A NAIH/2019/363/2. számú ügyben 500.000 Ft adatvédelmi bírságot szabott ki a NAIH a GDPR 5. cikkének (1) bekezdés d) pontjának, a pontosság elvének megsértése, valamint a 12. cikk (2) bekezdésének, az érintetti jogok elősegítésére vonatkozó kötelezettség megszegése miatt.

A tényállás leírása

A Kérelmező azért kezdeményezte az adatvédelmi hatósági eljárás megindítását a NAIH-nál, mert a Kötelezett adatkezelő szöveges üzeneteket küldött a telefonszámára hitelkártya tartozással kapcsolatban, és bár a Kérelmező több alkalommal közölte a bankkal, hogy nem ügyfele, és kérte az ügy kivizsgálását, valamint az SMS-ek leállítását, a bank továbbra is hasonló tartalmú üzenet küldött a Kérelmező részére, mivel adatpontosítási céllal történő megkeresése az ügyfele részére nem vezetett eredményre.

Az adatkezelő az ügy tisztázása érdekében postai úton hívta fel ügyfelét adategyeztetésre, azonban arra az ügyfelétől nem érkezett válasz, ezért a Kérelmező telefonszámának rendszeréből való törlését a bank azzal utasította el, hogy a telefonszám módosítására, illetve törlésére tett kérelemnek kizárólag akkor tehetnek eleget, amennyiben azt az adat gazdája kérelmezi, így harmadik fél kérésére nem áll módjukban a telefonszámot törölni a rendszerükből. Az adatkezelő felhívta a Panaszost az mobiltelefonjához kapcsolódó előfizetői szerződésének másolatának becsatolására abból a célból, hogy bizonyítsa miszerint a szóban forgó telefonszám már nem a banki ügyfél, hanem az ő telefonszáma.

A Hatóság álláspontja szerint a bank részéről megfelelő intézkedés volt, hogy postai úton adategyeztető felhívással megkereste ügyfelét, azonban az nem volt elegendő az ügy tisztázása érdekében. A bírság kiszabására természetesen nem azért került sor, mert a bank egy harmadik fél bejelentése alapján nem törölte rendszeréből az ügyfelével kötött szerződésben szereplő, ám a Kérelmező sajátjaként bejelentett telefonszámot, hanem azért, mert adatkezelő a bejelentés alapján tett intézkedésével nem segítette elő kellő mértékben a „pontosság elvének” érvényesülését, ezzel pedig nem akadályozta meg a pontatlan adatok felhasználását. A Hatóság álláspontja szerint ilyen esetben az adatkezelőnek a pontatlan adat kezelését átmenetileg korlátoznia kellett volna. Tekintettel arra azonban, hogy a bank e kötelezettségének nem tett eleget, ezért a bejelentést követő további SMS-ek küldése a Kérelmező részére jogellenes adatkezelésnek minősültek, sértették GDPR 5. cikk (1) bekezdés d) pontjában foglaltakat, mivel a bejelentés pillanatától az adatkezelőnek tudomása volt az általa nyilvántartott adat pontosságának és naprakészségének vitatottságáról. Az adatkezelő bár adatpontosító szándékkal megkereséssel fordult ügyfeléhez, az azonban, hogy ügyfele mégsem vette fel vele kapcsolatot, nem mentesíti az adatkezelőt az adatkorlátozással kapcsolatos intézkedés megtétele alól, és nem jogosítja fel arra, hogy továbbra is használja a vitatott adatot.

A negyedik alapelv a pontosság elve, mely szerint a személyes adatnak pontosnak és naprakésznek kell lennie és az adatkezelőnek minden észszerű intézkedést meg kell tennie annak érdekében, hogy az adatkezelés célja szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék.

A Hatóság álláspontja szerint, akkor járt volna el helyesen az adatkezelő, amennyiben a Kérelmező előfizetői szerződés bemutatására történő felhívás helyett a GDPR 12. cikk (2) bekezdése alapján a tájékoztatja arról a lehetőségéről, hogy a szerződés bemutatása esetén törli a helytelen adatot nyilvántartásából, amennyiben a szerződést nem mutatja be, úgy az ügy tisztázásáig, az adat pontosságának ellenőrzéséig annak kezelését korlátozza.

Az adatkezelő tájékoztatási kötelezettségének nem tett eleget, nem segítette elő az érintetti jogok gyakorlását, a Kérelmezőtől történő előfizetői szerződés másolatának bekérésére, így annak kezelésére jogosultsággal nem rendelkezett, a jogellenes adatkezelés huzamosabb ideig állt fenn azáltal, hogy az adatkezelő az adat kezelését nem korlátozta, mindezért pedig fél millió forint (a NAIH szerint jelképes összegű) adatvédelmi bírság került kiszabásra a Hatóság részéről.

A NAIH fenti határozatát alapul véve adatpontosítás felmerülése esetén szükséges a kérdéses adatok kezelésének korlátozása. Ám mit tehet az adatkezelő, adott esetben egy bank, hogy érvényesíteni tudja jogos érdekét, és az ügyfeléhez felhívást intézhessen akkor is, amennyiben az az általa megadott csatornákon nem lehetséges? A GDPR-nak történő megfelelés, és a fentihez hasonló helyzet elkerülése érdekében érdemes kidolgozni egy újabb eljárást arra, ha a kezelt adatok, különösen az elérhetőségi adatok pontosságával kapcsolatos kétség merül fel. Láthatjuk, hogy a postai úton történő megkeresés lassú, és körülményes, rosszhiszeműség esetén pedig nem célja az érintettnek a levél átvétele.
Egy bank esetében különösen fontos követelmény az adatok naprakészségének biztosítása, ezért szükséges az adatok aktualitásának időszakos ellenőrzése. Az adatok naprakészségét segíti elő az ügyfél bejelentése adatváltozás beállásakor, ám a fenti esetből látható, hogy az adatok naprakész tárolásához ez nem elegendő. Az ügyfél hanyagsága is hozzájárulhat a pontatlan adatkezeléshez, de elképzelhető lehet az is, hogy egy ügyfél fiktív e-mail címről levelet ír, hogy megváltoztak az elérhetőségi adatai (telefonszáma, e-mail címe, lakcíme) azzal a szándékkal, hogy a bank jogérvényesítését hátráltassa, a hitelszerződés felmondását gátolja, vagy időt nyerve banki folyamatokat akasszon meg.

A GDPR 18. cikk (1) bekezdése alapján az adatkezelő az érintett kérelmére korlátozhatja az adatkezelést. A NAIH határozatában arra az esetre javasolta az adatkezelés korlátozását, amennyiben a Kérelmező nem kívánja bemutatni az előfizetői szerződését annak igazolására, hogy a bank által kezelt telefonszám az ő személyes adata. A fenti határozat bizonytalanságot eredményezhet az adatkezelők körében, mivel az kötelező adatkezelői magatartásként írja elő az adatkezelés korlátozását, ellentétben a GDPR 18. cikk (1) bekezdésében foglaltakkal, miszerint az csak az érintett kérelmére történhet.

Az adatkezelők számára egy biztos pontot jelent ugyanakkor, hogy a Hatóság egyetértett a Kötelezettel abban, hogy „az adatkezelőnek nincs adattörlési kötelezettsége olyan esetben, amikor az ügyfele által korábban rendelkezésére bocsátott adat pontossága harmadik személy bejelentése alapján válik kérdésessé és nem igazolt, hogy az adat felett már nem az ügyfél, hanem a bejelentő jogosult rendelkezni.” Véleményünk szerint az adatkezelő által kezelt, korábban ügyfele által megadott személyes adat tekintetében bejelentést tevő harmadik személy nem tekinthető érintettnek addig, míg érintetti minőségét megfelelő módon az adatkezelő felé nem igazolja. Amennyiben ez nem így lenne, az súlyos jogi és adatbiztonsági kérdéseket vetne fel.

Bár a NAIH súlyos jogsértésnek értékelte, a GDPR rendelkezéseiből nem következik egyértelműen, hogy az adatkezelőnek adatkezelés korlátozása iránti kérelem hiánya esetén, pusztán az adatok pontosságát vitató harmadik személytől származó bejelentés alapján önmagától korlátoznia kellene az adatkezelést.

A fenti NAIH határozat alapján az adatkezelőknek kiemelkedő figyelmet kell fordítaniuk arra, hogy az adatkezelés minden egyes szakaszában a lehető legteljesebb, a várható következményekre is kiterjedő tájékoztatást nyújtsák az érintettek részére.

Dr. Kotterisch Bernadett

Elérhetőségeink: //ppos.hu/kapcsolat/

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásomról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

Név:*
E-mail:*

Havonta legfeljebb 2 hírlevelet küldök, a hírlevélről egy kattintással bármikor le lehet iratkozni.


This article has 4 comments

  1. Szittner Károly Reply

    Nem tudok egyetérteni a cikkben szereplő levezetéssel. Az alapvető eltérés oka ugyanis az érintett fogalmának téves használatából következik. Az ügyben ugyanis nem egy, hanem két vélelmezhető érintett van, a banki szerződés alanya, és a telefonszám új tulajdonosa. A telefonszám új tulajdonosa teljes joggal tiltakozik a jogtalan adatkezelés ellen, és a bank vele kapcsolatban ennek nyomán haladéktalanul köteles megszüntetni az adatkezelést. (lásd GDPR (59)) Ezt nem tudja másként tenni, mint a továbbiakban nem küldi az értesítéseket erre a címre. Itt hívnám fel a figyelmet a GDPR (69) bekezdésének egy fontos mondatára: “Ha egy adott személyes adatállomány egynél több érintettre vonatkozik, a személyes adatok megszerzéséhez való jog nem sértheti az egyéb érintettek e rendelet szerinti jogait.” Ezt a követelményt rögzíti a NAIH érvelése, csak akkor indokolt törölnie is az adatot, ha az új előfizető bemutatja a szerződését (ez azonban már nem szükségszerűen papír alapú, hiszen a szerződéseket már nem kell papíron megkötni itt sem), vagy megadja pl. valamelyik nyilvános adatbázis (telefonkönyv) hivatkozását erre vonatkozóan. (addig viszont az ő szempontjából már zárolnia KELL)
    Eltekintve ettől a a banknak, bármennyire is kínos, hogy elvesztette a kapcsolatát az adósával, teljesen célszerűtlen és felesleges a továbbiakban az rendelkezésre álló címre bármit küldenie mindaddig, amíg nem nem győződött a cím helyes voltáról. Ugyanis ha kapott információt a cím hibás voltáról, már nem vélelmezheti semmiképpen ezen az úton a sikeres kézbesítést.
    Azaz szó nincs a jogbiztonság sérelméről, jogbizonytalanságról, a határozat mindössze felhívja a figyelmet egy kétségtelenül létező kockázatra.

  2. Dr. Kulcsár Zoltán Reply

    Kedves Károly!

    Köszönjük a véleményét.
    A mi véleményünk szerint egyelőre egy érintett volt, mindaddig, amíg a bank előtt nem sikerül a másik érintett-jelöltnek igazolnia magát, őt nem tekinthetjük olyan érintettnek, aki jogokat gyakorolhat.
    A határozatból látható, hogy a Hatóság is harmadik félnek tekintette a Kérelmezőt: „az adatkezelőnek nincs adattörlési kötelezettsége olyan esetben, amikor az ügyfele által korábban rendelkezésére bocsátott adat pontossága harmadik személy bejelentése alapján válik kérdésessé és nem igazolt, hogy az adat felett már nem az ügyfél, hanem a bejelentő jogosult rendelkezni.”

    Felvetése szerint bizonyos jogokat (zárolás) gyakorolhat az egyén beazonosítás nélkül, míg másokat (törlés) nem? Ezt nem olvasom ki a rendeletből. Nem értem, miért KELL zárolni az adatokat, mikor a GDPR 18. cikk szerint az érintettnek is csak arra van joga, hogy KÉRÉSRE történjen meg az adatkezelés korlátozása, hivatalbóli korlátozási kötelezettség 2018. május 25. óta nincs.

    Álláspontunk szerint is teljes joggal tiltakozik a Kérelmező az adatkezelés ellen, azonban e kérelem nyomán az adatkezelés haladéktalan megszüntetésének kötelezettsége nem olvasható a GDPR Ön által hivatkozott (59) preambulumbekezdésében.

    A bank nagyon helyesen járt el. Gondoljunk bele, mi történne akkor, ha egy telebankos, vagy internetbankos kapcsolat során bejelentkező csaló tranzakciós vagy épp adatkezelési jogokkal kapcsolatos kéréseit akkor is teljesíteni kellene, ha az egyén nem azonosítja magát… Ha bejelentkezik valaki, hogy igazából nem is arra a számlaszámra kellene utalni, amit megadott, hanem egy másikra, akkor függessze fel a bank a tevékenységét, amíg ki nem derül, mi a helyes adat, csak azért, mert valaki beazonosítatlanul ilyet állít?

    Helytelenül jár a bank el akkor is, ha valaki az ügyben hasonló módon bejelenti, hogy elavult a mobilszám, amire SMS-eket kap a banktól, és kéri az adatkezelés korlátozását; mint utóbb kiderül, teszi ezt azért, hogy a számlatulajdonos ne értesüljön az ellopott bankkártyával történt nagy összegű vásárlásról.

    Nem gondolom, hogy ez a követendő irány.

    • Szittner Károly Reply

      Tisztelt Kulcsár Úr!
      Bocsánat, de ez a megközelítés érdemben tér el a NAIH és az én álláspontomtól is.
      A NAIH egyértelműen rögzíti:
      “Az eljárás tárgyát képező telefonszám adat a Kérelmező személyes adatának minősül, így az általános adatvédelmi rendelet 4. cikk 2. pontja alapján a telefonszám nyilvántartásban történő tárolása és felhasználása adatkezelésnek minősül.”
      Azaz alkalmazni KELL a (69) bekezdés szabályát, hogy mivel két érintett van, az adatot nem lehet úgy használni, hogy az bármelyik érintett jogait sértse.
      A bank az adott ügyben időhúzásra játszott, nem használta ki a rendelkezésére álló eszközöket, hiszen az adatváltozás be nem jelentése a tényleges ügyfél hibája. Tehát ezért a mulasztásért az első meg nem válaszolt levél után simán leállíthatta volna a folyósítást és akkor minden bizonnyal jelentkezett volna az ügyfél. Ez egyébként a pénzmosási szabályok miatt is kötelessége lett volna. Ennek az időhúzásnak lett a következménye a bírság. Ezt írja elő a NAIH által is hivatkozott 5 cikk (1) d pontja: a személyes adatoknak “pontosnak és szükség esetén naprakésznek kell lenniük; minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék („pontosság”); Ennek a meg nem tételét kérik számon és bírságolják (Nem törölni kellett volna, de megfelelően eljárni a helyzet tisztázása érdekében)
      Emellett az tulajdonképpen egy mellékszál, de mégis fontos elvi probléma, és erre sem a GDPR sem az adatvédelmi munkacsoport általam ismert dokumentumai nem adnak választ, hogy hogyan lehet azt igazolni, hogy egy adat az én személyes adatom, miközben ezt az állítást olyan felé teszem, akivel én semmiféle jogviszonyban nem állok. Mégis jogosult vagyok tiltakozni, és neki lépni kötelessége. (A lépés tartalma már bonyolultabb) De itt most maradjunk a személy és attribútumai összekapcsolásának problémájánál, amire én nem ismerek általános megoldást, csak a kötelező adatkezelések esetében van legalább részleges válasz. Egyénként marad a bíróság előtti szabad bizonyítás nem éppen hatékonynak látszó alapelve. Ezért lesznek ebben a körben továbbra is nyitott pontok, amelyek nem a GDPR sajátjai, hanem általánosabb logikai problémakört tükröznek.
      szittner

      • Dr. Kulcsár Zoltán Reply

        Köszönöm véleménye megosztását.

        Természetesen, mint a panasszal kapcsolatos adatkezelés terén érintett a panaszos, ezt én sem vonom kétségbe. De az adott telefonszámnak a szerződéses jogviszonyban történő kezelése kapcsán más az álláspontunk.

        A bank szemszögéből nézve: Ismerjük a postát, egy kiküldött levél nem levél. Illetve meglehetősen hosszú a levelek átfutási ideje, ma egy elsőbbségi küldemény célba juttatása is eltart akár egy hétig. Nem feltétlen időhúzás, ha a bank akár egy hónapnál több időt is vár. Az ügyben két hónap sem telt el a probléma jelzése, és a hatósághoz fordulást kiváltó SMS küldése között. (Maga a GDPR is akár három hónapra is engedi feltornázni az ügyintézési időt.)
        Ha a bank indokolatlanul állítja meg a folyósítást (vagy mivel itt hitelkártyáról volt szó, indokolatlanul függeszti fel a kártyát), akkor ő húzza a rövidebbet.
        A levele utolsó harmadában írt fejtegetéssel egyetértek, és nehéz az adatkezelőnek olyan megoldást találnia, ami mindenki igényét kielégíti.
        Ha ez az adatkezelői hozzáállás félmillió forint bírságot ér, akkor itt hamarosan röpködni fognak a százmilliós bírságok.

Hozzászólás a(z) Dr. Kulcsár Zoltán bejegyzéshez Kilépés a válaszból

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük