• NDAlegal

A megfelelő jogalap nélkülözhetetlen az adatkezeléshez, különben bírság lehet a végeredmény!

2018. május 25. napjától kezdődően kötelezően alkalmazandó az európai Általános Adatvédelmi Rendelet, röviden GDPR. Korábban a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) egy 2018. május 29. napján benyújtott törvényjavaslat parlamenti elfogadására figyelemmel, a GDPR szerinti hatáskörében eljárva, elsődlegesen csak figyelmeztette azokat az adatkezelőket, illetve adatfeldolgozókat, akik a GDPR rendelkezéseit első alkalommal sértették meg, bírságot azonban nem szabott ki rájuk. Ugyanakkor, ahogyan arra korábbi cikkünkben is felhívtuk a figyelmet, a Hatóság gyakorlata megváltozott, már több adatvédelmi bírságot is kiszabott a GDPR rendelkezéseinek megsértéséért, többek közt ezért is érdekük a kkv-knak belső gyakorlatuk felülvizsgálata.


A Hatósághoz rendszeresen fordulnak a kkv. szektorból a GDPR rendelkezéseinek értelmezésével kapcsolatban, mely megkeresésekre a Hatóság igyekszik rövid időn belül választ adni adatvédelmi állásfoglalások formájában, illetve az állampolgárok is jogosultak a Hatósághoz beadványt benyújtani az Infotv. 38. § (3) bekezdés a) pontja szerinti vizsgálati eljárás lefolytatása érdekében.


2019. március 13. napján megjelent a Hatóság hivatalos oldalán egy 2018-ban indult Infotv. 38.§ (3) bekezdés a) pontja szerinti, NAIH/2018/1371/ számú vizsgálati ügyet lezáró adatvédelmi jelentés, melynek tartalmát jelen cikkünkben foglaljuk össze a tisztelt Olvasó részére, annak érdekében, hogy akár egy későbbi bírságkiszabást elkerülhessen.


Az érintett ügyben a Hatóság vizsgálta az Adatkezelőnek a természetes személyekkel kötött biztosítási szerződésekkel kapcsolatos adatkezeléseit, ideértve az Ügyfélportálján keresztül kezelt adatokat is. A vizsgálat elsődlegesen arra irányult, hogy az Adatkezelő belső gyakorlata szerint milyen adatkezelési jogalap szerint kezelte a természetes személy ügyfeleinek adóazonosító jelét, illetve az, hogy az adatkezelés során vajon megtartotta-e a GDPR szerinti célhoz kötöttség, adattakarékosság és adatkezelés biztonságának alapelvét.


A hatósági megkeresésre az Adatkezelő akként nyilatkozott, hogy az adóazonosító jel kezelésének indoka az Adatkezelőnek az esetleges kárkifizetéshez kapcsolódó, a NAV felé fennálló adatszolgáltatási kötelezettségének teljesítése a Bit. 138. § (1) bekezdés e) pontja és (2) bekezdése alapján. Ezen felül az ügyfelek adóazonosító jelének kezelése elengedhetetlen az egységes, megbízható ügyféltörzsének kialakításához is, illetve az Ügyfélportáljához kapcsolódó adatkezelési rendszerének sajátosságai miatt is indokolt, tekintettel arra, hogy az Ügyfélportálra történő belépéskor (regisztrációkor) szükséges annak megadása az ügyfél biztonságos azonosítása céljából. Az Adatkezelő álláspontja szerint az adatkezelése jogszerű volt és megfelelt a célhoz kötöttség és az adattakarékosság elvének is.


A Hatóság azonban ettől eltérő álláspontra jutott a vizsgálat eredményeképp, és a vizsgálati jelentés indokolásában kifejtette, hogy az ún. állami azonosítók, például az adóazonosító jel is, a Szaztv. 7. §-a (4) bekezdésében foglaltak alapján csak törvény felhatalmazása, ennek hiányában az érintett előzetes írásbeli hozzájárulása, illetőleg az ügyintézési rendelkezésben tett hozzájárulása alapján használható fel. Felhívta a figyelmet arra, hogy az Adatkezelő nem szerepel a Szaztv. 20. § (2) bekezdés szerinti felsorolásban, mint jogosult szervezet, sőt további jogszabályhelyet sem jelölt meg, ami alapján kötelezettség terhelné akár az adóazonosító jel kezelésére az ügyfelek nyilvántartása, azonosítása céljából.


Kifejtette azt is a Hatóság, hogy az Adatkezelő jogos érdekére sem hivatkozhat az adóazonosító jel ügyfél-azonosítás céljából történő felhasználása kapcsán, ugyanis ezen felhasználás jogszerűtlen, az adatkezelés nem felel meg a szükségesség-arányosság tesztjének sem.


Felhívta a Hatóság arra is a figyelmét az Adatkezelőnek, hogy a 15/1991. (IV. 13.) számú AB határozat alapján maga az adatkezelése ellentétes az osztott információs rendszerek alkotmányossági követelményével is, mely alapján az adóazonosító jel kizárólag arra a célra szolgál (azon jogviszonyokban), amelyek kapcsán azt létrehozták, azt más céllal felruházni, annak többletjelentést adni nem lehet, utóbbiak ugyanis ellentétesek lennének az univerzális azonosító szám alkotmányjogi tilalmával is.


A Hatóság vizsgálta az érintett adatkezelést a Szaztv. 19. §-ában és a Bit. 138. § (1) bekezdés e) pontjában, valamint 138. § (2) bekezdésében foglaltakra figyelemmel is, azonban arra az álláspontra jutott, hogy a Szaztv. és a Bit. hivatkozott rendelkezéseit szűken, csak az adott adatszolgáltatási tevékenység elvégzéséhez szükséges keretek között lehet értelmezni, emiatt pedig semmiképpen nem tekinthetők azok az adóazonosító jel technikai kódként, ügyfél-azonosító kódként történő kezelésére vonatkozó felhatalmazásnak.


Azaz az Adatkezelő nem rendelkezett érvényes adatkezelési jogalappal arra, hogy a természetes személy ügyfelek adóazonosító jelét már a biztosítási szerződés megkötésétől, illetve az Ügyfélportál esetében a belépés feltételeként technikai azonosítóként, ügyfél-azonosítóként kezelje. Kiemelte a Hatóság azt is, hogy az ügyfél azonosításához az adóazonosító jel kezelése nem szükséges, az adatkezelés pedig érvényes jogalap hiányában eleve jogsértő.


A Hatóság hangsúlyozta továbbá, hogy a GDPR 6. cikk (1) bekezdés a) pontja szerinti jogalap sem lehetne megfelelő a vizsgált esetben, mivel sérülne az érvényes hozzájárulás egyik fogalmi eleme, az önkéntesség. Ugyanis a GDPR 4. cikk 11. pontjában és a 7. cikk (4) bekezdésében foglaltak csak akkor valósulhatnak meg, ha az érintett szabadon, befolyástól mentesen jut az adatkezelésre felhatalmazást adó jognyilatkozat megtételére vonatkozó elhatározásra, az Szaztv. 7. § (3) bekezdése szerint pedig „a polgárt a hozzájárulás megadása, megtagadása, illetve visszavonása miatt hátrány nem érheti”. A vizsgált esetben azonban egyértelműen megállapítható, hogy az ügyfeleket hátrány érte, mivel az adóazonosító jel kezeléséhez kapcsolódó hozzájárulás megadásának hiányában az Adatkezelő ügyfélportáljához sem férhettek hozzá, illetve az Adatkezelő akár szerződést sem kötött velük a hozzájárulás megtagadása miatt.


A Hatóság jelentésében rögzítette, hogy az adatbiztonsági követelményeknek sem felelt meg a vizsgált ügyfél-azonosítási módszer, hiszen az Adatkezelő intézkedése nem tekinthető a GDPR 32. cikke szerinti szabályozásnak megfelelő szervezési intézkedésnek, az csak tovább növelte az adatkezelési kockázatot és a beépített és alapértelmezett adatvédelmi elv rendelkezését is megsértette.


Az ismertetett indokolásra figyelemmel pedig a Hatóság felszólította az Adatkezelőt arra, hogy törölje azon ügyfeleinek adóazonító jelét, amelyek kezelésére és tárolására nem rendelkezik megfelelő jogalappal, alakítsa át továbbá jelenlegi belső gyakorlatát és hagyjon fel a természetes személy ügyfeleinek adóazonosító jelének technikai, illetve ügyfél-azonosító számként történő kezelésével. A megtett intézkedésekről pedig, amennyiben a Hatóság felszólításában foglaltakkal egyetért, tájékoztassa írásban 30 napon belül a Hatóságot.


dr. Tarjányi Karolina

dr. Nagy Dóra Adriána


#GDPR #adatvédelmibírság #adóazonosítójelkezelése #jogosérdek #érvényeshozzájárulás