A NAIH 500.000 és 1.000.000 Ft közötti összegű bírságokat szabott több magyarországi adatkezelőre a GDPR rendelkezéseinek megsértése miatt. A nagyságrend ugyan nem éri el a más EU-s tagállamok adatvédelmi hatóságai által korábban kiszabott jelentős összegű bírságokét, ennek ellenére számos tanúságot lehet levonni a határozatokból. A legfontosabb általános megállapítás, hogy a NAIH aktív a hozzá beérkező panaszok és adatvédelmi incidensek kivizsgálása területén.

Az alábbiakban bemutatjuk az ügyeket, röviden összefoglalva a tényállást és a NAIH következtetéseit. Az egyes ügyeknél linkekről letölthetővé tesszük a NAIH honlapjáról származó határozatokat, azzal, hogy azokban kiemeltük azokat a részeket, amelyek szerintünk különösen relevánsak. Előrebocsátjuk ugyanakkor, hogy a NAIH határozatai ellen közigazgatási pert lehet indítani, és a bíróság a hatóság határozatát megváltoztathatja, megsemmisítheti vagy új eljárásra utasíthatja a NAIH-ot, tehát korántsem biztos, hogy ezek a végleges megállapítások. További minden ügy egyedi, így nem feltétlenül érdemes kiragadni egyes megállapításokat a kontextusból.

1. Kamerafelvételek kiadásának megtagadása – 1.000.000 Ft összegű bírság

Ebben az ügyben a bírság kiszabását három tényező indokolta: az adatkezelő i) nem bocsátotta az érintett rendelkezésére a kamerafelvételeket, ii) nem zárolta, azaz nem tartotta meg a felvételeket annak érdekében, hogy azt az érintett további eljárásokban felhasználhassa, végül iii) nem tájékoztatta az érintettet arról, hogy joga van a NAIH-hoz panaszt benyújtani. Az adatkezelő arra hivatkozott, hogy ebben az ügyben az érintett nem tudott felmutatni olyan jogos érdeket, amely indokolta volna a hozzáférését a felvételekhez és azok további megőrzését, ezért valódi oka volt arra, hogy megtagadja az igényei teljesítését. Ugyanakkor a NAIH egyértelművé tette, hogy az érintett jogok érvényesítése nem tehető függővé az érintett jogos érdekeinek mérlegelésétől. Az érintett adatkezelő nem került megnevezésre a határozatban.

Az ügy különleges érdekessége, hogy a NAIH egyértelművé tette, hogy hiába tartalmazza a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (Szvtvt.) azt, hogy az érintett csak jogának vagy jogos érdekének igazolásával kérheti az adatkezelőtől, hogy a kamerafelvételt ne semmisítse meg vagy ne törölje, ezt a szabályt felülírja a GDPR. A NAIH elvi éllel állapítja meg, hogy az olyan tagállami szabályok, amelyek ellentétesek a GDPR rendelkezéseivel és a GDPR nem engedi meg az eltérést, nem alkalmazhatóak, hanem a GDPR rendelkezéseit kell alkalmazni helyettük:

A GDPR előírásai a magyar jogalanyokra 2018. május 25-től közvetlenül alkalmazandók, kivéve azokat, amelyek teljes körű alkalmazásához, végrehajtásához az egyes tagállamok nemzeti jogszabályaiban előírt további rendelkezések szükségesek. Emellett a rendelet bizonyos – korlátozott – körben lehetőséget ad a tagállamoknak kiegészítő vagy ahhoz képest meghatározott irányban eltérő szabályok megalkotására, azonban az érintetti jogok gyakorlása nem esik ebbe a körbe, a tagállamok, így Magyarország sem kapott arra felhatalmazást, hogy az érintetti jogok gyakorlásához az érintetteknek jogos érdeküket igazolniuk kelljen, ezért az Szvtv. 31. § (6) bekezdése nem alkalmazható, ha az érintett kéri az adatkezelőtől a kamerafelvételek törlésének, megsemmisítésének mellőzését.

A NAIH/2018/5559. ügyszámú, 2018. december 21-én kelt határozata innen tölthető le (kiemelések tőlünk).

2. SMS üzenetek küldése rossz számra – 500.000 Ft-os bírság

Egy bank sms üzeneteket küldött hitelkártya tartozásról egy olyan személynek, aki nem volt a bank ügyfele. Az sms-eket megkapó személy lépett kapcsolatba a bankkal és kérte, hogy a bank törölje a telefonszámát. A bank ezt megtagadta, mert álláspontja szerint ezt a számot az ügyfele adta meg, akkor, amikor megkötötte a hitelszerződést, és ezért csak az ügyfele módosíthatja a telefonszámot. A bank ugyan küldött leveleket az ügyfelének, aki azonban ezekre nem válaszolt. A NAIH határozatában azt állapította meg, hogy a bank nem köteles törölni egy adminisztratív hiba alapján kezelt telefonszámot, ha ezt egy olyan személy jelenti be, akit nem tudott megfelelően azonosítani. Ugyanakkor az ilyen személytől érkezett panasz kézhezvételét követően a banknak korlátoznia kellett volna a telefonszám kezelését addig, amíg a bejelentést érdemben kivizsgálja. Továbbá a bank nem kötelezhet egy harmadik személyt, azaz a panaszost arra, hogy mutassa be a mobiltelefon szolgáltatásra előfizetői szerződését azért, hogy a telefonszáma törlésre kerüljön, hanem csak tájékoztathatja, hogy ha ezt megteszi, az segíthet az ügy megoldásában. Végül, amint az érdemi vizsgálat lezárult, azaz a telefonszám pontatlansága egyértelműen megállapításra került, a banknak törölnie kellett volna ezt az adatot. Mivel ebben az esetben a bank nem tett eleget az érintett törlésre vonatkozó kérésének, nem korlátozta az adatkezelést és továbbra is küldött sms-eket a nem megfelelő telefonszámra, a NAIH bírságot szabott ki. A bank nem került megnevezésre a határozatban.

A NAIH/2019/363/2. ügyszámú, 2019. február 8-án kelt határozata innen tölthető le (kiemelések tőlünk).

3. Faktorálás, átláthatóság alapelve, adattörlés megtagadása biztonsági másolatokban – 500.000 Ft-os bírság

Ebben az ügyben a NAIH az előző ügyhöz hasonlóan 500.000 Ft-os bírságot szabott ki. Az érintett tájékoztatást kért arról, hogy milyen személyes adatait kezeli a követeléskezelő és kérte, hogy az e-mail címét és egyéb személyes adatait töröljék miután a tartozását megfizette. A pénzügyi intézmény azt válaszolta, hogy nem tudja azonosítani az érintettet és kérte, hogy adja meg nevét, születési helyét és idejét, anyja leánykor nevét és lakcímét. Az érintett ezt megtagadta, amiért az adatkezelő megtagadta az igényei teljesítését, mert szerinte nem tudta azonosítani az érintettet. Végül erre sor került, de a követeléskezelő ismét visszautasította az adatok törlését, arra hivatkozva, hogy ezeket meg kell őriznie arra hivatkozva, hogy meg kell, hogy feleljen a rá vonatkozó jogi kötelezettségeknek, ide értve a bizonylatok megőrzésére vonatkozó, a Számviteli törvényben található kötelezettséget. A pénzügyi intézmény arra is hivatkozott, hogy belső szabályzatai előírják számára biztonsági másolatok megtartását is. A NAIH azt állapította meg, hogy a pénzügyi intézmény nem felelt meg az átláthatóság alapelvének, ugyanis transzparens módon és részletesen tájékoztatnia kellett volna az érintetteket a másolatok megőrzéséről, az irányadó megőrzési időkről, a másolatok lehetséges felhasználási módjáról, valamint arról, hogy azokat mikor semmisítik meg. Ugyanakkor a NAIH azt is kiemelte, hogy ha van egy valódi jogi kötelezettség, amely a személyes adatokat tartalmazó dokumentumok megőrzését írja elő, akkor egy a törlésre vonatkozó igényt jogszerűen vissza lehet utasítani.

Ezen ügy jelentősége, hogy a NAIH megerősítette, hogy ha biztonsági mentések készítését egy pénzügyi intézmény számára jogszabály írja elő, akkor ez kötelező adatkezelésnek minősül a GDPR alatt, ezért egy törlésre vonatkozó érintett megkeresés esetén ezekből a nem éles rendszerekből nem kell azonnal törölni a személyes adatokat. A határozat azt is tartalmazza, hogy hiába nem törvény, hanem csak alsóbb szintű jogszabály, kormányrendelet írja elő a bank számára azt, hogy biztonsági mentéseket készítsen, jogszerűen jár el egy adatkezelő, amikor ennek a kötelezettségnek megfelel:

A Kérelmezett mint jogalkalmazó nincs abban a jogi helyzetben, hogy a jogalkotónak címzett kötelezettség teljesítését értékelje, a megítélése szerint nem megfelelő jogforrási szinten számára előírt és hatályos jogi kötelezettségének teljesítését erre tekintettel mellőzze, ezért a személyes adatok kezelését kormányrendelet rendelkezéseire mint kötelező adatkezelést előíró normára is alapozhatja. A Hatóság jogalkalmazó szervként az ilyen – a GDPR rendelkezéseibe közvetlenül nem ütköző – norma előírásait szintén nem hagyhatja figyelmen kívül mindaddig, amíg az az adott állam arra jogosult szerve, jelen esetben az Alkotmánybíróság a megfelelő eljárásban az arra jogosult szervek vagy személyek indítványára eltérően nem rendelkezik.

Az előbbi megközelítésből könnyen el lehet jutni oda is, hogy olyan esetekben, ahol a biztonsági mentések készítését nem jogszabály írja elő, hanem az adatkezelő saját döntése alapján végzi az üzletmenet folytonosság biztosítása érdekében, az adatkezelő vagy harmadik fél jogos érdeke alapján kerülhessen erre sor, megfelelő érdekmérlegelés alapján. Amennyiben egy érintett tiltakozik a személyes adatai archívumokban történő kezelése ellen, akkor az érdekeket össze kell vetni, azonban nem tűnik ördögtől való gondolatnak, hogy az ilyen esetek többségében az adatkezelő sikerrel tudjon hivatkozni a GDPR 21. cikkének [A tiltakozáshoz való jog] (1) bekezdésében található kivételre, amely alapján az adatkezelő megtagadhatja a törlést, ha az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.

A NAIH/2019/1841. ügyszámú, 2019. február 20-án kelt határozata innen tölthető le (kiemelések tőlünk).

4. Közérdekű bejelentő személyes adatainak feltárása – 1.000.000 Ft-os bírság

Ebben az ügyben a NAIH azt állapította meg, hogy Kecskemét Megyei Jogú Város Polgármesteri Hivatala jogszerűtlenül tárta fel egy közérdekű panaszt bejelentő személyes adatait. A kérdéses személy egy közérdekű panaszt nyújtott be a munkáltatójával kapcsolatban, amely egy az önkormányzat által alapított és felügyelt intézmény. Utóbbi a bejelentés teljes másolatát kérte attól a szervezettől, amelyhez a panasz benyújtásra került és ez eleget is tett ennek a kérésnek. Ezek után a közérdekű bejelentő munkaviszonyát a munkáltatója rendkívüli felmentéssel megszüntette. A NAIH azt állapította meg, hogy a panaszos személyes adatainak feltárása jogszerűtlen volt, és ez egy olyan adatvédelmi incidens, amely súlyos következményekkel járt az érintettre nézve. A Polgármesteri Hivatal ugyan bejelentette az incidenst a NAIH-nak és az érintettet is közvetlenül tájékoztatta, de utóbbiban nem tett eleget arra vonatkozó kötelezettségének, hogy az incidens lehetséges következményeit is feltárja.

A NAIH/2019/596/3. ügyszámú, 2019. február 28-án kelt határozata innen tölthető le (kiemelések tőlünk).

5. Lakcím és telefonszám kezelése jogi igények érvényesítése céljára, érdekmérlegelés – 1.000.000 Ft-os bírság

A NAIH szintén 1.000.000 Ft-os bírságot szabott ki egy cégre. Ebben az esetben az érintett kölcsönszerződést kötött a céggel. Később tájékoztatta a céget arról, hogy megváltozott a címe, és kérte a telefonszáma törlését. Az adatkezelő válaszában egyfelől azt állította, hogy csak akkor tudja az új címet átvezetni a nyilvántartásában, hogy ha az érintett megküldi számára a lakcímkártyájának a másolatát. Másfelől megtagadta a telefonszámának a törlését azon az alapon, hogy erre szüksége lehet követelés érvényesítése céljából, és hogy ezt jogos érdeke alapján kezeli. Ebben az ügyben a NAIH azt állapította meg, hogy a cég által elvégzett érdekmérlegelés számos okból nem felelt meg a GDPR-ban előírtaknak, többek között azért, mert számos adatkezelési célt tartalmazott. A NAIH megállapította, hogy i) az érdekmérlegelési tesztet adatkezelési célonként külön-külön kell elvégezni, ii) az adatkezelő üzleti érdekeire nem lehet automatikus úgy tekinteti, mint amelyek előnyben részesülnek az érintettek jogos érdekeivel szemben, valamint iii) az adatkezelő elmulasztotta megfelelően azonosítani az érintettek jogos érdekeit. Továbbá a telefonszám kezelése nem felelt meg az adattakarékosság elvének ugyanis, az adatkezelőnek vannak más, az érintett privát szféráját kevésbé érintő módjai arra, hogy kapcsolatba lépjen az érintettel, így például, hogy levelet küldjön számára. A NAIH szintén megállapította, hogy a társaság nem hivatkozhat a GDPR 6. cikk (4) bekezdésére, azaz arra, hogy az adatgyűjtés eredeti céljától eltérő célból történik az adatkezelés, ugyanis elmulasztotta megvizsgálni, hogy a további célra történő adatkezelés összeegyeztethető-e azzal a céllal, amelyre eredetileg a személyes adatokat gyűjtötték. Ezért a NAIH kötelezte a társaságot a telefonszám törlésére. Ami a címváltozás átvezetését illeti a NAIH megerősítette, hogy az irányadó pénzmosási szabályokra tekintettel indokolt az érintettől az új címére vonatkozó igazolást kérni.

A NAIH/2019/2526/2. ügyszámú, 2019. március 4-én kelt határozata innen tölthető le (kiemelések tőlünk).

6. Követeléskezelés során az adós személyes adatainak közlése harmadik személlyel – csak jogsértés megállapítása

Egy további, hatodik ügyben a NAIH szintén a GDPR alapján hozott határozatot, azonban ebben nem szabott ki bírságot. Ez az ügy egy 2006-ban kötött jelzáloghitel szerződéssel volt kapcsolatos, amelyben egy hiba folytán egy másik személy ingatlana került megjelölésre. Ezt a hibát később javították a szerződésben, de a bank elmulasztotta átvezetni ezt a változást a számítógépes nyilvántartásában. 2018-ban a bank egyik alkalmazottja telefonon felhívta az előbb említett személyt és tájékoztatta arról, hogy az adós késedelembe esett a törlesztő részlete megfizetésével. E körben nemcsak az adós nevét és címét, de a késedelemmel érintett összeget is feltárta. A NAIH azt állapította meg, hogy a bank érdeksérelmet okozott az érintettnek, mert a tévedésbe ejtett harmadik személy felkereste őt a lakóhelyén. A hatóság szerint a bank jogalap nélkül közölte az adós személyes adatait a harmadik személlyel. Ugyanakkor a NAIH nem szabott ki bírságot, mert a bank együttműködött a hatósággal a vizsgálat során, feltárt minden releváns részletet, ideértve a belső vizsgálatának eredményét is, végül azért is, mert a jogosulatlan adattovábbításhoz vezető , gondatlanul okozott adminisztratív hiba több mint tíz évvel ezelőtt történt.

A NAIH/2018/5573/6/H. ügyszámú, 2018. december 21-én kelt határozata innen tölthető le (kiemelések tőlünk).