A Nemzeti Adatvédelmi- és Információszabadság Hatóság (a továbbiakban: NAIH vagy Hatóság) az idei évben ünnepli megalakulásának 10. évfordulóját, ezen alkalomból közzétette a 2021. évi tevékenységéről szóló beszámolóját („A Nemzeti Adatvédelmi és Információszabadság Hatóság Beszámolója a 2021. évi tevékenységéről”, a teljes beszámoló itt elérhető). Jelen cikkünkben a Hatóság által a beszámolóban ismertetett 9 jelentősebb – GDPR hatálya alá tartozó – adatvédelmi ügyet dolgozzuk fel röviden és összefoglaljuk a lényeges tanulságokat, észrevételeinket.

1. Mesterséges intelligencia alkalmazása ügyfélszolgálati hangfelvételek elemzésére (NAIH-7350/2021., NAIH-85/2022.)

Egy banknál az ügyfélszolgálati telefonvonal rögzített, a hívások hanganyagában mesterséges intelligencián alapuló beszédjel-feldolgozás segítségével hangelemző szoftverrel automatikusan elemzésre került a beszélő érzelmi állapota, hangulata, valamint bizonyos kulcsszavak használata. A hangelemző szoftver az elemzett paraméterek alapján listát állított fel a rögzített beszélgetésekről meghatározott szempontok szerint. A bank az adatkezelés célját minőségellenőrzésben, panaszmegelőzésben, az adatkezelés jogalapját pedig az ügyfelek megtartásához, belső működése hatékonyságának növeléséhez fűződő jogos érdekében jelölte meg, a hangelemzésről, ezzel a profilalkotásról, automatikus döntéshozatalról nem tájékoztatta az ügyfeleket adatkezelési tájékoztatójában, így kizárva az adatkezelés elleni tiltakozásra vonatkozó érintetti jogot és megsértette az érintettek tájékoztatásának GDPR-ban rögzített követelményét. A bank továbbá nem készített megfelelő érdekmérlegelési tesztet sem, csak azt állapította meg, hogy az általa elérni kívánt jogosnak megjelölt érdeke érvényesítéséhez szükséges az adatkezelés, az arányosságot, az érintetti oldalt ténylegesen nem vizsgálta. A Hatóság szankcióként ezen felül 250 millió Ft adatvédelmi bírságot szabott ki a bankra.

Észrevételek, tanulságok az ügy kapcsán:
A mesterséges intelligencia a jellemzően emberi közreműködést nem igénylő, vagy rendkívül korlátozott mértékű emberi közreműködést igénylő működési elvéből adódóan kiemelt adatvédelmi kockázatok merülnek fel, ezért mesterséges intelligencián alapuló adatkezelés bevezetése előtt az adatkezelőknek feltétlenül konzultálnia kell a kijelölt adatvédelmi tisztviselővel (DPO), vagy a Hatósággal. A jogos érdek jogalappal összefüggésben fontos hangsúlyozni, hogy az nem arra szolgál, hogy egyéb lehetőség hiányában az adatkezelő bármilyen indokkal az egyéb jogalapok alkalmazhatóságának hiányában kezeljen személyes adatokat.

2. Civil szervezet adománygyűjtő tevékenységével összefüggésben végzett adatkezelés jogszerűsége: lehetséges jogalapok, tájékoztatási kötelezettség (NAIH-3211/2021.)

Egy alapítvány egyrészt adománygyűjtés céljából keresett meg olyan személyeket, akik potenciálisan adományt nyújthatnak részére. Az adatkezelés jogalapjaként a GDPR 6. cikk (1) bekezdés e) pontját – azaz, hogy az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges -, valamint a civil szervezetek gazdálkodása, az adománygyűjtés és a közhasznúság egyes kérdéseiről szóló 350/2011. (XII. 30.) Korm. rendeletet jelölte meg. Az alapítvány a csekkbefizetést követő 3 hónap elteltével újabb postai tájékoztató levelet küldött az adományozóknak, amennyiben azok korábban nem kérték személyes adataik törlését. A támogatók toborzása céljából történő adatkezelés jogalapjaként az alapítvány a GDPR 6. cikk (1) bekezdés e) pontja szerinti jogalapot jelölte meg, mellette pedig kiemelte, hogy az adatkezeléshez ezáltal az alapítványnak jogos érdeke fűződik. Az alapítvány adatkezelési tájékoztatójában az adatkezelés jogalapjaként az érintettek hozzájárulását jelölte meg. Az alapítvány azonban olyan jogszabályi rendelkezést, amely részére a közfeladat ellátását előírta, nem jelölt meg, az általa hivatkozott jogszabály ugyanis ilyen feladatot nem ír elő, továbbá az alapítvány az érintettek adatkezeléshez történő hozzájárulását sem igazolta. A Hatóság megállapítása szerint az alapítvány az érintettek adományozást követően történő megkeresése céljából érvényes jogalap nélkül kezelte a részére korábban adományt fizetők személyes adatait, mivel a hozzájárulásnak hiányoztak az érvényességéhez szükséges tartalmi elemei.

Észrevételek, tanulságok az ügy kapcsán:
Az adatkezelés jogszerűsége akkor állapítható meg, ha az adatkezelő a személyes adatok valamennyi adatkezelési célból történő kezeléséhez érvényes jogalappal rendelkezik, továbbá, ha az érintett megfelelő tájékoztatást és döntési lehetőséget kapott arra vonatkozóan, hogy a megadott személyes adatait milyen adatkezelési célból fogják kezelni. Az érintetti hozzájárulás beszerzésére vonatkozóan érvényesül az elszámoltathatóság elve, azaz az adatkezelőnek képesnek kell lennie igazolni, hogy az érintett hozzájárulásának beszerzése megfelelően, érvényesen megtörtént.

3. Jogos érdekre alapított ügyfél-elégedettség mérés (NAIH-2857/2021)

Miután a kérelmező a kérelmezettnél, mint szakszerviznél megvizsgáltatta/szervizeltette a gépkocsiját, kérelmezett kérésére megadta a kérelmezettnek az e-mail címét. Ezen e-mail címre kapott a kérelmezettől egy elégedettségmérésre irányuló e-mailt, amely alapján véleményt is nyilvánított. Ezen e-mail címre ezt követően kéretlen e-mailt kapott azzal a kéréssel, hogy a fentiekkel kapcsolatban töltsön ki egy elégedettségi kérdőívet, majd egy újabb e-mailt, melyben a válaszadás hiánya miatt ismét felkérték a kérdőív kitöltésére. Az e-mailek nem a kérelmezettől, hanem egy kérelmező által nem azonosítható harmadik személy feladótól jöttek. Az adattovábbításhoz a kérelmező hozzájárulását nem kérték, erről tájékoztatást nem kapott. A NAIH vizsgálata során feltárt tényállás szerint a kérdéses e-maileket a kérelmezettel szerződéses viszonyban álló importőr küldte egy adatfeldolgozóján keresztül, a kérdéses e-mail tekintetében tehát nem a kérelmezett, hanem az importőr volt az adatkezelő. Az importőr nem tudta alátámasztani, hogy a megjelölt elégedettségmérés és panaszkezelés célokhoz milyen módon kapcsolódnak az általa kezelt adatok. Az ügyben ötmillió forint összegben adatvédelmi bírság került kiszabásra.

Észrevételek, tanulságok az ügy kapcsán:
Az adatkezelés célja tekintetében szükségtelen jellegű és mennyiségű személyes adat kezelése sérti az adattakarékosság elvét, emellett nem támasztható alá az adatkezelés jogszerűsége és a GDPR 6. cikk (1) bekezdés f) pontja szerinti, adatkezelői jogos érdek mint az adatkezelés jogalapja, mivel a szükségtelenül, aránytalanul sok és az adatkezelési cél megvalósításához nem szükséges, valamint arra nem alkalmas személyes adatok kezelése az érintettek jogaira és szabadságaira nézve aránytalan magánszférába való beavatkozást és kockázatot jelent. Az adott adatkezelés céljának eléréshez nélkülözhetetlen személyes adatokon felüli és a nem kellően alátámasztott, valamint nem igazolható adatkezelői jogos érdek alapján folytatott adatkezelés jogsértő és adatvédelmi bírság kiszabását vonhatja maga után.

4. Társasházi kamerarendszerrel kapcsolatos adatkezelés (NAIH-5896/2021., előzmény ügyszámok: NAIH/2019/3200., NAIH/2020/1000.)

A határozat fontos megállapítása az adatkezelés jogalapját érinti. A társasház a kamerarendszerrel összefüggő adatkezelés jogalapjaként a társasházi törvény 25. §-ára – a kamerák létesítésére irányuló döntéshez szükséges szavazatszám – hivatkozott. A Hatóság ezzel azonban nem értett egyet, mivel álláspontja szerint az adatkezelés jogalapja a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek jogalapja lehet. Ennek oka, hogy a társasház, mint adatkezelő és az összes tulajdoni hányad szerinti legalább kétharmaddal rendelkező tulajdonostárs érdeke adott esetben – a szavazás eredményét figyelembe véve – megelőzi azon tulajdonostársak személyes adatok védelméhez fűződő jogát, akik nem szavazták meg a kamerarendszert. Ezen kívül tekintettel arra, hogy a vizsgált ügyben a társasház egyes kamerái közterületet is megfigyeltek és a társasház nem alkalmazott közterületet kitakaró megoldásokat, a Hatóság megállapította, hogy a társasház jogalap nélkül üzemeltetett közterületet megfigyelő kamerákat. A Hatóság a jogsértések miatt elmarasztalta a társasházat és utasította arra, hogy amennyiben adatkezelését folytatni kívánja a kamerás megfigyeléssel összefüggésben, azt tegye jogszerűvé, alapozza megfelelő jogalapra, az ahhoz szükséges érdekmérlegelést elvégezve, megfelelve a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogalap követelményeinek, emellett ne üzemeltessen közterületet figyelő kamerákat, vagyis szüntesse meg ezen kamerákkal összefüggésben az adatkezelést, vagy módosítsa a kamerák látószögét.

Észrevételek, tanulságok az ügy kapcsán:
Megfelelő technikai vagy szervezési intézkedések, például a megfigyelés céljának szempontjából nem releváns terület kitakarásának alkalmazása mellett az adatkezelő jogosult kiterjeszteni a kamerás megfigyelést a saját tulajdonú terület közvetlen környezetére is. Ugyanakkor abban az esetben, ha az adatkezelő nem alkalmaz közterületet kitakaró megoldásokat, vagy aki célirányosan a közterületet megfigyelő kamerarendszert üzemeltet, alkalmaznia kell a GDPR adatkezelők számára meghatározott valamennyi előírását, megfelelő jogalapra kell alapoznia adatkezelését.

5. Hangfelvétel jogellenes hozzáférhetővé tétele – kiskorú érintett személyes és különleges személyes adatainak jogellenes kezelése (NAIH-1743/2021)

Egy óvodában titokban, a hangfelvételen megnevezett gyermek szülőjének hozzájárulása nélkül készítettek, majd egy Facebook csoportban közzétettek egy felvételt egy beszélgetésről, amelyen az óvodai csoportba járó egyik gyermek személyes és különleges adatainak minősülő egészségi állapotára vonatkozó információk hangzottak el. A felvétel a Messenger csoportból eltávolításra, további három személynek azonban e-mailen megküldésre került. A felvétel készítője szerint a felvétel készítésének oka az volt, hogy később nehezen felidézhető szakmai információk is elhangzottak, a felvétel közzétételének célja pedig a többi szülő tájékoztatása volt arról, hogy egy betegséggel küzdő gyermek jár a csoportja és e tájékoztatás a gyermek érdeke. A Hatóság döntésében azonban megállapította, hogy a felvétel megosztása tekintetében a kérelmezett által megjelölt cél nem tekinthető a GDPR szerinti jogszerű célnak, továbbá a felvétel megosztásával végzett adatkezelés jogalap nélkül történt. A Hatóság a felvétel készítőjét a jogsértések miatt figyelmeztetésben részesítette.

Észrevételek, tanulságok az ügy kapcsán:
A GDPR fokozott védelemben részesíti a személyes adatok különleges kategóriáiba tartozó adatokat, emellett a gyermekek, mint érintettek személyes adatait is. Ilyen személyes adatok kezelése során ennek megfelelően fokozott körültekintéssel kell eljárnia az adatkezelőknek. Ezen kívül az érintett hozzájárulása, előzetes tájékoztatása nélkül hangfelvétel készítése és annak nyilvánosságra hozatala alapvetően jogellenes, amennyiben az nem szolgál közérdeket vagy létfontosságú érdekek védelmét.

6. Kiskorú személyes és különleges személyes adatának megjelenítése a médiában (NAIH-68/2021., előzmény: NAIH-6450/2020.)

A kérelmező, fiatalkorú gyermek törvényes képviselője útján egy országos kereskedelmi tévécsatorna egyik riportjával kapcsolatban fordult a Hatósághoz. E híradásban bemutatták az utcát, a házat, annak leégett tetőszerkezetét, részletezték, hogy a sérült fiatal életveszélyes egészségi állapotban van, és közölték a fiú keresztnevét. A Hatóság az eljárásban megállapította, hogy a riport az összes elhangzott információval együttesen és összességében alkalmas volt arra, hogy azt végig nézve egyes nézők számára az érintett azonosítható legyen. Az azonosítható érintettről egészségügy adatokat nyilvánosságra hozni azonban az adatkezelőnek nem volt sem megfelelő célja, sem jogalapja. A Hatóság ötmillió forint adatvédelmi bírságot szabott ki, és elrendelte az adatok törlését.

Észrevételek, tanulságok az ügy kapcsán:
Az ügyben ismertetett adatkezelésnek nem volt jogszerű jogalapja, mert az adatkezelő által hivatkozott, az újságírásra, mint közérdekű tevékenységre való hivatkozás általánosságban nem fogadható el az adatkezelés jogalapjaként a Hatóság álláspontja szerint, és több bírósági ítélet is megerősítette, hogy az ilyen adatkezelések jogalapja az adatkezelő jogos érdeke.

7. Az érintett hozzáférési jogának tartalma igazságügyi szakértői vizsgálat során keletkezett adatokat illetően (NIAH-7689/2020; előzmény: 2658/2021)

A panaszos kirendelt igazságügyi szakértői vizsgálaton vett részt, amelyet követően kérte a szakértőt a vizsgálat során keletkezett, általa megadott minden adat másolatának, valamint a szakértőnek a tesztek kiértékelésével kapcsolatban keletkezett szakmai adata másolatának biztosítására. A Hatóság a GDPR, a szakértői törvény, az Alaptörvény, és a szakértőkre vonatkozó szakmai szabályok elemzésével levezette, hogy a szakértői függetlenség, a kirendeléssel érintett eljárás egyéb szereplőinek érdeke, illetve a megismerni kívánt adatokon fennálló egyéb érintetti jogok (helyesbítés, törlés) kizártsága miatt a hozzáférési jog ezen adatokra nem gyakorolható. Az érintett az általa megadott adatokon és az elkészült szakvélemény tartalmán felül, a szakvéleményben fel nem tüntetett, a szakértő szakmai munkája során keletkezett mutatók, jelölések, egyéb szakanyagok megismerésére nem jogosult, így ezen adatok másolatának kiadását a Hatóság nem rendelte el.

Észrevételek, tanulságok a fenti ügy kapcsán:
A GDPR elveivel, eszmerendszerével és a hatályos hazai jogszabályokkal nem összeegyeztethető, hogy az érintett hozzáférési kérelmét a jogszabályi előírásokat kijátszva a szakértői munka ellenőrzésére, akár a későbbi szakvélemény eredményének befolyásolása érdekében nyújtja be.

8. Hozzáférés kiskorú pszichiátriai kezelésére vonatkozó egészségügyi adatokhoz, a hozzáférési jog korlátai (NAIH-1612/2020; előzmény: NAIH-103/2021)

Egy kiskorú gyermek pszichiátriai kezelésének teljes anyagát kívánta megismerni a gyermek törvényes képviselőjeként eljáró anya. Az egészségügyi szolgáltató a másolat kiadását megtagadta az egészségügyről szóló 1997. évi CLIV. törvény 193. §-ára való hivatkozással, amely értelmében „a pszichiátriai beteg esetében kivételesen korlátozható a betegnek az egészségügyi dokumentáció megismeréséhez való joga, ha alapos okkal feltételezhető, hogy a beteg gyógyulását nagymértékben veszélyeztetné, vagy más személy személyiségi jogait sértené az egészségügyi dokumentáció megismerése”. A Hatóság az adatkezelőt arra kötelezte, hogy tételesen, a gyermekről kezelt minden dokumentum vonatkozásában vizsgálja meg, hogy fennállnak-e az adatok kiadásának feltételei.

Észrevételek, tanulságok az ügy kapcsán:
Jogszabályban biztosított felhatalmazás alkalmazása a hozzáférési jog teljesítésének megtagadása során nem lehet parttalan, nem ad lehetőséget a jogkorlátozás részletes vizsgálat nélküli elrendelésére a teljes dokumentációra vonatkozóan. Az adatkezelőnek nincs jogosultsága arra, hogy a kérelmező/érintett hozzáférési jogát általánosságban úgy korlátozza, hogy annak indokoltságát részletesen nem vizsgálja.

9. Érintetti telefonszámok kezelése a koronavírus-járvánnyal kapcsolatos tájékoztató kampány során (NAIH-1366-1/2022.; előzmény: NAIH/2020/3082.)

Több, mint száz panasz érkezett a Hatósághoz, amelyben a Jobbik Magyarországért Mozgalomnak (a továbbiakban: Jobbik) a koronavírus járvánnyal kapcsolatos telefonos tájékoztató kampánya adatkezelési gyakorlatát kifogásolták. A panaszosok szerint a telefonhívások olyan telefonszámra érkeztek, amelyekről korábban úgy nyilatkoztak, hogy nem kívánnak reklámcélú telefonos kapcsolatfelvételt fogadni, továbbá a hívás során nem kaptak tájékoztatást arról, hogy milyen célból kezelik a személyes adataikat, illetőleg, hogy milyen forrásból jutottak hozzá azokhoz. A Hatóság a vizsgálati eljárása során megállapította többek között, hogy a nyilvános telefonszámok vonatkozásában elfogadhatónak tartja a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogalapot, ezzel szemben azon telefonszámok vonatkozásában, amelyeknél az érintettek nem járultak hozzá a közvetlen üzletszerzés, tájékoztatás, közvélemény- vagy piackutatás céljából történő megkereséshez, illetve nyilatkozat útján kifejezetten tiltakoztak az ellen, a Jobbik nem rendelkezett jogalappal, ezért ezen adatkezelés tekintetében megsértette a GDPR 6. cikkét. Mindezekre tekintettel a Hatóság felszólította a Jobbikot, hogy a jövőben többek között ne gyűjtsön olyan telefonszámokat, amelyek tekintetében az előfizető úgy nyilatkozott, hogy nem kíván közvetlen üzletszerzés, tájékoztatás, közvélemény- vagy piackutatás, valamint a gazdasági reklámtevékenység céljából kapcsolatfelvételt fogadni. Mivel a Jobbik teljesítette a Hatóság felszólításában foglaltakat, a NAIH eltekintett hatósági eljárás indításáról, a felszólítását azonban közzétette honlapján.

Észrevételek, tanulságok az ügy kapcsán:
Minden egyes adatkezelés vonatkozásában külön szükséges a megfelelő jogalap meghatározása, az egyes adatkezelések összevonása és egyként való kezelése egy adatkezelési jogalapra való hivatkozással nem elfogadható gyakorlat. Ezen kívül az érintett kifejezett és önkéntes hozzájárulását minden esetben jogszerűen be kell szereznie az adatkezelőnek, amely esetekben egyéb jogalap nem alkalmazható és elfogadható az adatkezelés körülményeire tekintettel.

Amennyiben adatvédelmi ügyvédadatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:

Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu

 

Ezt a honlapot a Budapesti Ügyvédi Kamarában bejegyzett Dr. Miklós Péter Ákos egyéni ügyvéd (székhely: 1028 Budapest, Piszke utca 14., adószám: 42982117-2-41, KASZ szám: 36079442) tartja fenn az ügyvédekre vonatkozó jogszabályok és belső szabályzatok szerint, melyek az ügyféljogokra vonatkozó tájékoztatással együtt a www.magyarugyvedikamara.hu honlapon találhatóak. A honlapon elérhető blogbejegyzések, cikkek nem minősülnek konkrét jogi tanácsadásnak, ajánlattételnek vagy erre történő felhívásnak. Célja, hogy az érdeklődő tájékozódni tudjon Dr. Miklós Péter Ákos egyéni ügyvéd szakterületeiről. A honlap a Magyar Ügyvédi Kamara (MÜK) Elnökségének "Az ügyvédi honlap tartalmáról" szóló 2/2001 (IX.3.) számú állásfoglalásának, valamint a MÜK 6/2018. (III. 26.). számú szabályzatának 10. fejezetében leírtak figyelembevételével készült.  Jogi közlemény.

Honlapkészítés: ZK DESIGN - Ügyvédhonlap