A GDPR alkalmazandóvá válása óta a NAIH több határozatban vizsgálta a követeléskezelők, engedményesek, bankok, közüzemi szolgáltatók, valamint megbízott behajtók adatkezelési gyakorlatát. Az ügyek közös jellemzője, hogy az érintettek jellemzően régi, vitatott, elévültnek tartott vagy engedményezett követelések miatt fordultak a Hatósághoz, és azt kifogásolták, hogy személyes adataikat jogalap nélkül, túl széles körben, nem megfelelő tájékoztatás mellett vagy érintetti kérelmeik figyelmen kívül hagyásával kezelték.
A NAIH gyakorlata alapján nem az volt a fő kérdés, hogy a követelés polgári jogilag fennáll-e. A Hatóság több ügyben is hangsúlyozta, hogy a követelés jogossága, elévülése, az engedményezés polgári jogi érvényessége, illetve egy végrehajtási vagy bírósági eljárás jogszerűsége főszabály szerint nem adatvédelmi hatósági kérdés. Ezek elbírálása bírósági, illetve adott esetben MNB-hatáskörbe tartozik. A NAIH azt vizsgálta, hogy az adatkezelő a követeléskezelési célú adatkezelést megfelelő GDPR-jogalapra alapította-e, erről átláthatóan tájékoztatta-e az érintettet, csak a szükséges adatokat kezelte-e, és megfelelően reagált-e az érintetti kérelmekre.
I. A leggyakoribb jogsértés: hibás jogalap, különösen a szerződés teljesítésére hivatkozás
A határozatok egyik legfontosabb és visszatérő megállapítása, hogy engedményezett követelés esetén a követeléskezelő főszabály szerint nem hivatkozhat a GDPR 6. cikk (1) bekezdés b) pontjára, vagyis arra, hogy az adatkezelés az érintettel kötött szerződés teljesítéséhez szükséges.
A NAIH több ügyben is rögzítette: engedményezés esetén az eredeti szerződéses jogviszony és a követelés egymástól elválik. Az engedményes már nem az eredeti szerződés teljesítése érdekében jár el, hanem saját vagyoni érdekében, a megszerzett követelés érvényesítése céljából. Ezért a szerződés teljesítése, mint jogalap nem megfelelő.
A Hatóság ezzel párhuzamosan azt is következetesen jelezte, hogy a követeléskezelési célú adatkezelés jogalapja tipikusan a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek lehet. Ez azonban nem automatikus jogalap. Az adatkezelőnek igazolnia kell, hogy fennáll egy konkrét, jogszerű és tényleges érdek; az adatkezelés szükséges e cél eléréséhez; valamint az érintett jogai és érdekei nem élveznek elsőbbséget. Ennek dokumentált érdekmérlegelési tesztben kell megjelennie, és az érintettet erről megfelelően tájékoztatni kell.
II. Elszámoltathatóság és érdekmérlegelés hiánya
A másik visszatérő jogsértés az elszámoltathatóság elvének megsértése volt. Több ügyben a követeléskezelő ugyan hivatkozott jogos érdekre, de nem tudta bemutatni az azt alátámasztó megfelelő érdekmérlegelést. A Hatóság szerint önmagában az, hogy a követeléskezelőnek üzleti vagy vagyoni érdeke fűződik a követelés behajtásához, nem elegendő. A jogos érdeket konkrétan, az adott követelésre és az adott adatkörökre vetítve kell igazolni.
A NAIH több határozatban azt is kifogásolta, ha az adatkezelő ugyanarra az adatkezelésre egyszerre több jogalapot jelölt meg, vagy nem volt egyértelmű, hogy az egyes adatok kezelése mely célhoz és jogalaphoz kapcsolódik. Ez sérti az átláthatóságot és a tisztességes adatkezelés követelményét. A NAIH-3659-2/2021. számú ügyben például a Hatóság kifejezetten kifogásolta, hogy a követeléskezelő több jogalapot is megjelölt ugyanarra az adatkezelésre, miközben nem tette világossá az érintett számára, hogy pontosan melyik adatot milyen célból és milyen jogalapon kezeli.
III. Adattakarékosság: nem minden adat szükséges a követeléskezeléshez
A harmadik jelentős jogsértési kör az adattakarékosság elvéhez kapcsolódik. A Hatóság több ügyben megállapította, hogy a követelés érvényesítéséhez nem feltétlenül szükséges minden, az eredeti szerződésben, igénylőlapon, felkeresési jelentésben vagy ügyfélprofilban szereplő adat további kezelése.
Különösen gyakran jelent meg problémaként a telefonszámok kezelése. A NAIH több ügyben is arra az álláspontra jutott, hogy a telefonszám követeléskezelési célú kezelése nem feltétlenül elengedhetetlen, mivel az írásbeli kapcsolattartás postai úton is biztosítható. A Hatóság ezért jogsértést állapított meg például olyan esetekben, amikor a követeléskezelő a telefonszámot hozzájárulás hiányában, visszavont hozzájárulás ellenére, céges telefonszámként, vagy megfelelő érdekmérlegelés nélkül kezelte.
A NAIH emellett szükségtelennek minősíthette a vagyoni, jövedelmi, háztartási, szociális helyzetre vonatkozó adatokat, pontszámadatokat, régi vagy nem naprakész lakcímeket, okmányazonosítókat, állampolgársági adatokat, illetve e-mail címeket is, ha azok konkrétan nem voltak szükségesek a követelés érvényesítéséhez vagy jogi igény védelméhez.
IV. Érintetti jogok: hiányos válaszok, törlési kérelmek és tiltakozások kezelése
A NAIH gyakorlata alapján a követeléskezelési ügyekben gyakori probléma volt az érintetti kérelmek nem megfelelő kezelése is. Az érintettek sokszor hozzáférést, törlést, helyesbítést kértek, tiltakoztak az adatkezelés ellen, vagy az adatok forrásáról, jogalapjáról, címzettjeiről kértek tájékoztatást. A Hatóság több esetben megállapította, hogy az adatkezelők válaszai hiányosak, ellentmondásosak vagy túl általánosak voltak.
Fontos NAIH-megállapítás, hogy az érintetti joggyakorlás nincs kötelező írásbeli formához kötve. Ha az érintett telefonon tiltakozik vagy törlést kér, azt az adatkezelőnek tartalmilag kell értékelnie, nem utasíthatja el pusztán azért, mert nem írásban érkezett.
A törlési kérelmek kapcsán a Hatóság gyakorlata differenciált. Nem minden adat törölhető automatikusan, mert bizonyos adatok megőrzését számviteli, panaszkezelési, KHR-rel kapcsolatos vagy jogi igényérvényesítési kötelezettség indokolhatja. Ugyanakkor, ha a követeléskezelési cél megszűnt, például jogerős ítélet állapította meg az elévülést, vagy az adatkezelő nem tud elsőbbséget élvező jogos érdeket igazolni, akkor a követeléskezelési célú adatkezelés jogalap nélkülivé válhat.
V. Téves követeléskezelés és pontatlan adatok
A Hatóság több esetben a pontosság elvének sérelmét is megállapította. Ilyen volt például, amikor az érintett nem is volt adós, csak adminisztrációs hiba miatt került a követeléskezelési folyamatba, vagy amikor örökössel szemben indult behajtás annak ellenére, hogy a hagyatéki iratok alapján nem állt fenn helytállási kötelezettség. Ezekben az ügyekben a NAIH azt is kifogásolta, ha az adatkezelő a vitatott adatkezelést nem korlátozta arra az időre, amíg az adatok pontosságát vagy a követeléskezelési cél fennállását ellenőrizte.
Összegzés: mit érdemes ügyféloldalon kiemelni?
A NAIH követeléskezelési gyakorlata alapján a legfontosabb adatvédelmi kockázat a nem megfelelő jogalap-meghatározás. Engedményezett követelésnél a szerződés teljesítésére hivatkozás jellemzően hibás; a megfelelő jogalap többnyire a jogos érdek lehet, de csak dokumentált, konkrét érdekmérlegelés mellett.
Emellett kiemelt kockázat az átláthatatlan tájékoztatás, a túl széles adatkör kezelése (például a telefonszámok indokolatlan használata), a régi vagy pontatlan adatok megőrzése, valamint az érintetti kérelmek formai vagy hiányos kezelése. A NAIH visszatérő üzenete az, hogy a követeléskezelés önmagában legitim cél lehet, de nem ad általános felhatalmazást minden, korábban megszerzett személyes adat korlátlan kezelésére.
Gyakorlati megfelelési szempontból ezért a követeléskezelőknek célszerű követelésenként és adatkezelési célonként áttekinteniük a jogalapokat, frissíteniük az érdekmérlegeléseket, felülvizsgálniuk a kezelt adatköröket, külön kezelniük a jogszabályi megőrzési kötelezettség alapján tárolt adatokat és a követeléskezelési célú adatokat, valamint biztosítaniuk kell, hogy az érintetti kérelmekre adott válaszok személyre szabottak, teljes körűek és határidőben teljesítettek legyenek.
2026.05.13.
Dr. Varga Benedek
Dr. Miklós Péter, adatvédelmi ügyvéd