Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A NAIH egy webáruház adatkezelését vizsgálta, amely során számos szabálytalanságot tárt fel és adatvédelmi bírságot is kiszabott az adatkezelőre.
A NAIH az Ügyfél honlapjával [….], azaz a weboldallal és az Ügyfél által üzemeltetett webáruházzal összefüggésben nyújtott tájékoztatásnak az általános adatvédelmi rendelet (GDPR) 4. cikk 11. pontjának, 5. cikk (1) bekezdés a) pontjának, 5. cikk (2) bekezdésének, 13-14. cikkének való megfelelőségének vizsgálatát szükségesnek látta. Mivel ezen rendelkezések megsértése valószínűsíthető volt, ezért indokolt volt adatvédelmi hatósági eljárás hivatalból történő indítása, különös tekintettel arra is, hogy az Ügyfél tevékenysége során feltehetően nagy számú érintett személyes adatát kezeli, tehát ezen személyek GDPR rendelkezéseinek megfelelő, átlátható tájékoztatása különösen elvárható az Ügyfél honlapján, azaz a weboldalon.
Az eljárás során az Ügyfél által becsatolt (érintettek felé szóló) adatvédelmi nyilatkozat nem tartalmaz tájékoztatást az adatkezelő személyéről, kizárólag a végzett adatkezelési műveleteket (gyűjtés, felhasználás, közlés) említi. Viszont a „tájékoztatást adjunk”, valamint a hatósági eljárásban tett, NAIH-6839-2/2021. számon iktatott nyilatkozat 1.,3., 6. pontjában használt „adatvédelmi tájékoztatónkat”, „adatkezelésünk idejét” és „adatvédelmi nyilatkozatunk” szóhasználatból, a T/1. személy használatából alappal vonható le az a következtetés, hogy az Ügyfél magát adatkezelőnek tekinti.
A NAIH megvizsgálta az Ügyfél honlapján található kérdőívet és azt állapította meg, hogy az azon gyűjtött adatok közül a név, lakcím adatok, telefonszám, továbbá e-mail cím a GDPR 4. cikk 1. pont alapján személyes adatnak, a korábbi háztartási balesettel kapcsolatban adott válasz a GDPR 4. cikk 15. pont alapján egészségügyi adatnak minősülhet, amely a GDPR 9. cikk (1) bekezdés alapján a személyes adatoknak a különleges kategóriájába tartozik, melynek kezelésére a GDPR alapján speciális szabályok alkalmazandók.
Az úgynevezett általános szerződési feltételek dokumentum egy olyan tájékoztatást is tartalmaz, hogy „A honlapon található termékeinkből csak telefonon, illetve e-mailben rendelhet.”, melyből azonban az nem következik, hogy a weboldalon keresztül termékvásárlással összefüggésben személyes adatok gyűjtése nem történik, mivel a termékvásárlással összefüggésben a honlapon személyes adatok rendelkezésre bocsátása ennek ellenére lehetséges.
A fentiek miatt a NAIH megállapította, hogy az Ügyfél a weboldalon gyűjtött személyes adatok tárolásával, felhasználásával a GDPR 4. cikk 2. pontja alapján adatkezelést végez, illetve végzett a vizsgált adatkezelési időszak folyamán.
Az Ügyfél a nyilatkozata szerint a kezelt, vizsgált adatokat ugyan törölte, ez azonban nem jelenti akadályát a jogsértés megállapításának.
Az Ügyfél adatkezelési tájékoztatója a Hatóság álláspontja szerint nem tesz eleget a GDPR 5. cikk (1) bekezdés a) pontja szerinti átlátható adatkezelés követelményének, mivel több helyen nem fogalmaz egyértelműen, ugyanis nem sorolja fel, hogy mely személyes adatokat mely célra és jogalapra hivatkozással kezeli. A jogalapot, pontos megőrzési időt egyáltalán nem jelölte meg, a célokat pedig csak felsorolta, de nem társította hozzájuk a kezelt személyes adatokat.
Az átláthatóság elvének az adatkezelési tájékoztató esetén az felel meg, ha a kezelt személyes adatokként külön-külön (könnyen áttekinthető, strukturált formában, esetleg táblázatban) tartalmazza és egyértelműen megjelöli az adatkezelés célját, jogalapját, adatkezelés időtartamát és amennyiben adatkezelés jogalapjaként a GDPR 6. cikk (1) bekezdés c) pontjára hivatkozik, akkor pontosan megjelöli a kötelező adatkezelést előíró jogszabályt is.
Az Ügyfél az érintetti jogoknál a „HOZZÁFÉRÉS” címszó alatt adott tájékoztatást a helyesbítéshez és a törléshez való jogról, emiatt nem átlátható ez a tájékoztatás, tehát ezzel összefüggésben is megállapítható a GDPR 5. cikk (1) bekezdés a) pontjának a sérelme.
A fentieken túl az Ügyfél megsértette a GDPR 13. cikk (2) bekezdés d) pontját, mivel nem nyújtott tájékoztatást a Hatósághoz címzett panasz benyújtásának jogáról, továbbá a GDPR 13. cikk (2) bekezdés c) és e) pontját, mivel nem adott tájékoztatást a hozzájárulás bármely időpontban visszavonásához való jogról, és arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, köteles-e ezt az érintett megadni és milyen lehetséges következményekkel járhat az adatszolgáltatás elmaradása.
Az Ügyfél által becsatolt, a weboldalról lementett kérdőív tartalmaz arra vonatkozó nyilatkozatot, hogy tudomásul veszi az érintett, hogy az adatkezelési tájékoztatóról a weboldalon tájékozódhat. Ez azonban nem tekinthető kifejezett hozzájárulásnak, mivel erről nem nyilatkozik az érintett kifejezetten, továbbá az is jogszabálysértő, hogy az Ügyfél adatkezelési tájékoztatója nem ad megfelelő átlátható tájékoztatást alapvető adatkezelési körülményekről, úgy, mint az adatkezelési cél, jogalap, megőrzési idő és érintetti jogok, így az érintettek nem minősülnek tájékoztatottaknak. Ezek miatt ez a nyilatkozat nem minősül érvényes hozzájárulásnak sem egészségügyi adatoknak nem minősülő személyes adatok, sem egészségügyi adatok kezelése esetében, mivel nem felel meg a GDPR 4. cikk 11. ponja szerinti kritériumoknak.
A NAIH álláspontja szerint az Ügyfél megsértette a GDPR 12. cikk (1) bekezdését, továbbá a megfelelő hozzájárulás hiánya miatt a hozzájárulás jogalapon történő adatkezelés sem fogadható el, ezért a NAIH megállapította, hogy a rendelkezésre jogosultak nevét, lakcímét, e-mail címét és telefonszámát, továbbá a kérdőívben feltett kérdésekre vonatkozó válaszokat, többek között a megelőző háztartási balesetre vonatkozó egészségügyi adatát, mint személyes adatokat a GDPR 6. cikk (1) bekezdés megsértésével jogalap nélkül kezeli az Ügyfél.
A NAIH az általa megállapított jogsértések miatt 300.000,- Ft adatvédelmi bírságot szabott ki az adatkezelőre.
(naih.hu)
