I. Bevezetés
Az adatvédelmi joggyakorlatban ritkán fordul elő olyan ügy, amely ennyire szemléletesen mutatja meg, hogy a „jó szándékú” programok milyen gyorsan válhatnak súlyos megfelelőségi kockázattá. Egy országos, több mint 100 ezer érintettet megmozgató energiahatékonysági kezdeményezés esetében a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) végül 75 millió forintos bírság mellett állapította meg az általános adatvédelmi rendelet (a továbbiakban: GDPR) több alapelvének sérelmét – az átláthatóságtól kezdve az adattakarékosságon át egészen az adatbiztonságig.
Az ügy külön jelentősége, hogy nem egyetlen kirívó hibáról van szó, hanem egymásra épülő, rendszerszintű hiányosságokról: kötelező okmánymásolat-feltöltésről, hiányos és félrevezető tájékoztatásról, valamint olyan technikai megoldásokról, amelyek ténylegesen nem akadályozták meg az adatok illetéktelen másolását. A döntés ugyanakkor azt is jól mutatja, hogy egy utólagos „korrekció” – új adatkezelési tájékoztató és módosított gyakorlat bevezetése – önmagában nem elegendő, ha az alapvető megfelelőségi kérdések továbbra is nyitva maradnak.
A következőkben a Hatóság döntésének legfontosabb tanulságait tekintjük át, különös figyelemmel azokra a pontokra, amelyek a gyakorlatban is közvetlen kockázatot jelentenek az adatkezelők számára.
II. A tényállás
A Kötelezett 2021. végén országos energiahatékonysági programot (a továbbiakban: Program) indított, amelyben a lakosság ingyen LED-ekhez juthatott online regisztráció és szerződéskötés után. A részvétel kizárólag online regisztrációval történt egy erre fejlesztett adatbázison keresztül. A Programba természetes személyek jelentkezhettek, személyes ügyintézésre nem volt lehetőség. Több mint 130 ezer fő regisztrált, tehát jelentős számú érintett adatait kezelték.
A regisztráció során széles körű személyes adatokat kellett megadni, beleértve az azonosító adatokat és részletes energetikai fogyasztási adatokat. Emellett kötelező volt személyazonosító okmányok (személyi igazolvány és lakcímkártya) és villanyszámla másolatának feltöltése is.
2023. november 30-ig nem volt kifejezetten a Programhoz kapcsolódó, megfelelő adatkezelési tájékoztató közzétéve. A közzétett általános tájékoztató elavult volt, és nem felelt meg a GDPR követelményeinek (nem megfelelő jogalapok alkalmazása, tárolási idők nem voltak összefüggésben az adatkezeléssel, kezelt adatok köre is aránytalanul nagy volt).
A regisztráció során az érintettek az Egységes Szerződéses Feltételek (a továbbiakban: ESZF) elfogadásával adtak hozzájárulást az adatkezeléshez, amely több célra és adattovábbításra is kiterjedt. Az adatok ellenőrzését manuálisan végezték, sok, eseti jelleggel foglalkoztatott munkavállaló hozzáfért az adatokhoz, gyenge biztonsági intézkedések mellett (pl.: nem volt két faktoros hitelesítés).
A Programba önkormányzatokat is bevontak, ezzel jelentősen növelve az érintetti kört, mely körülbelül 130 ezer természetes személyt számlált.
III. Döntések
A Hatóság a döntéseiben külön értékelte a 2021. december 10. és 2023. november 30. közötti időszakot, valamint a 2023. december 1-jétől az eljárás lezárásáig (2024. július 17-ig) tartó időszakot mert a Kötelezett 2023. decemberében módosította adatkezelési gyakorlatát és ekkortól új ESZF-et és Adatkezelési Tájékoztatót vezetett be.
A következőkben pedig a Hatóság fontosabb döntéseit mutatjuk be:
III.1 Az átláthatóság tárgyában 2021. december 10. és 2023. november 30. között:
A Hatóság megállapítása szerint a vizsgált időszakban az adatkezelési tájékoztatás nem csupán hiányos és széttagolt volt, hanem több ponton kifejezetten az érintetti jogok korlátozásához vezetett, ami az átláthatóság elvének érdemi sérelmét eredményezte. A GDPR 5. cikk (1) bekezdés a) pontja alapján az átláthatóság azt is jelenti, hogy az érintettek valós, teljes és jogszerű képet kapnak arról, milyen jogaik vannak, és azokat hogyan gyakorolhatják. Ezzel szemben a Kötelezett által alkalmazott dokumentumok (különösen az ESZF és a GYIK) több esetben félrevezető, illetve kifejezetten jogellenes tájékoztatást tartalmaztak.
Kiemelendő, hogy az ESZF egyes rendelkezései ténylegesen korlátozták az érintetti jogok gyakorlását. A dokumentum szerint az érintett nem vonhatta vissza hozzájárulását a szolgáltatás időtartama alatt, kizárásra került a tiltakozáshoz és a törléshez való jog, továbbá a hatósághoz fordulást is feltételekhez kötötte (például a Kötelezetthez intézett előzetes panaszkezeléshez). Ez közvetlenül ellentétes a GDPR szabályaival, amelyek biztosítják e jogok szabad és feltétel nélküli gyakorlását. Különösen problematikus volt az a kikötés, amely szerint az érintetti joggyakorlás akár a szerződés azonnali megszüntetését is eredményezhette, ami visszatartó hatást gyakorolhatott az érintettekre.
A GYIK-ben szereplő tájékoztatás tovább erősítette ezt a torz képet, amikor azt sugallta, hogy az adatkezelés „nem kifogásolható”, ezzel lényegében kiüresítve a tiltakozáshoz való jogot. Összességében az érintettek nemcsak hiányos információkat kaptak, hanem olyan tájékoztatást is, amely alkalmas volt jogaik gyakorlásának korlátozására. Ez túlmutat a formai hiányosságokon: az átláthatóság elvének olyan sérelmét jelenti, amely közvetlen hatással van az érintettek tényleges jogérvényesítési lehetőségeire.
III.2 Az adattakarékosság tárgyában 2021. december 10. és 2023. november 30. között:
Az adattakarékosság elve a GDPR egyik alapkövetelménye: az adatkezelő kizárólag olyan személyes adatokat kezelhet, amelyek az adott cél eléréséhez szükségesek és arányosak. A Hatóság vizsgálata azonban arra jutott, hogy a Kötelezett a vizsgált időszakban e követelményt több ponton is megsértette.
A Program keretében a regisztráció során az érintetteknek személyazonosító okmányaikról készült másolatokat kellett feltölteniük. A Kötelezett ezt a gyakorlatot a személyazonosság ellenőrzésével és adatbiztonsági szempontokkal indokolta. A Hatóság azonban rámutatott: a nem hitelesített okmánymásolatok önmagukban nem alkalmasak a személyazonosság megbízható igazolására, így a kitűzött cél elérésére sem megfelelő eszközök.
Ezzel párhuzamosan léteztek olyan, kevésbé adatintenzív megoldások, például az okmányok személyes bemutatása, amelyek alkalmasak lettek volna a cél elérésére anélkül, hogy az érintetteknek széles körű személyes adatokat kellene átadniuk. Az adattakarékosság elvéből ugyanis az következik, hogy nem elegendő egy adatkezelési cél igazolása: az adatkezelőnek a legkíméletesebb megoldást kell választania.
Külön problémát jelentett, hogy a feltöltött dokumentumok, így az okmánymásolatok és villanyszámlák, számos olyan adatot is tartalmaztak (például arckép, aláírás, személyi azonosító, pénzügyi adatok), amelyek a szerződéskötéshez vagy a programban való részvételhez nem voltak szükségesek. Ezek az adatok ráadásul további következtetések levonására is alkalmasak lehettek, miközben kezelésükhöz a Kötelezett nem tudott megfelelő indokot megjelölni.
A Hatóság azt is kiemelte, hogy sem jogszabályi kötelezettség, sem más kényszerítő körülmény nem indokolta az okmánymásolatok gyűjtését: ez a Kötelezett saját döntése volt. Mindezek alapján megállapítást nyert, hogy az adatkezelés nem korlátozódott a szükséges mértékre, és létezett volna olyan alternatív megoldás, amely jobban tiszteletben tartja az érintettek adatait. Ez az adattakarékosság elvének egyértelmű sérelmét jelenti.
III.3 A személyi okmányok adatkezelésének (adatgyűjtésének) vonatkozásában 2021. december 10. és 2023. november 30. között:
A Hatóság arra a következtetésre jutott, hogy a Kötelezett a Programhoz kapcsolódó regisztráció során feltöltött okmánymásolatok kezelése tekintetében nem tudott megfelelő adatkezelési jogalapot igazolni, így az adatgyűjtést a vizsgált időszakban tulajdonképpen jogalap nélkül végezte.
A döntés egyik központi eleme, hogy a Kötelezett az eljárás során több, egymással sem teljesen összeegyeztethető indokot is megjelölt az okmánymásolatok gyűjtésére: hivatkozott a szerződéskötéshez szükséges azonosításra, az elszámolási kötelezettségekre, a folyamat gyorsítására, valamint egyes nyilatkozataiban az érintetti hozzájárulásra is. A Hatóság azonban azt állapította meg, hogy ezek közül egyik jogalap sem volt megfelelően alátámasztható.
A hozzájárulásra, mint jogalapra a Kötelezett azért nem hivatkozhatott sikerrel, mert az érintetteknek valójában nem volt érdemi választási lehetőségük. Az okmánymásolatok feltöltése a regisztráció kötelező eleme volt: aki ezt nem teljesítette, nem tudott belépni a Programba. Ilyen helyzetben a hozzájárulás nem tekinthető önkéntesnek. Ezen túlmenően a Hatóság azt is kifogásolta, hogy a felületen szereplő szöveg csupán „tudomásulvételre” utalt, nem pedig kifejezett hozzájárulásra, és az érintettek megfelelő tájékoztatást sem kaptak az adatkezelés lényeges körülményeiről.
A szerződés teljesítéséhez szükséges jogalap sem állta meg a helyét, mivel a Hatóság szerint az érintettek azonosítása más, kevésbé korlátozó módon is megvalósítható lett volna, tehát az okmánymásolatok gyűjtése nem volt szükséges. Jogszabályi kötelezettségre sem lehetett hivatkozni, mert a Kötelezett nem tudott olyan konkrét jogszabályi előírást megjelölni, amely az okmánymásolatok gyűjtését kötelezővé tette volna.
Külön jelentősége van annak is, hogy a lakcímkártyán szereplő személyi azonosító kezelésére a magyar szabályok további garanciákat írnak elő. Mivel az érintettek nem adhattak érvényes, kellően tájékozott hozzájárulást, e speciális követelmények sem teljesültek. A Hatóság összegzése szerint tehát az okmánymásolatok adatbázison keresztüli gyűjtése mögött nem állt jogszerűen igazolható adatkezelési jogalap.
III.4 A könnyen hozzáférhető tájékoztatás sérelméről 2021. december 10. és 2023. november 30. között:
A GDPR 12. cikk (1) bekezdése alapján az adatkezelő köteles biztosítani, hogy az érintettek az adatkezelésre vonatkozó valamennyi lényeges információt könnyen hozzáférhető, világos és közérthető formában kapják meg. A Hatóság jelen ügyben azt vizsgálta, hogy ez a követelmény miként érvényesült a Program regisztrációs folyamata során és arra a következtetésre jutott, hogy a Kötelezett e kötelezettségének nem tett eleget.
Az általános gyakorlat szerint a „könnyen hozzáférhető” tájékoztatás nem merül ki abban, hogy az információ valahol elérhető. Az érintettnek nem szabad keresgélnie: a tájékoztatásnak közvetlenül, egyértelműen és azonnal elérhetőnek kell lennie, különösen olyan helyzetben, amikor személyes adatokat ad meg.
Ezzel szemben a Hatóság megállapította, hogy a regisztrációs felületen az adatkezelési tájékoztatást biztosító dokumentumok (Adatkezelési Tájékoztató, ESZF) nem voltak közvetlenül elérhetők a folyamat elején. Az érintetteknek külön kellett azokat megkeresniük a weboldal alsó menüsorában, ami ellentétes a GDPR által megkövetelt „könnyű hozzáférhetőség” elvével. Ez különösen problematikus annak fényében, hogy a regisztráció az egyetlen belépési pont volt a Programba.
A Hatóság azt is kifogásolta, hogy a rendelkezésre álló dokumentumok nyelvezete és szerkezete nem volt kellően közérthető egy átlagos felhasználó számára. Bár a GYIK alkalmazása önmagában jó gyakorlatnak tekinthető, annak tartalma hiányos volt, sőt egyes pontokon kifejezetten félrevezető.
Összességében tehát nem csupán arról volt szó, hogy a tájékoztatás nehezen volt megtalálható, hanem arról is, hogy az nem felelt meg a tömörség, érthetőség és egyértelműség követelményeinek sem. A Hatóság ezért megállapította, hogy a Kötelezett megsértette a GDPR 12. cikk (1) bekezdését, mivel nem biztosította az érintettek számára a megfelelően hozzáférhető és érthető adatkezelési tájékoztatást.
III.5 Az adatkezelés biztonsága tárgyában 2021. december 10. és 2023. november 30. között:
A Hatóság megállapítása szerint a Kötelezett a Programhoz kapcsolódó adatkezelés során nem alakított ki olyan, a kockázatokkal arányos technikai és szervezési intézkedésrendszert, amely ténylegesen biztosította volna, hogy a személyes adatokhoz hozzáférő személyek kizárólag az adatkezelő utasításai szerint járjanak el. Ez különösen súlyos annak fényében, hogy az Adatbázisban nagy tömegben, több mint 100 ezer érintett vonatkozásában szerepeltek személyes adatok, és egy időszakban az ellenőrzésre váró regisztrációkhoz kapcsolódó okmánymásolatok is elérhetők voltak.
A Kötelezett elsősorban adminisztratív szabályokra és a felhasználók jogkövető magatartására épített, miközben a tényleges technikai korlátozásokat nem vezette be megfelelően. A helyszíni szemle során ugyanis a Hatóság kifejezetten azt rögzítette, hogy nem volt olyan intézkedés, amely megakadályozta volna, hogy a hozzáféréssel rendelkező személyek a böngészőből az okmánymásolatokat a saját eszközükre lementsék, vagy azokról képernyőképet készítsenek. Másként fogalmazva: a rendszer nem zárta ki technikailag a másolás, lementés vagy kifényképezés lehetőségét, noha éppen ezek az adatok (személyazonosító okmányok másolatai) hordozzák az egyik legmagasabb adatvédelmi kockázatot.
A Kötelezett utóbb arra hivatkozott, hogy a munkavállalókat titoktartási kötelezettség terhelte, illetve belső útmutatások tiltották a másolatkészítést és adatmentést. A Hatóság azonban rámutatott: ezek a dokumentumok részben utólagosan becsatolt, bizonytalan keletkezésű iratok voltak, és egyébként is elsősorban a munkavállalókra vonatkoztak. A rendszerhez azonban nemcsak munkavállalók, hanem eseti közreműködők és adatfeldolgozói oldalon eljáró személyek is hozzáférhettek, akikre ezek az utasítások nem feltétlenül terjedtek ki (például a bevont önkormányzatok munkatársai).
További problémát jelentett a hozzáférés-kezelés hiányossága. Az adminisztrációs felület az internet felől általánosan elérhető volt, a belépéshez csak egyfaktoros azonosítás kellett, és a Hatóság szerint nem volt megfelelően igazolható az sem, hogy a korábban közreműködő személyek jogosultságait időben visszavonták volna.
A döntés lényeg tehát az, hogy az adatkezelőnek olyan valós technikai kontrollokat kell működtetnie, amelyek ténylegesen csökkentik a jogosulatlan másolás, mentés és hozzáférés kockázatát. A Hatóság ezért arra jutott, hogy a GDPR 32. cikk (4) bekezdésében foglalt biztonsági követelmény sérült, még akkor is, ha bizonyított adatvédelmi incidensre végül nem derült fény.
III.6 Az okmánymásolatokkal kapcsolatos korlátozott tárolhatóság tárgyában 2021. december 10. és 2023. november 30. között:
A Hatóság a döntés ezen részében azt vizsgálta, hogy a Kötelezett az okmánymásolatokat meddig tárolta, és e gyakorlat megfelelt-e a GDPR 5. cikk (1) bekezdés e) pontjában rögzített korlátozott tárolhatóság elvének. Ez az elv azt követeli meg, hogy személyes adatokat csak addig lehessen megőrizni, ameddig az adatkezelési cél ezt valóban indokolja.
A Hatóság szerint már az alapvető tájékoztatás szintjén is bizonytalanság állt fenn. Sem a Tájékoztató, sem az ESZF nem adott világos és pontos információt arról, hogy az okmánymásolatokat meddig őrzik meg. A Kötelezett ugyan az eljárás során arra hivatkozott, hogy az okmánymásolatokat csak az adatok ellenőrzéséig kezeli, és legfeljebb rendszeres (legkésőbb 180 naponta) törlést hajt végre, a helyszíni szemle ennek ellentmondó gyakorlatot tárt fel.
A szemle során ugyanis a Hatóság azt állapította meg, hogy az okmánymásolatok törlése nem automatizált módon, hanem jellemzően havi rendszerességgel, manuálisan történt. Ennél is súlyosabb, hogy az adatbázisban 2023 őszén olyan okmánymásolatok is elérhetők voltak, amelyek 2022 nyarán kerültek feltöltésre. A Hatóság külön lekérdezése alapján 374 olyan rekord maradt a rendszerben, ahol 2023. szeptember 1. előtti regisztrációhoz kapcsolódóan még mindig tároltak személyi igazolvány- és lakcímkártya-másolatot. Ezek közül egyes esetekben a LED-ek átadása is megtörtént, vagyis az adatkezelési cél addigra már nyilvánvalóan lezárult.
A Kötelezett utóbb azzal érvelt, hogy részben adathibák, részben a jóváhagyási folyamat elhúzódása miatt maradtak bent ezek az adatok, és a szemlét követően a vitatott rekordokat törölték. A Hatóság azonban helyesen mutatott rá: az utólagos törlés nem teszi jogszerűvé a korábbi határidőn túli tárolást, hiszen már megtörtént a jogsértés azzal, hogy az adatokat nem törölték időben.
A döntés üzenete tehát az, hogy a megőrzési időre nem elegendő elvi szabályt alkotni. Az adatkezelőnek olyan működő, következetes és ellenőrizhető törlési rendszert kell kialakítania, amely ténylegesen biztosítja, hogy az okmánymásolatok a cél megszűnését követően haladéktalanul kikerüljenek a rendszerből. Ennek hiányában a korlátozott tárolhatóság elve sérül.
III.7 Az új Adatkezelési Tájékoztató és ESZF tárgyában 2023. december 1-től a bizonyítási eljárás lezárásáig terjedő időszak vonatkozásában
A Hatóság már a 2023. december 1-jétől alkalmazott új dokumentumokat értékelte. Vagyis itt nem arról volt szó, hogy a Kötelezett egyáltalán nem próbálta rendezni a tájékoztatását: az előző időszakhoz képest új ESZF-et és új Adatkezelési Tájékoztatót vezetett be. A jogsértés azonban e módosítások után sem szűnt meg teljesen.
A Hatóság azt állapította meg, hogy az új tájékoztatás már rendezettebb formában írta le a szerződés előkészítéséhez és az energiahatékonysági megállapodás megkötéséhez kapcsolódó adatkezelést, azonban több lényeges ponton továbbra is hibás maradt. Az új tájékoztató e körben főként a GDPR 6. cikk (1) bekezdés b) pontjára, vagyis a szerződés teljesítéséhez szükséges adatkezelésre hivatkozott, illetve egyes esetekben a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdeket jelölt meg. A Hatóság szerint ugyanakkor bizonyos adatkezelések valójában jogi kötelezettségen alapultak, ezért a megfelelő jogalap a GDPR 6. cikk (1) bekezdés c) pontja lett volna.
Ez különösen a dokumentumok megőrzési idejénél volt jelentős. A tájékoztatás szerint a Kötelezett a személyes adatokat ebből a célból az energiahatékonysági megállapodás megkötésétől annak megszűnéséig kezeli, részben auditok, ellenőrzések és jogviták miatt. A Hatóság viszont rámutatott, hogy az irányadó szabályokat nem pontosan jelölték meg, és a tényleges megőrzési kötelezettséget nem megfelelően vezették le. Az energiahatékonyságról szóló 2015. évi LVII törvény 15/A. § (9) bekezdése alapján a Kötelezettet a dokumentáció megőrzésére vonatkozó kötelezettség az adott kötelezettségi időszakot követő 5 évig terheli, ami a konkrét ügyben 2035. december 31-ig tartó megőrzést jelenthet a Hatóság szerint.
A Hatóság azt is kifogásolta, hogy az új tájékoztató nem adott teljes képet a személyes adatok kötelező továbbításáról sem. A hitelesítő szervezet, illetve a Magyar Energetikai és Közmű-szabályozási Hivatal felé fennálló, jogszabályon alapuló adattovábbítási kötelezettség nem jelent meg kellő pontossággal a dokumentumban.
IV. Összegzés
A Hatóság a tömérdek jogsértés ellenére enyhítő körülménynek vette azt, hogy a Programban való részvétel az érintettek részére és az adatkezelés a hibáitól függetlenül előnyökkel járt, például, hogy a Kötelezett az érintettek számára anyagi értékű juttatást biztosított az elért energia megtakarítással.
Az ügy rámutat viszont arra, hogy a GDPR-megfelelés nem dokumentációs formalitás, hanem működési kérdés. Az adatkezelőknek nemcsak szabályzatokat kell alkotniuk, hanem ténylegesen működő, ellenőrizhető megoldásokat kell kialakítaniuk. Különösen igaz ez nagy tömegű és érzékeny adatok kezelése esetén. A megfelelő intézkedések hiánya súlyos kockázatot jelent.
A cikk a NAIH-19-18/2024 számú ügy határozata alapján készült.
Kérdése merült fel, vagy szeretné elkerülni a hasonló kockázatokat az adatvédelem területén?
Forduljon hozzánk bizalommal – segítünk az adatkezelési gyakorlat felülvizsgálatában és a GDPR-megfelelés kialakításában.
Telefonszám: +36 30 648 5521
E-mail: dmp@dmp.hu
Dr. Miklós Péter, adatvédelmi ügyvéd
Dr. Varga Benedek
2026.04.01.