Bevezetés
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egy közelmúltbeli határozata (NAIH-3076-14/2024) ismét rávilágított arra, hogy az adatkezelőknek kiemelt figyelmet kell fordítaniuk az érintettek jogainak, különösen a hozzájárulás visszavonása iránti kérelmek teljesítésére. Az ügyben egy hírlevélküldési gyakorlatot vizsgált a Hatóság, amely során súlyos hiányosságokat tárt fel. Az alábbiakban bemutatom az eset tényállását, a Hatóság megállapításait, valamint gyakorlati javaslatokat fogalmazok meg ügyfeleim számára, hogy elkerüljék a hasonló jogsértéseket.
Ön egyébként ellenőrizte már, hogy vállalatánál megfelelően működik-e a leiratkozás hírlevélről?
Tényállás
Az ügy egy panaszos bejelentésére indult, aki 2019-ben több alkalommal is jelezte egy adatkezelő (a továbbiakban: Ügyfél) felé, hogy nem kíván tovább hírleveleket kapni. A panaszos először a hírlevelekben található leiratkozási linket használta, majd 2019. szeptember 29-én az Ügyfél honlapján keresztül, egy űrlap kitöltésével is kérte az e-mail-címének törlését a hírlevél-adatbázisból. Az Ügyfél 2019. október 17-én arról tájékoztatta a panaszost, hogy kérelmének megfelelően törölte az e-mail-címét, és a jövőben nem fog hírleveleket kapni. Ennek ellenére a panaszos továbbra is kapott hírleveleket, például 2019. október 26-án, 29-én és november 1-jén, sőt, egészen 2021. május 11-ig.
A Hatóság vizsgálata során kiderült, hogy az Ügyfél a panaszos e-mail-címét korábban adott hozzájárulása alapján kezelte hírlevélküldési célból. Az Ügyfél belső vizsgálata technikai hibát azonosított: a leiratkozási kérelmek nem kerültek át egy, a hírlevélküldést végző külső rendszerbe, ami miatt a panaszos e-mail-címe aktív feliratkozóként szerepelt. A hiba részben egy 2017-es manuális beavatkozásra vezethető vissza, amelyet az Ügyfél nem tudott teljeskörűen feltárni.
A Hatóság megállapításai
A NAIH a GDPR több cikkének megsértését állapította meg:
1. GDPR 6. cikk (1) bekezdés a) pont: Az Ügyfél a panaszos hozzájárulásának visszavonása után, 2019. július 30. és 2021. május 11. között jogalap nélkül kezelte az e-mail-címét hírlevélküldési célból. A hozzájárulás visszavonása után az adatkezelésnek meg kellett volna szűnnie, mivel más jogalap nem állt fenn.
2. GDPR 12. cikk (3) bekezdés: Bár az Ügyfél egy hónapon belül válaszolt a panaszos kérelmére, a válasz téves volt, mivel az e-mail-címet nem törölték. Továbbá, az Ügyfél elmulasztotta a panaszost tájékoztatni a tényleges törlés megtörténtéről, ami szintén jogsértő.
3. GDPR 25. cikk (1) bekezdés: Az Ügyfél nem biztosított megfelelő technikai és szervezési intézkedéseket annak érdekében, hogy az érintetti kérelmeket (pl. leiratkozás, törlés) hatékonyan teljesítse. A technikai hiba – amely miatt a leiratkozási kérelmek nem kerültek át a hírlevélküldő rendszerbe – az adatkezelő felelősségét alapozza meg, mivel a GDPR szerint az adatkezelőnek olyan rendszereket kell alkalmaznia, amelyek garantálják az érintetti jogok gyakorlását.
A Hatóság elmarasztalta az Ügyfelet, és kötelezte, hogy 30 napon belül tájékoztassa a panaszost az e-mail-cím törlésével kapcsolatos intézkedésekről, továbbá igazolja a Hatóság felé a teljesítést. A Hatóság ugyanakkor nem szabott ki bírságot, mivel az Ügyfél időközben törölte a panaszos e-mail-címét, és a problémát okozó rendszert már nem használja.
Javaslatok ügyfeleinkek a hírlevélről történő leiratkozás kapcsán
Az eset tanulságai alapján az alábbi gyakorlati lépéseket javaslom ügyfeleimnek, hogy elkerüljék a hasonló jogsértéseket az adatvédelem területén:
1. Leiratkozási folyamatok tesztelése és automatizálása: Biztosítsák, hogy a leiratkozási mechanizmusok (pl. linkek, űrlapok) valóban működjenek, és a kérelmek azonnal megjelenjenek minden releváns rendszerben. Rendszeresen teszteljék ezeket a folyamatokat, különösen, ha külső szolgáltató rendszereit használják.
2. Valós idejű adatbázis-szinkronizáció: Ha több rendszert használnak (pl. hírlevélküldő szoftver és belső adatbázis), vezessenek be olyan technikai megoldásokat, amelyek garantálják az adatok valós idejű szinkronizációját. A manuális beavatkozásokat minimalizálják, mivel ezek növelik a hibázási lehetőséget.
3. Érintetti kérelmek nyomon követése: Hozzák létre és tartsák naprakészen az érintetti kérelmek (pl. törlés, leiratkozás) kezelésére szolgáló eljárásrendet. Dokumentálják az intézkedéseket, és biztosítsák, hogy az érintettet pontosan tájékoztassák a kérelem teljesítéséről.
4. Technikai és szervezési intézkedések felülvizsgálata: Rendszeresen auditálják az adatkezelési rendszereiket, hogy megfeleljenek a GDPR 25. cikkében előírt beépített adatvédelem elvének. Ez különösen fontos nagy ügyfélkörrel rendelkező adatkezelők számára, ahol egy technikai hiba is jelentős számú érintettet veszélyeztethet.
5. Külső szolgáltatók ellenőrzése: Ha adatfeldolgozókat (pl. hírlevélküldő platformokat) vesznek igénybe, szerződéses és gyakorlati szinten is győződjenek meg arról, hogy azok rendszerei alkalmasak az érintetti jogok biztosítására. Az adatfeldolgozó hibája nem mentesíti az adatkezelőt a felelősség alól.
6. Incidenskezelési protokoll: Hozzák létre és tartsák naprakészen az adatvédelmi incidensek kezelésére szolgáló eljárásrendet. Ha technikai hibát észlelnek, haladéktalanul vizsgálják ki, és tegyék meg a szükséges korrekciós intézkedéseket, továbbá szükség esetén értesítsék az érintetteket és a Hatóságot.
Leiratkozás hírlevélről – Zárás
A NAIH határozata egyértelműen mutatja, hogy az adatkezelők nem hivatkozhatnak technikai hibára az érintetti jogok megsértése esetén. A GDPR szigorú elvárásokat támaszt a hozzájárulás visszavonásának biztosításával és a személyes adatok kezelésével kapcsolatban. Ügyfeleimnek azt javaslom, hogy proaktívan vizsgálják felül adatkezelési gyakorlataikat, és fordítsanak kiemelt figyelmet a technikai rendszereik megbízhatóságára. Egy jól működő adatvédelmi megfelelési program nemcsak a bírságok elkerülését szolgálja, hanem az ügyfelek bizalmának fenntartását is. Ha hasonló helyzettel találkoznak, forduljanak hozzám bizalommal, hogy közösen biztosíthassuk a jogszabályoknak való megfelelést.
Dr. Miklós Péter, adatvédelmi ügyvéd
Amennyiben adatvédelem területén segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu
