A NAIH hivatalból nem kötelezhet az adatok törlésére
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A GDPR rendelkezései alapján az adatvédelmi hatóság csak az érintett kérelmére kötelezheti az adatkezelőt a személyes adatok törlésére.
Az alapügy
Hadházy Ákos országgyűlési képviselő „Csatlakozzunk az Európai Ügyészséghez” címen indított kezdeményezést. Az általa alkalmazott támogató íveken gyűjtötte az aláíró személyek nevét, címét, e-mail címét, telefonszámát és aláírását.
A támogatást online is ki lehetett fejezni. Ebben az esetben az érintett nevét, e-mail címét, megye, település nevét és a telefonszámot. Ebben az esetben az adatkezelés céljaként az Európai Ügyészséghez való csatlakozást támogatók tájékoztatását tevékenységükről, rendezvényekről, megmozdulásokról és aláírásgyűjtésekről.
A támogató ívekhez mellékelt adatvédelmi tájékoztató szerint az adatkezelés célja az volt, hogy az országgyűlési képviselő tájékoztassa az érintetteket a képviselői tevékenységéről.
Az egyes adatoknál nem volt feltüntetve, hogy azokat a kezdeményezés támogatásához kötelezően vagy csak opcionálisan kell megadni.
Az adatkezelő az adatkezelés jogalapjaként az érintettek hozzájárulását jelölte meg.
Az online adatkezeléshez az érintettek a személyes adatok megadásával és az adatkezelési tájékoztató elfogadására szolgáló jelölőnégyzet kipipálásával adták meg hozzájárulásukat.
A személyes adatok kezelésének időtartamáról az adatkezelő nem adott hozzájárulás az online kiöltés esetén.
A NAIH álláspontja
A NAIH a hivatalból indított eljárásban megállapította, hogy az adatkezelő megtévesztette az érintetteket, amikor nem jelölte meg, hogy a kapcsolattartási adatokat kötelező-e megadni vagy csak opcionálisan megadhatók.
Az adatok megadása nem tekinthető hozzájárulásnak, illetve az adatok megadásával a kapcsolattartási adatok kezelése önmagában nem lesz jogszerű.
A NAIH szerint az érintettek érvényesen nem adták hozzájárulásukat, mert nem a tájékoztató elfogadása minősül hozzájárulásnak, hanem a tájékoztató alapján az adatkezeléshez kifejezetten hozzá kell járulni. Az adatkezelő nem különítette el az adatkezelési célokat, így nem nyújtott megfelelő tájékoztatást az érintetteknek. Tehát az adatkezelőnek nem volt érvényes jogalapja a személyes adatok kezelésére.
A NAIH kiemelte, hogy a hozzájárulást nem lehet kiterjeszteni újabb adatkezelési célokra, mert az érintettnek minden egyes adatkezeléshez külön kell megadnia a hozzájárulását.
A tájékoztatóban az sem szerepelt, hogy mi történik a személyes adatokkal, ha nem gyűlik össze a kellő számú aláírás, illetve az adatkezelő az adatkezelésben résztvevőkről és az adatfeldolgozókról sem adott tájékoztatást.
Az online kitöltés esetén sem kaptak tájékoztatást az érintettek az adatkezelés jogalapjáról és időtartamáról, illetve az adatok megadása egyben hírlevélküldés célját is szolgálta, így az érintettek megfelelő tájékoztatás hiányában nem járulhattak hozzá érvényesen az adataik kezeléséhez.
A Fővárosi Törvényszék döntése
A Fővárosi Törvényszék (továbbiakban: Bíróság) egyetértett a NAIH-hal abban, hogy a támogató ív aláírása, a személyes adatok megadása és a tájékoztató elfogadása nem jelenti az adatkezeléshez való hozzájárulást. Erre tekintettel a Bíróság szerint nem áll rendelkezésre olyan konkrét és egyértelmű hozzájárulás, amely egyben kifejezett is.
A támogató íven található tájékoztatásban nem szerepel, hogy a megadott személyes adatokat automatikusan politikai kapcsolattartás céljára is felhasználják.
A Bíróság egyetértett a NAIH-hal abban is, hogy a megadott hozzájárulást nem lehet kiterjeszteni más adatkezelési célokra.
A Bíróság szerint az adatkezelő eljárása azért sem tekinthető jóhiszeműnek, mert az adatkezelés egyik célja a személyes adatok megadása mellett került feltüntetésre, míg a másik adatkezelési cél csak az ajánlóív túloldalán szerepelt és nem volt kiemelve.
A Bíróság szerint az érintett hozzájárulását önmagában nem teszi érvénytelenné a tájékoztatással kapcsolatos hiányosságok, ugyanakkor a NAIH éppen azért minősítette érvénytelennek a hozzájárulásokat, mert az adatkezelő nem jelölte meg megfelelően az adatkezelés célját.
Az adatkezelő tehát sem az adatkezelési célt, sem a célhoz kapcsolódó tájékoztatást nem adta meg, illetve az adatkezelési célhoz adott kifejezett hozzájárulás hiányában nem beszélhetünk érvényes hozzájárulásról.
A Bíróság kiemelte, hogy jogszerű volt az adatvédelmi bírság kiszabása is, ugyanis a GDPR széleskörű mérlegelési jogkört ad a tagállami hatóságoknak a bírság kiszabására és annak összegére vonatkozóan. A Bíróság megítélése szerint a NAIH kellő mértékben figyelembe vette a jogsértés súlyát, az érintettek számát, a személyes adatok jogi természetét, a jogellenes adatkezelés időtartamát, stb.
A Bíróság elvi éllel mutatott rá arra, hogy a NAIH csak a GDPR által előírt jogkövetkezményeket alkalmazhatja az adatkezelőkkel szemben. A GDPR 58. cikk (2) bekezdésére hivatkozással a NAIH nem kötelezheti az adatkezelőt a jogellenesen kezelt személyes adatok törlésére. A GDPR szerint ugyanis megfelelő körülmények fennállása esetén az érintett kérheti a személyes adatainak törlését. A NAIH tehát a törlés hivatalból elrendelésével túllépte hivatali hatáskörét, amely az általa hozott határozatot jogsértővé tette.
A Bíróság szerint az ügyben az EUB előzetes döntéshozatalának kezdeményezése nem volt indokolt, mert a GDPR rendelkezései egyértelműek.
(naih.hu)