I. Bevezetés
Bizonyosan sokaknál realizálódott az a félelem, hogy ha a bankszámlájára készpénz befizetését kísérli meg egy ATM-en keresztül, az automata meghibásodik, a készpénzt elnyeli és a bankszámlán nem jelenik meg a befizetni kívánt összeg. Sajnos sokak esetében előfordult már, hogy ez a félelem valósággá vált. Ilyenkor egyből az ügyfélszolgálat felkeresése és a kamerafelvételek kikérése juthat az ember eszébe.
Mi történik azonban akkor, ha az automata nem a bankfiókban van, hanem annak külső helyiségében, míg az ügyfeleket megillető jogokról szóló adatvédelmi tájékoztató a bank belső ügyfélterében érhető el, ezért az ügyfél nyitvatartási időn kívül nem tud megfelelően tájékozódni a megtehető lépésekről? Egy ilyen eset miatt rótt ki 60 milliós bírságot egy bankra a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) a GDPR 13. cikk (1) és (2) bekezdése alapján a tájékoztatási kötelezettség megsértéséért.
II. Kérelem a tájékoztatási kötelezettség kapcsán
A Kérelmező (a továbbiakban „a bank ügyfele vagy ügyfél”) magánszemély, aki készpénz befizetését kísérelte meg a bankszámlájára. Miután az automata meghibásodása miatt ez sikertelen volt, panaszt tett a bank ügyfélszolgálatán, majd kérelmével a NAIH-hoz fordult. A bank ügyfele kifogásolta ugyanis, hogy a bankfiók bejárati ajtaján kihelyezett piktogram szerint a kamerákra vonatkozó adatkezelési tájékoztatót a bankfiók ügyfélterében lehet csak megtekinteni, azonban az eset idején a bankfiók már zárva volt, azaz a tájékoztatót, és abból az adatvédelmi tisztviselő elérhetőségét nem volt lehetősége megismerni. Emellett a bank honlapján sem talált adatkezelési tájékoztatót. Ezért a Bank ügyfele kérte a NAIH-ot, hogy állapítsa meg a GDPR 13. cikk (1) és (2) bekezdésének a Kérelmezett (a továbbiakban „Bank”) általi megsértését.
III. Kamerás adatkezelésről szóló tájékoztatás elhelyezése
A Bank megerősítette, hogy a korábbi gyakorlata szerint az ügyfél által előadott módon, a bejárati ajtón kihelyezett piktogrammal tájékoztatta ügyfeleit a kamerás adatkezelésről, míg az adatkezeléssel kapcsolatos további tájékoztatás csak a belső várakozó zónában volt elérhető. A NAIH eljárásának hatására a Bank felülvizsgálta korábbi gyakorlatát, és egy új, az Európai Adatvédelmi Testület iránymutatása (a továbbiakban: Iránymutatás) szerinti első és második szintű tájékoztatási formát alakított ki. Az első szintű tájékoztatás egy terjedelmében rövidebb, a legfontosabb információkkal ellátott dokumentum, pl. az adatkezelés céljáról, jogos érdekekről, az adatvédelmi tisztviselő elérhetőségeiről, utalásról a második tájékoztatásra és elérhetőségének helyére és módjára stb., mely a bankfiókok bejárati ajtajára került ki, míg a második szintű tájékoztatás az ügyéltérben, az eddigivel megegyező helyen papíralapon, továbbá a Bank honlapján elektronikusan került közzétételre.
IV. Döntés – Az érintettek helyes tájékoztatása a kamerarendszer útján megvalósuló adatkezelésről
A Bank nyilatkozata szerint a kamerarendszerrel kapcsolatos adatkezeléssel összefüggésben az összes bankfiókjában egységes gyakorlatot alkalmazott, így a Hatóság tekintettel volt arra, hogy országszerte, általános jelleggel fordult elő a helytelen tájékoztatási forma. A GDPR 13. cikk (1) és (2) bekezdése szerint a tájékoztatás megadásának időpontja és a személyes adatok adatkezelő általi megszerzésének időpontja meg kell, hogy egyezzen.
A Bank által a bejárati ajtón helyezett kamerás adatkezelésre figyelmeztető piktogram semmilyen konkrét információt nem tartalmazott az adatkezelésre vonatkozóan, abból sem az adatkezelő kiléte, sem az adatvédelmi tisztviselő elérhetősége, sem az adatkezelés célja, jogalapja, nem volt megismerhető, azaz a Bank nem teljesítette az Iránymutatás szerinti első szintű tájékoztatás követelményeit. Mivel a várakozási zóna a Bank ügyféltere, azaz az a terület, ahova az érintettek nyitvatartási időn kívül nem tudnak belépni, a bankfiókok nyitvatartási idején kívül az érintetteknek nem volt lehetőségük hozzáférni a releváns információkat tartalmazó tájékoztatóhoz
Ezek alapján a NAIH megállapította, hogy a Bank megsértette a GDPR 13. cikk (1)-(2) bekezdését, mert nem tette az érintettek számára hozzáférhetővé a kamerás adatkezelésről szóló tájékoztatóját a bankfiókok nyitvatartási idején kívül.
V. A bírság a tájékoztatási kötelezettség megsértése miatt
A NAIH megállapította, hogy a Bank több ponton megsértette a GDPR-t. Bírságot viszont csak a GDPR 13. cikk (1)-(2) bekezdéseinek megsértéséért szabott ki. A megállapított jogsértést a Bank Magyarország területén kifejtett tevékenysége teljes körében követte el, az minden ATM-mel rendelkező bankfiókját érintette, ezért a NAIH a jogsértést nem kizárólag a Bank ügyfele vonatkozásában állapította meg, hanem valamennyi olyan személy vonatkozásában, akik tekintetében a Bank nem tett eleget a tájékoztatási kötelezettségének. A jogsértő állapot fennállása alatt sokan használták az ATM-eket, tehát nagyszámú érintettről van szó, ezért e körülmény súlyosító tényező a bírság mértéke tekintetében, ahogy az is, hogy ez a jogellenes gyakorlat másfél évig fennállt. A NAIH álláspontja szerint a Bank súlyosan gondatlanul járt el amiatt is, hogy csupán az ügyfél panasza alapján észlelte a tájékoztatási gyakorlata jogsértő voltát. A NAIH mindezek alapján 60.000.000 Ft adatvédelmi bírság kiszabása mellett döntött a tájékoztatási kötelezettség megsértése miatt.
VI. Összegzés
Adatkezelési tájékoztató mellett fokozott jelentősége van annak is, hogy hol és milyen formában kerül kihelyezésre. Az első szintű tájékoztatásnak figyelemfelkeltőnek kell lennie és alapvető információkkal kell szolgálnia az érintettek számára, továbbá egyértelmű utalást kell tartalmazzon a második szintű tájékoztatásról. Az első szintű tájékoztatást úgy kell kihelyezni, hogy az épületbe érkező személy a megfigyelt területre való belépés előtt könnyen felismerhesse a megfigyelés körülményeit. A második szintű tájékoztatást is könnyen hozzáférhető helyen kell elhelyezni, például információs pultnál, recepción vagy pénztárnál, továbbá ajánlott a honlapra is feltölteni a könnyebb elérhetőség érdekében, hogy ne merülhessen fel a tájékoztatási kötelezettség megsértésének lehetősége sem.
Ez a cikk a NAIH-688-2/2024. számú határozat alapján készült.
Az eset kapcsán felmerült az adatvédelmi tisztviselő elérhetőségével kapcsolatos érdekes kérdéskör is, melyet az alábbiakban ismertetünk.
Az adatvédelmi tisztviselő elérhetősége
A fenti ügyben az ügyfél, a NAIH felé benyújtott kérelmében azt is sérelmezte, hogy az adatkezelési tájékoztatóban az adatvédelmi tisztviselő elérhetőségeként egy központi e-mail cím volt megadva, így vélhetően az adatvédelmi panaszokat nem közvetlenül az adatvédelmi tisztviselő vizsgálja, hanem más – az adatvédelmi tisztviselőtől eltérő – személyek is megismerhetik az ügyfél személyes adatait.
A Bank az adatvédelmi tisztviselő elérhetőségeként közzétett „központi e-mail címmel” kapcsolatban előadta, hogy azt a Bank üzemelteti, míg a kezelését ténylegesen a Bank tulajdonában álló cég (a továbbiakban: Panaszkezelő) végzi. A Panaszkezelő megbízása kiterjed többek között panaszkezelési tevékenység folytatására is. Az adatvédelmi kérelemnek minősülő bejelentések az adatvédelmi kérelmek magas száma és összetettsége miatt a Panaszkezelő központi panasz és hibakezelési szervezetének dedikált munkatársaihoz kerülnek továbbításra. Az adatvédelmi kérelmekre a válaszokat ezek a munkavállalók készítik el, az adatvédelmi kérelem típusának megfelelően. Amennyiben az adatvédelmi kérelem tartalma indokolja, a válasz elkészítésébe a Bank és a Panaszkezelő adatvédelmi tisztviselője is bevonásra kerül. A munkafolyamatok végzésébe bevont munkavállalók munkaszerződésük alapján jogosultak a személyes adatokhoz hozzáférni és azokat kezelni a GDPR előírásainak betartása mellett azzal, hogy munkaviszonyuk kapcsán titoktartásra kötelezettek. Az adatvédelmi kérelmeket tehát az arra kijelölt szervezetben dolgozó munkavállalók kezelik, a folyamatok feletti szakmai kontrollt pedig az adatvédelmi tisztviselő gyakorolja.
Az adatvédelmi tisztviselő feladatai a panaszkezelés körében
A GDPR az adatvédelmi tisztviselő elérhetőségével összefüggésben nem tartalmaz részletes rendelkezést. Az adatvédelmi tisztviselőkkel kapcsolatos iránymutatás szerint az adatvédelmi tisztviselő elérhetőségének olyan információkat kell tartalmaznia, amelyek révén az érintettek könnyen el tudják érni az adatvédelmi tisztviselőt. A NAIH rögzítette, hogy a GDPR 39. cikke határozza meg az adatvédelmi tisztviselő minimum feladatait, amelyek között azonban nem szerepel az érintetti kérelmek közvetlen kezelése, megválaszolása, – azaz, bár érthető az igény az érintettek részéről, hogy a kérelmükkel közvetlenül az adatvédelmi tisztviselő foglalkozzon, az adatkezelő ezt nem köteles biztosítani, erre irányuló a GDPR-ból fakadó kötelezettsége nincs. A fenti esetben az ügyfél kérelmének a Bank eleget tett, annak teljesítését nem befolyásolta, hogy azt nem tudta közvetlenül az adatvédelmi tisztviselő részére eljuttatni, ebből kifolyólag a NAIH a Bankfiók adatvédelmi tisztviselője elérhetőségének közzététele kapcsán jogsértést nem állapított meg.
Olvassa el DPO cikksorozatunkat:
Az adatvédelmi tisztviselőre vonatkozó szabályozás és a pozíció jelentősége
Az adatvédelmi tisztviselő kijelölése
Ki lehet adatvédelmi tisztviselő?
Az adatvédelmi tisztviselő státusza, feladatai
Az adatvédelmi tisztviselő feladatai
Amennyiben adatvédelem területén adatvédelmi ügyvéd segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu