Az ügyvédi iroda jó hírnevének védelme nem tartozik a GDPR hatálya alá
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
Egy egyszemélyes ügyvédi iroda azért fordult a NAIH-hoz, mert a vállalkozási adatokat kezelő cég nem tett eleget a negatív események törlésére vonatkozó kérésnek.
Az alapügy
A Kérelmező beadványában előadta, hogy ügyvédi irodája és neve feltüntetésre került a Kérelmezett által üzemeltetett céginformációs weboldalon.
Az ügyvédi irodájának – mely a Kérelmező nevét viseli – adatlapján feltüntetett publikus információk között szerepel a „hitelkockázatot befolyásoló események száma – 1”, valamint „negatív események – 1 db” adatok, továbbá a weboldal lehetséges körben díjfizetés ellenében további adatokat is tartalmaz rá, valamint az ügyvédi irodára nézve.
A Kérelmező 2021. szeptember 7. napján elektronikus levélben tájékoztatást kért a Kérelmezettől a kezelt személyes adatai köréről, azok forrásáról, adattovábbítás esetén az esetleges címzettekről, a „hitelkockázatot befolyásoló események száma – 1” adat okáról, továbbá kérte annak törlését a Kérelmezett weboldaláról és adatbázisából. Hangsúlyozta, hogy az adatok törlésére irányuló kérelme a „hitelkockázatot befolyásoló esemény”, valamint „negatív esemény” adatokra egyaránt vonatkozott.
Megkeresésére a Kérelmezett ügyintézője 2021. szeptember 7. napján válaszolt, melyben előadta, hogy a Kérelmező 2021. májusi áfa bevallási kötelezettségét elmulasztotta, és addig nem tudják törölni az adatait, amíg azok megtalálhatóak a NAV oldalán is.
A Kérelmező ezt követően megkereste a könyvelőjét, aki arról tájékoztatta, hogy mulasztása okán elkésett a bevallás benyújtásával május hónapban. 2021. májusa után valamennyi áfa bevallás késedelem nélkül benyújtásra került, így 2021. májusát követően a Kérelmező ügyvédi irodája, illetve neve már nem szerepelt az NAV áfa mulasztók listájában.
Kérelmező 2021. szeptember 10. napján ismételten elektronikus levelet küldött a Kérelmezettnek, melyben fenntartotta a korábbi kérelmében foglaltakat, továbbá – mivel a Kérelmezett válaszából, valamint az Adatvédelmi nyilatkozatából nem derült ki az adatkezelés jogalapja – tiltakozott az adatkezelés ellen és kérte az érdekmérlegelési teszt megküldését.
2021. szeptember 20. napján a Kérelmező telefonon felkereste a Kérelmezett ügyintézőjét az elektronikus levél aláírásában megadott telefonszámon, jelezve, hogy az ügyvédi iroda adatai nem szerepelnek az általuk hivatkozott NAV oldalon. A Kérelmezett ügyintézője e tekintetben előadta, hogy „szerinte a Cégközlönyből került hozzájuk” a hitelkockázatot befolyásoló, illetve negatív esemény, és mivel saját adatbázisukban látják, hogy a Kérelmező szerepel, így nem tudják ezeket az adatokat törölni. A
Kérelmező a telefonhívás során jelezte, hogy fenntartja korábbi kérelmét, amelyet 2021. szeptember 17. napján küldött elektronikus levelében megerősített. Ez utóbbi levélre a kérelem benyújtásáig nem kapott választ a Kérelmezettől.
A Kérelmező álláspontja szerint – az előadottakra tekintettel – a Kérelmezett jogellenes adatkezelést folytat, mivel a Kérelmező nevével jelzett ügyvédi iroda, valamint a „hitelkockázatot befolyásoló események száma – 1”, illetve „negatív esemény – 1 db” adat a nevével együtt a Kérelmezett weboldalán való publikálásával azonosítható természetes személyre vonatkozó jogsértő adatkezelést valósít meg.
A Kérelmezett nem jelölt meg releváns jogalapot, az esetleges jogos érdekét sem igazolta, továbbá a Kérelmezett a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelet (a továbbiakban: GDPR) 12. cikk (1)-(3) bekezdésében foglaltakat megsértve nem teljesítette az általános adatvédelmi rendelet 14. cikk, 15. cikk, 17. cikk (1) bekezdés c) pontja, (2) bekezdése, valamint 21. cikke szerinti kérelmét, és elégtelen, következetlen, a valóságnak nem megfelelő tájékoztatást nyújtott a személyes adatok kezeléséről.
A Kérelmező az adatkezelés kapcsán előadta, hogy az kifejezetten hátrányos számára, magyarázkodásra kényszerítette ismerősök, családtagok előtt, valamint a szakmai előmenetelét is hátráltathatja.
A NAIH döntése
A NAIH-nak arról kellett döntenie, hogy az egyszemélyes ügyvédi irodára, mint jogi személyre vonatkozó adatok egyben a Kérelmező természetes személyre vonatkozó személyes adatoknak minősülnek-e.
Az Üttv. kommentárjának vonatkozó részére hivatkozással a NAIH megállapította, hogy az ügyvédi iroda a tagjaitól független, önálló entitásként lép be a polgári jogi jogviszonyokba, így az ügyvédi iroda tagja nem tekinthető az ügyvédi iroda vagyonának tulajdonosának, ahogy az ügyvédi iroda státusza, jogalanyisága is érintetlen marad a tagság összetételének változása esetén.
A NAIH érvelése szerint ha elfogadjuk, hogy egy tulajdonos esetén a jogi személyre vonatkozó, hitelkockázatot befolyásoló esemény ténye a természetes személyre vonatkozó információ is egyben, akkor a személyes adat minőség egy kétszemélyes korlátolt felelősségű társaság esetén is tagadhatatlanul fennállna. Ennek megfelelően nem lehetne a jogbiztonság, előreláthatóság és kiszámíthatóság követelményeinek megfelelően meghatározni, hogy pontosan mi is az mennyiségi határ, amelytől kezdve a jogi személyre vonatkozó adat és a tulajdonosok közti kapcsolat túl távoli ahhoz, hogy az egyben személyes adatnak is minősüljön.
A NAIH a GDPR (14) preambulumbekezdése alapján megállapította, hogy a GDPR hatálya nem terjed ki az olyan személyes adatkezelésre, amely jogi személyekre, illetve amely különösen olyan vállalkozásokra vonatkozik, amelyeket jogi személyként hoztak létre.
A fentiekre tekintettel a NAIH a kérelmet elutasította.
(naih.hu)