Az ügyvédi iroda jó hírnevének védelme nem tartozik a GDPR hatálya alá

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Egy egyszemélyes ügyvédi iroda azért fordult a NAIH-hoz, mert a vállalkozási adatokat kezelő cég nem tett eleget a negatív események törlésére vonatkozó kérésnek.

Az alapügy

A Kérelmező beadványában előadta, hogy ügyvédi irodája és neve feltüntetésre került a Kérelmezett által üzemeltetett céginformációs weboldalon.

Az ügyvédi irodájának – mely a Kérelmező nevét viseli – adatlapján feltüntetett publikus információk között szerepel a „hitelkockázatot befolyásoló események száma – 1”, valamint „negatív események – 1 db” adatok, továbbá a weboldal lehetséges körben díjfizetés ellenében további adatokat is tartalmaz rá, valamint az ügyvédi irodára nézve.

A Kérelmező 2021. szeptember 7. napján elektronikus levélben tájékoztatást kért a Kérelmezettől a kezelt személyes adatai köréről, azok forrásáról, adattovábbítás esetén az esetleges címzettekről, a „hitelkockázatot befolyásoló események száma – 1” adat okáról, továbbá kérte annak törlését a Kérelmezett weboldaláról és adatbázisából. Hangsúlyozta, hogy az adatok törlésére irányuló kérelme a „hitelkockázatot befolyásoló esemény”, valamint „negatív esemény” adatokra egyaránt vonatkozott.

Megkeresésére a Kérelmezett ügyintézője 2021. szeptember 7. napján válaszolt, melyben előadta, hogy a Kérelmező 2021. májusi áfa bevallási kötelezettségét elmulasztotta, és addig nem tudják törölni az adatait, amíg azok megtalálhatóak a NAV oldalán is.

A Kérelmező ezt követően megkereste a könyvelőjét, aki arról tájékoztatta, hogy mulasztása okán elkésett a bevallás benyújtásával május hónapban. 2021. májusa után valamennyi áfa bevallás késedelem nélkül benyújtásra került, így 2021. májusát követően a Kérelmező ügyvédi irodája, illetve neve már nem szerepelt az NAV áfa mulasztók listájában.

Kérelmező 2021. szeptember 10. napján ismételten elektronikus levelet küldött a Kérelmezettnek, melyben fenntartotta a korábbi kérelmében foglaltakat, továbbá – mivel a Kérelmezett válaszából, valamint az Adatvédelmi nyilatkozatából nem derült ki az adatkezelés jogalapja – tiltakozott az adatkezelés ellen és kérte az érdekmérlegelési teszt megküldését.

2021. szeptember 20. napján a Kérelmező telefonon felkereste a Kérelmezett ügyintézőjét az elektronikus levél aláírásában megadott telefonszámon, jelezve, hogy az ügyvédi iroda adatai nem szerepelnek az általuk hivatkozott NAV oldalon. A Kérelmezett ügyintézője e tekintetben előadta, hogy „szerinte a Cégközlönyből került hozzájuk” a hitelkockázatot befolyásoló, illetve negatív esemény, és mivel saját adatbázisukban látják, hogy a Kérelmező szerepel, így nem tudják ezeket az adatokat törölni. A

Kérelmező a telefonhívás során jelezte, hogy fenntartja korábbi kérelmét, amelyet 2021. szeptember 17. napján küldött elektronikus levelében megerősített. Ez utóbbi levélre a kérelem benyújtásáig nem kapott választ a Kérelmezettől.

A Kérelmező álláspontja szerint – az előadottakra tekintettel – a Kérelmezett jogellenes adatkezelést folytat, mivel a Kérelmező nevével jelzett ügyvédi iroda, valamint a „hitelkockázatot befolyásoló események száma – 1”, illetve „negatív esemény – 1 db” adat a nevével együtt a Kérelmezett weboldalán való publikálásával azonosítható természetes személyre vonatkozó jogsértő adatkezelést valósít meg.

A Kérelmezett nem jelölt meg releváns jogalapot, az esetleges jogos érdekét sem igazolta, továbbá a Kérelmezett a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelet (a továbbiakban: GDPR) 12. cikk (1)-(3) bekezdésében foglaltakat megsértve nem teljesítette az általános adatvédelmi rendelet 14. cikk, 15. cikk, 17. cikk (1) bekezdés c) pontja, (2) bekezdése, valamint 21. cikke szerinti kérelmét, és elégtelen, következetlen, a valóságnak nem megfelelő tájékoztatást nyújtott a személyes adatok kezeléséről.

A Kérelmező az adatkezelés kapcsán előadta, hogy az kifejezetten hátrányos számára, magyarázkodásra kényszerítette ismerősök, családtagok előtt, valamint a szakmai előmenetelét is hátráltathatja.

A NAIH döntése

A NAIH-nak arról kellett döntenie, hogy az egyszemélyes ügyvédi irodára, mint jogi személyre vonatkozó adatok egyben a Kérelmező természetes személyre vonatkozó személyes adatoknak minősülnek-e.

Az Üttv. kommentárjának vonatkozó részére hivatkozással a NAIH megállapította, hogy az ügyvédi iroda a tagjaitól független, önálló entitásként lép be a polgári jogi jogviszonyokba, így az ügyvédi iroda tagja nem tekinthető az ügyvédi iroda vagyonának tulajdonosának, ahogy az ügyvédi iroda státusza, jogalanyisága is érintetlen marad a tagság összetételének változása esetén.

A NAIH érvelése szerint ha elfogadjuk, hogy egy tulajdonos esetén a jogi személyre vonatkozó, hitelkockázatot befolyásoló esemény ténye a természetes személyre vonatkozó információ is egyben, akkor a személyes adat minőség egy kétszemélyes korlátolt felelősségű társaság esetén is tagadhatatlanul fennállna. Ennek megfelelően nem lehetne a jogbiztonság, előreláthatóság és kiszámíthatóság követelményeinek megfelelően meghatározni, hogy pontosan mi is az mennyiségi határ, amelytől kezdve a jogi személyre vonatkozó adat és a tulajdonosok közti kapcsolat túl távoli ahhoz, hogy az egyben személyes adatnak is minősüljön.

A NAIH a GDPR (14) preambulumbekezdése alapján megállapította, hogy a GDPR hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre.

A fentiekre tekintettel a NAIH a kérelmet elutasította.

(naih.hu)

---