Két újabb magyar GDPR bírság érkezett – 2. rész
Cikksorozatunk első részében beszámoltunk a NAIH újabb, adatvédelmi bírság kiszabásával végződő vizsgálatairól. Második blogbejegyzésünkben a NAIH/2019/1841-es ügyszámú, másodikként megjelent határozatát dolgozzuk fel.
Ebben az ügyben a Kérelmező egy rendkívül összetett ügyben fordult a Hatósághoz 2018. szeptember 27-én. Az adatkezelő – az előző határozathoz hasonlóan – ugyancsak pénzintézet volt.
A Kérelmező előadta, hogy az adatkezelő engedményezett egy vele szemben fennálló 2011-ben lejárt követelést, és 2018. július 16-án felszólította ennek teljesítésére. A levél kézhezvételét követően az Érintett felvette a kapcsolatot az adatkezelővel annak érdekében, hogy tisztázzák az ügyet, mert nem tartotta jogosnak a követelést.
A Kérelmező elektronikus levélben vitatta az adatkezelés jogszerűségét, továbbá kérte, hogy az adatkezelő bocsássa rendelkezésére azokat a dokumentumokat, amelyekre a követelését alapozza, illetve tájékoztatást kért a pénzintézet által kezelt személyes adatairól.
Az adatkezelő arra kérte az Érintettet, hogy természetes személyazonosító adataival (név, születési idő és hely, anyja neve) azonosítsa magát, hogy eleget tudjon tenni a kérelemnek. Ezt az Érintett megtagadta, mert álláspontja szerint a neve és az ügyszám elegendő az azonosításhoz.
A Kérelmező újabb elektronikus levélben fordult az adatkezelőhöz, hogy a korábban kért dokumentumokat postai úton küldjék meg részére, valamint kérte, hogy töröljék az e-mail címét.
A pénzintézet e-mailben tájékoztatta a Kérelmezőt, hogy tekintettel arra, hogy az azonosítás nem volt sikeres, a panasz kivizsgálási eljárást lezárja. Ezt követően a Kérelmező postai levélben kérte személyes adatainak törlését.
A postai levélre az adatkezelő tértivevényes postai levélben válaszolt, melyben tájékoztatta a Kérelmezőt arról, hogy a követelést visszavásárolta, a Kérelmező személyes adatai törlése iránt intézkedik, de a személyes adatai továbbra is fellelhetők az informatikai rendszerről készített biztonsági másolatokban. Ugyancsak tájékoztatta arról, hogy ismételten intézkedik az adatok törléséről, ha a biztonsági másolatok behívására lenne szükség, ennek hiányában pedig a biztonsági másolatokkal együtt véglegesen törlésre kerülnek a pénzintézet biztonsági másolatokra vonatkozó szabályzatának megfelelően.
A Kérelmező álláspontja szerint személyes adatainak törlését maradéktalanul végre kell hajtani, és őt a végrehajtásról tájékoztatni kell. Kifogásolta továbbá, hogy az adatkezelő nem tájékoztatta a biztonsági mentések felhasználásáról, annak őrzési idejéről, valamint, hogy az e-mailben történő azonosítás során valamennyi természetes személyazonosító adatának megadását kérte.
A kérelmező joggyakorlásának elősegítése
Az adatkezelő rendelkezik egy olyan, belső használatra készített "Adatkezelési kézikönyv" dokumentummal, melyben az ügyfélmegkeresés megválaszolásával foglalkozó kollégák számára ír elő intézkedéseket. Ez tartalmazza az azonosítás rendjét is, és különbséget tesz az azonosítást igénylő, és azonosítást nem igénylő esetek között. Ebben a kézikönyvben az adatkezelő azt írja elő, hogy
"Amennyiben a postai úton küldött levelet az abban foglaltak alapján az adott követelés tekintetében eljárni jogosult személy küldte (Maga az Ügyfél, meghatalmazottja, stb.) úgy beazonosítás nem alkalmazandó."
Ugyancsak ezen dokumentum szerint, amennyiben egy adott ügyben korábban nem rögzített e-mail címről érkezik elektronikus levél, abban az esetben szükség van a természetes személy természetes személyazonosító adataival (név, születési hely és idő, anyja neve) történő azonosítására.
Az átláthatóság követelménye - biztonsági mentések
A Hatóság megvizsgálta, hogy a pénzintézet a hatályos nemzeti és ágazati jogszabályoknak megfelelő módon készít biztonsági mentéseket, melyre jogi kötelezettsége (többek közt: A hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény, 42/2015. (III. 12.) Korm. rendelet) van.
A szervezet biztonsági másolatokra, azok kezelésére vonatkozó "Backup and restore operational procedure" szabályzata azonban nem nyilvános, így ahhoz az Érintett nem férhetett hozzá, valamint az adatkezelő sem tájékoztatta megfelelően a Kérelmezőt arról, hogy melyik az utolsó biztonsági mentés, amiben még szerepelnek a személyes adatai, milyen esetekben kerülhet sor a mentések felhasználására, illetve felhasználás hiányában mikor törli azt az utolsó biztonsági mentést, amelyben a törlést megelőzően még szerepeltek az Érintett személyes adatai.
A Hatóság döntése
A NAIH álláspontja szerint a személyazonosság igazolása és az azonosítás nem azonos fogalmak, ezért az azonosításhoz csak kivételes esetben szükséges mind a négy természetes személyazonosító adat megadása; a legtöbb esetben elegendő a név, és a további három adat közül az egyik, amennyiben az az ügyfél azonosításához feltétlenül szükséges.
A pénzintézet ennek ellenére úgy kérte be mind a négy személyazonosító adatot, hogy abból az egyikkel (születési dátum) a felszólítás idején nem is rendelkezett; így fennállt az adattakarékosság elvének sérülésének veszélye, hiszen olyan adatot kért be (és kezelt volna) azonosítás céljából, melyet nem tudott volna mivel összehasonlítani.
Az adatkezelő az azonosítást tekintve a saját szabályzatának megfelelően járt el, azonban sem az e-mailes megkeresésekre adott válaszban, sem a panasz lezárásakor nem tájékoztatta az ügyfelet arról, hogy panasza kivizsgálását postai levélben is kérheti, és az ilyen formában benyújtott kérelmét további természetes személyazonosító adatok megadásának hiányában is elbírálja, ha az tartalmazza a nevét, az ügyszámot és az aláírását.
Mivel az adatkezelő nem segítette elő, hogy a Kérelmező gyakorolni tudja érintetti jogait, nem tájékoztatta az érintetti jogérvényesítés további lehetőségeiről, sőt a panaszkezelési eljárás lezárásáról tájékoztatta, megsértette a GDPR 12. cikkének (2) bekezdését.
Azzal, hogy az adatkezelő nem tájékoztatta a Kérelmezőt a biztonsági mentések kezeléséről, és az azokkal kapcsolatos információkról, nem felelt meg az átláthatóság követelményének, és megsértette a GDPR 5. cikkének (1) bekezdés (a) pontját.
Mindezek alapján a Hatóság 500.000 Ft adatvédelmi bírságot szabott ki.
A bírság kiszabásakor a NAIH mérlegelte, hogy az adatkezelő tudatosan, a GDPR rendelkezéseire figyelemmel, ugyanakkor a GDPR rendelkezéseibe ütköző módon intézte az érintett joggyakorlás iránti kérelmének teljesülését, és ténylegesen hátráltatta azt.