Korábban megjelent cikkeinkben már feldolgoztuk az első nyilvánosságra hozott adatvédelmi bírság kiszabásával is járó GDPR ügyet, azonban a Nemzeti Adatvédelmi és Információszabadság Hatóság a mai napon két újabb, adatvédelmi bírság kiszabásával végződő határozatot publikált.

Cikksorozatunkban bemutatjuk az új eseteket, és összefoglaljuk, mi történt pontosan.

Első határozat - a pontosság elvének megsértése

A NAIH/2019/363/2. ügyiratszámú határozatban a hatóság helyt adott a benyújtott kérelemnek, és 500.000 Ft adatvédelmi bírságot szabott ki a GDPR 5. cikkének (1) bekezdésének d) pontjának, valamint a  a 12. cikk (2) bekezdésének megszegéséért.

A Kérelmező azért fordult a NAIH-hoz, mert az adatkezelőtől szöveges üzeneteket kapott a telefonszámára olyan hitelkártya tartozással kapcsolatban, amely hozzá nem köthető, hiszen nem ügyfele az adatkezelőnek.

2018. augusztus 8-án az üzenetek miatt telefonon panaszt tett a pénzintézetnél, melyben kérte, hogy a telefonszámára ne érkezzen több üzenet, és vizsgálják ki az ügyet. A panaszról jegyzőkönyvet vettek fel, melyet a Hatóság rendelkezésére bocsátottak.

A pénzintézet kivizsgálta az esetet, és 2018. szeptember 3-án kelt levelében tájékoztatta a Kérelmezőt arról, hogy a szükséges lépéseket megtették. 2018. október 6-án azonban ismét SMS értesítést küldtek a telefonszámra.

Ezt követően az Érintett felvette a kapcsolatot a Nemzeti Adatvédelmi és Információszabadság Hatósággal, és 2018. október 14-én elindult az adatvédelmi hatósági eljárás.

A bank adatpontosító levéllel kereste meg azt az ügyfelét (postai levél útján), akinél a Kérelmező telefonszáma volt megadva a banki rendszerben, azonban az ügyfél többszöri felhívás ellenére sem vette fel a kapcsolatot a Bankkal.

Az adatkezelő elutasította a telefonszám rendszerből történő törlését, mert álláspontjuk szerint az a szolgáltatásnyújtáshoz kapcsolódóan kezelt adat – mely egyben banktitkot képez –, így annak módosítására vagy törlésére csak az adat gazdája jogosult. Ezen felül a továbbiakban úgy érvelt a Bank, hogy egy harmadik fél (jelen esetben a Kérelmező) kérésére nem módosíthatja vagy törölheti a rendszerben tárolt telefonszámot, mert az az ügyfelükkel fennálló szerződés részét képezi, így a Bank azt egyoldalúan nem módosíthatja.

A GDPR 5. cikk (1) bekezdés d) pontja alapján

"a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék."

A hatóság álláspontja szerint az eljárás tárgyát képző telefonszám adat a Kérelmező személyes adatának minősül, így annak tárolása és felhasználása adatkezelés.

Az általános adatvédelmi rendelet 18. cikk (1) bekezdés a) pontja alapján az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az érintett vitatja a személyes adatok pontosságát, ez esetben a korlátozás arra az időtartamra vonatkozik, amely lehetővé teszi, hogy az adatkezelő ellenőrizze a személyes adatok pontosságát.

A Hatóság álláspontja szerint az adatkezelő az ügyfelének felhívó levéllel való megkeresése megfelelő, de nem elegendő intézkedés.  A NAIH szerint – észszerű intézkedést hozva – az adatkezelőnek átmenetileg korlátoznia kell a pontatlan adat kezelését.

A bank ezt elmulasztotta.

A Kérelmező telefonszámára való sms küldés csak addig volt jogszerűnek tekinthető, amíg a Bank vélelmezhette, hogy a nyilvántartott telefonszám a saját ügyfeléé. Amikor ez kétségessé vált a Kérelmező bejelentése folytán, a Kötelezettnek intézkednie kellett volna az adat kezelésének korlátozásáról addig, amíg az adatpontosságot ellenőrzik. Mivel a bank ennek nem tett eleget, megsértette a GDPR 5. cikkének (1) bekezdésének d) pontját.

A pontosság elvének megsértése mellett az adatkezelő az adatvédelmi rendelet 12. cikk (2) bekezdésében írt kötelezettségét is megszegte, mert nem segítette elő az érintetti jogok gyakorlását a kérelmezőnek küldött felhívásával.

Ebben a Bank felhívta a Kérelmezőt arra, hogy az előfizetői szerződésének másolatának becsatolásával igazolja, hogy a kérelemmel érintett telefonszám valóban az ő telefonszáma. A Hatóság szerint ez részben megtévesztő volt, ugyanis az előfizetői szerződés másolatának bekérésére a Bank nem volt jogosult, mert ennek kezelésére, adattartalmának megismerésére a Kérelmező adhatott volna hozzájárulást.

A felhívás helyett tájékoztatnia kellett volna a Kérelmezőt arról, hogy az előfizetői szerződés bemutatásával igazolhatja azt, hogy a telefonszám az ő személyes adata, és ebben az esetben a pontosság elvének betartása érdekében törli a pontatlan adatot a nyilvántartásból. Amennyiben a Kérelmező ezt a szerződést nem kívánja bemutatni, a banknak korlátoznia kellett volna a telefonszám adatkezelését arra az időtartamra, amely az adat pontosságának ellenőrzéséhez szükséges.

A bírság kiszabásakor a NAIH mérlegelte, hogy

• Alapelv sérelme történt, továbbá a Kötelezett nem segítette elő az érintetti jogok gyakorlását.
• Súlyos jogsértésként értékelte a Hatóság, hogy a Kötelezett nem intézkedett az adatkezelés korlátozása iránt az adatok pontosságának vizsgálata idejére.
• A Kérelmező többszöri panasza ellenére sem segítette elő az adatok pontosságára vonatkozó alapelv érvényesülését, és mivel nem korlátozta az adatkezelést, a jogellenes adatkezelés huzamosabb ideig fennállt.

Ugyanakkor enyhítő körülményként értékelte, hogy

• A kötelezett ügyfelének adatváltozás bejelentési kötelezettségének elmulasztása is közrehatott a jogellenes adatkezelésben.
• A kötelezettet még nem marasztalták el az általános adatvédelmi rendelet megsértése miatt, valamint a jogsértés feltárása során együttműködő magatartást tanúsított.

A második határozatot következő cikkünkben dolgoztuk fel.