GDPR Q&A

GDPR kérdezz-felelek / GDPR Q&A

GDPR kérdezz-felelek / GDPR Q&A

Újabb adatvédelmi bírságok

Facebook Tumblr Tweet Pinterest Tetszik
0
2019. április 12. - Kovacs Zoltan Balazs

Újabb adatvédelmi bírságok

A Nemzeti Adatvédelmi és Információszabadság Hatóság újabb, adatvédelmi bírságot kiszabó határozatokat hozott, amelyekről alább olvasható egy rövid összefoglaló.

1. Téves telefonszámra küldött értesítések

A tényállás szerint a bank (adatkezelő) tartozás megfizetésére felszólító sms üzenetet küldött olyan személy részére, aki nem volt az ügyfele. Az érintett panaszt tett az adatkezelőnél és kérte, hogy több üzenetet ne kapjon. Ennek ellenére ezt követően is kapott ilyen üzenetet. Ennek oka az volt, hogy a bank nyilvántartásában ez a telefonszám szerepelt a neki tartozó ügyfele telefonszámaként. A bank próbálta felvenni a kapcsolatot a neki tartozó ügyfelével a telefonszám ellenőrzése végett, azonban ez nem vezetett eredményre.

A hatóság megállapította, hogy a banknak korlátoznia kellett volna a telefonszám kezelését amíg ki nem deríti, hogy nem az ügyfeléé a telefonszám. Emellett jeleznie kellett volna az érintettnek (aki panaszt tett a kapott sms miatt), hogy az előfizetői szerződése bemutatásával igazolhatja, hogy a telefonszám az övé, amelyet követően a banknak törölnie kellett volna az adatot. A bank mindezt nem tette, így megsértette a pontosság elvét (GDPR 5. cikk (1) bekezdés d) pontja) és az érintetti jogok gyakorlása elősegítésének követelményét (GDPR 12. cikk (2) bekezdése).

A bank 2017. évi adózás előtti eredménye 31 milliárd forint volt.

A hatóság megállapította, hogy jogellenes adatkezelés történt és 500.000,-Ft adatvédelmi bírságot szabott ki.

2. Érintetti jogok gyakorlásának akadályozása

Egy cég (amelyre engedményezték a követelést) felszólította az adóst tartozásának megfizetésére. Az adós emailben kérte a tartozást alátámasztó dokumentumok megküldését, valamint tájékoztatást kért arról, hogy milyen jogszabályok alapján kezelik a személyes adatait. A cég kérte az érintettet, hogy azonosítsa magát annak érdekében, hogy el tudjon járni az ügyben. A cég az azonosítás elvégzése érdekében bekérte többek között a születési dátumot is, amit azonban nem tudott mivel összevetni, mert ilyen adatot nem kezelt. Az érintett nem adta meg a kért adatokat, amire hivatkozással a cég lezárta az eljárást és erről tájékoztatta az érintettet.

A hatóság megállapította, hogy a cég nem kérhette volna be a születési dátumot (mivel azt nem volt mivel összevetnie) és tájékoztatnia kellett volna az érintettet, hogy postai úton is élhet jogaival, amely esetben nem szükséges külön azonosítás, mivel a levél tartalmazza a nevet, címet és az aláírást is (így megvalósult a GDPR 12. cikk (2) bekezdésének sérelme).

A hatóság megállapította továbbá, hogy az adatkezelő nem tájékoztatta megfelelően az érintettet arról, hogy melyik az utolsó biztonsági mentés, amiben még szerepelnek a személyes adatai, ezzel megsértette az átláthatóság elvét (GDPR 5. cikk (1) bekezdés a) pontja).

Az adatkezelő 2017. évi adózás előtti eredménye 20 milliárd forint volt.

A hatóság a megállapított jogsértésekért 500.000,-Ft összegű bírságot szabott ki.

3. Jogalap nélküli adattovábbítás

A Kecskemét Megyei Jogú Város Polgármesteri Hivatala adatvédelmi incidenst jelentett be az adatvédelmi hatóságnak.

A hatóság megállapította, hogy az adatkezelő jogellenesen járt el, mivel jogalap nélkül adta át az érintett személyes adatait tartalmazó közérdekű bejelentését harmadik személy (egy, az önkormányzat által felügyelt intézmény) részére, amely így jogosulatlanul hozzáfért azokhoz. A közérdekű bejelentő ezen intézménnyel állt közalkalmazotti jogviszonyban. Az intézmény a közérdekű bejelentést tevő személy közalkalmazotti jogviszonyát a közérdekű bejelentésre is hivatkozással megszüntette.

A hatóság megállapította, hogy az adatkezelő megsértette a GDPR 5. cikk (1) bekezdés a) pontját (átláthatóság elve) és a 6. cikkét (jogalap nélküli adatkezelés). A jogalap nélküli közlés adatvédelmi incidenst valósított meg, amely magas kockázatúnak tekintendő, mivel komoly sérelem okozására alkalmas.

A hatóság 1 millió összegű bírságot szabott ki az adatkezelőre.

4. Törléshez való jog

Az érintett kölcsönszerződést kötött az adatkezelővel. Az érintett levelében jelezte az adatkezelőnek, hogy megváltozott a lakcíme, továbbá kérte, hogy a nyilvántartott személyes adatai közül a telefonszámot törölje.

Az adatkezelő bekérte a lakcímkártya másolatát annak érdekében, hogy a változást rögzíthesse. Egyidejűleg jelezte, hogy a telefonszámot nem törli, mert jogos érdek alapján kezeli és az elvégzett érdekmérlegelés alapján a továbbiakban is jogosult azt kezelni a lejárt tartozás telefonos megkeresés útján történő érvényesítése céljából.

Az érintett kérelmére adatvédelmi hatósági eljárás indult.

A hatóság megállapította, hogy az adatkezelő nem megfelelően végezte el az érdekmérlegelést, így a telefonszám kezelésének nincs jogalapja, ezért az jogellenes (sérti a GDPR 6. cikkét), valamint a célhoz kötöttség és szükségesség („adattakarékosság”) elvébe is ütközik (GDPR 5. cikk (1) bekezdés c) pontja). A hatóság kimondta, hogy megállapítható továbbá a GDPR 17. cikk (1) bekezdésének sérelme, mivel az adatkezelő nem tett eleget a törlési kérelemnek.

A hatóság úgyszintén megállapította, hogy az adatkezelő az eredeti céltól eltérő célra is kezelte a telefonszámot (ügyfélszolgálati tevékenység fejlesztésére hivatkozással), amely vonatkozásban nem végzett érdekmérlegelést és ezen adatkezelésről nem tájékoztatta az érintettet. Ebből kifolyólag az adatkezelő megsértette a GDPR 6. cikk (4) bekezdését és 13. cikke (3) bekezdését is.

A hatóság ugyancsak megállapította, hogy az adatkezelő a telefonszámot olyan célokból is kezelte, amelyekre nem végzett érdekmérlegelést, ezáltal megsértette a jogszerű célból történő adatkezelés (GDPR 5. cikk (1) bekezdés b) pontja) és a célhoz kötöttség és szükségesség elvét (GDPR 5. cikk (1) bekezdés c) pontja).

A kötelezett 2017. évi nettó árbevétele 4 milliárd forint volt.

A hatóság 1 millió forint összegű bírságot szabott ki az adatkezelőre.

5. Adatvédelmi incidens hatóság felé történő bejelentésének elmulasztása, az érintettek tájékoztatásának elmulasztása

A tényállás szerint a Demokratikus Koalíció honlapjáról egy hacker hozzáfért egy olyan adatbázishoz, amely neveket, email címeket, felhasználóneveket és titkosított formátumú jelszavakat tartalmazott, majd ezt az adatbázist elérhetővé tette az Interneten. Az adatbázis 6987 érintett adatait tartalmazta.

A párt az adatvédelmi incidens észlelését követően nem jelentette be azt a hatóság felé és nem tájékoztatta az érintett személyeket az incidensről, továbbá nem vette nyilvántartásba az eseményt.

A hatóság megállapította, hogy az adatvédelmi incidens jelentette kockázat magas, mivel személyazonossággal visszaélésre kerülhet sor és politikai véleményre vonatkozó személyes adatokat érint.

A párt 2017. évi bevétele 269.361.000,-Ft volt.

A hatóság megállapította, hogy a párt megsértette a GDPR 33. és 34. cikkét és 11 millió forint összegű bírságot szabott ki.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Szólj hozzá!
bírság adatvédelmi rendelet (GDPR) NAIH bírságok

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://eugdpr.blog.hu/api/trackback/id/tr7114760734

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása