Újabb NAIH-bírság a GDPR kötelező alkalmazása óta

2019.04.18. 19:03

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) legújabb, nemrégiben közzétett határozatának különös jelentősége a jogos érdeken alapuló adatkezelés és ahhoz kötelezően kapcsolódó érdekmérlegelési teszt megfelelőségének vizsgálata. Az ezzel kapcsolatos legfontosabb hatósági megállapításokat a Kovács Réti Szegheő Ügyvédi Iroda szakértői az alábbiakban foglalják össze.

A NAIH 2018. május 25-e, azaz a GDPR kötelező alkalmazása óta már több, bírság kiszabásával végződő hatósági eljárását lezáró határozatát publikálta – ismertették a Kovács Réti Szegheő Ügyvédi Iroda szakértői.

Ezen eljárások közös jellemzője a bírság kiszabásán és a bírság nagyságrendjén túl (jellemzően egy millió forintos bírságok kerültek ez idáig kiszabásra), hogy érintetti jogok megsértésének, illetve jellemzően az érintetti jogok érvényesítésével kapcsolatos nem jogszerű adatkezelői eljárások megállapítására került sor a NAIH által.

Különös jelentőséggel bír a legújabb NAIH-határozat

Az egyik legújabb, nemrégiben közzétett, 2019. március 4-i keltezésű NAIH határozat nem tér el a fentiektől annyiban, hogy ebben az esetben is érintetti joggyakorlás és azzal összefüggő érintetti kérelemre induló hatósági eljárás kapcsán a NAIH egy millió forintos adatvédelmi bírság kiszabása mellett döntött az adatkezelővel szemben.

Ugyanakkor ezen ügyben különös jelentősége volt a jogos érdeken alapuló adatkezelés és ahhoz kötelezően kapcsolódó érdekmérlegelési teszt megfelelőségének vizsgálata.

A kapcsolódó tényállás szerint az érintett adathelyesbítési és adattörlési kérelemmel fordult az adatkezelőhöz, mely adatkezelővel, illetve annak jogelődjével korábban (2010-ben) gépkocsijának finanszírozására kölcsönszerződést kötött. Az érintett kérelmében lakcíme megváltozása miatt annak helyesbítését és egyúttal telefonszámának törlését kérte (azaz ezen adat kezelésére vonatkozó korábbi hozzájárulását visszavonta) az adatkezelőtől.

Az adatkezelő a lakcímváltozás tekintetében kérte az érintettet, hogy lakcímkártyájának másolatát küldje meg az adat helyesbítése érdekében, a telefonszám kapcsán pedig közölte, hogy azt nem törli, figyelemmel arra, hogy az adatkezelő a GDPR szerint elvégzett érdekmérlegelési tesztet követően, az adatkezelő jogos érdeke alapján továbbra is jogosult a telefonszámot kezelni a „lejárt tartozás telefonos megkeresés útján történő érvényesítése érdekében és céljából".

Ezt követően fordult az érintett a NAIH-hoz személyes adatainak védelme, illetve hatósági eljárás megindítása érdekében.

A NAIH eljárása során egyrészről vizsgálta, hogy jogszerű volt-e az adatkezelő részéről igazolványmásolat másolatának megküldéséhez kötni a lakcímadat helyesbítését, másrészről pedig azt vizsgálta, hogy fennáll-e az adatkezelő jogos érdeke, mint jogalap az érintett telefonszámának további kezelésére.

Jogos érdek fennállásának, illetve az érdekmérlegelési teszt megfelelőségének kérdése

Az utóbbi kérdés kapcsán a NAIH rögzítette, hogy az adatkezelő érdekmérlegelési teszttel köteles igazolni a jogos érdek, mint jogalap fennállását és vizsgálta az adatkezelő által készített érdekmérlegelési tesztet. A hatóság az érdekmérlegelési tesztet nem találta megfelelőnek, mellyel kapcsolatosan általánosságban, minden adatkezelő által megfontolásra javasolta az alábbi megállapításokat - emelték ki a Kovács Réti Szegheő Ügyvédi Iroda szakértői.

Az adatkezelési célokat pontosan szükséges megjelölni és különböző céloknál külön-külön kell elvégezni az érdekmérlegelést, több cél esetén ennek hiánya miatt nem megfelelő az érdekmérlegelési teszt.

A gazdasági érdeket és kényelmi szempontokat nem lehet az érintetti érdekekkel szemben úgy előterébe helyezni, hogy ezen érdeke elsőbbsége nem kerül bizonyításra és arányosítás sem kerül elvégzésre.

Az érintetti érdekek hiányos vagy helytelen azonosítása is az érdekmérlegelési teszt nem megfelelőségéhez vezethet.

Az adatkezelés szükségességénél nem megfelelő általánosságban meghatározni az okokat (így például a konkrét esetben követeléskezeléssel kapcsolatos ajánlásokra és kapcsolattartásra vonatkozó előírásokra általánosságban utalni), hanem szükséges azokat részletezni.

A fentieket figyelembe véve a NAIH megállapította, hogy megfelelő érdekmérlegelés hiányában az adatkezelő nem hivatkozhat jogos érdekre, mint jogalapra, tehát az adatkezelésnek nem volt jogalapja, ezért pedig jogellenes a telefonszám adat nyilvántartása az adatkezelő részéről.

Eredeti céltól eltérő célból történő adatkezelés kérdése

A fentieken túl azt is rögzítette a hatóság, hogy megállapítható volt az is, hogy az adatkezelő az eredeti céltól (szerződés teljesítése) eltérő egyéb célból is kezeli a telefonszámot (pl. ügyfélszolgálati tevékenység fejlesztése).

A Kovács Réti Szegheő Ügyvédi Iroda szakértői kiemelték: a NAIH rögzítette, hogy ilyen esetben elsődlegesen az adatkezelőnek azt kellett volna vizsgálnia és megállapítani a GDPR 6. cikk (4) bekezdésére figyelemmel, hogy az eredeti cél és az eltérő cél összeegyeztethető-e, azonban mivel ez a vizsgálat elmaradt, a jogalap ezen adatkezelési cél tekintetében sem igazolt.

Forrás: Kovács Réti Szegheő Ügyvédi Iroda

Amennyiben a célok nem összeegyeztethetők, úgy az új célú adatkezelés érvényes jogalap hiányában nem végezhető. Ugyanakkor hangsúlyozandó, hogy amennyiben a vizsgálat elvégzésre kerül és összeegyeztethető volna is a két cél, úgy az adatkezelőnek a GDPR 13. cikk (3) bekezdése alapján előzetesen tájékoztatnia kell az érintettet.

A fentiek kapcsán végül kiemelendő az is, hogy a NAIH álláspontja szerint telefonszám jogérvényesítéshez szükségessége egyáltalán nem elfogadható, mert a követeléskezelés nem jogi eljárás, hanem egy végrehajtást megelőző „eljárás", amely a felek konszenzusát kívánja elősegíteni, a telefonszám kezelése követelés behajtáshoz nem elengedhetetlenül szükséges, mivel az adatkezelő egyéb kapcsolattartáshoz szükséges elérhetőségi adatokat is kezel.

A lakcímadat helyesbítésének kérdése

A hatóság a panasz ezen része kapcsán nem értett egyet az érintettel és megfelelőnek találta az adatkezelő azon eljárását, hogy a módosításhoz az adat megváltozásának igazolását kérte, figyelemmel arra, hogy a GDPR által előírt pontosság elve ezt nem tiltja és a Pmt. 12. §-a alapján ez ésszerű intézkedésnek tekinthető.

A bírság kiszabásánál figyelembe vett szempontok

A NAIH a bírság kiszabása kapcsán az alábbi szempontokra volt figyelemmel – hangsúlyozták végezetül a Kovács Réti Szegheő Ügyvédi Iroda szakértői. A szempontok a következők.

A jogalap nélküli adatkezelés az érintett magánszféráját jelentősen érintette és az ezzel okozott jogsérelmet az adatkezelő szándékos magatartása, illetve adatkezelési gyakorlata idézte elő.

A jogsértés súlyos, mert érintetti jog (törléshez való jog) gyakorlását érinti, továbbá az adatkezelés több GDPR cikket sért, köztük alapelvi jogsértést is megvalósít.

A bírsággal a speciális prevenciós cél, hogy az adatkezelő vizsgálja felül a telefonszámokkal kapcsolatos adatkezelési gyakorlatát.

Generál prevenciós cél az adatkezelő újabb jogsértéstől való visszatartása mellett a piaci szereplők jogszerű irányba való mozdulása, mivel a jogos érdek fennállta, mint jogalap nem egy kötetlenül, bármely adatkezelő érdekében álló esetre, esetkörre alkalmazható szabály, hanem a jogos érdekre történő hivatkozás precíz alátámasztása szükséges.

Az adatkezelő elmarasztalására a GDPR megsértése miatt még nem került sor, továbbá az adatkezelő együttműködő magatartást tanúsított.

És legvégül: az adatkezelő 2017. évi nettó bevétele 4.000.000.000 forint, melyből 2.700.000.000 forint üzletszerű tevékenységből származott.