Súlyos adatvédelmi bírságot kapott a Deichmann

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A Deichmann nem biztosított hozzáférést a kamerafelvételekhez és nem teljesítette az érintett adatkezelés korlátozásához való kérelmét, illetve az érintett kérelmét nem adatvédelmi jellegű kérelemként azonosította, így nem is tett eleget a GDPR szerinti kötelezettségeinek.

A Nemzeti Adatvédelmi és Információszabadság Hatósághoz (a továbbiakban: NAIH) érkezett bejelentésben az Ügyfél előadta, hogy 2018. május 26. napján a
Deichmann kaposvári üzletében kilencezer-kilencszázkilencven forint értékben vásárolt, fizetést követően úgy nyilatkozott, hogy nem kéri a visszajárót. Előadta továbbá, hogy később vette észre, hogy húszezer forintos bankjeggyel fizetett, a blokk szerint tízezer-tíz forint visszajárót kapott, állítása szerint azonban nem kapott visszajárót.

Az Ügyfél 2018. május 29. napján panaszt tett, amelyről – fogyasztói minőség kifogásáról szóló – jegyzőkönyvet vettek fel. A jegyzőkönyv tartalmazza, hogy tájékoztatták a bejelentőt arról, hogy feljelentést tehet a rendőrségen.

Az Ügyfél 2018. május 29. napján a Társaság részére címzett levelében részletesen ismertette a történéseket, majd megfogalmazta a Társaság felé azon kérelmét, hogy szeretné megtekinteni a kamerafelvételt, illetve kérte, hogy a kamerafelvételt addig ne töröljék, amíg az általa kifogásolt eset nincs leellenőrizve. A bejelentő arról is tájékoztatta a Társaságot, hogy – az Üzlet korábbi tanácsára – megkereste a rendőrséget is, akik azt ajánlották neki, hogy forduljon a Társasághoz.

A Társaság az Ügyfél 2018. május 29. napján kelt kérelmét 2018. június 19. napján válaszolta meg. A válaszlevélben arról tájékoztatta őt, hogy kamerafelvételt csak a rendőrség részére – hivatalos rendőrségi megkeresésre – tudnak kiadni, jogorvoslattal a Somogy Megyei Rendőr-főkapitánysághoz fordulhat.

Az Ügyfél – az Üzletben – 2018. május 30. napján a vásárlók könyvébe is beleírta „panaszát”. E dokumentum tartalmazza a bejelentő arra irányuló kérelmét, hogy „a 2018. május 26-ai kamerafelvételt a cég vezetése mentse el”, mert ez az egyetlen bizonyíték, és a bejelentőnek további igényeinek érvényesítéséhez szüksége van a felvételre. Az Üzlet a kérelemmel kapcsolatban azt a megjegyzést rögzítette, hogy „Az adott napi kassza záráskor pénzforgalmi többlet, készpénz többlet nem keletkezett”.

Az Ügyfél 2018. június 25. napján rendőrségi feljelentést tett ismeretlen tettes ellen, azonban a rendőrségi eljárás során a megkeresés idejében a kamerafelvétel már nem állt rendelkezésre.

A NAIH döntése

Az általános adatvédelmi rendeletet (GDPR) 2018. május 25. napjától kell alkalmazni, így a 2018. május 26. napján készült kamerafelvétel tekintetében az ezt követő napokon előterjesztett kérelmekre a GDPR szabályait kell alkalmazni. A NAIH kiemelte, hogy a GDPR már 2016. április 27. napján hatályba lépett, a (171) preambulumbekezdés pedig – az e rendelet alkalmazásának időpontja előtt megkezdett adatkezelések tekintetében – a GDPR hatálybalépésének időpontjától számított kétéves „türelmi időt” biztosított az adatvédelmi szabályozás GDPR-ral való összhangba hozatalára.

Bár a vizsgált időszak nem terjed ki a 2018. május 25. napját megelőző adatkezelésekre, a NAIH megjegyzi, hogy az adatvédelmi szabályozásban az érintetti joggyakorlás biztosítása ezen időszakban is kiemelten fontos volt: az érintett tájékoztatáshoz való jogát az Infotv. is rögzítette, és a NAIH gyakorlata alapján e jogosultság része volt az érintett kamerafelvételekbe való betekintési joga is, továbbá a zároláshoz való jog tartalmát tekintve hasonló jellegű jogintézmény volt a GDPR-ban szabályozott adatkezelés korlátozáshoz való jogával is, így a bejelentő által előterjesztett kérelmek kezelési módjának ismertnek kellett volna lennie a Deichmann előtt.

Az Ügyfél 2018. május 29. napján a Deichmann részére címzett kérelme tartalmazta, hogy szeretné megtekinteni a megnevezett kamerafelvételt, amely kérelem a rendelet 15. cikk (1) bekezdése szerinti hozzáférési kérelemnek minősül, amely alapján a Deichmann a személyes adatokhoz való hozzáférést olyan módon lett volna köteles biztosítani, hogy az Ügyfél a róla készült felvételekbe betekinthessen.

A NAIH kiemelte, hogy a kamerafelvételeket egy adatkezelő nem csupán a rendőrség részére köteles átadni, hanem – azon túl, hogy egyébként adatszolgáltatási kötelezettsége áll fenn bármely bíróság vagy hatóság felé is – a GDPR 15. cikk (3) bekezdése alapján a kamerafelvételen szereplő valamely személy részére köteles hozzáférést biztosítani a felvétel azon részéhez, amelyen az adott személy szerepel.

Az Ügyfél azonban nem az eredeti kamerafelvételt vagy az arról készült másolat kiadását kérte a Deichmanntól, hanem azt, hogy a rögzített felvételekbe betekinthessen, a Deichmann viszont a felvétel megtekintése és a felvétel kiadása iránti igény közötti különbséget nem ismerte fel, és úgy bírálta el a kérelmet, mintha az Ügyfél a felvétel kiadását kérte volna, holott egyébként a felvétel megtekintéséhez való és a felvételről készült másolat kiadásához fűződő jogosultság egyaránt megillette.

Fentiek alapján a NAIH megállapította, hogy bár a Deichmann a GDPR által meghatározott egy hónapos határidőn belül megválaszolta az Ügyfél érintetti joggyakorlásra irányuló kérelmét, abban nem indokolta, hogy a felvételekbe való betekintést miért nem engedélyezi számára, illetve az érintetti joggyakorlást nem
megfelelő indokok alapján tagadta meg, így az Ügyfél hozzáférési jogának kezelése nem felelt meg a GDPR 15. cikk (1) bekezdésének.

Amennyiben egy adatkezelő az érintett kérelmének teljesítését megtagadja, azaz annak nyomán semmilyen intézkedést nem hoz, így jelen esetben, amennyiben a Deichmann úgy dönt, hogy az Ügyfél erre irányuló kérelme ellenére nem biztosít részére hozzáférést a róla készült kamerafelvételhez, úgy a GDPR 12. cikk (4) bekezdése alapján – a megtagadás indokainak részletezésén túl – köteles lett volna tájékoztatni őt arról, hogy az panaszt nyújthat be valamely felügyeleti hatóságnál, és élhet a bírósághoz fordulás jogával.

A jogorvoslathoz való jogról adott tájékoztatás azért különösen fontos az érintetti jogok kezelése során, mivel az adatvédelmi vonatkozású jogszabályokban kevésbé jártas személy nincs feltétlenül tisztában azzal, hogy mely területen ért korlátozás esetén mely hatósághoz fordulhat, így ezen ismeret hiányában
az esetlegesen őt ért jogsértés, jogkorlátozás orvosolatlan marad. Ezt támasztja alá, hogy jelen esetben a bejelentő sem volt tisztában azzal, hogy az általa benyújtott kérelem adatvédelmi tárgyú érintetti joggyakorlásnak minősül, amely elutasítása esetén a NAIH-hoz fordulhat. Mire a bejelentő a megfelelő
jogorvoslati fórumról tudomást szerzett, addigra olyan hosszú idő telt el, hogy a róla készült kamerafelvétellel a Társaság már nem rendelkezett, így a Hatóság sem tudta kötelezni a Deichmannt annak kiadására, így az érintett kérelmének megfelelő teljesítésére sem.

Az Ügyfél 2018. május 29. napján kelt kérelme tartalmazza továbbá, hogy a kamerafelvételt addig
ne töröljék, amíg az általa kifogásolt eset nincs leellenőrizve. A GDPR 18. cikk (1) bekezdés c) pontja alapján bármely érintett, akinek jogi igényei előterjesztéséhez, érvényesítéséhez vagy védelméhez szüksége van a róla kezelt személyes adatra, jogosult arra, hogy kérésére az adatkezelő az adatot „ne törölje”, akkor sem, ha az adatkezelőnek – az egyébként általa meghatározott megőrzési időn túl – már egyébként nincs szüksége a személyes adatokra adatkezelés
céljából.

Az adatkezelés korlátozása nélkül gyakori helyzet lehetne, hogy amikor az érintett jogi igényeit kívánja érvényesíteni (pl. feljelentést tesz a rendőrségen vagy bíróság eljárását kezdeményezi), és a megindult eljárás során az eljáró szerv bekéri a bizonyításhoz szükséges kamerafelvételt, akkor az adat már nem állna
az adatkezelő rendelkezésére, ugyanis az adatkezelés céljához szükséges megőrzési idő addigra már letelne. Ezt támasztja alá az Ügyfél esete is, amikor – a Deichmann tanácsára – rendőrségi feljelentést tett, azonban amikor az eljárás abba a szakaszba ért, hogy a rendőrség bekérje a megnevezett felvételt, a Deichmann – mivel az Ügyfél kérelmét nem vette figyelembe – azt addigra már törölte, így a rendőrségi eljárásban nem sikerült bizonyítani a bejelentő állításait, illetve azok ellenkezőjét sem.

Az adatkezelés korlátozásához való jog érvényre juttatása különösen fontos lehet egy olyan üzlethelyiségben működtetett kamerarendszer esetén, ahol pénzkezelés történik, ugyanis mind a vásárló, mind az eladó oldalán felmerülhet a felvétel eljárásban való felhasználása iránti igény, ha egy vitás helyzetet nem tudnak
eldönteni. A felvételek rendelkezésre állása nélkül károsodhat mindkét fél, ugyanis egyedül a kamerafelvétel birtokában lehet bizonyítani, hogy a vásárló mekkora összeget fizetett ki, illetve az eladó mekkora összeget vett át, így előfordulhat, hogy az eladó rosszul ad vissza a vásárlónak, így vagy hiány keletkezik a kasszában,
vagy a vásárló több pénzt fizet ki a termékért, mint amennyibe az valójában kerülne.

2018. május 29-én a kaposvári üzletben fogyasztóvédelmi panaszt vett fel a munkatárs a kérelemről, mert nem észlelte, hogy a kérelem adatvédelmi tárgyú. A fogyasztóvédelmi panaszt rögzítő jegyzőkönyv szerint az eljáró munkatárs egyeztetett az értékesítési osztállyal is, ahol szintén nem tudták azonosítani az érintetti kérelmet: az értékesítési osztály is azt a javaslatot tette, hogy az Ügyfél tegyen feljelentést.

2018. május 30-án a kaposvári üzletben eljáró munkatárs a vásárlók könyvébe jegyeztette fel a kérelmet az Ügyféllel, aki szintén nem észlelte, hogy a kérelem érintetti joggyakorlásnak minősül. Nem tudta érintetti kérelemként azonosítani a beadványt a vevőszolgálati asszisztens sem, aki az Ügyfél által a Deichmann székhelyére küldött, a vezető tisztségviselőnek címzett levelet 2018. június 18-án válaszolta meg, illetve amennyiben a vezető tisztségviselő – mint a levél címzettje – a kérelmet maga is olvasta, maga a vezető tisztségviselő sem.

Mivel maga a Deichmann nyilatkozata szerint az érintetti kérelem nem megfelelő kezelését az okozta, hogy a Társaság ezen időszakban a kamerafelvételek tekintetében adatvédelmi szabályozással egyáltalán nem rendelkezett, előfordulhat, hogy a Deichmannhoz az egyetlen ismert kérelmen kívül több adatvédelmi
tárgyú kérelem is érkezett, azonban azokat – az ismert kérelemhez hasonlóan – nem azonosította adatvédelmi tárgyú beadványként.

Ezt erősíti meg az is, hogy a Deichmann a beérkező üzenetekről rendszerezetten vezetett nyilvántartást, de nem különítette el az adatvédelmi tárgyú érintetti beadványokat, hanem az Ügyfél – egyébként adatvédelmi tárgyú – beadványát fogyasztóvédelmi panaszként vette jegyzőkönyvbe, illetve az a vásárlók könyvébe is
feljegyzésre került. A Deichmann a hozzáérkező beadványokról három különböző nyilvántartást vezetett (Békéltető Testületi megkeresések, e-mailben érkezett panaszlevelek, vásárlók könyve), de ez nem jelenti azt, hogy egyéb adatvédelmi tárgyú bejelentések ne érkezhettek volna a Deichmannhoz, mivel a bejelentő
kérelmét is panasznak, illetve a vásárlók könyvében rögzített bejegyzésnek minősítették.

A Deichmannak már a kamerás adatkezelés tervezése, kialakítása során – azaz még a kamerák üzembe helyezése előtt – meg kellett volna hoznia azokat a szervezési, illetve technikai intézkedéseket, amelyek az érintettek GDPR III. fejezetében szereplő jogait biztosítani tudják.

Ezen intézkedések körébe tartozik egyrészt az érintetti jogok kezelésére vonatkozó belső eljárásrend kialakítása, így többek között kijelölni azt a személyt, aki felelős az érintetti kérelmek kezeléséért; kialakítani azon csatornákat, ahol a Deichmann az érintetti kérelmeket fogadni tudja; adott esetben adatvédelmi tisztviselő kijelölése; kialakítani az érintetti joggyakorlás szabályait (pl. a Társaság az üzletekben készült kamerafelvételhez való hozzáférési jogot személyesen, postai úton vagy elektronikus úton tudja biztosítani); megfelelő adatbiztonsági intézkedéseket hozni; vezetni a 30. cikk szerinti adatkezelési nyilvántartást.

A szükséges intézkedések közé tartozik továbbá az érintettek megfelelő tájékoztatási gyakorlatának kialakítása, amely keretében az érintettek ismereteket kapnak az adatkezelés tényéről és legfontosabb körülményeiről, így többek között arról, milyen jogosultságok illetik meg őket a kamerás adatkezeléssel kapcsolatban, illetve az esetleges kérelmeiket kinek és milyen elérhetőségre címezhetik, arra milyen határidőn belül kaphatnak választ, illetve egyet nem értésük esetén mely szervhez fordulhatnak jogorvoslatért.

Tekintettel arra, hogy a Deichmann az ország területén széles körben kiterjedten, mind a 129 üzletében kamerákat üzemeltetett ezen időszakban, a NAIH álláspontja szerint a kamerás adatkezelés vonatkozásában arányos elvárás, hogy a Deichmann– a GDPR 24. cikk (2) bekezdésének eleget téve – megfelelő belső adatvédelmi szabályokat is alkalmazzon.

E körben szükséges lett volna a Deichmann valamennyi, ügyfelekkel dolgozó alkalmazottjának – így különösen az eladótérben, illetve az ügyfélszolgálaton dolgozók – kitanítása arról, hogy a GDPR alapján kamerás adatkezelés esetén milyen érintetti kérelmek fordulhatnak elő, hogyan lehet felismerni és elkülöníteni e kérelmeket az egyéb beadványoktól, panaszoktól, hogyan kell kezelni e kérelmeket, a Társaságon belül mely szervezeti egységhez kell továbbítani e kérelmeket.

Mindezen intézkedések elmaradása vezetett ahhoz, hogy a Deichmann – a fent részletezettek szerint – nem ismerte fel, hogy az egyetlen ismert kérelem a GDPR 15. cikk (1) bekezdése szerinti hozzáférési, illetve a 18. cikk (1) bekezdés c) pontja szerinti korlátozási kérelemnek minősül. Ez oda vezetett, hogy a Deichmann –
a bejelentő többszöri kérése ellenére – nem engedett betekintést a bejelentő részére a róla készült kamerafelvételbe, illetve azt nem is korlátozta. A Deichmann továbbá arról sem tájékoztatta a bejelentőt, hogy jogorvoslatért a bírósághoz, illetve a NAIH-hoz fordulhat, hanem tévesen arra hívta fel figyelmét, hogy a
kamerafelvételt csak a rendőrség részére – hivatalos rendőrségi megkeresésre – tudnak kiadni, jogorvoslattal a Somogy Megyei Rendőr-főkapitánysághoz fordulhat.

Tekintettel arra, hogy a Deichmann ezen időszakban a kamerás adatkezelés, így ezáltal a kamerás adatkezeléshez kapcsolódó érintetti joggyakorlás tekintetében semmilyen szervezési és technikai intézkedéseket nem hozott, megsértette a rendelet 25. cikk (1) bekezdését.

A Deichmann – kamerarendszer működtetése során végzett – adatkezelési gyakorlatát rendező Szabályzat 2019. november 26-án került elfogadásra, amely többek között részletes utasítást is tartalmaz arra vonatkozóan, hogy miként kell kezelni a kamerafelvételekhez kapcsolódó érintetti kérelmeket.

Az érintett másolat kiadásához fűződő jogát tehát a GDPR 15. cikk (3) bekezdése írja elő, míg a felvétel megtekintéséhez való jog a GDPR 15. cikk (1) bekezdés szerinti személyes adatokhoz való hozzáférést jelent. E két jogosultság a GDPR 15. cikke szerinti hozzáféréshez való jog két különböző részjogosultsága,
amelyek mindegyike külön-külön, egymástól függetlenül megilleti az érintettet, így nem megfelelő az a gyakorlat, ha az egyik (felvétel megtekintése) gyakorlására akkor van lehetőség, ha a másik (felvételről készült másolat kiadása) nem teljesíthető, hanem az érintett kérelmét a kérelem tartalma szerint kell
teljesíteni, akár a felvételről készült másolat kiadását kéri, akár a felvételt megtekinteni szeretné.

A Szabályzat azt tartalmazza, hogy „azon érintett, akinek jogát vagy jogos érdekét a képfelvétel rögzítése érinti, jogának vagy jogos érdekének igazolásával kérheti, hogy a felvételt az adatkezelő ne semmisítse meg, illetve ne törölje a bíróság vagy hatóság megkereséséig, de legfeljebb 30 napra”.

Sem a GDPR, sem az Szvtv. nem tartalmaz már olyan szabályt, amely előírná, hogy az adatkezelést csak az erre irányuló kérelem előterjesztésétől számított legfeljebb 30 napig lehet korlátozni, hiszen ha az adatkezelés korlátozására irányuló kérelem beérkezésétől számított 30 napot követően az adatkezelő törölné a korlátozni kért felvételeket, az adott esetben nem jelentene segítséget a jogait érvényesíteni kívánó érintettnek, mert az általa kezdeményezett eljárás adott esetben még nem érne abba a szakaszba, hogy az eljáró szerv a felvétel birtokában lévő adatkezelőt megkeresse.

Az adatkezelés korlátozásához való jog ilyen módon való értelmezése jogkorlátozó, így a Deichmann adatkezelési szabályozásának kialakítása során olyan szervezési intézkedéseket hozott, amelyek nem biztosítják az érintettek adatkezelés korlátozásához fűződő jogát a GDPR 18. cikke által előírt feltételek
szerint, ezáltal a Társaság megsértette a GDPR 25. cikk (1) bekezdését.

A Hatóság szükségesnek tartja a bírság kiszabását, mivel a Deichmann a vizsgált időszakban 2019. november 26. napjáig – a kamerafelvételek tekintetében – semmilyen adatvédelmi szabályozással nem rendelkezett, azaz nem hozta meg a szükséges szervezési intézkedéseket annak érdekében, hogy az érintettek joggyakorlása a GDPR előírásai szerint biztosított legyen, amely azt eredményezte, hogy a Deichmann megsértette az Ügyfél hozzáféréshez való, illetve az adatkezelés korlátozásához fűződő jogát.

Továbbá a Deichmann 2019. november 26. napján megalkotott adatkezelési szabályozása továbbra sem felel meg a GDPR rendelkezéseinek, az aránytalanul korlátozza az érintettek hozzáféréshez, illetve az adatkezelés korlátozásához való jogát, így az ekkor meghozott intézkedések továbbra sem megfelelőek, mivel azok nem biztosítják az érintettek joggyakorlását a GDPR által támasztott követelmények szerint.

A jogsértés jellege alapján – érintetti jogok sérelme – a kiszabható bírság felső határa a GDPR 83. cikk (5) bekezdés a) pontja alapján 20 000 000 euró, illetve a Kötelezett esetében az előző pénzügyi év teljes világpiaci forgalmának legfeljebb 4%-a, ha az a magasabb.

A jogsértés jellege alapján – beépített és alapértelmezett adatvédelem elvének sérelme – a kiszabható bírság felső határa a GDPR 83. cikk (4) bekezdés a) pontja alapján 10 000 000 euró, illetve a Kötelezett esetében az előző pénzügyi év teljes világpiaci forgalmának legfeljebb 2 %-a, ha az a magasabb.

A Hatóság a bírságkiszabás során az alábbi egyéb tényezőket vette figyelembe:

• a vizsgált időszakban a Deichmann egyetlen érintetti kérelmet azonosított, így nyilatkozata szerint
  egyetlen alkalommal követett el jogsértést az érintetti kérelmek kezelése során, azonban a NAIH a Deichmann e nyilatkozatát nem fogadta el;
• az adatkezelés nem érintette a személyes adatok különleges kategóriáit;
• a kiszabott bírság akkor képes elérni célját, ha annak összege – a Deichmann értékesítési árbevételéhez is viszonyítva – érezhető mértékű;
• a Deichmann – legutoljára közzétett – 2018. évi beszámolója szerinti az értékesítés nettó árbevétele 33 645 000 000 forint volt, a kiszabott adatvédelmi bírság összege a Deichmann értékesítési nettó árbevételének 0,0594%-a.

A NAIH a bírságkiszabás során nem tartotta relevánsnak azt, hogy a vizsgált adatkezelési gyakorlatra „nem központi utasításra”, hanem egy „hibás egyéni döntés” következtében került sor, mivel a NAIH álláspontja szerint ebben az esetben is a Deichmann viseli a felelősséget.

(naih.hu)

---