A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) az Amplifon-ügyben, illetve a Magyar Éremkibocsátó-ügyben direkt marketing tevékenységet folytató adatkezelők jogellenes adatkezelése kapcsán hozott határozatában megállapított magas összegű -Amplifon-ügyben: 80 millió Ft; a Magyar Éremkibocsátó-ügyben:30 millió Ft – adatvédelmi bírság kiszabását az alább kifejtett körülmények alapozták meg.
Tényállás:
I. Amplifon-ügy:
A Hatósághoz több bejelentés érkezett, melyben a bejelentők azt kifogásolták, hogy a Kötelezett postai úton értesítést – szűrővizsgálatra történő invitálást – küldött részükre annak ellenére, hogy ahhoz korábban nem járultak hozzá. A bejelentések kivizsgálása érdekében a Hatóság elsőként hivatalból hatósági ellenőrzést, majd hivatalból adatvédelmi hatósági eljárást indított. Az Amplifon a kezelt adatokhoz a Belügyminisztériumhoz intézett adatszolgáltatási kérelmének (továbbiakban: BM) teljesítése útján jutott hozzá. Eleinte a kérelmekben igényelt adatokat közvetlen üzletszerzés céljából történő kapcsolatfelvétel indokával kívánta kikérni az Amplifon. A későbbi adatszolgáltatás iránti kérelmeiben az adatszolgáltatásra piackutatás céljából történő kapcsolatfelvétel és kapcsolattartás alapján tartott igényt, feltehetőleg, annak hatására, hogy a megváltozott jogszabályi előírásokra tekintettel, továbbra is lehetőségében álljon az adatkezelés céljának módosítása által további adatszolgáltatásban részesülni. A BM az Amplifon által megjelölt piackutatási célból engedélyezte, hogy 6 hónapig a polgárok személyi adatainak és lakcímének nyilvántartásából rendszeres csoportos adatszolgáltatást vegyen igénybe, valamint, hogy azokat az utóbbi céllal felhasználja. A Hatóság által vizsgált időszakban az Amplifon 9 alkalommal fordult adatszolgáltatási kérelemmel a BM-hez, melyek keretében alkalmanként átlagosan 3-400.000 érintett adataihoz jutott hozzá, 2021 májusában pedig több, mint fél millió érintett személyes adatait tárolta. Az érintettek körét egy meghatározott korosztályba tartozó személyek csoportja adta, akik potenciálisan igényt tarthattak a hallásgondozással kapcsolatos szolgáltatásokra, azok kivételével, akik azonosítható módon külön kérték az adatbázisból történő törlésüket. Az Amplifon álláspontja szerint az érintettek önkéntes hozzájárulása biztosított számára az adatkezeléshez szükséges jogalapot, mivel az érintettek az adatkezelésre vonatkozó hozzájárulásukat bármikor visszavonhatták. Az érintetti joggyakorlás elősegítése érdekében az Amplifon az érintetti joggyakorlás kérelmeket a beérkezéstől számított 25 napos ügyintézési határidőn belül intézte. Az Amplifon véleménye szerint az adatkezeléssel kapcsolatos tájékoztatót megfelelő formában, tartalommal és módon közölte az érintettekkel, ezáltal elősegítve számukra, hogy kielégítően gyakorolhassák érintetti jogaikat, ám a Hatóság felhívta az Amplifon figyelmét arra, hogy ugyanazon területen azonos időpontban eltérő tartalommal bíró tájékoztatókat bocsátottak az érintettek számára. Az adatok tárolásával kapcsolatban az Amplifon kifejtette, hogy a BM-től kapott személyes adatokat egy Excel táblázatban tartják nyilván. Az adatszolgáltatás után az Amplifon a kapott táblázatot összevetette a korábbi adatigénylések alapján folytatott megkeresésekkel összefüggő érintettek adatbázisból történő törlésre vonatkozó nyilvántartásával, hogy további megkereséseket ne küldjön a részükre. A postai úton történő megkeresésre kizárólag ezután került sor. Amennyiben a megkeresés hatására az érintettek éltek az ingyenes hallásvizsgálat lehetőségével, adataikat átsorolták egy szélesebb körű adatbázisba, a BM által megküldött 6 hónapon belül automatikusan törlendő adatbázisból.
II. Magyar Éremkibocsátó-ügy:
A Hatósághoz érkezett bejelentésben a bejelentő azt kifogásolta, hogy Magyar Éremkibocsátónál tett vásárlása során megadott személyes adataival egy felhasználói fiókot regisztráltak, melynek tényéről a Magyar Éremkibocsátó csupán utólag nyújtott tájékoztatást. Az ezt követően 2021. november 26. napján hivatalból megindított adatvédelmi hatósági eljárás folyamán a Hatóság megállapította, hogy a Magyar Éremkibocsátó jogellenesen nem törölte egy érintett személyes adatait, és nem válaszolt az érintett törlési kérelmére. Ezt követően a Magyar Éremkibocsátó törölte az érintett személyes adatait. A Magyar Éremkibocsátó nyilatkozatában kifejtette, hogy az érintett személyes adatait direkt marketing tevékenység céljával kezelte, melynek jogalapjául az érintett általános adatvédelmi rendelet 6. cikk (1) bekezdés a) pontja szerinti hozzájárulását jelölte meg, amely a hozzájárulás visszavonásáig tart. Az érintettek az adatkezeléshez történő hozzájárulásukat postai megrendelések esetén a kupon aláírásával írásban, telefonos megrendelés esetén szóban, online rendelés esetén külön checkbox bejelölésével adták meg. Az érintett személyes adatai közül a korábbi vásárlásának adatait -az érintett nevét, címét, telefonszámát és e-mail címét- tartotta számon a Magyar Éremkibocsátó egy adatfeldolgozó közreműködése segítségével. A Magyar Éremkibocsátó álláspontja szerint az érintettek az adatkezelésről a megrendelés folyamatában, a hozzájárulást megelőzően kaptak tájékoztatást. A Hatóság megállapítása alapján viszont az internetes hirdető platformok -Facebook, Google- adatkezelésével kapcsolatban nem nyújtott a Magyar Éremkibocsátó adatkezelési tájékoztatást, az érintettek hozzájárulását nem kérte adataik kezelésével kapcsolatban.
A Hatóság indoklása
Az Amplifon-ügy, valamint a Magyar Éremkibocsátó-ügy egymáshoz való relevanciáját az adatkezelők jogellenes működése tekintetében fellépő súlyos hiányosságok, valamint a GDPR rendelet rendelkezései megsértésének a hasonló, néhol pontosan megegyező jellege adja. E körben elsőként kiemelendő az adatkezelők tájékoztatási kötelezettségének nem megfelelő teljesítése. Az általános adatvédelmi rendelet 12. cikk (1) bekezdése értelmében az adatkezelő kötelezettsége megfelelő intézkedéseket hozni annak érdekében, hogy az érintettek részére a személyes adatok kezelésére vonatkozó, a 13. és 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa. A tájékoztató tartalmi elemeit az általános adatvédelmi rendelet 14. cikke tartalmazza. A tartalmi elemek az adatkezelésre vonatkozó lényeges információk körét képviselik, azaz többek között az érintetti jogokat és azok érvényesíthetőségének módját és lehetőségét, adatkezelő megnevezését, az adatkezelés céljának és jogalapjának az ismertetését, az adatok forrását. A felsorolt kritériumoknak megfelelő tájékoztatás nyújtása rendkívüli jelentőséggel bír, mivel elengedhetetlen ahhoz, hogy az érintett tudatában lehessen annak, hogy mely személyes adatait, mely adatkezelő milyen célból és hogyan fogja kezelni.
Az érintetti jogok gyakorlása tekintetében nélkülözhetetlen az érintett ilyen módon és részleteiben történő kielégítő informálása. Az általános adatvédelmi rendelet preambulumbekezdése, valamint a 24. cikk (1) bekezdése és 25. cikk (1) bekezdése alapján az adatkezelő az adatkezelésnek az érintettek jogaira jelentett kockázatával arányos elvárásoknak köteles megfelelni. A tárgyalt ügyekkel kapcsolatban jelentős mértékű kockázat merült fel a kiterjedt és számos közreműködő által végzett, nagy számú érintett személyes adatainak közvetlen üzletszerzési célú kezelésével összefüggésben. Emiatt fokozott tájékoztatási elvárás érvényesült az Amplifonnal és a Magyar Éremkibocsátóval szemben. A tájékoztatás jogszerűségével kapcsolatos egyéb kritérium, hogy amennyiben az adatkezelő több kommunikációs csatorna igénybevételével végzi a tevékenységét a tájékoztatót valamennyi csatornán szükséges az érintett rendelkezésére bocsátania.
A tájékoztatással kapcsolatban kiemelendő annak időbeli dimenziója, ugyanis az általános adatvédelmi rendelet 6. cikk (1) bekezdés a) pontjára alapított adatkezelés esetén az általános adatvédelmi rendelet 4. cikk 11. pontja alapján nemcsak az adatkezelés megkezdése, hanem a hozzájárulás megszerzése előtt köteles az adatkezelő olyan tájékoztatást nyújtani, amely alapján tájékozott hozzájárulás adható az érintett részéről. Az általános adatvédelmi rendelet preambulumbekezdése kimondja, hogy az adatkezelőnek előre megfogalmazott hozzájárulási nyilatkozatról kell gondoskodnia, melyet érthető és könnyen hozzáférhető formában kell rendelkezésre bocsátania. A Hatóság kifejezésre juttatta, hogy az elszámoltathatóság elvéből eredően az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatai kezeléséhez hozzájárult. Az elv érvényesülésének biztosítását az is megalapozza, hogy az adatkezelő a későbbiekben bizonyítani tudja a hozzájárulás érvényességéhez szükséges kritériumok meglétét.
Az általános adatvédelmi rendelet 4. cikkének 11. pontja kimondja, hogy az érintett hozzájárulása az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. A Hatóság kiemelte, hogy a 11. pontban szereplő definíció valamennyi fogalmi elemének fenn kell forognia, ahhoz, hogy az adatkezelő a hozzájárulás jogalapjára jogszerűen hivatkozhasson. Az Európai Adatvédelmi Testület hozzájárulásról szóló 5/2020. számú iránymutatása, valamint annak előzményeként kiadott, az Adatvédelmi Irányelv 29. cikke alapján létrehozott Adatvédelmi Munkacsoport hozzájárulásról szóló WP259 számú iránymutatása külön felhívja a figyelmet arra, hogy a szabályszerű hozzájárulás előfeltétele a nyilatkozat vagy a megerősítést félreérthetetlenül kifejező érintetti beleegyező cselekedet.
Ennek megfelelően az érintett hallgatása nem értékelhető megerősítő cselekedetként. Továbbá az a körülmény, hogy az érintett adatai egy közhiteles nyilvántartásban szerepelnek nem tekinthető az érintett akarata konkrét, egyértelmű kinyilvánításának. A jogellenesen szerzett személyes adatok kezelését a későbbiekben nyújtott utólagos tájékoztatás vagy ráutaló magatartás nem teszi jogszerűvé, kivéve, ha a tájékoztatást aktív, kifejezetten csak a hozzájárulás megadását célzó cselekmény követi. Az általános adatvédelmi rendelet 4. cikk 11. cikke és 7. cikk (2) bekezdése, valamint az Európai Adatvédelmi Testület hozzájárulással kapcsolatos 5/2020 Iránymutatásának2 81. bekezdése alapján hozzájárulás nem szerezhető meg ugyanazzal a cselekedettel, mint egy szerződésbe való beleegyezés. A Hatóság megfogalmazása szerint az adatkezeléshez történő érintetti hozzájárulás csak akkor lehet érvényes, ha azt konkrét cél(ok)ra – célonként külön megadhatóan – kérik, és előtte kielégítően tájékoztatták az érintettet, hogy megfelelő döntést tudjon hozni a hozzájárulása megadásával vagy megtagadásával kapcsolatban.
Az általános adatvédelmi rendelet 5. cikk (1) bekezdésének b) pontja foglalja magába a célhoz kötött adatkezelés elvét. A célhoz kötött adatkezelés elvének értelmében a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azokat nem kezelhetik ezekkel a célokkal össze nem egyeztethető módon. A preambulumbekezdésben megfogalmazottak szerint az 5. cikk (1) bekezdésének b) pontjában található fogalmi elemeknek már az adatgyűjtést időpontjában fenn kell forogniuk. A cél kinyilvánítását egyértelműen, nyilvánvalóan, érthető nyelven kell kifejezni az érintettek számára, hogy tisztában legyenek az adatkezelés összes lényeges körülményével, a konkrét célokkal és az azokhoz igazodó adatok körével, továbbá személyes adatuk kezelésének folyamatával. Ezáltal biztosítva, hogy az adatkezelés koherens legyen az általános adatvédelmi rendelet 5. cikk (1) bekezdés a) pontjában meghatározott átláthatóság és tisztességes adatkezelés elvével. Ezen felül az 5. cikk (1) bekezdés c) pontjában kifejtett adattakarékosság elve értelmében a célhoz szükséges adatmennyiség minimumának kezelésére kell törekedni.
Az adatvédelem kapcsán kérdése van? Keressen bizalommal!
Miklós Péter / dmp@dmp.hu / +36306485521
