Nyolcvanmilliós bírságot szabott ki a NAIH

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Egy direktmarketing célú adatkezelést végző cég nem tudta igazolni az adatkezelés jogalapját többszázezer érintett vonatkozásában és megsértette a célhoz kötött adatkezelés, a tisztességes eljárás és nem nyújtott megfelelő tájékoztatást az érintetteknek.

1. Az alapügy

A NAIH-hoz érkezett bejelentések alapján az adatkezelő postai úton értesítést – szűrővizsgálatra történő invitálást – küldött részükre annak ellenére, hogy ahhoz korábban nem járultak hozzá.

A NAIH hivatalból hatósági ellenőrzést indított, amelyben az adatkezelő GDPR-ra vonatkozó kötelezettségeinek betartását ellenőrizte.

Az eljárásban a NAIH kérdésére válaszolva az adatkezelő azt nyilatkozta, hogy

A hallásvizsgálati igény felmérése céljából történő postai megkeresések minden esetben kizárólag a Belügyminisztérium (a továbbiakban: BM) által szolgáltatott adatbázisban szereplő személyek részére kerülnek megküldésre, más forrásból, más céllal megadott adatokat a Kötelezett nem használ fel.

Az adatkezelő írásban, a BM részére címzett kérelem formájában, kizárólag név- és lakcímadatok közlését kéri meghatározott korosztályokra vonatkozóan. Ez azt jelenti, hogy nem konkrét születési évet jelöl meg, hanem több évet felölelő időtartamra vonatkozóan kér adatokat azzal, hogy a születési időre, de még év szintű beazonosíthatóságára sem tart igényt. Az adatokat a BM elektronikus adathordozón biztosítja a Kötelezett részére. Az adatkezelő arra illetékes munkavállalói az adathordozóról valamennyi adatot egy külön, kóddal ellátott szerverköteten helyeznek el, majd az adathordozó teljes tartalmát visszaállíthatatlan módon törlik.

A NAIH megállapította, hogy az adatkezelő a vizsgált adatkezelési időszakon belül – a csatolt kérelem-másolatok szerint 2020. június 24. és 2021. augusztus 4. között – 9 alkalommal fordult adatszolgáltatás iránti kérelemmel a BM-hez. Ezen kérelmeihez kapcsolódóan adatszolgáltatásonként átlagosan 300.000-400.000 érintett név- és lakcímadatát kapta meg a BM-től. Az adatkezelő a BM-től kért és kapott név- és lakcímadatok alapján a megkereséseit piackutatási célból folytatja.

Az adatkezelő álláspontja szerint a megkeresések jogalapját a GDPR 6. cikk (1) bekezdés a) pontja biztosítja, azaz az adatkezelő – nyilatkozata szerint – önkéntes hozzájárulás alapján kezeli a személyes adatokat és biztosítja az érintetti joggyakorlást, így különösen azt, hogy az érintett a hozzájárulást bármikor visszavonhatja.

Az adatkezelő a válaszlevelében megjegyezte, hogy „a piackutatási cél esetén látható, hogy a jogszabályok már arra is lehetőséget biztosítanak, hogy a Belügyminisztérium felé jelezze az adott érintett, hogy nem kívánja az adatait rendelkezésre bocsátani a megjelölt cél vonatkozásában”. Az adatkezelő álláspontja szerint az érintetti joggyakorlást a megfelelő tájékoztatás biztosítja azzal, hogy az érintett a saját akarata szerint a konkrét és megfelelő tájékoztatás folytán kinyilváníthassa nyilatkozat formájában vagy félreérthetetlenül megerősítse, hogy hozzájárul-e az adatok további kezeléséhez, avagy sem. Tehát az érintettnek – az adatkezelő álláspontja szerint – maximálisan fennáll a lehetősége, hogy nyilatkozzon a BM vagy az adatkezelő irányába, ha az adatainak kezeléséhez nem kíván hozzájárulni, azonban ennek hiányában a hozzájárulás megadottnak tekinthető az érintett azt kifejező magatartásával, hogy a megkereséshez és ezáltal az adatainak kezeléséhez hozzájárul. Ugyanis – álláspontja szerint – az országos gyakorlat is azt mutatja, hogy az adatkezelés tényleges határa ilyen esetekben az érintett egyértelmű nyilatkozata arra vonatkozóan, hogy a továbbiakban nem járul hozzá az adatkezeléshez.

2. A NAIH döntése

2.1. Az adatkezelés jogalapja

Az adatkezelő álláspontja szerint az érintettek, azaz a személyiadat- és lakcímnyilvántartásban szereplő polgárok hozzájárulása automatikusan megadottnak tekinthető, kivéve, ha a személyiadat- és lakcímnyilvántartásban az adataik kiadását megtiltották.

A GDPR 4. cikkének 11. pontja kimondja, hogy az érintett hozzájárulása az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.

Ahhoz, hogy az adatkezelő a hozzájárulás jogalapjára jogszerűen hivatkozhasson, a hozzájárulás valamennyi fogalmi elemének meg kell felelnie a rá vonatkozó követelményeknek.

Az Európai Adatvédelmi Testület wp259 számú iránymutatására hivatkozással a NAIH  megállapította, hogy az érintett hozzájárulása alapján akkor kerülhet sor az adatkezelésre, ha egyértelmű megerősítő cselekedetével beleegyezik a személyes adatai kezelésébe. Ezen megerősítő cselekedet teljesíti be az érintett információs önrendelkezési jogát: megfelelő tájékoztatás alapján az érintett mérlegeli, hogy a konkrét adatkezeléshez hozzájárulást ad-e vagy sem. A hozzájárulás abban az esetben lesz egyértelmű, ha az adatkezelő biztosítja, hogy az érintettnek aktív cselekvést kelljen tennie ahhoz, hogy az adatkezelés létrejöjjön. Ehhez elfogadható bármely olyan nyilatkozat vagy cselekedet, amely egyértelműen jelzi, hogy az érintett hozzájárulását adta a személyes adatainak tervezett kezeléséhez.

Nem fogadható el ugyanakkor megerősítő cselekedetként az érintett hallgatása. Ha az érintett nem tesz semmilyen aktív cselekedetet a hozzájárulás megadását illetően, akkor ebből az adatkezelő szintén nem következtethet arra, hogy az érintett hozzájárult az adatkezeléshez.

A adatkezelő tehát az adatkezeléshez történő hozzájárulás meglétét egy közhiteles nyilvántartásban szereplés tényére alapítja. A NAIH álláspontja szerint azonban önmagában a nyilvántartásban szereplés nem tekinthető az érintett akarata konkrét, egyértelmű kinyilvánításának, legfőképpen nem tekinthető önkéntesnek és megfelelő tájékoztatáson alapulónak. A személyiadat- és lakcímnyilvántartásban, mint közhiteles nyilvántartásban szereplő polgároknak ugyanis nincs választási lehetőségük, hogy a nyilvántartásba bekerüljenek-e vagy sem, a nyilvántartás nem a polgárok önkéntes hozzájárulásán alapuló regiszter. Az érintetteknek az Nytv. 2. §-ában foglaltak értelmében ugyan van joguk arra, hogy megtiltsák a róluk nyilvántartott adatok kiadását, ennek elmaradása – azaz az érintettnek a fentiekben kifejtett „hallgatása” – azonban nem jelenti egyúttal azt, hogy az érintett hozzájárult ahhoz, hogy személyes adatai az Nytv. 19. § (1) bekezdése szerinti adatszolgáltatás teljesítése során kiadható, és az érintett ezáltal bárki által postai úton megkereshető.

A fentiek alapján a Kötelezett megsértette az általános adatvédelmi rendelet 6. cikk (1) bekezdését, mivel adatkezelését jogellenesen alapította a hozzájárulás jogalapra, és érvényes jogalap fennálltát nem igazolta a Hatóság felé.

2.2. Az adatkezelés célhoz kötöttsége

Az adatkezelő 2021. márciusáig direkt marketing, azaz közvetlen üzletszerzési célból történő kapcsolatfelvételhez és kapcsolattartáshoz igényelt adatokat a BM-től, annak ellenére, hogy 2019. április 26. óta a Kktv. hatálya nem terjed már ki a közvetlen üzletszerzéshez történő kapcsolatfelvétel céljára név- és lakcímadatot igénylő, illetőleg kezelő természetes és jogi személyekre, azaz 2019. április 26-tól ezen adatkezelés jogszabályi felhatalmazása megszűnt.

A NAIH megállapította, hogy a kérelemben újonnan megjelölt adatfelhasználási cél (piackutatás) ellenére a Kötelezett tényleges adatfelhasználási gyakorlata a korábbiakhoz képest egészen 2021 júliusáig nem változott, az adatkezelő nyilatkozata és az általa csatolt postai értesítés-minta tartalma szerint az értesítőn változatlanul egészen 2021 júliusáig az I. rész 2.1. pontjának xii) alpontjában ismertetett ugyanazon tájékoztató szöveg szerepelt, mint a korábban direkt marketing célból küldött postai értesítőkön.

A NAIH szerint a tájékoztatóban megjelölt „piackutatás”, mint adatkezelési cél azonban elfedi a valós célt, amelyet ugyancsak megerősít az, hogy a BM irányába benyújtott adatigénylési kérelmekben megjelölt tárgy, mint adatkezelési cél sem kifejezetten a piackutatás, hanem megtévesztően „piackutatás céljából történő kapcsolatfelvétel és kapcsolattartás”, amely cél egy általános fogalom, és az adatkezelő által végzett adatkezelési tevékenység figyelembevételével a mögöttes cél továbbra is a direkt marketing cél.

Az adatkezelő arra vonatkozó nyilatkozataiban, hogy az általa piackutatásként értékelt tevékenysége milyen üzleti, illetve egyéb döntéseket alapozott meg, a piackutatás alapján meghozott döntéseket, eredményeket bemutatni nem tudta, a tényleges szakmai piackutatás végzését nem igazolta a NAIH felé.

Fentiek alapján az adatkezelő megsértette a célhoz kötöttség alapelvét.

A NAIH úgy foglalt állást, hogy az adatkezelő azzal, hogy az adatkezelés valós célja tekintetében az érintetteket, valamint a Belügyminisztériumot megtévesztette, továbbá az adatkezelés valós célját elfedte, megsértette a tisztességes eljárás elvét is.

Az adatkezelő a vizsgált időszakban nem nyújtott az érintetteknek egyértelmű, megfelelő és valós tájékoztatást a postai megkeresésekkel összefüggésben történő adatkezelés valamennyi lényeges körülményéről, illetve a tájékoztatása nem volt átlátható és világos.

A fentiekre tekintettel a NAIH 80.000.000,- Ft adatvédelmi bírságot szabott ki, amelynek során többek között az érintettek nagy számát és az adatkezelő bevételét vette figyelembe.

(naih.hu)

---