Többszöri kérésre sem törölte az e-mail címet a szolgáltató

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A NAIH 10.000.000,- Ft-ra bírságolta a Magyar Telekomot a kapcsolattartási adatok kezelésének jogellenes gyakorlata miatt, amely visszatérő problémát jelentett a cégnél.

A Kérelmező 2020. december 18. napján kérelmet nyújtott be a NAIH-hoz, amelyben előadta, hogy a Magyar Telekomtól kéretlen elektronikus levelet kapott, mivel feltehetően egy harmadik személy tévesen adta meg az ő e-mail címét a Magyar Telekom részére. A Kérelmező az ugyfelszolgalat@telekom.hu email címre küldött kérést az ő tulajdonában lévő email cím törlésére, megjelölve, hogy nem ügyfelem a Magyar Telekomnak.

Mivel a Kérelmező ezt követően ismét kéretlen elektronikus leveleket kapott, a Magyar Telekom pedig sablon válaszában bejelentkezést igénylő hírlevél leiratkozási hivatkozást küldött a Kérelmezőnek, ezért a Kérelmező kérését megismételte, kérve a törlés megtörténtének visszaigazolását, ismét jelezve, hogy nem leiratkozni szeretne a hírlevélről, hanem az email címe teljes törlését kéri.

Ezt követően a Kérelmező ismét kéretlen elektronikus levelet kapott, amely miatt újra kérte az email címe törlését. Erre a korábbi válasz megismétlését kapta a hírlevélről leiratkozási lehetőségről. Válaszában a Kérelmező megjelölte, hogy a leiratkozási hivatkozás bejelentkezési oldalra irányítja, ahol – mivel nem ügyfél – nem tud továbblépni. A Magyar Telekom ügyfélszolgálatának válasza ismét a leiratkozást ajánlotta megoldásként, azt állítva, hogy ahhoz nem szükséges bejelentkezés a kéretlenül kapott e-mailben található hivatkozás használata esetén.

A kérelem benyújtását követően a Kérelmező ismét kéretlen hírlevelet kapott. A NAIH a Magyar Telekom által küldött email leiratkozási hivatkozásokat megvizsgálta, és azok nem leiratkozási, hanem bejelentkezési képernyőre irányítanak át.

Az ügy tárgyával összefüggésbe hozható előzmény ügyek

Egy másik ügyben a Magyar Telekom ügyfele tévesen a panaszos mobiltelefonszámát adta meg kapcsolati adatként szerződéshez, és a Kérelmezett emiatt a panaszosnak több alkalommal küldött szöveges üzeneteket és indított azonosító nélküli hívásokat harmadik személy szerződésével kapcsolatban. A Magyar Telekom a panaszos kérelme ellenére ezen kapcsolati adatot nem törölte és nem korlátozta annak használatát. A Magyar Telekom egyedi ügyintézői hibára hivatkozott, valamint azt nyilatkozta, hogy az ügyintézői figyelmét ismét felhívta az érintetti kérelmek megfelelő kezelésére, fejleszti az eljárását. Mivel a Magyar Telekom a kapcsolati adatot a Hatóság tényállás tisztázó levelének kézhezvételét követően törölte, adatvédelmi hatósági eljárás megindítása nem volt szükséges.

Egy harmadik ügyben a Magyar Telekom az online szerződéskötése során hibásan rögzítette a panaszos nyilatkozatát, amely a marketing megkeresésekre vonatkozott. Az ügyintéző tévesen tájékoztatta úgy a panaszost, hogy aláírt nyilatkozat szükséges a marketing hozzájárulás megváltoztatásához, olyan feltételekhez kötötte az email cím marketing célú kezelésének abbahagyását, amelyet a panaszos számára túlzó volt, és ennek hiányában megtagadta a panaszos kérelmét, hogy az email címét ne kezeljék marketing célokból.

A NAIH ezt követően újabb eljárást indított, mert a fenti nyilatkozata ellenére a Magyar Telekom ismét marketing emailt küldött a panaszos email címére, és a panaszos a beállításaiban azt tapasztalta, hogy a marketing hozzájárulás be van jelölve, pedig panaszos azt nem változtatta meg. A Magyar Telekom nyilatkozata szerint a hiba okát nem sikerült megtalálni, valószínűleg egyedi ügyintézői hiba miatt nem került mentésre a korábbi ügyben jelzett változtatás a marketing beállításokban. Emiatt a Magyar Telekom ismételten intézkedett a marketing célú email cím kezelés tiltásáról, és ezt a NAIH felhívására a rendszeréből származó képernyőmentésekkel igazolta. Mivel a Magyar Telekom a jogsértést a NAIH tényállás tisztázó levelének kézhezvételét követően törölte, adatvédelmi hatósági eljárás megindítása nem volt szükséges.

A fenti ügyekre tekintettel a NAIH hatósági ellenőrzést indított a Magyar Telekom közvetlen üzletszerzéssel kapcsolatos hozzájárulások kezelésének általános gyakorlata jogi megfelelőségének tárgyában, különösen az általános adatvédelmi rendelet 32. cikke szerinti követelményeknek megfelelés ellenőrzésére. Az ügyben nem merült fel azzal kapcsolatos tény, vagy körülmény, hogy a Magyar Telekomnál a közvetlen üzletszerzéssel kapcsolatos hozzájárulások kezelésével kapcsolatos intézkedés hiányossága állna fent.

Egy érintett arról kérte a NAIH tájékoztatását, hogy milyen érintteti jogokat gyakorolhat akkor, ha a Magyar Telekom akként kezeli az e-mail címét, mintha ügyfelük lenne, kéretlen üzeneteket kap a Magyar Telekomtól olyan szerződésekre hivatkozással, amelyeket nem ő kötött, és ezen emailekről nem tud leiratkozni. A Hatóság tájékoztatta az érintettet az általános adatvédelmi rendelet 17. cikke szerinti törlési jogáról és az általános adatvédelmi rendelet 12. cikk (3)-(4) bekezdése szerinti adatkezelői kötelezettségekről.

A NAIH döntése

A Magyar Telekom a NAIH tényállás tisztázó végzésének kézhezvételét követően törölte a Kérelmező email cím adatát az adatbázisából, emiatt a törlésre kötelezésre irányuló kérelem teljesítése lehetetlenné vált.

A Magyar Telekom nem rendelkezett a GDPR 6. cikk (1) bekezdése szerinti egyik jogalappal sem a Kérelmező email címével kapcsolatban, és az erről történő tudomásszerzés – a Kérelmező többszöri kifejezett jelzése – ellenére nem tett eleget a GDPR 5. cikk (1) bekezdés d) pont szerinti törlési kötelezettségének, a kétségen kívül helytelen adat törlését a Kérelmezőtől várta el, aki ráadásul – a Magyar Telekom érdekkörébe eső okból – erre objektív okból nem is volt képes. Az email cím esetén a rendelkezésre jogosult könnyen azonosítható, mivel az megjelenik a levelezésben feladóként, így nem volt olyan körülmény, amely az érintetti kérelem alapján a hiba javításának mellőzését indokolta volna.

A Magyar Telekom a Kérelmező érintetti kérelmét érdemben nem válaszolta meg, a nem ügyfél érintett által igénybe nem vehető leiratkozási hivatkozásra történő utalás – többször változatlanul ismételt sablonszöveggel – nem minősül teljesítésnek, vagy megfelelően indokolt elutasító válasznak.

A Magyar Telekom köteles lett volna a Kérelmező kérelmére a kapcsolati adatot haladéktalanul törölni, azonban ezt többszöri kérés ellenére sem tette meg, és csak akkor teljesítette a Kérelmező törlési kérelmét, amikor a NAIH jelen eljárásáról tudomást szerzett, amely nélkül a törlés nem történt volna meg.

A feltárt tényállás szerint a Magyar Telekom a kapcsolati adatok (telefonszám, email cím) rögzítése esetén semmilyen módon nem ellenőrzi az adott kapcsolati adat feletti ellenőrzési jogosultságot, illetve, ha a – személyes adatnak minősülő – kapcsolati adatot nem az arra jogosult adja meg, nem kér semmilyen igazolást arról, hogy a kapcsolati adat (telefonszám, email) jogosultja ahhoz hozzájárult-e. A GDPR 6. cikk (1) szerinti jogalap meglétét az adatkezelő az adatkezelés minden szakaszában köteles biztosítani. Például egy egyszeri kód megadásának megkövetelése, melyet SMS-ben vagy emailen az adott telefonszámra, illetve email címre küld, az összes Kérelmezőhöz hasonló esetet megelőzheti, és egy nagy hírközlési szolgáltató esetén ez semmiképpen nem aránytalan kötelezettség.

A NAIH megállapította, hogy a Magyar Telekom minősül adatkezelőnek és köteles eleget tenni a GDPR által előírt adatkezelői kötelezettségeknek, ezen kötelezettséget részben sem háríthatja át egyes ügyintézőire, és azok egyéni hibáira, vagy más harmadik személyekre akik a személyes adat forrásai. Az adatkezelő csak olyan személyes adatot kezelhet, amelynek forrása jogszerű, ha erről semmilyen észszerű módon nem győződik meg, akkor a felelősség alól nem mentesülhet.

A Magyar Telekom eljárása nem segítette elő a Kérelmező érintetti joggyakorlását, tőle szükségtelen – és adott esetben lehetetlen – feltétel, egy harmadik személy Telekom fiókjába bejelentkezés teljesítését követelte meg jelen ügyben többször a Kérelmezőtől. A Magyar Telekom általános gyakorlata, hogy a Telekom fiókhoz rendelt email címre küldött üzenetekben a leiratkozási hivatkozás egy bejelentkező oldalra visz, közvetlen leiratkozás nem lehetséges.

A NAIH megállapította, hogy az adatfelvételkor a kapcsolati adat megerősítése – és ennek hiányában automatikus törlése – nemzetközileg bevett gyakorlat, és a Magyar Telekomhoz hasonló típusú és nagyságú telekommunikációs szolgáltatótól fokozottan elvárható.

A Magyar Telekom azon érvelése, hogy a bejelentkezés nélküli kapcsolati adat törlését az adott kapcsolati adat használatával azért nem engedi, mert egyes kapcsolati adatok több fiókhoz tartoznak, szintén nem helytálló. Egyrészt amennyiben több előfizetőhöz tartozik egy adat (például email cím, kapcsolati telefonszám), és az adott kapcsolati adat felett rendelkezésre jogosult nem előfizető törlést kér, akkor azt főszabály szerint – konkrétan megnevezett előfizető hiányában – minden fiókból törölni szükséges, különösen ha annak indoka kifejezetten az, hogy az adat feletti rendelkezésre jogosult nem járult hozzá az adat használatához. Ezen felül például amennyiben bejelentkezést nem igénylő leiratkozási hivatkozást helyez el egy hírlevélben, és azt több fiók nevében küldi egy email címre, akkor lehet több leiratkozási hivatkozást elhelyezni, amelyek csak egy-egy fiók tekintetében törlik az email címet (bár amennyiben mint a jelen ügyben jogosulatlan személy adta meg a kapcsolati címet, ennek sincs relevanciája). A fentiek alapján egyértelmű, hogy technikailag nincs akadálya annak, hogy bejelentkezés nélkül is megoldódhassanak a tévesen megadott kapcsolati adat törlések az érintettek kérelmére, emiatt a kizárólag Kérelmezett döntésén alapuló korlátozás volt az, amely mind a jelen ügyben, mind az egyéni előzmény ügyekben szükségtelen és jogellenes személyes adatkezeléshez vezetett.

A Magyar Telekommal kapcsolatban felmerült probléma a fentiekben kifejtettek szerint már többször előfordult a Magyar Telekomnál, és többszöri korábbi nyilatkozata ellenére sem szűnt meg az előzmény ügyek és jelen ügy által bizonyítottan. Ezen felül a Magyar Telekom sem az előzmény ügyek, sem a jelen eljárás során nem igazolta a gyakorlata olyan módosítását, amely a jelen IV:2. pontban megjelölt problémákra tényleges megoldást jelentene. Emiatt megállapítható GDPR 25. cikk (2) bekezdésének sérelme is, mivel a Magyar Telekom a kizárólag saját döntési jogkörébe tartozó eljárásait akként határozta meg, olyan szervezeti megoldásokat alkalmazott, hogy azokban benne van az érintetti jogsérelem valós veszélye akár a Kérelmezett akár harmadik személy általi adattévesztés esetén, és több esetben be is következett a valós jogsérelem.

A fentiek miatt a NAIH 10.000.000,- Ft adatvédelmi bírságot szabott ki a Magyar Telekomra.

(naih.hu)

---