Adatvédelem: a NAIH határozatai (2. rész)

Vágólapra másolva!

Az elmúlt hónapokban az Európai Unói Bíróságának döntése és a NAIH több esetben is bírságot kiszabó határozata több adatvédelmi jogi szempontból fontos megállapítást is tett, amelyekből a piaci szereplőket, illetve adatkezelőket és adatfeldolgozókat általában érintő legfontosabb részeket gyűjtötték össze két részes írásban a Kovács Réti Szegheő Ügyvédi Iroda szakértői. Most a második részt olvashatják az első rész itt érhető el.

Origo

Vágólapra másolva!

Kovács Réti Szegheő Ügyvédi Iroda

A hatóság egymillió forint összegű bírságot szabott ki egy adatkezelő számára, míg ötszázezer összegű bírságot az adatfeldolgozó számára. A Hatóság döntése szerint az adatkezelő hozzáférési jog megsértése, adminisztratív költség indokolatlan felszámítása, érdekmérlegelési teszt elvégzésének hiánya, továbbá a célhoz kötöttség és adattakarékosság elveinek megsértése, míg az adatfeldolgozó az átlátható adatkezelése követelményének megszegése jogsértéseket követték el.

A kapcsolódó tényállás szerint az adatkezelő a kérelmező személyes adatai kezelésének módjára irányuló tájékoztatási kérelmét nem válaszolta meg kielégítően, továbbá az ezzel kapcsolatos adminisztratív költségeket indokolatlanul tovább hárította a kérelmezőre.

Ezen túlmenően a NAIH megállapította azt is, hogy az adatkezelés jogalapja is hibásan került meghatározásra. A követelésbehajtással összefüggésben az adatkezelés jogalapjaként jogi kötelezettség teljesítése, továbbá ezzel kapcsolatban a Számviteli törvény, a Hpt. és a központi hitelinformációs rendszerről szóló törvény került hibásan meghatározásra a követelésvásárlással és behajtással üzletszerűen foglalkozó adatkezelő részéről.

A NAIH azonban megállapította, hogy a jogi kötelezettség teljesítése, mint adatkezelési jogalap nem áll összhangban a meghatározott jogszabályhelyekkel, ugyanis azokból nem következik kötelező adatkezelés, ezzel szemben a megfelelő jogalap ebben az esetben jogos érdek lehet.

Jogos érdek, mint jogalap érvényes alkalmazhatósága érdekében azonban szükséges érdekmérlegelési tesztet is készítenie az adatkezelőnek, mely jelen esetben nem készült.

A NAIH továbbá megállapította azt is, hogy az ügyben eljárt adatfeldolgozó nem nyújtott megfelelő tájékoztatást az érintettnek, továbbá adatfeldolgozói hatáskörén túlterjeszkedett, ugyanis a személyes adatok kezelésére vonatkozóan nem is nyújthatott volna tájékoztatást az adatkezelővel fennálló és vonatkozó megállapodása alapján.

A hatóság egy másik, nem rég lezárult ügyben kétszázezer forint bírságot szabott ki egy munkáltató számára, tekintettel arra, hogy a munkáltató egy volt közalkalmazottja számára megtagadta a közalkalmazotti jogállás megszűnését követően a munkahelyi e-mail fiókhoz való hozzáférést, annak ellenére, hogy az e-mail fiók magánhasználatra vonatkozó előírásokat a munkáltató szabályzata nem tartalmazott.

Az érintett hozzáférés kérésének célja a munkáltatóval folyamatban lévő peres eljáráshoz szükséges bizonyítékok beszerzése, továbbá a szakmai munkássághoz, tudományos publikációkhoz való hozzáférés volt.

A hatóság döntése szerint az adatkezelőnek különbséget kellett volna tennie a munkavégzéssel összefüggő e-mailek és a magáncélú e-mailek tekintetében a kérelmező általi hozzáférési jog gyakorlásának megítélése tekintetében.

Az első esetben figyelembe veendő és vehető az, hogy az emailek adott esetben üzleti titkokat tartalmazhatnak (és ezért külön védelemben részesülnek, illetve a GDPR 63 preambulum bekezdését is figyelembe kell venni, amely alapján a hozzáféréshez való jog nem érintheti hátrányosan mások jogait, beleértve az üzleti titkokat, szellemi tulajdont és szerzői jogokat is) és ezért a munkaviszony megszűnését követően alapvetően jogszerű a hozzáférés megtagadása.

Ugyanakkor a magáncélú e-mailek más megítélés alá esnek, mely esetben biztosítani kell megfelelő feltételekkel a hozzáférési jog gyakorlásának lehetőségét. Az nem várható el az adatkezelőtől, hogy maga válogassa le ezeket az e-maileket valamennyi archív email közül, azonban megfelelő intézkedések elvárhatóak, amelyek mentén a kért e-mailekhez történő hozzáférést biztosítani tudja.

Így például a hatóság álláspontja szerint kérelmező által megadott konkretizált „tartalomjegyzék" alapján vagy közös leválogatással kiadhatóak ezek az e-mailek, teljesíthető a hozzáférési jog gyakorlására vonatkozó igény.

A hatóság figyelmeztetésben részesített egy magánszemélyt, és kötelezte, hogy 30 napon belül igazolja a hatóság által alábbiakban részletezett jogsértések korrigálását. Az ügyben egy olyan honlappal kapcsolatosan történtek személyes adatkezelések, amely sms küldés vonatkozásában kedvezményeket biztosított, marketing céllal.

A honlap üzemeltetője az adatkezelés céljaként az sms küldőjének azonosítását határozta meg, azonban a hatóság megállapította, hogy az adatkezelés egyben marketing céllal is történt, hiszen az adatkezelő tájékoztatókat és reklámokat is küldött az érintetteknek a megadott email címüket felhasználva.

Így az adatkezelés jogalapja a hatóság álláspontja szerint pontatlanul került meghatározásra, azaz az adatkezelés jogszerűtlennek bizonyult és az üzemeltető adatkezelési szabályzata is ebből adódóan hibás volt. Mindezek alapján a hatóság ellenőrzés terhe mellett – az üzemeltető magánszemélyi voltára tekintettel – csak figyelmeztetésben részesítette a kérelmezettet.

Fontos megemlíteni még, hogy a hatóság a jogszerű állapot elérése érdekében nem az adatok azonnali törlésére hívta fel az adatkezelőt, hanem felszólította arra, hogy valamennyi, regisztrált felhasználónak a regisztrált e-mail címére továbbítsa a hatóság állásfoglalásnak megfelelően módosított adatkezelési szabályzatát, azzal, hogy a levelében kérjék a felhasználóktól azt, hogy a módosított adatkezelési szabályzata alapján 15 napon belül nyilatkozzon arról, hogy hozzájárul-e a személyes adataik kezeléséhez.

15 nap elteltével pedig törölje azoknak az érintetteknek a személyes adatait, akik a módosított tájékoztató alapján, egyértelműen és kifejezetten nem járulnak hozzá ahhoz, hogy a honlap üzemeltetője a személyes adataikat kezelje.

A hatóság két eljárásban is vizsgálta továbbá egy gazdasági újság leggazdagabb személyek vagyonát felmérő kiadmányával kapcsolatos adatkezelési gyakorlatát, amelynek eredményeként összesen 4,5 millió forint bírságot szabott ki.

A hatóság döntéséből kiemelendő, hogy a hatóság megállapítása szerint alapvetően jogos érdeke fűződhet az alapvetően közérdekű adatok alapján összeállított listákkal kapcsolatos adatkezeléshez az adatkezelőnek, azonban ismételten leszögezte, hogy a jogos érdek, mint adatkezelési cél megalapozottságához érdekmérlegelési tesztet szükséges elvégezni, amelyben jelen esetben mérlegelésre kerül, hogy az érintett személyek közszereplőnek minősülnek-e, oknyomozó típusú-e a kiadmány, vagy csak a társadalom általános kíváncsiságát hivatott kielégíteni.

Az érintett személyeknek pedig ezen teszt eredményéről, azaz az adatkezelő jogos érdekéről is szükséges információt nyújtani az előzetes tájékoztatás keretében, illetve világossá szükséges tenni, hogy kérésre információt kaphatnak az érdekmérlegelési vizsgálatról, és így nyílik lehetősége az érintetteknek a valós tájékoztatáson alapuló döntésük meghozatalára, így akár tiltakozásuk kifejezésére is.

A tiltakozási jog gyakorlásának lehetősége kapcsán pedig fontos, hogy az adatkezelőnek csak akkor van lehetősége és ezáltal kötelezettsége egyedi érdekmérlegelést végezni adott esetben egy adott érintett kapcsán, ha az adott személy megjelöli azt, hogy ránézve az érdekmérlegelés kapcsán milyen egyedi szempontok állnak fenn, melyek azt adott esetben befolyásolják.

A hatóság továbbá megállapította azt is, hogy ilyen esetekben az adatkezelő újságírói tevékenységére, különösen a gazdasági újságírásra való hivatkozás nem elegendő a jogos érdek meghatározása során.

Mégpedig azért, mert el kell különíteni a tényfeltáró újságírást, ahol a társadalomnak érdeke hozzáférni és megismerni ezen információkat, míg a „pletykaéhséget" kiszolgáló újságírás már önmagában nem elegendő indok, hogy az adatkezelő erre alapítson jogos érdeket, mellőzve a mérlegelési tesztet és az érintettek magánélethez fűződő jogát.

Végül említésre méltó, hogy a hatóság egymillió forint bírságot szabott ki egy közelmúltbeli ügyben egy politikai céllal gyűjtött személyes adatokat kezelő adatkezelővel szemben. A kérdéses ügyben megállapította a hatóság, hogy a politikai célú, aláírásgyűjtésre irányuló adatkezelés során gyűjtött személyes adatok különleges személyes adatnak minősülnek, így eltérő és szigorúbb szabályok vonatkoznak ezen adatkezelésre.

Mindezek alapján az adatkezelés célja kettévált és egyrészről politikai célú, aláírásgyűjtésre irányuló adatkezelés (név és lakcím) valósult meg, másrészről pedig politikai kapcsolattartás elősegítése céljából (telefonszám, email) gyűjtött az adatkezelő adatokat.

A hatóság ezek alapján megtévesztőnek minősítette a tájékoztatást, amely kizárólag az elsődleges, aláírásgyűjtési célt határozta meg.

A konkrét döntés kapcsán a következő általános megállapítást érdemes kiemelni. A hatóság a korábbi döntéseivel összhangban ismét megállapította, hogy különböző célú adatkezeléshez külön, kifejezett és megfelelő tájékoztatáson alapuló hozzájárulás szükséges, mivel az adatkezelés célhoz kötöttsége határozza meg a tájékoztatás tartalmát és az annak kezeléséhez való hozzájárulást is.

Ezért fontos figyelemmel lenni arra tehát általában valamennyi adatkezelés tekintetében, hogy a tájékoztatás és az egyes adatok vonatkozásában megvalósuló adatkezelés céljának meghatározása tekintetében fennálló esetleges pontatlanság, valamint a megadott hozzájárulás megfogalmazásának nem megfelelő volta az adatkezelés jogellenességét eredményezheti és egy esetleges hatósági eljárás esetén bírság kiszabásához és a gyűjtött személyes adatok töröltetéséhez vezethet – húzták alá végezetül a Kovács Réti Szegheő Ügyvédi Iroda szakértői.