Újabb magyar GDPR bírságok!
Ahogy előző cikkeinkben is beszámoltunk az eddig nyilvánosságra hozott, adatvédelmi bírság kiszabásával járó NAIH határozatokról, úgy mai írásunkban is bemutatjuk a legújabb két ügyet, melyek esetében a hatóság 1-1 millió forint adatvédelmi bírság megfizetésére kötelezte a jogsértő adatkezelőket a GDPR alapján.
Az első új ügy
A Nemzeti Adatvédelmi és Információszabadság Hatóság határozatában megállapította, hogy Kecskemét Megyei Jogú Város Polgármesteri Hivatala megsértette az általános adatvédelmi rendelet (GDPR) 5. cikk (1) bekezdés a) pontját és 6. cikkét, mikor jogellenesen közölt személyes adatokat harmadik féllel.
Az Érintett közérdekű bejelentést tett az Önkormányzatnál az egyik, az Önkormányzat által alapított és felügyelt intézmény működésére vonatkozóan (a bejelentő ebben az időpontban az intézmény alkalmazottja volt). Az alpolgármester értesítette az intézményt a bejelentés tényéről, illetve megkezdte annak kivizsgálását.
Az intézmény vezetője további információként kérte, hogy a közérdekű bejelentés teljes tartalmát bocsássák rendelkezésére, melynek az üggyel foglalkozó munkatárs eleget is tett. Azonban a dokumentumot olyan formában küldte meg, hogy abban a bejelentő személyes adatait nem anonimizálta, így az Érintett munkáltatója (és a bejelentésben kezdeményezett eljárás tárgya) egyértelműen be tudta azonosítani a bejelentőt, akinek közalkalmazotti jogviszonyát rendkívüli felmentéssel megszüntette úgy, hogy egyik indokként éppen az Érintett által tett közérdekű bejelentést jelölte meg.
Az Érintett tájékoztatást kért az adatkezelőtől azzal kapcsolatban, hogy személyes adatai milyen módon és okból váltak ismertté a munkáltatója számára.
A Kötelezett a jelzést követően megbizonyosodott arról, hogy sor került személyes adatok jogosulatlan megismerésére, kivizsgálta az esetet, majd bejelentette az adatvédelmi incidenst a Hatóságnak.
A Hatóság vizsgálata során kiderült, hogy a személyes adatokat - a közérdekű bejelentést és annak teljes tartalmát - az adatkezelőn kívüli harmadik személlyel - az intézménnyel - is közölték. Maga a Kötelezett is úgy azonosította, hogy a személyes adatok közlése jogellenesen történt.
A NAIH megállapítása szerint a rendeletben felsorolt jogalapok hiányában és a panasztörvényben előírt kifejezett tiltás ellenére jogellenesen került sor a bejelentő személyes adatainak harmadik személlyel való közlésére, így a Kötelezett megsértette a GDPR 5. cikk (1) bekezdésének a) pontját, valamint a 6. cikkét.
A Kötelezett a rendelet 33-34. cikkei alapján megfelelően azonosította, hogy az incidens kockázattal járt az Érintett jogaira és szabadságaira nézve, ezért időben - a rendelet 33. cikk (1) bekezdésében foglaltak szerint - bejelentette azt a Hatóság számára, valamint ismertette az incidens orvoslására tett intézkedéseket.
Mivel a jogsértés súlyos következményekkel járt az Érintettre nézve, - hiszen komoly pénzügyi veszteség, gazdasági és szociális hátrány érte, mert részben a bejelentés következményeként mentették fel közalkalmazotti jogviszonya alól - a Hatóság szükségesnek találta a bírság kiszabását.
A Kötelezett azonban költségvetési szerv, melynek esetében az Infotv. 61. § (4) bekezdés (b) pontja alapján a bírság mértéke százezertől húszmillió forintig terjedhet, ezért a NAIH végül 1.000.000 Forint bírságösszeget állapított meg.
Így ez az első olyan ügy, amelyben közfeladatot ellátó szerv mulasztott, és a hatóság adatvédelmi bírságot szabott ki.
A második ügy
A másodikként nyilvánosságra hozott ügyben a bejelentő azért fordult a Hatósághoz,mert az adatkezelő elutasította az adathelyesbítés és adattörlés iránti kérelmét.
Az Érintett jelezte az adatkezelőnek (akivel gépkocsi beszerzésének finanszírozására kölcsönszerződést kötött), hogy megváltozott a lakcíme, valamint kérte, hogy a nyilvántartott személyes adatai közül a telefonszámot töröljék.
A Kötelezett válaszlevelében közölte, hogy a nyilvántartó rendszerben a lakcímadatot csak akkor tudja módosítani, ha a Kérelmező megküldi számára a lakcímkártyájának másolatát, valamint közölte azt is, hogy a telefonszámot nem törli a nyilvántartásból, mert annak kezelésére az általa elvégzett érdekmérlegelést követően lejárt tartozás telefonos megkeresés útján történő érvényesítése érdekében és céljából jogos érdeke van.
A kötelezett a lakcímváltozás módosítására vonatkozó eljárásrendje szerint kizárólag hatóság által kiállított dokumentum vagy annak másolatának bemutatásával módosíthatja. Az okmánymásolattal kapcsolatos adatkezelés vonatkozásában a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (Pmt.) rendelkezéseire hivatkozott.
Így az adatkezelő megtagadta a lakcímadat helyesbítésére és a telefonszámadat törlésére irányuló Érintetti kérelmet.
A hatóság két kérdést vizsgált:
A törléshez való jog gyakorlására irányuló kérelem
Bár a GDPR 17. cikk (1) bekezdés b) pontja értelmében amennyiben az Érintett visszavonja az adatkezelés alapját képző hozzájárulását, az adatkezelő nem köteles törölni az adatokat, ha másik jogalapja van az adatkezelésre, a Hatóság álláspontja szerint ebben az esetben a jogos érdek jogalap megállapításához készített érdekmérlegelés több okból sem felel meg az általános adatvédelmi rendelet követelményeinek.
A konkrét hiányosságokat a határozat bővebben is tárgyalja, azonban a NAIH megállapította, hogy az adatkezelés nem felel meg a célhoz kötöttség és a szükségesség (adattakarékosság) elvének sem, így az adatkezelési gyakorlat az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) és c) pontjának rendelkezésébe is ütközik, mert a Kötelezett adatkezelési célonként külön-külön nem bizonyította az adatkezelés szükségességét.
A Hatóság álláspontja szerint a telefonszám jogérvényesítéshez szükségessége egyáltalán nem elfogadható, mert a követeléskezelés nem jogi eljárás, hanem egy olyan a végrehajtást megelőző "eljárás", mely a felek kölcsönös együttműködését és konszenzusát kívánja elősegíteni.
A helyesbítéshez való jog gyakorlására irányuló kérelem
A NAIH szerint az nem kifogásolható, hogy a lakcímadat módosításához a Kötelezett az adat megváltozásának igazolását kéri, mert azt a GDPR kifejezetten nem tiltja, a pontosság elve és a Pmt. 12. § miatt pedig észszerű intézkedésnek is tekinthető.
Jogkövetkezmények
A Hatóság részben helyt adott a Kérelmező kérelmének, mert a Kötelezett adatkezelési tevékenysége megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) és c) pontját, 13. cikk (3) bekezdését, 17. cikk (1) bekezdését, 6. cikk (4) bekezdését, illetve utasítja az adatkezelőt arra, hogy a telefonszám adatot valamennyi nyilvántartásából törölje.
A kötelezettet az általa végzett jogellenes adatkezelés miatt a Hatóság 1.000.000 Forint adatvédelmi bírság megfizetésére kötelezte.