NAIH bírságok

A NAIH által a honlapján közzétett határozatokban kiszabott bírságok a 2019. évben:

A listát folyamatosan frissítjük.

Utolsó frissítés dátuma: 2019. 05. 30.

Ügyszám: NAIH/2019/2668/2

Adatvédelmi bírság: 11.000.000 Ft

Egy politikai párt nyilvánosságra került adatbázisa tartalmazza a regisztrált felhasználók teljes nevét, a regisztráció során megadott felhasználónevét, e-mail címét, illetve – titkosítva – a belépéshez szükséges jelszót. A párt az incidensről az érintetteket nem tájékoztatta, az incidenst nem vette nyilvántartásba, arra hivatkozva, hogy az eset nem érintette az élő adatbázisát.

A hatóság szerint az érintettek magánszférájára jelentett kockázat magas, ezen adatok birtokában ugyanis könnyen elkövethető személyazonossággal visszaélés, illetve az incidens olyan személyes adatokat érintett, amelyekből az érintett politikai véleményére vonatkozó következtetést lehet levonni. Szükség lett volna az érintettek tájékoztatására, hogy az érintettek megtehessék az általuk szükségesnek tartott további intézkedéseket. Ezen felül a politikai véleményre vonatkozó személyes adatok alapot szolgáltathatnak hátrányos megkülönböztetésre, de akár az érintett magán- és családi életét is befolyásolhatja, ami miatt szintén indokolt az érintettek tájékoztatása.

Magas kockázatú körülményként kell értékelni a hatóság megítélése szerint, ha egy rendszerbe történő belépést szolgáló, nem megfelelően, vagy elavultan titkosított felhasználónév és jelszó páros kerül nyilvánosságra, mert a felhasználók ugyanezeket az adatokat esetleg más (leginkább online, de akár offline) szolgáltatás használata során is használhatják akár a mai napig. Az érintettek viszonylag magas száma (több mint 6000 fő), valamint az elavult titkosítási technológia az incidensnek az érintettek jogaira és szabadságaira nézve fennálló kockázatát kifejezetten megnövelte.

A párt tudomással bírt az incidensről, az érintett adatok különleges személyes adat jellege nyilvánvaló, mégsem tette meg a hatóság részére a bejelentéssel, valamint az érintettek tájékoztatásával kapcsolatos intézkedéseket, így magatartása kifejezetten magas fokon felróható.

Ügyszám: NAIH/2019/721/6

Adatvédelmi bírság: –

A JSZP Jármű Szolgáltatási Platform rendszeren keresztül a felhasználók egy gépjármű rendszáma alapján különböző, a járművel kapcsolatos adatokat igényelhetnek a gépjárművekkel kapcsolatos nyilvántartásokból (pl. évjárat, kilométeróra állása, motor stb.).

A feltárt tényállás szerint a JSZP működésében kéttípusú adatvédelmi incidens történt:

  • egyrészt a rendszer a gépjárművek korábbi tulajdonosainak személyes adatait is megjelenítette a lekérdezések során.
  • másrészt a műszaki és/vagy eredetiségvizsgálat során készített fényképeket tartalmazó galériában olyan felvételek szerepeltek, amelyen természetes személyek láthatóak.

Az incidens bejelentés szerint az értesülés után a JSZP az üzemeltetővel közösen azonnal megkezdte az informatikai rendszer átvizsgálását és az incidenst kiváltó ok elhárítását, így az incidens oka kijavításra került. Az incidenssel kapcsolatos belső vizsgálat megállapította, hogy a rendszer kijavításáig összesen 15 820 alkalommal került sor személyes adatok kiadására. Az érintett adatalanyok becsült száma nagyjából 11 000-ra tehető.

A JSZP az adatvédelmi incidens tudomására jutását követően a rendszerhiba azonnali kijavításával, útmutatók kiadásával és hibabejelentő e-mail cím létrehozásával szinte minden szükséges technikai és szervezési intézkedést megtett annak érdekében, hogy az érintettek jogaira és szabadságaira jelentett kockázat a továbbiakban ne valósuljon meg. A hatóság ugyanakkor megállapította, hogy az érintettek tájékoztatása terén a JSZP megsértette a GDPR 34. cikk (1) bekezdését, ezért utasította a JSZP-t az érintettek és az adatokat lekérő felhasználók tájékoztatására, a felhasználók esetén pedig az adatok törlésére való felszólításra.

Ügyszám: NAIH/2019/2526/2.

Adatvédelmi bírság: 1.000.000 Ft

A kötelezett nem tett eleget a kérelmező törléshez való érintetti joga gyakorlására irányult kérelmének, és jogalap nélküli kezelte a kérelmező telefonszám adatát, továbbá az adat kezelésével a célhoz kötöttség és az adattakarékosság elvét is megsértette, illetve a kötelezett a kérelmezőt előzetesen nem tájékoztatta személyes adatán a gyűjtése céljától eltérő célból történő adatkezeléséről. A hatóság megtiltja a kötelezettnek a telefonszám kezelését, és elrendeli, hogy ezt az adatot valamennyi nyilvántartásából törölje.  

Kérelmező kérte, hogy a nyilvántartott személyes adatai közül a kötelezett a telefonszámát törölje. A kötelezett a kérelmező telefonszám adatának kezeléséhez adott hozzájárulásának visszavonását tudomásul vette, azonban nem törölte a telefonszámot, mert álláspontja szerint jogos érdeke alapján jogosult kezelni a telefonszámot.

A hatóság által megállapított egyes hiányosságok az érdekmérlegeléssel kapcsolatban:

  • Különböző céloknál külön-külön kell elvégezni az előzetes érdekmérlegelést, ez nem történt meg ebben az esetben.
  • A kötelezett gazdasági érdeket és kényelmi szempontokat helyez előtérbe az érintett érdekeivel és alapvető jogaival szemben, úgy, hogy ezen érdekek elsődlegességét nem bizonyítja és arányosítást lényegében nem végez. Például a telefonos megkeresés esetében az érintettnek azonnal reagálnia kell, azaz döntéseket kell hoznia anélkül, hogy nyugodt körülmények között átgondolná a válaszait, ezért ez a típusú kapcsolatfelvétel egyértelműen nagyobb beavatkozást jelent a magánszférájába a postai úton történt megkereséshez képest.

Megfelelő érdekmérlegelés hiányában a kötelezett nem hivatkozhat a jogos érdekre, mint jogalapra, így a vizsgált adatkezelésnek nem volt jogalapja, és mivel a kötelezett számára törvény sem írta elő az adatkezelést, ezért a kötelezett jogellenesen tartotta nyilván a telefonszám adatot, és nem biztosította az érintett törléshez való jogának érvényesülését. A kérelmező telefonszámának kezelése a követelés behajtásához és a kérelmezővel történő kapcsolattartáshoz nem elengedhetetlenül szükséges, hiszen a kötelezett a kérelmezővel történő kapcsolattartáshoz egyéb elérhetőségi adatát is kezeli.

Ügyszám: NAIH/2019/596/3

Adatvédelmi bírság: 1.000.000 Ft

A kötelezett jogellenesen járt el, mivel jogalap nélkül adta át, továbbította az érintett személyes adatait tartalmazó közérdekű bejelentését harmadik személy részére, aki így jogosulatlanul hozzáfért azokhoz.

Az érintett közérdekű bejelentése személyes adatokat tartalmazott. A közérdekű bejelentés és annak teljes tartalmának – az adatkezelőn kívüli harmadik személlyel való közölése a GDPR szerinti adatkezelésnek minősül, tehát csak akkor kerülhetett volna sor jogszerűen, ha a GDPR 6. cikkében felsorolt esetek valamelyike fennáll. A hatóság megállapította, hogy a közérdekű bejelentő személyes adatainak harmadik személlyel való közlésével megvalósuló adatkezelésre a GDPR-ban felsorolt jogalapok hiányában, és a panasztörvényben előírt kifejezett tiltás ellenére, jogellenesen került sor. Bár a jogsértés csak egyetlen érintettre terjedt ki, azonban az számára jelentős következménnyel járt, jelentős gazdasági és szociális hátrányt okozott neki, mivel a rendelkezésre álló iratok alapján megállapítható volt, hogy a jogsértés és a közalkalmazotti jogviszonyának megszüntetése között közvetlen ok-okozati kapcsolat áll fenn.

Ügyszám: NAIH/2019/1841

Adatvédelmi bírság: 500.000 Ft

A kérelmező a kérelmezettnek írt elektronikus levelében vitattaaz engedményezett követelésével kapcsolatos adatkezelésének jogszerűségét, továbbá kérte, hogy a kérelmezett (követeléskezelő) bocsássa a rendelkezésére azon dokumentumokat, amelyekre a követelését alapozta, illetve tájékoztatást kért a kérelmezettől az általa kezelt személyes adatairól. A követeléskezelő kérte a kérelmezőtől, hogy természetes személyazonosító adataival azonosítsa magát, mivel csak így tud eleget tenni a kérelmének, ezt azonban a kérelmező megtagadta. Ezután fordult a kérelmező a NAIH-hoz.

A követeléskezelő arról tájékoztatta a hatóságot, hogy a kérelmező személyes adatait az engedményezett követeléseket nyilvántartó rendszeréből törölte, mikor az eredeti jogosult visszavásárolta a követelést. A kérelmező személyes adatai ezután még megtalálhatók informatikai rendszeréről készült biztonsági mentésekben.

A kérelmezettnek valamilyen módon azonosítania kell azon email címekről érkező levelek feladóit, akik kilétével kapcsolatban valóban megalapozott kétsége merült fel. Azonban a személyazonosság igazolása és az azonosítás nem azonos fogalmak, ezért az azonosításhoz csak kivételes esetben szükséges mind a négy természetes személyazonosító adat megadása, a legtöbb esetben elegendő a név és a további három személyazonosító adat közül az egyik, amennyiben az ügyfél azonosításához ténylegesen szükséges, ezt esetről esetre kell vizsgálni. Az nem kifogásolható, hogy a kérelmezett további személyes adat megadását kérte a kérelmezőtől, azonban mérlegelnie kellett volna, hogy a kérelmező beazonosításához szükséges-e mind a négy természetes személyazonosító adat. A kérelmezett ezt a mérlegelést nem végezte el.

A hatóság megállapította, hogy a GDPR 5. cikk (1) bekezdés c) pontja szerinti adattakarékosság elve sérelmének veszélye fennállt akkor, amikor a kérelmezett felszólította a kérelmezőt születési dátumának azonosítása céljából való megadására úgy, hogy a felszólítás idején nem rendelkezett a kérelmező születési dátumával.

A Kérelmezett nem segítette elő, hogy a Kérelmező gyakorolni tudja érintetti jogait, nem tájékoztatta az érintetti jogérvényesítés további lehetőségeiről, sőt a panaszkezelési eljárás lezárásáról tájékoztatta, ezzel megsértve a GDPR 12. cikk (2) bekezdését.

Jogszerűen, a GDPR rendelkezéseivel összhangban járt el a követeléskezelő, amikor csak részben, a követeléskezelési nyilvántartása vonatkozásában tett eleget a kérelmező személyes adatai törlésére irányuló kérelmének.Az eredeti jogosult és a kérelmezett között létrejött engedményezési szerződés, valamint azon szerződés, amelyben az eredeti jogosult visszavásárolta a kérelmezettől a kérelmezővel szembeni követelését számviteli bizonylatnak minősülnek, amelyeket a kérelmezettnek az számviteli törvény előírásai szerint nyolc évig meg kell őriznie. A számviteli bizonylatokban található személyes adatok kezelésének jogalapja a GDPR 6. cikk (1) bekezdés c) pontja, így azok a kérelmező kérelmére sem törölhetők a GDPR 17. cikk (3) bekezdés b) pontjának megfelelően.

A követeléskezelő biztonsági másolatokra, azok kezelésére vonatkozó szabályzata nem nyilvános, az érintettek számára nem elérhető. A kérelmező a hatóság szerint megsértette a GDPR 5. cikk (1) bekezdés a) pontja szerinti átláthatóság elvét, ezért utasította a kérelmezettet, hogy a tájékoztassa a Kérelmezőt a személyes adatait tartalmazó biztonsági mentések törlésének időpontjáról, valamint a biztonsági mentések felhasználásának feltételeiről.

Ügyszám: NAIH/2019/363/2.

Adatvédelmi bírság: 500.000 Ft

A kérelmező az ügy kötelezettjéhez telefonon keresztül érintetti kérelmet nyújtott be, melyben kérte a kötelezettől, hogy ne használja a telefonszámát és ne küldjön más személy számlatartozásáról sms-eket. A kötelezett a kérelmező bejelentése alapján adatpontosításra felhívó leveleket küldött az ügyfelének, de ennek ellenére a kérelmező később is sms üzenetet kapott a kötelezettől más személy tartozásával kapcsolatban, emiatt fordult a NAIH-hoz.  A NAIH álláspontja szerint az, hogy a kötelezett megkereste az ügyfelét az adatpontosításra felhívó levelével, megfelelő, de nem elegendő intézkedésnek tekinthető. Bár az adatkezelőnek ebben az esetben nincs adattörlési kötelezettsége, mert ügyfele által korábban rendelkezésre bocsátott adat pontossága harmadik személy bejelentése alapján vált kérdésessé, és nem igazolt, hogy az adat felett már nem az ügyfél, hanem a bejelentő jogosult rendelkezni, azonban a NAIH szerint az adatkezelőnek a pontatlan adat kezelését átmenetileg korlátoznia kellett volna. Fentiekre figyelemmel a kötelezett sms küldése csak addig volt jogszerűnek, amíg vélelmezhető volt, hogy a nyilvántartott telefonszám az ügyfeléé, amikor ez kétségessé vált a kérelmező bejelentése folytán, a kötelezettnek intézkednie kellett volna az adat kezelésének korlátozásáról a helyzet tisztázásáig, az adatpontosság ellenőrzéséig. A kötelezett ennek nem tett eleget így megsértette a GDPR-ban foglalt pontosság elvét.

.