Tévedésből lett adós

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH 1.000.000,- Ft bírságot szabott ki arra a bankra, amely tévedésből az érintett adatait tüntette fel a Központi Hitelinformációs rendszerben adóstársként, annak ellenére, hogy az érintett sem hitelszerződést, sem kölcsönszerződést nem kötött a bankkal.

Az alapügy

Egy kérelmező azért fordult a NAIH-hoz, mert egy bank nyilvántartásában egy hitelügyletnél adóstársként került feltüntetésre, és ezzel összefüggésben jogalap nélkül a Központi Hitelinformációs Rendszerbe (a továbbiakban: KHR) is továbbították a személyes adatait, annak ellenére, hogy a Bankkal semmilyen kölcsönszerződést vagy hitelszerződést nem kötött.

A Kérelmező akkor szerzett tudomást arról, hogy a személyes adatait jogellenesen kezelik, amikor egy másik pénzintézettel kötött volna kölcsönszerződést, azonban azt visszautasították arra hivatkozással, hogy a személyes adatai a KHR-ben szerepelnek egy kölcsönügylettel kapcsolatban, ezért nem kaphat vagy nem akkora összegű kölcsönt kaphat, amekkorát igényelt. A Kérelmező nyilatkozata szerint ezzel „súlyos erkölcsi károkat okozott” neki a Bank.

A Kérelmező panaszt tett a Banknál, valamint személyesen kért tájékoztatást a Bank hajdúböszörményi fiókjában, de állítása szerint nem kapott megfelelő információt.

A NAIH felhívására a Bank elmondta, hogy a Kérelmező korábban folyószámlával rendelkezett náluk. A szerződése megszűnése után a szerződésre irányadó megőrzési határidőben jogszerűen tárolták a Kérelmező személyes adatait.

Elmondta még, hogy a Kérelmező első panaszát a hajdúböszörményi fiókban adta elő, amelyet az ügyintéző rögzített a központi panaszkezelő rendszerben. Ennek hatására belső vizsgálatot indítottak, amelynek eredményeként. megállapították, hogy a Kérelmező a KHR-ben tévesen volt rögzítve egy hitelszerződéshez, melyet az ügyfélszám manuális rögzítése során bekövetkezett tévesztés okozott.

Mivel a Kérelmező a panaszát szóban tette, ezért hajdúböszörményi ügyintéző telefonon tájékoztatta a lefolytatott eljárás eredményéről és a KHR rendszerből történő törlésről.

A Bank a KHR-be 2019. október 3-án továbbította a Kérelmező adatait, melyről a Kérelmezőt postai úton értesítette. A levél tárgya adatváltozás a KHR-be történő átadása, a levél e körben azokat a változásokat mutatja, amelyekre vonatkozóan a törlés megtörtént.

A Kérelmező második panaszát 2019. október 28-án írásban tette meg a Banknál, amelyben 700.000,- Ft sérelemdíjat kért a jogellenes adatkezelés miatt. A Kérelmező levelére küldött válaszában a Bank elismerte, hogy hibázott, de a követelt sérelemdíj összegét túlzónak tartott, ezért 200.000,- Ft azonnali „kártérítés”-t fizetett a Kérelmezőnek.

A NAIH döntése

A Bank a Kérelmező alábbi személyes adatait kezelte a kifogásolt esetben: név, születési név, születési hely és idő, személyazonosító okmány száma, lakcím, ügyfélszám.

A Bank nyilatkozata szerint nem szándékos magatartás okozta a jogellenes adatkezelést, hanem adminisztrációs hibára vezethető az vissza. A NAIH ugyanakkor megjegyezte, hogy ez az érvelés nem mentesít az adatkezelői felelősség alól, tekintettel arra, hogy GDPR 4. cikk 7. pontja értelmében a Bank minősül adatkezelőnek és nem a munkavállalói.

A Bank az, aki megszervezi az adatkezelés folyamatát és kialakítja annak körülményeit, nem pedig az ügyintézők. Az adatkezelő legfontosabb jellemzője az, hogy érdemi döntéshozatali jogkörrel rendelkezik, és felelősséggel tartozik az adatkezelés valamennyi, a GDPR-ban rögzített kötelezettség teljesítéséért.

A GDPR 25. cikke megköveteli, hogy az adatkezelő az adatkezelés teljes folyamata során megfelelő technikai és szervezési intézkedéseket hajtson végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek.

A Hatóság megállapította, hogy a Bank téves adatrögzítése által megvalósított adatkezelésével megsértette a GDPR 6. cikk (1) bekezdését, mivel nem volt jogalapja az adatkezelésre.

Azzal, hogy a Kérelmező – folyószámla- szerződésével összefüggésben kezelt -személyes adatait egy olyan hitelszerződéshez kapcsolták, melyben a Kérelmező sem adósként, sem egyéb kötelezettként nem szerepel, a Kérelmezett a Kérelmező személyes adatait az adatkezelés eredeti céljától eltérő céllal kezelte, ezzel pedig megsértette a célhoz kötött adatkezelés elvét.

A panaszában a Kérelmező az adósi minőségével kapcsolatos kifogását fogalmazta meg, továbbá ezzel kapcsolatban semmi utalást nem tett arra nézve, hogy érintetti kérelemmel is fordul a a Bankhoz.

A NAIH álláspontja szerint a Kérelmező szóbeli kifogása annak tartalma alapján a fentiek miatt nem minősül érintetti joggyakorlásra irányuló kérelemnek, és ebből következően a Kérelmezőt érintetti minőségében jogsérelem nem érte.

A NAIH 1.000.000,- Ft adatvédelmi bírságot szabott ki az adatkezelőre, melynek során figyelembe vette, hogy:

• A bank jogalap nélküli adatkezelése a Kérelmező magánszféráját jelentősen érintette, mivel a Kérelmező személyes adatait egy olyan szerződéssel kapcsolatban rögzítette, melyben nem is volt adós. Egy természetes személy számára a hitelhez való hozzáférés alapvető egzisztenciális igény. A Bank belső eljárásrendje nem küszöbölte ki, hogy a Kérelmező, akinek az adatkezelésről tudomása sem volt, az érdekeit súlyosan sértő helyzetbe kerüljön, és neki magának kelljen a jogsértés elhárítása érdekében lépéseket tennie.
• A jogsértés a NAIH szerint súlyosnak tekinthető, mert a Bank az adatkezelésével a GDPR több cikkét is megsértette, továbbá úgy kezelte a Kérelmező személyes adatait, hogy tévesen a megőrzési kötelezettséggel érintett –passzív státuszban levő -adatai aktívan felhasználásra-rögzítésre -kerültek egy másik ügyletben.
• A NAIH a Bankot egy hasonló ügyben már korábban elmarasztalta, amikor megállapította, hogy egy jelzáloghitel szerződéssel összefüggésben kezelte egy érintett személyes adatait, és tévedésből kötelezettként jelölte meg a szerződésben, annak ellenére, hogy az érintett nem szerepelt sem félként, sem egyéb kötelezettként abban a szerződésben, melyhez a rendszerében a Bank őt rögzítette, majd emiatt a kérelmező személyes adatait tévedésből jogellenesen a szerződés adósa rendelkezésére bocsátotta. Ebben az ügyben bírság kiszabására nem került sor.
• Enyhítő körülménynek számított, hogy a Bank jogellenes adatkezelése egy személyt érintett és a hiba észlelése után rövid időn belül orvosolta a helyzetet.
• A Kérelmezett jogellenes adatkezelése nem szándékos magatartására vezethető vissza.
• A Kérelmezett a Kérelmezőt ért sérelmet figyelembe véve 200.000,- Ft azonnali „kártérítés”-t ítélt meg, melyet a Kérelmező számlaszámára átutalt.

(naih.hu)

---