Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A NAIH megállapította, hogy a Fidesz a szimpatizánsi adatbázissal kapcsolatos adatkezelése során nem tett eleget maradéktalanul a GDPR rendelkezéseinek.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) hivatalból vizsgálatot indított, mivel több bejelentés érkezett a NAIH-hoz, amelyben a bejelentők a Fidesz-Magyar Polgári Szövetség (a továbbiakban: Fidesz vagy Adatkezelő) szimpatizánsi adatbázis építésével kapcsolatos, valamint az egyes aláírásgyűjtésekhez, civil kezdeményezésekhez kapcsolódó adatkezelése jogszerűségét, továbbá az érintetti jogok biztosításával kapcsolatos ügyintézési rendjét kifogásolták.
A szimpatizánsi nyilvántartásban a Fidesz részére korábban támogatásukat adó személyek adatait
kezelik. Az adatkezelés jogalapját az érintett által írásban megadott hozzájárulás képezi, e mellett pedig az adatkezelés során, az abban foglalt garanciák érvényesítése céljából, mint jogalapot alkalmazzák a GDPR 9. cikk (2) bekezdés d) pontját is. Adatkezelésükhöz a hozzájárulást nem elektronikusan, online felületen, hanem csak személyesen lehet megadni, amelynek során az érintett maga dönti el, hogy mely adatait adja meg az általuk kért adatkörből, azaz a név, lakcím, születési év, telefonszám, valamint email-cím adatokból.
Az adatok megadásánál szükséges az érintett jelenléte, mivel nyilatkozatát az érintett személy aláírásával hitelesíti.
személyes adatok kezelésének időtartama addig terjed, amíg az érintett személy a nyilatkozatát
vissza nem vonja.
Az adatkezelés célja a kapcsolattartás, vagyis a hozzájárulás visszavonásáig a Fidesz az általa fontosnak tartott tájékoztatót, kampányanyagokat az érintett részére eljuttatja, illetőleg véleményét kéri lényegesnek tartott kérdésekben, így például választások előtt választási hajlandóságban. Az érintett által megadott nyilatkozatot papír alapon, illetőleg a kampányanyagok megküldése céljából elektronikusan tartják nyilván.
A szimpatizánsi nyilvántartásba történő adatfelvétel kezdetekor az érintett számára az adatvédelmi tájékoztatót vagy az általa kitöltendő nyilatkozaton, illetőleg annak mellékletén biztosítják. Az érintettek számára ezen túl egyedi adathozzáférést is biztosítanak, vagyis ha az érintett tájékoztatást kér a személyes adatai kezeléséről, úgy azt az általa kért formában biztosítják. Válaszleveléhez mellékelte ezen két típusú nyilatkozati lap egy-egy mintapéldányát („Maradjunk kapcsolatban” elnevezésű nyilatkozati lap, és a „Támogatom Orbán Viktor programját, állítsuk meg a bevándorlást” elnevezésű nyilatkozati lap és annak külön oldalon található adatkezelési tájékoztatója), valamint egy tesztadatokkal kitöltött felületről csatolt képet, amelyen látható, hogy adott esetben az érintettel kapcsolatban milyen adattípusokat tárolhatnak.
A Fidesz a választások előtti időszakban a szimpatizánsi nyilvántartásban lévő személyektől kért véleményeket összesíti. Ennek során elsősorban a választásokat megelőző szavazói aktivitást tükröző adatok statisztikai összegzése történik abból a célból, hogy felmérhessék támogatóik aktivitását, hogy milyen kedvvel kívánnak részt venni a választásokon, illetőleg továbbra is támogatói-e a pártnak.
A gyűjtött adatkörök: a „támogat”, „elutasít”, „bizonytalan”, illetőleg az érintett által korábban megadott adatok pontosságának ellenőrzése: „rossz cím”, „elköltözött”, „elhunyt”. Az ekkor rögzített adatok forrása szintén az érintett, az adatokat elsősorban nem az egyes választókhoz rendelten rögzítik, hanem statisztikai adatokat képeznek belőle, a felvett adatokat pedig ennek elkészültét követően törlik.
Az érintettek számára ezen adatkezelések során is biztosítják a GDPR-ban rögzített jogosultságaikat, vagyis tájékoztatást adnak az adatkezelések megkezdése előtt, és csak abban az esetben rögzítik a
személyes adatokat, ha az érintettek ahhoz hozzájárultak.
Az adatok felvételében részt vevő munkatársak részére előzetesen adatvédelmi oktatást tartanak, melyben felhívják a figyelmüket arra, hogy csak a formanyomtatványokon szereplő adatokat rögzíthetik, az adatokat és az azt tartalmazó nyomtatványokat csak azok ismerhetik meg, akik jogosultságukat igazolják, más személynek nem adhatják át, nem biztosíthatnak betekintést, azokról képmásolat nem készülhet. A Fidesz részére támogatásukat adók személyes adatait a Fideszen kívüli harmadik személy részére nem lehet továbbítani.
Válaszlevelében a FIDESZ előadta továbbá, hogy az elmúlt időszakban több esetben előfordult, hogy állampolgárok megkeresték a Fideszt, és vagy tájékoztatást kértek személyes adataik kezeléséről, vagy kérték személyes adataik törlését a szimpatizánsi nyilvántartásból.
Előfordult az is, hogy az érintett személyek azt jelezték, hogy a személyes adataikat nem ők adták meg.
A FIDESZ arról tájékoztatta a NAIH-ot, hogy az érintettek csak személyesen, saját kezűleg, írásban adhatják meg személyes adataikat a szimpatizánsi nyilvántartáshoz. Az aláíró ívekről a területi irodák munkatársai rögzítik a személyes adatokat a központi rendszerükbe. A központi rendszerben történő kezelés során az adatokhoz kizárólag azon munkatársaik férhetnek hozzá, akiknek feladataik ellátásához az szükséges, az adatokhoz egyedi jelszóval férhetnek csak hozzá és a hozzáférés naplózva van.
A szimpatizánsi nyilvántartásban szereplő személyes adatok kezelésének célja minden esetben a kapcsolattartás, a véleménykérés és a (választási) tájékoztatás volt. A választásokat megelőző, a szimpatizánsi nyilvántartásban szereplő személyek megkeresése azt a célt szolgálta, hogy az érintettek az adott megkeresés alkalmával jelezhették, hogy az adott megkereséssel összefüggésben kapcsolatban kívánnak-e maradni az adatkezelővel, vagy az adatkezelőnek volt lehetősége az adatkarbantartásokat, adatpontosításokat elvégeznie (elköltözés, elhalálozás stb.).
A szimpatizánsi nyilvántartás célja, hogy az érintettel a Fidesz a kapcsolatot a későbbiekben fenn
tudja tartani. E célt figyelembe véve az érintett maga dönti el, hogy mely személyes adatát adja meg, úgy mint nevét, lakcímét, telefonszámát, e-mail-címét és korát. Az érintett által megadott elérhetőségi címekre történik a későbbiekben a tájékoztatók megküldése. Az érintett kora abból a célból releváns, hogy adott korosztályoknak tudják megküldeni az őket érintő tájékoztatókat. A személyes megszólítottság, az, hogy az érintettet a saját nevén szólítják meg, nagymértékben erősítik a bizalmat, a kötődést, és a sikeres kapcsolatokat, továbbá a nevek kezelése hagyományos postai küldemények esetében is relevánsak, mivel egy címen több személy is tartózkodhat, és ezáltal lehet azonosítani, hogy a tájékoztatást tartalmazó levél kinek szól.
Az egyes választókerületekben statisztikai formában – személyes adatok kezelése nélkül – elemzések tárgya volt, hogy a választáson a párttal szimpatizálók milyen arányban kívánnak részt venni a választáson. Korábbi választások során a megkeresések és véleménykérések nyomán nem képződött személyes adatokat tartalmazó nyilvántartás.
Az érintett hozzájárulása alapján a Fidesz tehát az érintett személyes adatait egyrészt arra az adatkezelési célra használja, hogy az érintett részére az általa lényegesnek tartott információkat eljuttassa. Másodsorban a választási kampányokban, ahol a Fidesz jelöltet állított, azon helyi szervezetei részére, amely azt igényelte, összeállításra került egy lista azon szimpatizánsokról, akik hozzájárulásukat adták ahhoz, hogy személyesen felkeressék őket, és véleményüket, tájékoztatásukat kérjék arról, hogy a választáson támogatóan részt kívánnak-e venni. Ezen időszaki, statisztikai adatgyűjtés célja csupán az, hogy a helyi szervezetek felmérhessék, hogy milyen százalékban számíthatnak a szimpatizánsok részvételére a választásokon, tehát nem a személyes adatok gyűjtése és tárolása.
A törlési, vagy pontosítási igényektől eltekintve a Fidesz egyes helyi szervezeteitől a Fidesz központi szervezetéhez tehát személyes adat megküldése nem történt, csak statisztikai tartalmú adat került a központba, vagyis nem történt központi nyilvántartásba történő gyűjtése személyes adatoknak. Központi szinten tehát nem volt ismert az egyes konkrét szavazók választási részvételi szándéka. A szimpatizánsi nyilvántartás nem azt a célt szolgálja, hogy az egyének politikai aktivitását rögzítse – álláspontjuk szerint ez az adatkezelési cél ugyanis jogellenes lenne –, hanem azt, hogy az érintettel a fenti célból a kapcsolatot fenn tudja tartani a Fidesz, ezért ezen nyilvántartásba nem lehet más adatot rögzíteni.
A NAIH döntése
A NAIH a Fidesz válaszleveléhez mintaként csatolt két aláírásgyűjtő ív adatkezelési tájékoztatóját áttekintve megállapította, hogy azok tartalmazzák a GDPR 13. cikkében foglalt azon legfontosabb információkat, amelyekről az érintetteket az adatkezelés megkezdése előtt tájékoztatni szükséges ahhoz, hogy az adatkezeléshez a hozzájárulásukat érvényesen meg tudják tenni.
Az aláírásgyűjtő ívek adatgyűjtésre szolgáló oldalának lap alján elhelyezett adatkezelési tájékoztatók ugyanakkor a szöveg kis betűmérete miatt az érintettek számára adott esetben nehezen olvashatóak. A GDPR 5. cikk (1) bekezdésében szereplő átlátható adatkezelés elvéből fakadóan az adatkezelőnek az adatkezelési tájékoztató könnyen áttekinthető szövegezése mellett a megfelelő betűméret alkalmazásával a szöveg olvashatóságát is biztosítania kell, ezért a NAIH szerint a könnyebb olvashatóság érdekében a tájékoztatókon a betűméret növelése szükséges.
A Fidesz nyilatkozatai alapján a NAIH arra a következtetésre jutott, hogy a választási részvételi szándékkal kapcsolatos időszaki nyilvántartásba történő adatgyűjtés, azaz az ezzel összefüggésben megvalósuló adatkezelés vonatkozásában nem a Fidesz központi szervezete tekinthető önállóan adatkezelőnek, az adatgyűjtést ugyanis a Fidesz helyi szervezete végzi.
A NAIH úgy foglalt állást, hogy a az adatkezelésre vonatkozó érdemi döntéseket – úgy, mint milyen célból, milyen jogalapon, milyen személyes adatokat, mennyi ideig kezelnek, az adatkezelés módjának kialakítása és az adatkezelés végrehajtása, a személyes adatokhoz való hozzáférés, előzetes tájékoztatás – a Fidesz központi és helyi szervezete közösen hozza meg, ezáltal a Fidesz központi szervezete és az egyes adott helyi szervezete közös adatkezelők lesznek. Közös adatkezelés esetén a GDPR rendelkezései értelmében az adatkezelőknek megállapodást kell kötniük egymással, amelyben meg kell határozni, hogy milyen módon teljesítik a GDPR szerinti kötelezettségeket.
A NAIH megállapította, hogy a Fidesz által, meghatározott személyek vonatkozásában gyűjtött olyan adatok, mint „támogat”, „elutasít”, „bizonytalan” – amelyek kifejezetten az érintett politikai véleményére utaló információk -az érintett személyes adatának minősülnek. Ezen személyes adatok a GDPR 9. cikk (1) bekezdése értelmében továbbá a személyes adatok különleges kategóriái közé tartozó adatok is.
A különleges kategóriájú személyes adatok többek között a GDPR 9. cikk (2) bekezdésében foglaltak szerint abban az esetben kezelhetőek, ha az érintett kifejezett hozzájárulását adta azok egy vagy több konkrét célból történő kezeléséhez.
A Hatóság álláspontja szerint az érintettektől gyűjtött ezen személyes adatoknak az adatkezelés céljához kötötten történő kezelése, azaz nyilvántartása, tárolása nem jogellenes, amennyiben az adatkezelő megfelelő jogalappal rendelkezik. A személyes adatok azonban csak a cél eléréséig tarthatóak nyilván, tehát amennyiben az adatkezelés célja megvalósult, a személyes adatokat törölni kell.
Mivel az érintett politikai véleményére utaló információk különleges kategóriájú személyes adatnak minősülnek, így a hozzájárulás érvényességéhez az is szükséges, hogy az kifejezett legyen. A „kifejezett” hozzájárulás egyrészt arra utal, hogy az érintett valamilyen módon megerősíti a beleegyezését, másrészt azt is jelenti, hogy az érintett minden kétséget kizáróan tisztában van azzal, hogy az adatkezelés a különleges személyes adataira fog vonatkozni, és azok kezeléséhez hozzájárul.
Az Európai Adatvédelmi Testület hozzájárulásról szóló 5/2020. számú iránymutatása3 a hozzájárulás bizonyításával kapcsolatban szintén kiemeli, hogy az adatkezelőnek kell bizonyítania, hogy érvényes hozzájárulást szerzett az érintettől. A GDPR nem írja elő pontosan, hogy ezt hogyan kell megtenni. Az adatkezelőnek azonban képesnek kell lennie annak bizonyítására, hogy az érintett egy adott esetben a hozzájárulását adta. Amíg az adatkezelési tevékenység tart, a hozzájárulás bizonyítására vonatkozó kötelezettség fennáll. A Testület iránymutatása szerint az adatkezelő például nyilvántartást vezethet a beérkezett hozzájáruló nyilatkozatokról. Az adatkezelőnek továbbá képesnek kell lennie annak igazolására, hogy az érintett tájékoztatásban részesült és az adatkezelő munkafolyamata megfelelt az érvényes hozzájárulás valamennyi releváns kritériumának. Az adatkezelőknek ugyanis elszámoltathatónak kell lenniük az érintettek érvényes hozzájárulásának megszerzése és az általuk bevezetett hozzájárulási mechanizmusok tekintetében. A korábbi 29. cikk szerinti munkacsoport bevált gyakorlatként azt ajánlotta, hogy a hozzájárulást megfelelő időközönként frissíteni kell.
Az adatkezeléshez történő hozzájárulásnak egy fontos fogalmi eleme a tájékozott beleegyezés. A Hatóság a rendelkezésére álló – fentiekben részletezett – nyilatkozatok alapján megállapította, hogy a Fidesz a választási részvételi szándék felmérésével kapcsolatos időszaki nyilvántartással összefüggésben történő adatkezelés során az érintetteknek nem nyújtott a GDPR követelményeinek maradéktalanul megfelelő tájékoztatást.
A NAIH-hoz érkezett panaszokban több alkalommal jelezték, illetve adott esetben sérelemként jelölték meg az érintettek, hogy a Fidesztől érkezett megkeresések alkalmával – a telefonos megkeresések során a hívó félhez intézett kéréssel, vagy a hívó fél telefonszámára küldött SMS üzenetben, továbbá elektronikus levél útján érkezett megkeresés során a feladó e-mail elérhetőségére írt válaszüzenetben – jelezték a Fidesznek, hogy kérik személyes adataik adatbázisból történő törlését, ezen kérésükre azonban nem minden esetben kaptak visszajelzést, illetve a kérelmük teljesítése – különösen a telefonos megkeresések során történő jelzés esetén – nem történt meg.
A NAIH álláspontja szerint szükségtelen és aránytalan lenne az, ha a pártok az aláírásgyűjtések során az aláírók személyazonosságának igazolására bármilyen személyazonosító okmányt elkérnének. A Hatóság ezen álláspontját támasztja alá, hogy a Ve. az ajánlásgyűjtés során sem teszi kötelezővé a választópolgárok személyazonosságának igazolását, továbbá az állampolgárok petíciós jogának gyakorlása sem köthető ahhoz a feltételhez, hogy az aláíró személyazonosságát igazolják. Az adatgyűjtés során azonban ennek hiányában is ügyelni, illetve törekedni kell az adatpontosságra, így például nem megengedett, ha egy személy nyilvánvalóan több személy nevében tölti ki az ívet.
A NAIH által – a Fidesz adatkezelését érintő egyes érintetti panaszok vizsgálata során – megállapítottak szerint az érintettek számára létre kell hozni olyan – postai, illetve elektronikus úton elérhető – csatorná(ka)t, amelye(ke)n keresztül az érintettek az adatkezelőhöz tudnak fordulni érintetti kérelmeikkel.
Az érintetteket valamennyi, a Fidesz– akár helyi szervezete, akár központi szervezete – által küldött elektronikus megkeresésben, valamint a további kapcsolattartás, véleménykérés, választási és egyéb tájékoztatás céljából történő adatgyűjtésre szolgáló aláírásgyűjtő íven szereplő tájékoztatóban jól láthatóan tájékoztatni kell az érintetti joggyakorlás lehetőségéről és módjáról, kiemelve azon elérhetőségeket, ahol ezen jogaikat gyakorolni tudják.
A NAIH továbbá nem tartja elfogadhatónak azon magyarázatot és gyakorlatot, miszerint az egyes címekről (például valamely képviselő, jelölt nevét tartalmazó címről, úgy mint x.y@fidesz.hu) érkezett érintetti megkeresésekre az érintett által válaszüzenetként küldött érintetti kérelmet nem fogadják, mert az adott cím álláspontjuk szerint nem azt a célt szolgálja, hogy az érintettek ily módon tegyék meg kérelmüket. Az adatkezelőnek az érintettek bármely elérhetőségére küldött kérelmét fogadnia kell és megfelelő technikai, szervezési intézkedésekkel lehetővé kell tennie, hogy azok maradéktalanul megválaszolásra kerüljenek.
A NAIH kifejtette, hogy, ha egy telefonos megkeresés során olyan személyt kerestek meg, aki állítása szerint személyes adatát nem adta meg, akkor haladéktalanul gondoskodni kell a pontosság elve értelmében az érintett személyes adata/i törléséről. A Hatóság álláspontja szerint a pontosság elvének érvényre juttatása érdekében is ki kell alakítani olyan megfelelő csatornákat, amelyek a törléshez és a helyesbítéshez való jog biztosítását segítik az érintettek számára.
A fentiekre tekintettel a NAIH felszólította a Fideszt, mint adatkezelőt, hogy
1) alakítson ki olyan eljárásrendet, amely objektív módon igazolja a választási részvételi szándék felmérésével kapcsolatos időszaki nyilvántartásban szereplő valamennyi személyes adat törlését;
2) az érintetti jogok gyakorlásának biztosítása és megkönnyítése érdekében alakítson ki megfelelő belső eljárásrendet és belső szabályozást, továbbá valamennyi adatkezelésére vonatkozóan készítse el az érintetteknek szóló adatkezelési tájékoztatót és azokat az adatkezelés teljes időtartama alatt tegye könnyen hozzáférhetővé az érintettek számára;
3) az adatvédelmi követelmények teljesítésének módját a helyi szervezetek tekintetében is megfelelő módon rendezze és alakítsa ki, továbbá azok betartására hívja fel a helyi szervezeteket és a képviselőiket is;
4) a szimpatizánsi adatbázishoz kapcsolódóan történő, a nyilvántartásban szereplő érintettektől további személyes adatok gyűjtésére – amennyiben a tervezett adatkezelés célja összeegyeztethető, de nem azonos azon céllal, amelyhez az érintettek korábban a hozzájárulásukat adták – a fentiek és az ajánlásban foglaltak figyelembevételével csak az adatkezelésről történő megfelelő előzetes tájékoztatást követően kerüljön sor.
(naih.hu)
