A NAIH/2019/363/2. számú ügyben 500.000 Ft adatvédelmi bírságot szabott ki a NAIH a GDPR 5. cikkének (1) bekezdés d) pontjának, a pontosság elvének megsértése, valamint a 12. cikk (2) bekezdésének, az érintetti jogok elősegítésére vonatkozó kötelezettség megszegése miatt.
A tényállás leírása
A Kérelmező azért kezdeményezte az adatvédelmi hatósági eljárás megindítását a NAIH-nál, mert a Kötelezett adatkezelő szöveges üzeneteket küldött a telefonszámára hitelkártya tartozással kapcsolatban, és bár a Kérelmező több alkalommal közölte a bankkal, hogy nem ügyfele, és kérte az ügy kivizsgálását, valamint az SMS-ek leállítását, a bank továbbra is hasonló tartalmú üzenet küldött a Kérelmező részére, mivel adatpontosítási céllal történő megkeresése az ügyfele részére nem vezetett eredményre.
Az adatkezelő az ügy tisztázása érdekében postai úton hívta fel ügyfelét adategyeztetésre, azonban arra az ügyfelétől nem érkezett válasz, ezért a Kérelmező telefonszámának rendszeréből való törlését a bank azzal utasította el, hogy a telefonszám módosítására, illetve törlésére tett kérelemnek kizárólag akkor tehetnek eleget, amennyiben azt az adat gazdája kérelmezi, így harmadik fél kérésére nem áll módjukban a telefonszámot törölni a rendszerükből. Az adatkezelő felhívta a Panaszost az mobiltelefonjához kapcsolódó előfizetői szerződésének másolatának becsatolására abból a célból, hogy bizonyítsa miszerint a szóban forgó telefonszám már nem a banki ügyfél, hanem az ő telefonszáma.
A Hatóság álláspontja szerint a bank részéről megfelelő intézkedés volt, hogy postai úton adategyeztető felhívással megkereste ügyfelét, azonban az nem volt elegendő az ügy tisztázása érdekében. A bírság kiszabására természetesen nem azért került sor, mert a bank egy harmadik fél bejelentése alapján nem törölte rendszeréből az ügyfelével kötött szerződésben szereplő, ám a Kérelmező sajátjaként bejelentett telefonszámot, hanem azért, mert adatkezelő a bejelentés alapján tett intézkedésével nem segítette elő kellő mértékben a „pontosság elvének” érvényesülését, ezzel pedig nem akadályozta meg a pontatlan adatok felhasználását. A Hatóság álláspontja szerint ilyen esetben az adatkezelőnek a pontatlan adat kezelését átmenetileg korlátoznia kellett volna. Tekintettel arra azonban, hogy a bank e kötelezettségének nem tett eleget, ezért a bejelentést követő további SMS-ek küldése a Kérelmező részére jogellenes adatkezelésnek minősültek, sértették GDPR 5. cikk (1) bekezdés d) pontjában foglaltakat, mivel a bejelentés pillanatától az adatkezelőnek tudomása volt az általa nyilvántartott adat pontosságának és naprakészségének vitatottságáról. Az adatkezelő bár adatpontosító szándékkal megkereséssel fordult ügyfeléhez, az azonban, hogy ügyfele mégsem vette fel vele kapcsolatot, nem mentesíti az adatkezelőt az adatkorlátozással kapcsolatos intézkedés megtétele alól, és nem jogosítja fel arra, hogy továbbra is használja a vitatott adatot.
A negyedik alapelv a pontosság elve, mely szerint a személyes adatnak pontosnak és naprakésznek kell lennie és az adatkezelőnek minden észszerű intézkedést meg kell tennie annak érdekében, hogy az adatkezelés célja szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.
A Hatóság álláspontja szerint, akkor járt volna el helyesen az adatkezelő, amennyiben a Kérelmező előfizetői szerződés bemutatására történő felhívás helyett a GDPR 12. cikk (2) bekezdése alapján a tájékoztatja arról a lehetőségéről, hogy a szerződés bemutatása esetén törli a helytelen adatot nyilvántartásából, amennyiben a szerződést nem mutatja be, úgy az ügy tisztázásáig, az adat pontosságának ellenőrzéséig annak kezelését korlátozza.
Az adatkezelő tájékoztatási kötelezettségének nem tett eleget, nem segítette elő az érintetti jogok gyakorlását, a Kérelmezőtől történő előfizetői szerződés másolatának bekérésére, így annak kezelésére jogosultsággal nem rendelkezett, a jogellenes adatkezelés huzamosabb ideig állt fenn azáltal, hogy az adatkezelő az adat kezelését nem korlátozta, mindezért pedig fél millió forint (a NAIH szerint jelképes összegű) adatvédelmi bírság került kiszabásra a Hatóság részéről.
A NAIH fenti határozatát alapul véve adatpontosítás felmerülése esetén
szükséges a kérdéses adatok kezelésének korlátozása. Ám mit tehet az
adatkezelő, adott esetben egy bank, hogy érvényesíteni tudja jogos érdekét, és az
ügyfeléhez felhívást intézhessen akkor is, amennyiben az az általa megadott
csatornákon nem lehetséges? A GDPR-nak történő megfelelés, és a fentihez
hasonló helyzet elkerülése érdekében érdemes kidolgozni egy újabb eljárást
arra, ha a kezelt adatok, különösen az elérhetőségi adatok pontosságával kapcsolatos
kétség merül fel. Láthatjuk, hogy a postai úton történő megkeresés lassú, és
körülményes, rosszhiszeműség esetén pedig nem célja az érintettnek a levél
átvétele.
Egy bank esetében különösen fontos követelmény az adatok naprakészségének
biztosítása, ezért szükséges az adatok aktualitásának időszakos ellenőrzése. Az
adatok naprakészségét segíti elő az ügyfél bejelentése adatváltozás beállásakor,
ám a fenti esetből látható, hogy az adatok naprakész tárolásához ez nem
elegendő. Az ügyfél hanyagsága is hozzájárulhat a pontatlan adatkezeléshez, de elképzelhető
lehet az is, hogy egy ügyfél fiktív e-mail címről levelet ír, hogy megváltoztak
az elérhetőségi adatai (telefonszáma, e-mail címe, lakcíme) azzal a szándékkal,
hogy a bank jogérvényesítését hátráltassa, a hitelszerződés felmondását
gátolja, vagy időt nyerve banki folyamatokat akasszon meg.
A GDPR 18. cikk (1) bekezdése alapján az adatkezelő az érintett kérelmére korlátozhatja az adatkezelést. A NAIH határozatában arra az esetre javasolta az adatkezelés korlátozását, amennyiben a Kérelmező nem kívánja bemutatni az előfizetői szerződését annak igazolására, hogy a bank által kezelt telefonszám az ő személyes adata. A fenti határozat bizonytalanságot eredményezhet az adatkezelők körében, mivel az kötelező adatkezelői magatartásként írja elő az adatkezelés korlátozását, ellentétben a GDPR 18. cikk (1) bekezdésében foglaltakkal, miszerint az csak az érintett kérelmére történhet.
Az adatkezelők számára egy biztos pontot jelent ugyanakkor, hogy a Hatóság egyetértett a Kötelezettel abban, hogy „az adatkezelőnek nincs adattörlési kötelezettsége olyan esetben, amikor az ügyfele által korábban rendelkezésére bocsátott adat pontossága harmadik személy bejelentése alapján válik kérdésessé és nem igazolt, hogy az adat felett már nem az ügyfél, hanem a bejelentő jogosult rendelkezni.” Véleményünk szerint az adatkezelő által kezelt, korábban ügyfele által megadott személyes adat tekintetében bejelentést tevő harmadik személy nem tekinthető érintettnek addig, míg érintetti minőségét megfelelő módon az adatkezelő felé nem igazolja. Amennyiben ez nem így lenne, az súlyos jogi és adatbiztonsági kérdéseket vetne fel.
Bár a NAIH súlyos jogsértésnek értékelte, a GDPR rendelkezéseiből nem következik egyértelműen, hogy az adatkezelőnek adatkezelés korlátozása iránti kérelem hiánya esetén, pusztán az adatok pontosságát vitató harmadik személytől származó bejelentés alapján önmagától korlátoznia kellene az adatkezelést.
A fenti NAIH határozat alapján az adatkezelőknek kiemelkedő figyelmet kell fordítaniuk arra, hogy az adatkezelés minden egyes szakaszában a lehető legteljesebb, a várható következményekre is kiterjedő tájékoztatást nyújtsák az érintettek részére.
A PPOS Audit Kft. vállalja professzionális adatvédelmi hatásvizsgálat lefolytatását.
Elérhetőségeink: https://ppos.hu/kapcsolat/
A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.
Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.
Név:* | |
E-mail:* | |
Havonta legfeljebb 2 hírlevelet küldök, a hírlevélről egy kattintással bármikor le lehet iratkozni.