A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a napokban közzétett néhány, bírságot kiszabó határozatot, amelyekről alább következik egy összefoglaló - írja az GDPR: Kérdezz-felelek blog. A bírságokat még nem a GDPR, hanem a 2018. május 25-e előtt hatályos szabályozás alapján szabta ki a hatóság idén márciusban, illetőleg májusban.

1. EOS Faktor Magyarország Zrt.

A határozat szerint az EOS engedményesként kezelte a követeléssel kapcsolatban az engedményezőtől átvett adatokat. A mobiltelefonszám nem volt az adatok között, annak kezeléséhez – egy időre – a panaszos hozzájárult, amit később visszavont és kizárólag az írásbeli kapcsolattartást nem kifogásolta.

A határozat értelmében a panaszos kérte az EOS követeléskezelőtől a vele kapcsolatban kezelt vezetékes telefonszám és mobiltelefonszám törlését. Az EOS a kérelemnek először nem tett eleget, hivatkozva a jogos érdek alapján történő adatkezelésre, majd – csupán többszöri kérést követően – törölte azokat.

Az EOS adatvédelmi tájékoztatója nem tartalmazott érdemi információt a jogos érdekkel kapcsolatos érdekmérlegeléssel kapcsolatban és az érdekmérlegelési tesztet nem küldte meg a NAIH részére, így nem bizonyította annak elkészítését.

Az EOS a vezetékes telefonszámot a telefonkönyvből szerezte, jóllehet azon számhoz tartozó név és a panaszos neve nem egyezett meg, így a hatóság megállapítása szerint az adatot jogellenesen kezelte. A mobiltelefonszámot pedig azt követően is kezelte, hogy a panaszos az annak kezeléséhez adott hozzájárulását visszavonta, így jogellenes adatkezelés valósult meg, mivel az EOS a panaszos lakcíme birtokában volt, így az adatkezelés céljának eléréséhez nem volt szükséges a mobiltelefonszám kezelése. Az EOS továbbá annak ellenére, hogy a panaszos lakcímváltozást jelentett be nála, a korábbi lakcímet továbbra is kezelte, nem törölte azt.

A NAIH a bírság összegét azzal indokolta, hogy (i) az EOS jogellenesen kezelt személyes adatokat, (ii) nem tett eleget törlési kérelmeknek és (iii) nem adott megfelelő tájékoztatást az adatkezelésről, sem pedig az érdekmérlegelési teszt eredményéről.

Kép: Pixabay

2. Magyar Telekom Nyrt.

A Magyar Telekom jogellenesen kezelt személyes adatokat direkt marketing céljából, amiért 2 millió forint összegű bírságot szabott ki a hatóság.

A tényállás szerint a panaszos kérte, hogy mobilszámára ne küldjön direkt marketing sms üzeneteket a szolgáltató. A szolgáltató arra hívta fel a panaszos figyelmét, hogy amennyiben nem kíván ilyen jellegű üzeneteket kapni, akkor azt külön írásban kérje vagy online állítsa be. A panaszos kérése ellenére továbbra is kapott dm üzeneteket. Ezt követően a panaszos kérte, hogy se telefonon ne hívják, se sms-t ne küldjenek részére dm üzenetekkel kapcsolatban. Emellett a panaszos online is beállította, hogy ne keressék dm üzenetekkel kapcsolatban. A panaszos ennek ellenére továbbra is kapott dm üzeneteket sms-ben, emailben és telefonon is hívták. A panaszos ekkor a Telekom belső adatvédelmi felelőse felé jelezte, hogy semmilyen csatornán ne küldjenek részére dm üzenetet. A panaszos erre nem kapott választ.

A hatóság megállapította, hogy a dm üzenetek jogellenesen kerültek kiküldésre, valamint, hogy a Magyar Telekom nem tett eleget az Infotv. szerinti tájékoztatási kötelezettségének, továbbá nem volt biztosított a dm cél tekintetében az adatkezeléshez adott hozzájárulás önkéntessége, mert az ügyfélnek (panaszosnak) szerződéskötéskor nem volt lehetősége arra, hogy ne adjon hozzájárulást dm célból történő adatkezeléshez. Továbbá, a Telekom-fiók létrehozásakor, az online regisztrációs felületen előre ki volt pipálva a dm célú adatkezeléshez hozzájárulás mező, ami szintén jogellenes.

A hatóság megállapította, hogy a fentiek a Magyar Telekom egész rendszerét érintő jogellenességet jelentenek és a személyek széles körét érinti (kb. 1.9 millió előfizetőt a nem megfelelő szerződéses dm rendelkezés és mintegy 1.2 millió ügyfelet a Telekom-fiók).

A NAIH megállapította, hogy a Szövetség (i) megfelelő jogalap nélkül kezelt adatokat, (ii) nem nyújtott megfelelő előzetes tájékoztatást és (iii) megsértette a célhoz kötöttség és arányosság elvét, amiért 1.5 millió forint összegű bírságot szabott ki.

A panaszos a játékos nyilvántartó rendszerrel kapcsolatosan nyújtott be panaszt, amelynek értelmében a nyilvántartás bárki számára elérhető és abban az érintettek neve, születési ideje és helye, anyja neve, állampolgársága, testmagassága, lakcíme és fényképe található. A határozat szerint a nyilvántartás tartalmazza kiskorúak személyes adatait, valamint a magyar felnőtt válogatott keret tagjainak adatai is nyilvánosan elérhetőek bárki számára.

A szövetség nyilatkozata szerint a nyilvántartást a játékosok hozzájárulása alapján vezetik. Az eljárás során megállapítást nyert, hogy a játékengedély kiadásának feltétele a hozzájárulás megadása, így a hozzájárulás önkéntessége nem biztosított. A hatóság megállapította továbbá, hogy 2013 előtt hozzájárulás beszerzése nélkül vezették a nyilvántartást, továbbá, hogy sem 2013 előtt, sem azt követően nincs az adatkezelésnek megfelelő jogalapja.

A nyilvántartásban mintegy 65.234 fő szerepel, amelyből 31.295 személy kiskorú.

A NAIH megállapította, hogy a szövetség nem adott megfelelő, az Infotv. szerinti tájékoztatást az érintettek részére. A hatóság hangsúlyozta azt is, hogy "a személyes adatok bárki által hozzáférhető és kereshető, interneten szereplő adatbázisban való nyilvánosságra hozatala nem elengedhetetlenül szükséges az adatkezelés céljának eléréséhez." Különösen aggályos gyermekek adatainak (beleértve a lakcímet is) nyilvánosságra hozatala.

A hatóság azt is megállapította, hogy a hatósági eljárás megindulását megelőzően egyáltalán nem szerepelt adatkezelési tájékoztató a szövetség honlapján.

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.