Adatvédelmi bírság járhat lakcímadat módosításának elmaradásáért
Bejelentette a banknak az új lakcímét, de az elmulasztotta átvezetni
A panaszos a felügyeleti hatósághoz benyújtott panaszában sérelmezte, hogy egy bankfiókban személyesen kérte ugyan, hogy az értesítési címei közül a régi lakcímadatát töröljék, és helyette az új lakcímét tartsák nyilván, ám erre nem került sor. A panaszos abban a tudatban távozott a bankfiókból, hogy a lakcímadatának a módosítása megvalósult. Ezt követően később e-mailben is tájékoztatást kért az adatkezelőtől személyes adataival, kiemelten a kapcsolattartási adataival összefüggésben. Habár a panaszos az új lakcímére küldve kapta meg az adatkezelési tájékoztatást, az ügyféltörzsben szereplő személyes adatok között azonban csak a régi lakcíme került feltüntetésre.
Sérelmezte továbbá azt is, hogy annak ellenére nem szüntette meg a bank a bankszámláját, hogy ezt a szolgáltatónál kifejezetten kérte. Álláspontja szerint ezzel az adatkezelő jogalap nélküli adatkezelést is megvalósított. Hasonlóképpen sérelmezte, hogy az adatkezelő nem adott számára a GDPR előírásainak megfelelő tartalmú adatkezelési tájékoztatást, valamint, hogy a jogellenes adatkezelést kizárólag a panaszos közbenjárására fedezte fel. Ezek alapján többek között adatvédelmi bírság kiszabását is kérte.
NAIH: az ügyintéző mulasztása az adatkezelő mulasztása
A szolgáltató elismerte, hogy a panaszos bejelentését követően valóban nem vette nyilvántartásba annak lakcímváltozását. A Hatóság ezt a nyilatkozatot akként értékelte, hogy az adatkezelő az adatváltozás bejelentését befogadta, azonban a nyilvántartott személyes adat változásának, naprakészségének biztosítására ügyintézői hiba miatt nem került sor. A mulasztással összefüggésben az adatkezelő arra hivatkozott, hogy a panaszos korábban nem jelezte, hogy észlelte volna a személyes adatai pontatlanságát, erről az adatkezelő így csak később szerzett tudomást. A Hatóság rámutatott azonban arra, hogy a szolgáltatónak magától is eleget kellett volna tennie az Általános Adatvédelmi Rendelet 5. cikk (1) bekezdés d) pontjában előírt intézkedési kötelezettségének, azonban erre nem került sor. Mind ezek alapján megállapította, hogy a szolgáltató azzal, hogy nem a pontos személyes adatokat kezelte, megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés d) pontja szerinti pontosság elvét és adatvédelmi bírságot szabott ki. A határozatban ezzel összefüggésben azt is kiemelte, hogy a jogsértés alól nem mentesít az a körülmény, hogy munkavállalói mulasztás okozta a jogsértést.
A személyes adatok kezelése a számlazárást követően nem volt jogsértő
A szolgáltató elismerte, hogy a bankszámlaszám megszüntetése időben késett, ám álláspontja szerint az adatkezelése ettől függetlenül nem volt jogsértő. A számlazárásig ugyanis szerződés teljesítése, azt követően pedig jogi kötelezettség teljesítése jogalapon kezeli a személyes adatokat. Utóbbi vonatkozásában kiemelte, hogy a személyes adatok kezelésére az ágazati jogszabályok alapján jogi kötelezettsége áll fenn, amely kötelezettség miatt pedig a személyes adatokat nem törölhette. A hatóság a szolgáltató érvelését elfogadta kiemelvén azt, hogy a számlaszolgáltatás megszüntetésének elmulasztása vonatkozásában hatáskörrel nem rendelkezik. A panaszt e tekintetben az MNB-hez tette át.
NAIH: a tájékoztatáskérés és az adatkezelési tájékoztatáskérés nem ugyanaz
A panaszos annak megállapítását is kérte a Hatóságtól, hogy a szolgáltató a 2019. október 29. napján kelt tájékoztatásában személyes adatai kezelésével és az érintetti jogaival kapcsolatban nem nyújtott megfelelő tájékoztatást, megsértve ezzel az Általános Adatvédelmi Rendelet 15. cikkét. A vizsgálathoz kapcsolódóan a szolgáltató a 2019. október 29. napján kelt tájékoztatását a panaszos 2019. október 9. napján, telefonon tett panaszbejelentésére küldte meg válaszként. A szolgáltató által a Hatóságnak megküldött panaszbejelentés szó szerinti leirata alapján megállapítható volt, hogy a panaszbejelentés tárgya a panaszos bankszámlája megszüntetésének elmaradására, illetve lakcímének helyesbítésére terjedt ki. A panaszbejelentés szó szerinti leiratának tartalmából megállapítható volt tehát, hogy a panaszos nem az Általános Adatvédelmi Rendelet 15. cikk szerinti személyes adataihoz való hozzáférési jogával, hanem pusztán a bankszámlája megszüntetésének elmaradásával kapcsolatban fogalmazott meg panaszt, illetve kifogásolta, hogy továbbra is régi lakcímét tartja nyilván a szolgáltató. A későbbiek során a szolgáltató valóban kapott egy hozzáférési jog gyakorlására irányuló kérelmet is, azt azonban a GDPR rendelkezéseinek megfelelően megválaszolta. A válaszhoz ugyanis adatkezelési tájékoztatót is csatolt, melynek része volt a felügyeleti hatósághoz való fordulás jogáról való tájékoztatás is.
Nem kérhető bírság kiszabása
A hatóság a döntésében arra is rámutatott, hogy a panaszt benyújtó ügyfél adatvédelmi bírság kiszabását nem kérheti. Amennyiben ugyanis a hatóság a jogsértést megalapozottnak tartja, abban az esetben a GDPR-ban nevesített hatáskörében eljárva maga mérlegeli a bírság kiszabásának szükségességét vagy adott esetben a jogsértő konkrét nevesítését. Amennyiben erre sor kerül, a hatóság ezt hivatalból és nem a panaszt előterjesztő személy kérelme alapján teszi.
dr. Kéri Ádám
ügyvéd