GDPR – NAIH határozat: érintetti joggyakorlás teljesítése során megvalósuló jogsértés
2019. februárjában több, már a GDPR alkalmazását követően született bírságoló határozat került fel a NAIH honlapjára, melyek lényegét több részes, rövid blogbejegyzésekben foglalja össze Dr. Barna Csenge kolleginánk.
Az érintetti jogok gyakorlására vonatkozó kérelem elbírálásával kapcsolatos ügyben hozott határozatot a Nemzeti Adatvédelmi és Információszabadság Hatóság.
Az eljárásra okot adó ügyben a kérelmező az adatkezelőnek címzett elektronikus levélben vitatta az adatkezelő adatkezelésének jogszerűségét, kérte továbbá, hogy az adatkezelő bocsássa rendelkezésére azon adatokat, amelyekre alapozva az adatkezelő a kérelmezőt egy adott követelés teljesítésére felszólította, valamint tájékoztatást kért az adatkezelőtől az általa kezelt személyes adatai köréről.
Az adatkezelő a levélre válaszul felhívta a kérelmezőt, hogy természetes személyazonosító adataival azonosítsa magát, tekintettel arra, hogy panaszbeadvány esetén az adatkezelő vonatkozó kézikönyve szerint, amennyiben egy adott ügyben korábban nem rögzített e-mail címről érkezik elektronikus levél, abban az esetben szükség van a természetes személy ügyfél természetes személyazonosító adataival (név, születési hely és idő, anyja neve) történő azonosítására.
A kérelmező megtagadta a kért személyazonosító adatainak megadását, és ismételten elektronikus levélben kérte az adatkezelőtől, hogy a korábban kért dokumentumokat postai úton továbbítsák részére és az e-mail címét töröljék. Az adatkezelő szintén elektronikus levélben tájékoztatta a kérelmezőt, hogy a panasz kivizsgálására irányuló eljárást lezárta, az azonosítás sikertelenségére tekintettel.
Az eljárás során az elektronikus formában beérkező kérelmek kapcsán a Hatóság úgy foglalt állást, hogy az nem vitatható, hogy ilyen esetben az adatkezelőnek valamilyen módon azonosítania kell a levél feladóját, ha a kilétével kapcsolatban megalapozott kétsége merül fel. Kihangsúlyozta azonban, hogy a személyazonosság igazolása és az azonosítás nem azonos fogalmak, ezért az azonosításhoz csak ritka esetben szükséges mind a négy természetes személyazonosító adat megadása, a legtöbb esetben elegendő a név és a további három személyazonosító adat közül az egyik, amennyiben az az ügyfél azonosításához ténylegesen szükséges. Kiemelte továbbá, hogy az adatkezelőnek esetről esetre kell vizsgálnia, hogy az e-mailt küldő konkrét személy kilétével kapcsolatban van-e a GDPR 12. cikk (6) bekezdése szerinti megalapozott kétsége, és annak eloszlatásához pontosan mely személyes adat – esetleg személyes adatok – megadására van szüksége.
A vizsgált esetben a Hatóság álláspontja szerint az nem kifogásolható, hogy az adatkezelő további személyes adat megadását kérte a kérelmezőtől, azonban mérlegelni kellett volna, hogy az érintett beazonosításához szükséges-e mind a négy személyazonosító adat. Ezt a mérlegelést az adatkezelő nem végezte el, melyet alátámasztott többek között az eljárás során az, hogy az adatkezelő eredetileg nem kezelte például a kérelmezett születési dátumát, így nem is lett volna mivel összevetnie, mikor azt bekérte az azonosításhoz, vagyis ezen adat nem volt alkalmas az érintett beazonosításához.
A Hatóság megállapította, hogy a GDPR 5. cikk (1) bekezdés c) pontja szerinti adattakarékosság elve sérelmének veszélye fennállt akkor, amikor az adatkezelő felszólította a kérelmezőt születési dátumának azonosítása céljából való megadására úgy, hogy a felszólítás idején nem rendelkezett a kérelmező születési dátumával, jogszerűtlen feltételt támasztva ezzel a kérelmező érintetti joggyakorlásra irányuló kérelmei teljesítésének.
Megállapította továbbá a NAIH, hogy azzal, hogy az adatkezelő kizárólag arról tájékoztatta a kérelmezőt, hogy azonosítása hiányában a panasza kivizsgálásra irányuló eljárást lezárja, nem adott arról információt, hogy panasza kivizsgálását postai úton is kérheti, hiszen az általa alkalmazott kézikönyv szerint az ilyen formán benyújtott kérelmét további természetes személyazonosító adatok megadásának hiányában is elbírálja, ha az tartalmazza az érintett nevét, az ügyszámot és az aláírását, mindezzel az adatkezelő nem segítette elő, hogy a kérelmező gyakorolni tudja érintetti jogait, nem tájékoztatta az érintetti jogérvényesítés további lehetőségeiről, sőt a panaszkezelési eljárás lezárásáról tájékoztatta, ezzel megsértve a GDPR 12. cikk (2) bekezdését.
Az eljárás lezárásáról való tájékoztatást követőn a kérelmező postai úton kérte személyes adatainak törlését az adatkezelőtől. Az adatkezelő tájékoztatta a kérelmezőt, hogy személyes adatai törlése iránt intézkedik, de a személyes adatai továbbra is fellelhetők az informatikai rendszeréről készített biztonsági másolatokban, azonban ismételten intézkednek a törlésről, ha a biztonsági másolatok behívására lenne szükség, ennek hiányában pedig a biztonsági másolatokkal együtt véglegesen törlésre kerülnek a kérelmezett biztonsági másolatokra vonatkozó szabályzatának megfelelően.
Annak vizsgálata kapcsán, hogy volt-e megfelelő jogalapja az adatkezelőnek a biztonsági mentésekben található személyes adatok vonatkozásában, a Hatóság megállapította, hogy jelen esetben a biztonsági mentés készítési kötelezettséget az adatkezelő részére a 42/2015. (III. 12.) Korm. rendelet írja elő, így az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés c) pontja szerinti jogi kötelezettség teljesítése.
A fentiek alapján az adatkezelő a GDPR 17. cikk (3) bekezdés b) pontjával összhangban jogszerűen nem tett eleget a Kérelmező azon kérelmének, hogy a személyes adatait a Kérelmezett a biztonsági mentésekből is azonnal törölje. Mindazonáltal, azzal, hogy az adatkezelő a biztonsági másolatokra, azok kezelésére vonatkozó szabályzata nem nyilvános, így az érintettek számára nem megismerhető, és az adatkezelő egyéb módon sem tájékoztatta a kérelmezőt, mint érintettet arról, hogy:
– melyik az az utolsó biztonsági mentés, amiben még szerepelnek a személyes adatai,
– milyen esetekben kerülhet sor a biztonsági mentések felhasználására,
– felhasználás hiányában mikor törli az adatkezelő azt az utolsó biztonsági mentést, amelyben a törlést megelőzően még szerepeltek az kérelmező személyes adatai.
Fentiekkel az adatkezelő megsértette a GDPR 5. cikk (1) bekezdés a) pontja szerinti átláthatóság elvét.
Kimondta továbbá a Hatóság az ügyben, hogy tekintettel arra, hogy a számviteli törvény alapján a könyvviteli elszámolást közvetlenül és közvetetten alátámasztó számviteli bizonylatot legalább 8 évig kell olvasható formában, a könyvelési feljegyzések hivatkozása alapján visszakereshető módon megőrizni, valamint a hitelintézeti törvény alapján a pénzügyi intézmény a panaszt és az arra adott választ öt évig köteles megőrizni, így az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés c) pontja szerinti jogi kötelezettség, mely alapján a GDPR 17. cikk (3) bekezdés b) pontjával összhangban az adatkezelő jogszerűen járt el, amikor csak részben, a követeléskezelési nyilvántartása vonatkozásában tett eleget a kérelmező személyes adatai törlésére irányuló kérelmének.
A Hatóság a fentiek alapján a kérelmező kérelmének csak részben adott helyt, felszólította az adatkezelőt, hogy tájékoztassa a kérelmezőt a személyes adatait tartalmazó biztonsági mentések törlésének időpontjáról, valamint a biztonsági mentések felhasználásának feltételeiről, valamint egy jelképes, ötszázezer forint összegű adatvédelmi bírság megfizetésére kötelezte.
Facebook Like gomb használatával kapcsolatos adatkezelés (Európai Bíróság FashionID ügy)
Kamerarendszer üzemeltetésével kapcsolatos EU állásfoglalás
EDPB (29-es Munkacsoport állásfoglalás a szerződéses jogalap használatáról
GDPR és a Facebook Custom Audience
Adatvédelmi tisztviselő: kinevezés kötelező esetei (1. rész)
