA Piper: Az ESG törvény újabb módosítása könnyíthet a vállalkozások terhein

Közzétették az ESG törvény újabb módosításának tervezetét, amely jelentős egyszerűsítéseket ígér a vállalkozások számára a fenntarthatósági célú átvilágítási kötelezettségek teljesítésének területén. A változások – a módosító törvény elfogadása esetén – a kihirdetés után 30 nappal lépnének hatályba, míg a módosult bírságolási rendelkezések csak 2026-tól válnának alkalmazhatóvá. A javaslat által bevezetni kívánt legfőbb változtatásokról a DLA Piper Hungary készített összefoglalót.

2024. december 3.

Pillanatkép a digitális piacok szabályozásáról (1. részlet)

A Wolters Kluwer Hungary gondozásában megjelent kötetben foglalt értekezés az uniós digitális szabályozás gerincét alkotó DMA (Digital Markets Act) szabályozási összefüggéseiből kiindulva azon kérdések vizsgálatára irányul, amelyekről a kutatás során beazonosítható volt, hogy a magyar piacon működő digitális vállalkozások a szabályozási átalakuláshoz történő adaptációt elsődlegesen meghatározzák. A kötet szerzője Dr. Firniksz Judit.