A NAIH határozata a jogos érdek jogalapként történő alkalmazásának követelményeiről
Szerző: Buzás Péter
SZENIOR ADATVÉDELMI ÉS INFORMÁCIÓSZABADSÁG TANÁCSADÓ
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2019. március 4-én kelt határozatában egy követeléskezelő cég adatkezelésével kapcsolatban állapította meg a jogszerűség követelményének, a célhoz kötöttség és az adattakarékosság elvének, illetve a törléshez való jog sérelmét, amely miatt 1.000.000 forint bírságot szabott ki. A döntés tekintetében egyrészt kiemelendő, hogy a NAIH először értelmezett egy jogos érdek alapján történő adatkezelést az általános adatvédelmi rendelet (GDPR) alapján. Másrészt érdemes hangsúlyozni, hogy a hatóság az „enyhének tűnő” bírságösszeget mindössze egyetlen személyes adat jogellenes kezelése miatt szabta ki. Az eddigi bírságolási gyakorlatot is figyelembe véve megállapítható tehát, hogy az adatkezelőknek ideje komolyan venni az érintetti jogok gyakorlására irányuló kérelmeket, azoknak a GDPR-ban foglaltak szerint eleget tenni.
1. Az alapügy
Az Adatalany 2018 júliusában írásban tájékoztatta az Adatkezelőt lakcímének módosulásáról, valamint kérte a telefonszáma törlését. Az Adatkezelő válaszlevelében egyrészt kérte az érintettet, hogy bocsássa rendelkezésére lakcímet igazoló hatósági igazolványának másolatát, amellyel igazolni tudja a lakcímadat helyesbítésének megalapozottságát. Másrészt viszont elutasította a telefonszám törlése iránti kérelem teljesítését arra hivatkozással, hogy azt jogos érdek alapján a továbbiakban is jogszerűen kezelheti „a lejárt tartozás telefonos megkeresés útján történő érvényesítése érdekében és céljából”. [1] Az érintett ezért a NAIH-hoz fordult, amely adatvédelmi hatósági eljárás keretében vizsgálta az ügyet.
2. A NAIH jogi érvelése
A NAIH alapvetően három szempontot mérlegelt a telefonszám kezelésével kapcsolatban. Egyrészt megvizsgálta, hogy az Adatkezelő jogszerűen kezelte-e az érintett telefonszámát jogos érdek alapján. Másrészt elemezte, hogy az adatkezelés megfelelt-e a célhoz kötöttség és az adattakarékosság elvének. A hatóság mindhárom esetkörben jogsértést állapított meg.
A GDPR értelmében a törléshez való jog korlátját jelenti az, ha a személyes adatok kezelése jogi igények előterjesztése, érvényesítése, illetve védelme érdekében szükséges. [2] Ez esetben tehát az adatkezelő vagy harmadik személyek jogos érdeke elsőbbséget élvez az érintetti jog gyakorlásával szemben. Azt azonban, hogy valóban fennállnak ilyen érdekek, az adatkezelő köteles igazolni az ún. érdekmérlegelési teszt elvégzése révén. [3] A konkrét ügyben az Adatkezelő ugyan elvégezte és a NAIH rendelkezésére bocsátotta a telefonszámmal kapcsolatos adatkezelésre vonatkozó érdekmérlegelést, az azonban több szempontból sem felelt meg a vonatkozó követelményeknek. Egyrészt az Adatkezelő ugyanazon személyes adat kezelése tekintetében több adatkezelési célt jelölt meg egyszerre. Az adatkezelés jogszerűségének ugyanakkor egyik alapkövetelménye, hogy minden önálló adatkezelési cél megfelelő jogalappal rendelkezzen. Azaz, „[k]ülönböző céloknál külön-külön kell elvégezni az előzetes érdekmérlegelést”. [4] Másrészt az Adatkezelő hiányosan és helytelenül azonosította az érintetti érdeket, amelyekkel szemben a saját gazdasági érdekeit és egyéb kényelmi szempontokat állított. Utóbbiak elsődlegességét azonban nem bizonyítja megfelelő módon, illetve nem vizsgálta az adatkezelés arányosságát sem. Megfelelő érdekmérlegelés hiányában viszont az adatkezelésnek nincs jogalapja, azaz sérti a jogszerűség követelményét. Ez alapján tehát nem lehetett volna elutasítani az Adatalany törlés iránti kérelmét.
A NAIH a célhoz kötöttség tekintetében kiemelte, hogy a személyes adatokat kizárólag csak előre „meghatározott, egyértelmű és jogszerű” célból lehet kezelni. [5] Ezzel kapcsolatban a hatóság elvi éllel kimondta, hogy az adatkezelő köteles minden egyes önálló adatkezelési célt külön-külön megjelölni, valamint egyenként vizsgálni az egyes a célokhoz kapcsolódó adatkezelési körülményeket, amelyekről így, azaz célokra lebontva kell tájékoztatást nyújtani. [6] Az Adatkezelő azonban ennek nem tett eleget, hiszen az általa megjelölt több adatkezelési cél tekintetében elmulasztotta célonként elvégezni az érdekmérlegelést. Ráadásul az Adatkezelő a telefonszámot az eredetileg megjelölt céltól, vagyis a szerződés teljesítésétől eltérő célok érdekében is kezelte, amelyek tekintetében azonban nem végezte el az összeegyeztethetőség vizsgálatát sem, illetve elmulasztotta az Adatalany tájékoztatását is e tekintetben. [7] „Nem összeegyeztethető adatkezelési célok esetén pedig az új célú adatkezelés nyilvánvalóan nem végezhető, mivel megfelelő, érvényes jogalap nem áll fenn”. [8]
A NAIH az adattakarékosság elve tekintetében is jogsértést tárt fel. A hatóság álláspontja szerint a telefonszám kezelése a követelés behajtásához, illetve az Adatalannyal való kapcsolattartáshoz nem elengedhetetlenül szükséges. Ugyanis „az adatkezelés eredeti célja szempontjából az írásbeli kapcsolattartási forma [is] elegendő és megfelelő”. [9] Ráadásul nincs legitim indoka annak, hogy az érintettet megfosszák a megfelelő, általa preferált kapcsolattartási forma, így az írásbeli kommunikáció választásának lehetőségétől. Azáltal tehát, hogy az Adatkezelő megtagadta a telefonszám törlése iránti kérelem teljesítését, sérült a szükségesség követelménye.
Végezetül a NAIH megállapította, hogy a lakcímet igazoló hatósági igazolvány másolatának kezelése nem sérti az érintett személyes adatok védelméhez fűződő jogát. Az ugyanis a pontosság elvének érvényre juttatását segíti, valamint a vonatkozó hazai jogszabályok alapján is észszerű intézkedésnek is tekinthető. [10]
3. A jogsértésért kiszabott bírság
A NAIH az eljárás eredményeként részben helyt adott az Adatalany kérelmének, így megvizsgálta a megfelelő szankció kiszabásának szükségességét, illetve mértékét. Egyrészt elrendelte az érintett telefonszámának törlését az Adatkezelő nyilvántartásaiból. Másrészt megállapította, hogy a feltárt visszásságok bírság kiszabását teszi szükségessé. [11]
A hatóság a bírság mértékének meghatározása során súlyosbító körülményként vette figyelembe, hogy a jogellenes adatkezelést az Adatkezelő szándékosan idézte elő, jelentős hatást gyakorolva ezáltal az Adatalany magánszférájára, illetve a jogsértés jellegét (érintetti jogok sérelme). A NAIH kiemelte továbbá, hogy e döntés az Adatkezelő és a többi piaci szereplő adatkezelésének felülvizsgálatát, illetve a további jogsértő gyakorlat folytatásától való visszatartását célozza (speciális és generális prevenció). Csökkentette viszont a kiszabott összeget az, hogy ez volt az Adatkezelő első ilyen jogsértése, illetve, hogy az eljárás során mindvégig együttműködött a hatósággal. Mindezek miatt a NAIH 1.000.000 forint – átszámítva kb. 3060 euró – bírságot szabott ki az Adatkezelőre.
4. Kommentár
A NAIH kifejezetten „jelképes” összegű bírságot szabott ki a megállapított jogsértések miatt. [12] Ez azonban nem egyfajta engedékenységi politika része, a hatóság ugyanis a kiemelt generálpreventív cél mentén a teljes követeléskezelő szektor adatkezelését kívánja a helyes irányba terelni a döntésben foglaltak mentén. Az, hogy egyetlen személyes adat jogellenes kezelése miatt a fent említett bírság került kiszabásra, azt üzeni az érintett adatkezelők számára, hogy a gyakorlatukat igenis felül kell vizsgálni és meg kell hozni a megfelelő intézkedéseket. Ellenkező esetben a követeléskezelőknek számolniuk kell a NAIH egyre szigorúbb fellépésével.
Másrészt kiemelendő, hogy a Hatóság először elemzett a GDPR alapján egy adatkezelő által elvégzett érdekmérlegelési tesztet. A határozatból ezzel kapcsolatban az az általános következtetés vonható le, hogy a jogszerűség elvének való megfelelés nem lehet pusztán formai: a jogos érdek jogalapként „nem egy kötetlenül, bármely az adatkezelő érdekében álló esetre, esetkörre alkalmazható szabály”. A GDPR-nak való megfeleléshez ugyanis az kell, hogy az adatkezelő precíz módon alátámassza a jogos érdekre való hivatkozás megalapozottságát. Az ehhez szükséges érdekmérlegelési teszt jogszerű elvégzéséhez pedig további támpontokat nyújtanak a NAIH megállapításai.
[1] NAIH/2019/2526/2.
[2] Vö. GDPR 17. cikk (3) bekezdés e) pont és GDPR 6. cikk (1) bekezdés f) pont.
[3] GDPR (47) preambulumbekezdés.
[4] NAIH/2019/2526/2.
[5] GDPR 5. cikk (1) bekezdés b) pont.
[6] NAIH/2019/2526/2.
[7] Vö. GDPR 6. cikk (4) bekezdés.
[9] NAIH/2019/2526/2.
[9] NAIH/2019/2526/2.
[10] NAIH/2019/2526/2. és a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény 12. §.
[11] NAIH/2019/2526/2.
[12] NAIH/2019/2526/2.