Adatvédelmi bírság járhat lakcímadat módosításának elmaradásáért

2021. február 17. 09:11
Az Általános Adatvédelmi Rendelet (GDPR) követelményként írja elő az adatpontosság elvét, melyet az adatkezelőnek alapvető kötelezettsége biztosítania. Több adatvédelmi bírság is származott abból, hogy az adatkezelő az adatpontosság elvét valamely személyes adat tekintetében (pl: lakcím, email cím stb. vonatkozásában) megsértette. A legutóbbi adatvédelmi bírság részleteit az alábbiakban mutatjuk be:
Adatvédelmi bírság járhat lakcímadat módosításának elmaradásáért

Bejelentette a banknak az új lakcímét, de az elmulasztotta átvezetni

A panaszos a felügyeleti hatósághoz benyújtott panaszában sérelmezte, hogy egy bankfiókban személyesen kérte ugyan, hogy az értesítési címei közül a régi lakcímadatát töröljék, és helyette az új lakcímét tartsák nyilván, ám erre nem került sor. A panaszos abban a tudatban távozott a bankfiókból, hogy a lakcímadatának a módosítása megvalósult.  Ezt követően később e-mailben is tájékoztatást kért az adatkezelőtől személyes adataival, kiemelten a kapcsolattartási adataival összefüggésben.  Habár a panaszos az új lakcímére küldve kapta meg az adatkezelési tájékoztatást, az ügyféltörzsben szereplő személyes adatok között azonban csak a régi lakcíme került feltüntetésre.  

 

Sérelmezte továbbá azt is, hogy annak ellenére nem szüntette meg a bank a bankszámláját, hogy ezt a szolgáltatónál kifejezetten kérte. Álláspontja szerint ezzel az adatkezelő jogalap nélküli adatkezelést is megvalósított. Hasonlóképpen sérelmezte, hogy az adatkezelő nem adott számára a GDPR előírásainak megfelelő tartalmú adatkezelési tájékoztatást, valamint, hogy a jogellenes adatkezelést kizárólag a panaszos közbenjárására fedezte fel. Ezek alapján többek között adatvédelmi bírság kiszabását is kérte.

 

NAIH: az ügyintéző mulasztása az adatkezelő mulasztása

A szolgáltató elismerte, hogy a panaszos bejelentését követően valóban nem vette nyilvántartásba annak lakcímváltozását. A Hatóság ezt a nyilatkozatot akként értékelte, hogy az adatkezelő az adatváltozás bejelentését befogadta, azonban a nyilvántartott személyes adat változásának, naprakészségének biztosítására ügyintézői hiba miatt nem került sor. A mulasztással összefüggésben az adatkezelő arra hivatkozott, hogy a panaszos korábban nem jelezte, hogy észlelte volna a személyes adatai pontatlanságát, erről az adatkezelő így csak később szerzett tudomást. A Hatóság rámutatott azonban arra, hogy a szolgáltatónak magától is eleget kellett volna tennie az Általános Adatvédelmi Rendelet 5. cikk (1) bekezdés d) pontjában előírt intézkedési kötelezettségének, azonban erre nem került sor.  Mind ezek alapján megállapította, hogy a szolgáltató azzal, hogy nem a pontos személyes adatokat kezelte, megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés d) pontja szerinti pontosság elvét és adatvédelmi bírságot szabott ki. A határozatban ezzel összefüggésben azt is kiemelte, hogy a jogsértés alól nem mentesít az a körülmény, hogy munkavállalói mulasztás okozta a jogsértést.

 

A személyes adatok kezelése a számlazárást követően nem volt jogsértő

A szolgáltató elismerte, hogy a bankszámlaszám megszüntetése időben késett, ám álláspontja szerint az adatkezelése ettől függetlenül nem volt jogsértő. A számlazárásig ugyanis szerződés teljesítése, azt követően pedig jogi kötelezettség teljesítése jogalapon kezeli a személyes adatokat. Utóbbi vonatkozásában kiemelte, hogy a személyes adatok kezelésére az ágazati jogszabályok alapján jogi kötelezettsége áll fenn, amely kötelezettség miatt pedig a személyes adatokat nem törölhette. A hatóság a szolgáltató érvelését elfogadta kiemelvén azt, hogy a számlaszolgáltatás megszüntetésének elmulasztása vonatkozásában hatáskörrel nem rendelkezik. A panaszt e tekintetben az MNB-hez tette át.

 

NAIH: a tájékoztatáskérés és az adatkezelési tájékoztatáskérés nem ugyanaz

A panaszos annak megállapítását is kérte a Hatóságtól, hogy a szolgáltató a 2019. október 29. napján kelt tájékoztatásában személyes adatai kezelésével és az érintetti jogaival kapcsolatban nem nyújtott megfelelő tájékoztatást, megsértve ezzel az Általános Adatvédelmi Rendelet 15. cikkét. A vizsgálathoz kapcsolódóan a szolgáltató a 2019. október 29. napján kelt tájékoztatását a panaszos 2019. október 9. napján, telefonon tett panaszbejelentésére küldte meg válaszként. A szolgáltató által a Hatóságnak megküldött panaszbejelentés szó szerinti leirata alapján megállapítható volt, hogy a panaszbejelentés tárgya a panaszos bankszámlája megszüntetésének elmaradására, illetve lakcímének helyesbítésére terjedt ki. A panaszbejelentés szó szerinti leiratának tartalmából megállapítható volt tehát, hogy a panaszos nem az Általános Adatvédelmi Rendelet 15. cikk szerinti személyes adataihoz való hozzáférési jogával, hanem pusztán a bankszámlája megszüntetésének elmaradásával kapcsolatban fogalmazott meg panaszt, illetve kifogásolta, hogy továbbra is régi lakcímét tartja nyilván a szolgáltató. A későbbiek során a szolgáltató valóban kapott egy hozzáférési jog gyakorlására irányuló kérelmet is, azt azonban a GDPR rendelkezéseinek megfelelően megválaszolta. A válaszhoz ugyanis adatkezelési tájékoztatót is csatolt, melynek része volt a felügyeleti hatósághoz való fordulás jogáról való tájékoztatás is.

 

Nem kérhető bírság kiszabása

A hatóság a döntésében arra is rámutatott, hogy a panaszt benyújtó ügyfél adatvédelmi bírság kiszabását nem kérheti. Amennyiben ugyanis a hatóság a jogsértést megalapozottnak tartja, abban az esetben a GDPR-ban nevesített hatáskörében eljárva maga mérlegeli a bírság kiszabásának szükségességét vagy adott esetben a jogsértő konkrét nevesítését. Amennyiben erre sor kerül, a hatóság ezt hivatalból és nem a panaszt előterjesztő személy kérelme alapján teszi.

 

dr. Kéri Ádám

ügyvéd

Kapcsolódó cikkek

EGYRE TÖBBEN FEDEZIK FEL A BALATON-FELVIDÉK EGYEDÜLÁLLÓ TERMÉSZETI KINCSEIT

2021. május 31. 08:29
Évről évre növelik népszerűségüket a hazai nemzeti parkok. A legtöbb vendéget a Balaton-felvidéki Nemzeti Park vonzotta tavaly, az igazgatóság által üzemeltetett bemutatóhelyeket mintegy 318 ezer regisztrált látogató kereste fel 2020-ban – derül ki az Agrárminisztérium és a Klímapolitikai Intézet közös kutatásából.

Időt kell nyerni a koronavírusra történő felkészüléshez

2020. március 11. 08:23
Az egészségügyi rendszereknek időt kell nyerniük a felkészüléshez a következő időszakra, éppen ezért most a koronavírus terjedésének megfékezése a legfontosabb - jelentette ki Sztella Kiriakidész, az Európai Bizottság egészségügyért felelős tagja az Európai Parlament Brüsszelbe áthelyezett plenáris ülésén.