GDPR bírságok

A Kérelmező, egy ellenzéki politikus felesége a hirportal.hu által megjelent cikkekben megvalósított adatkezelést kifogásolta. A Kérelmező álláspontja szerint a sérelmezett adatkezelések a szakmai tevékenységéhez kapcsolódnak, így nem minősülnek közéleti tevékenységnek, illetve a Kérelmező közszereplésével összefüggő információnak. A Hatóság álláspontja szerint a Kérelmező jelen ügyben nem – és ezen túlmenően sem - tekinthető közszereplőnek, hisz kizárólag szakmai tevékenysége okán szerepelt a cikkekben. A Kérelmezővel kapcsolatba hozható szöveges kijelentések, leíró információk közül a Kérelmező büntetőeljárási szerepe, ott tett nyilatkozatai, képzettsége, szakmai ismeretei a Kérelmező személyes és különleges adatának minősülnek. A Hatóság álláspontja szerint az újságírói tevékenységhez kapcsolódó adatkezelés jogalapja a jogos érdek. A Hírportál érdekmérlegelésében kifejtette, hogy a panaszolt hírcikkeket és a Kérelmező azokban szereplő személyes adatait széles körben érdeklődésre számot tartó, kiemelt tárgyi súlyú közéleti vitájában véleményformálás céljából, a közvélemény tájékoztatása érdekében hozta nyilvánosságra. A Hatóság szerint a cikkek témájuk miatt– csecsemőkorú gyermekek halálával járó családi tragédiák és ezeket követő büntetőeljárások – nem tartoznak a kategóriába, így jogalap nélkül kezelték a Kérelmező adatait.

A Kérelmező sérelmezte, hogy a Csomagküldő cég a küldemény átvételét követően kéretlen direkt marketing levelet küldött. Az email elsődleges célja szerint a sikeres kézbesítésről ad tájékoztatást a címzett számára, valamint az ügyfél-elégedettség felmérésére irányulóan kérdőív kitöltésére vonatkozó felkérést tartalmaz. Az email küldésének napján (2021. november 22.) hatályos adatkezelési tájékoztató 2016-ban készült és az Infotv-re hivatkozott jogszabályként, így a Hatóság számára küldött nyilatkozatukban megjelölt jogalapot – GDPR 6. cikk (1) bekezdés b) pont, nem tudták igazolni működésükben. Amiatt, hogy nem hozták összhangba az adatkezelést az általános adatvédelmi rendelettel, az eljárásban nem megállapítható a megfelelő jogalap. Ennek értelmében a tájékoztatás sem volt megfelelő.

Egy pénzintézet saját helyiségében elhelyezett bankautomatát biztonsági kamera figyelt. A Kérelmezőnek a pénzét az automata elnyelte. Ezután kérte volna az illetékestől a kamerafelvételek zárolását, azonban sehol nem volt elérhető, hogy ezzel a problémával milyen telefonszámot hívjon. A bank weboldalán megkereste a tájékoztatót, azonban az sem tartalmazta a DPO elérhetőségeit, csak egy info@ típusú általános címet és a központi telefonszámot, ami még a menüben sem tartalmazza közvetlenül a DPO vagy adatvédelmi munkatársak kapcsolásának lehetőségét. Később emailben kérte a kamerafelvételek másolatát és azok zárolását. A kérelem teljesítésére rendelkezésre álló idő alatt ezeket nem kapta meg – csak három napos késedelemmel.

Több bejelentés érkezett a Hatósághoz, melyekben kifogásolták az Alapítvány kéretlen, adakozásra felhívó telefonhívásait. Az Alapítvány kezdetben online tudakozókból gyűjtött telefonszámokat használt. Ha a hívott fél adományozott, adatait felvitték egy excel táblába. Az Alapítvány jogos érdekre hivatkozva kezelte ezeket, missziójuk támogatására hivatkozva. Nemcsak önkéntesek végezték a hívásokat, 2019 és 2021 között egy call centert is megbíztak, így a call center adatbázisa is használatba került. Amennyiben a hívott fél adományozni kívánt, adatai az Alapítvány számára átadásra kerültek. A Hatóság álláspontja szerint az adatbázisban tárolt személyes adatok kezelésének jogszerűsége nem volt megállapítható. Az adatkezelési tájékoztatóban jogellenesen három különböző jogalapra is hivatkoztak, több hiányosság mellett az érdekmérlegelés sem volt teljes. A telefonhívások esetében sem volt megfelelő a tájékoztatás.

Hekkerek adathalász üzenetet küldtek a KRÉTA-n keresztül, melyre egy alkalmazott projektvezető rákattintott. Az incidensről nem tettek bejelentést, azt gondolták csak a projektvezető gépén lévő adatokhoz férhettek hozzá. Az ezt követő intézkedések (új számítógép, felhasználói fiók és jelszavak) nem akadályozták meg az adatszivárgást, mivel a Google jelszókezelője szinkronizálta az új jelszavakat is, melyhez a támadók továbbra is hozzáfértek. A fejlesztői környezetben használt rendszerek eléréséhez nem alkalmaztak kétfaktoros hitelesítést. A Hatóság egy internetes hírportál cikkéből értesült a KRÉTA-t (közoktatási informatikai rendszer) érintő adatvédelmi incidenstől. A Hatóság vizsgálata szerint a KRÉTA fejlesztője nem biztosította a személyes adatok védelmét, ebből kifolyólag több mint 20 ezer felhasználó – köztük tanulók, gondviselők és alkalmazottak – 370 ezer adata vált érintetté az adatszivárgásban. A támadás során a forráskód 20%-a is kikerült. A Hatóság álláspontja szerint a Kötelezett nem vette figyelembe az adatbiztonsági kockázatokat, nem biztosította a szolgáltatás bizalmas jellegét és integritását. Az incidens bekövetkezésekor nem értesítették az adatkezelőket (érintett intézmények) és a Hatóságot.

A Kérelmező a Hivatal weboldalán vásárolt parkolási bérletet. A kötelező regisztráció során számos személyes adatát kellett megadnia, többek között személyazonosító okmányának és adókártyájának másolatára is szükség volt. A Hatóság vizsgálata során Vác Város Önkormányzatát azonosította adatkezelőként, bár az adatkezelési tájékoztatóban nem kerültek megnevesítésre. Adatkezelési jogalapként az érintett hozzájárulását jelölték meg, miközben közhatalmi jogköréből adódóan nem ez a megfelelő jogalap ebben az esetben. Az adattakarékosság elvét is megsértették, a regisztráció során kötelezően feltöltendő okmányokkal.

A Luxemburgi Adatvédelmi Hatóság kölcsönös segítségnyújtási eljárás keretében fordult a Hatósághoz egy magyarországi székhelyű cég adatkezelési tevékenységével kapcsolatos panasz miatt. Egy luxemburgi állampolgár a szolgáltató ügyfélszolgálatához nyújtott be panaszt, és kérte a szolgáltatás árának visszatérítését. A szolgáltató arra kérte a panaszost, hogy a felmerült költségekről kiállított számlákat, illetve többek között a panaszos bankszámlaadatairól szóló pdf formátumú hivatalos banki kivonatot e-mailben továbbítsa. Utóbbit jelszóval védett fájlban kérték, a GDPR adatbiztonsági követelményeinek való megfelelés érdekében. Az érintett nem tett eleget a jelszavas védelemre vonatkozó kérésnek, hisz az adatbiztonsági követelmények garantálása nem hárítható az érintettre, ezeket az adatkezelőnek kell biztosítania.

A magánegészségügyi szolgáltató figyelmen kívül hagyta páciense egészségügyi dokumentumainak másolatára vonatkozó hozzáférési kérelmét. Az intézmény a Hatósággal sem működött együtt, nehezítve ezzel a tényfeltárást. A páciens kérelmét egy adminisztrációs hiba miatt nem teljesítették. Elírásra került a családi neve, így tévesen jutottak arra a következtetésre, hogy nem kezelnek az érintettről dokumentációt.

Az informatikai szolgáltatást biztosító vállalkozás incidensbejelentést tett a Hatóságnál, miután frontend kiszolgálóját támadás érte, a tartalomkezelő rendszer sérülékenységéből adódóan. Az adatbiztonságot csökkentette, hogy a használt tartalomkezelő rendkívül elavultnak tekinthető és verziófrissítést sem végeztek rajta. A Hatóság utasította az adatkezelőt arra, hogy az általa használt tartalomkezelő rendszert a jelenleg elérhető legfrissebb verziófrissítésnek megfelelően frissítse, vagy vezessen be új tartalomkezelő rendszert. A Hatóság az incidenskezeléssel kapcsolatban megállapította, hogy az Adatkezelő az általános adatvédelmi rendelet 33-34. cikkében foglaltaknak megfelelően járt el.

A Hatósághoz több bejelentés érkezett a Kérelmezett postai úton küldött piackutatási és direkt marketing célú megkereséseivel összefüggésben. A Kérelmezett a Belügyminisztériumtól igényelt név és cím adatokat, megadott időszakban született kiskorúakról. Kérelmében felvételi előkészítő tanfolyamukkal kapcsolatos piackutatásra hivatkozott, azonban a kiküldött levelek között volt a tevékenysége promotálásáról szóló is. A Kérelmezett álláspontja szerint jogos érdeke a piackutatás, ugyanis ez biztosítja azokat az információkat, amelyek alapján a szülői elvárásoknak megfelelően szervezhet felvételi előkészítő tanfolyamokat. A jogos érdek igazolásához szükséges érdekmérlegelést nem készítette el, ebből adódóan a Hatóság nem tudta elfogadni a megjelölt jogalapot. Továbbá a levelekben található adatkezelési tájékoztató nem tartalmazta a legfontosabb információkat, illetve a hírlevéllel kapcsolatos tájékoztatóban is akadtak problémák.

A bejelentő hiányolta a tájékoztatást a recepción működő kamerával kapcsolatosan, ezért bejelentést tett a Hatóságnál. A szálláshelyen kamerák a recepciós pultnál, a biciklitárolónál és a parkolónál voltak felhelyezve. Felvételt nem rögzítettek, csupán az élőkép megfigyelését tették lehetővé, melyet a recepciós és az apartmanpark vezetője láthatott. Célként vagyonvédelmet és a jogsértő cselekmények megelőzését jelölték meg. Tájékoztatást a több helyen megtalálható figyelmeztető táblák és a recepciós pulton elérhető adatkezelési tájékoztató nyújtottak. A táblák a bejelentő fényképes csatolmányai alapján az ott tartózkodása idejében még nem, csak később kerültek kihelyezésre. A Szálláshely továbbította az adatkezelési tájékoztató szövegét, melyben a Hatóság több pontatlanságot is talált, feltehetőleg internetes forrásokból összeollózott dokumentumról volt szó. A Szálláshely weboldalán nem tettek közzé adatkezelési tájékoztatót.

A Kérelmező három rögzített telefonbeszélgetés másolatához kért hozzáférést, amit a Kérelmezett figyelmen kívül hagyott. A Kérelmezett szerint a hangfelvételek kizárólag belső oktatásra készülnek, ezért nem kapnak egyedi azonosítót, így nem visszakereshetőek. Az ügy lefolyása alatt mégis tudták azonosítani a hangfelvételeket, viszont a Kérelmezőhöz bizonyítottan egy év elteltével sem jutottak el. A Hatóság a hívók tájékoztatását nem tartotta megfelelőnek, ezért a hozzájárulás sem volt jogszerű.

A Piackutató cég politikai telefonos kampányát vizsgálta a Hatóság. A politikai hívásokat megrendelésre végezték, a megrendelőtől nem kaptak telefonszámokat, ezért saját adatbázisukat használták a szerződés teljesítéséhez. Az 500.000 érintettet tartalmazó adatbázist még 2018-ban vásárolták meg. Ebben telefonszámok és lakóhely adatok (megye, irányítószám, település) szerepeltek. Az érintetteket a telefonos felkeresés elején tájékoztatták az adatkezelési tájékoztató hollétéről. A tájékoztató megnyitásához jelszóra volt szükség, ezt csak kérésre adták meg. Az adatokat jogos érdek alapján kezelték, ahogy érdekmérlegelésükben is kifejtették, piackutatói tevékenységük végzéséhez adatbázisokra van szükségük. A Hatóság nem fogadta el a magyarázatot, hisz a jogos érdek nem egyenlő a jogszerű gazdasági érdekkel. Az érintettek tájékoztatásának módját és a tájékoztatók tartalmát sem találták megfelelőnek.

A Kérelmező a Pénzintézetnél vezetett számlát 2022 decemberéig. A zárolás dátumát követően a Pénzintézet ügyintézője telefonon tájékoztatta a Kérelmezőt, hogy terhelés érkezett a lezárt számlára (korábbi parkolási díj). A tartozással kapcsolatban nem tudtak további tájékoztatást adni, ezért a Kérelmező kérte adják át a követeléskezelési célból kezelt személyes adatainak a másolatát. Később levélben kért elnézést a Pénzintézet ügyintézőjük kommunikációja miatt, emellett tájékoztatták a számla zárásáról és a vitatott összeg elengedéséről. A hozzáférési kérelmet válasz nélkül hagyták, emiatt fordult a Kérelmező a Hatósághoz. A Hatóság megkeresésére a Pénzintézet válaszában megfogalmazta, hogy célja a problémás helyzet rendezése volt, a hozzáférési kérelem elkerülte ügyintézőjük figyelmét. Kiegészítésként újabb levelet küldtek a Kérelmezőnek, melyben tájékoztatták, hogy követeléskezelési célból nem kezelnek személyes adatokat róla. Mivel egyéb információkat nem közöltek, a Kérelmező az adatvedelem@[…] címre írt panaszában kifogásolta a teljesítést. A megkeresésére nem érkezett válasz. A Pénzintézet a hiányos tájékoztatással megsértette a Kérelmező hozzáférési jogát.

A Kérelmező két alkalommal járt a kérelmezett Bank bankfiókjában. Sikertelen ügyintézését követően még aznap panaszt tett a telefonos ügyfélszolgálatukon, ahol kérte a beszélgetés hangfelvételének rendelkezésére bocsátását és a fióklátogatásáról készült kamerafelvételeket, illetve kérelmezte ezek törlésének mellőzését. A Bank felvételek törlésének mellőzésére vonatkozó kérelmet az üzletszabályzatukra vonatkozva elutasította. A kért felvételeket titkosítás vagy jelszavas védelem nélküli, hiányosan, hagyományos levélként küldött CD-k és DVD-k formájában továbbította a Kérelmezőnek. A Hatóság véleménye szerint a Bank több pontban is megsértette a GDPR rendeletet. A törlés elmulasztására vonatkozó kérelemben eljárás lefolytatása cél volt megjelölve, így az üzletszabályzat nem indokolhatta az elutasítását. A felvételek védelmére a továbbítás során a Bank a levéltitok védelme jogi előírásra hivatkozott. Az érvet a Hatóság csak a tértivevényesen megküldött felvételek tekintetében tudta volna elfogadni. A Bank a hiányzó kamerafelvételeket azzal indokolta, hogy a felvételen az éritettre nézve többlet információ nem volt, azonban a Banknak minden olyan felvételt át kellett volna adnia a Kérelmezőnek, amelyen szerepel, függetlenül attól, hogy ugyan azt a cselekvést rögzítik más szögből, hisz a hozzáférési jog tárgya a személyes adat – ez esetben képmás. A hangfelvételekkel kapcsolatban ügyintézői hibára hivatkoztak, a nem szabályszerű kapcsolás miatt a hívó telefonszáma elveszett a metaadatokból, ezeket csak utólag, részletes kereséssel találták meg.

A Kérelmező a Távhőszolgáltatóhoz fordult, hogy megtudja a szolgáltató által kezelt személyes adatainak forrását, mivel felmerült a gyanú, hogy valaki más adta meg az adatait. Az adatokat egy adatbekérő lap segítségével gyűjtötték be, a lapok hitelességét nem ellenőrizték és azóta megsemmisítésre kerültek. A Távhőszolgáltató azzal indokolta az adatbekérést, hogy az előző Közműszolgáltató nem adta át a közmű-szolgáltatási kötelezettség teljesítéséhez szükséges érintetti adatokat. Az adatbekérőn túl a beérkező papír nyomtatványok és fogyasztói számlák alapján is vittek fel adatokat az adatbázisba és számlázási szoftverbe. A Hatóság megállapította, hogy a Távhőszolgáltató nem nyújtott megfelelő tájékoztatást a bejelentő részére személyes adatai kezeléséről, mivel nem tudta igazolni az adatok forrását, csak feltételezni tudták, hogy ha nem az adatbekérő lapról, akkor fogyasztói számla alapján kerültek a rendszerbe az adatok. Igazolás hiányában az elszámolhatóság elve is sérült.

A Kérelmező jelezte a Kérelmezettnek telefonszáma és e-mail címe törlési igényét. Az adatai törlését megtagadták, mivel ezeket nem hozzájárulás alapján kezelik, hanem a szerződés teljesítéséhez, számviteli feladatok elvégzéséhez van rájuk szükség. Többek között erre a címre küldik a számlaértesítőket és ezen keresztül tartják a kapcsolatot korábban benyújtott, ismétlődő panaszaival kapcsolatban is. A Hatóság vizsgálata szerint a Kérelmezőnek sérült a hozzáférési joga azáltal, hogy csak általános, előzetes tájékoztatásban részesült, nem kapta meg a konkrét, őt érintő ismereteket – mely adatait, milyen célból és jogalappal, mennyi ideig kezeli.

A BKN jogelődje, a FŐTÁV Budapesti Távhőszolgáltató Zrt. honlapján a közérdekű adatnak minősülő panaszvizsgálati jegyzőkönyvek személyes – név és lakcím – adatokat tartalmaztak, az anonimizálás elmulasztásából kifolyólag. Az akkori esetet a Hatóság a dokumentumok törlését követően lezárta. Két évvel később újabb bejelentés érkezett a Hatósághoz, miszerint a már jogutód BKN honlapján ismét elérhetőek a törölt dokumentumok. A BKN jelezte, hogy a bejelentés feléjük is megérkezett. Ellenőrzés során megállapították, hogy a honlapon nem található meg közvetlenül a dokumentum, csak a link pontos ismeretével, korábbi elmentésével nyitható meg. A hibához az vezethetett, hogy az adatok törlésekor nem gondoskodtak a háttérszerverekről való törlésről. A Hatóság ezúttal bírságot szabott ki az incidens bejelentésének elmaradása és az adatvédelmi rendeletnek nem megfelelő technikai intézkedések miatt.

A Hatóság hivatalból indított vizsgálat alapján észlelte, hogy a céginformációs és követéskezelési szolgáltatást nyújtó Weboldal adatkezelési tájékoztatója nem felel meg az adatvédelmi rendelet elvárásainak. A szolgáltatási területekhez tartozó adatkezelés esetében nem tették világossá az egyes célokhoz tartozó jogalapokat, adattípusokat, adatkezelési időket és nem egyértelmű fogalmi meghatározások is akadtak, a hibás törvényi hivatkozások mellett. A Weboldal a vizsgálatról való értesülést követően többször módosított a dokumentumon, a legfrissebb változatokat a Hatóság felé is továbbították, viszont ezek sem feleltek meg a követelményeknek.

Az ügy Kérelmezője kifogásolta, hogy a Vállalatnál folyamatban lévő munkajogviszony-létesítési eljárás során olyan hozzájáruló nyilatkozatok kitöltésére kötelezték, mellyel hozzájárul az okmányai fénymásolásához és ahhoz, hogy a munkavégzés során kép, hang- illetve videofelvétel készüljön róla. Az okmánymásolás kapcsán azt nyilatkozta a Vállalat, hogy a munkaszerződés előkészítéséhez van hozzá szükség. A Hatóság ebben nem talált kivetnivalót, azonban a Vállalat folyamata nem felelt meg az adattakarékosság elvének, mivel a munkaszerződéshez nem kötődő adatok is másolásra kerültek így. Ehelyett a „négy szem elvét” javasolták – két személyzeti ügyekkel foglalkozó munkatárs megtekinti az érintett által bemutatott okmányt és mindketten megerősítik a rögzített személyes adatok pontosságát. A Vállalat nyilatkozata szerint videót és hangfelvételt nem készítenek, ezek tévesen szerepelnek a nyilatkozatban. A fényképek célja a rendezvényeik (pl. jutalomátadó ünnepségek) megörökítése és a pozitív megítélés erősítése. Ezeket a weboldalukon használják fel. Amennyiben a rendezvényen résztvevő nem adja hozzájárulását, nem készül kép róla. A képek és az adatkezelési tájékoztató egy minden munkavállaló számára elérhető közös meghajtón található. A Hatóság jogszerűnek minősítette az adatkezelési célt, azonban a tájékoztatóban találtak hibákat.

Bejelentés alapján indított vizsgálatot a Hatóság a Társasház kamerarendszerének adatvédelmi megfelelésével kapcsolatban. A kamerákat 2018-ban telepítették a Társasház területén tartózkodók testi épségének, illetve a Társasház vagyonának védelme céljából. A Hatóságnak megküldött pillanatfelvételek alapján a kamerák látószöge megfelelt a célhoz kötött adatkezelés elvének. Az adatkezelés jogalapja ebben az esetben a jogos érdek lenne, melyet érdekmérlegeléssel kell igazolni. A Társasház érdekmérlegelése nem igazolta, hogy a Társasház jogos érdekeinek érvényesítéséhez szükséges az adatkezelés. A Társasház adatkezelési szabályzatában és a kamerarendszer üzemeltetéséhez szükséges szabályzatban több helyen hibásan az Infotv.-re hivatkoztak, nem módosították az általános adatvédelmi rendeletnek megfelelően. A felvételekhez a Társasház gondnoka és közös képviselője fért hozzá, azonban nem rendelkeztek a vagyonvédelmi tevékenységhez szükséges biztonsági őri, testőri, vagyonőri vagy biztonságszervezői szakképesítéssel, így hozzáférésük jogellenes volt. Az érintettek számára a „Kamerával őrzött terület” jelzések és a faliújságon elhelyezett tájékoztató nyújtott információkat a megfigyelésről. Utóbbi tartalmilag hiányos volt.

A Kérelmező Márki-Zay Péter Facebook oldalán kommentált, ezt követően Facebook Messengeren automata üzenetet kapott Márki-Zay Péter nevében. A kapott üzenetben feltett „Szeretne továbbra is kapcsolatban maradni […]” kérdésre a „Nem” válasz küldte. Egy későbbi kommentje után ez az üzenetváltás ismétlődött meg. A Hatóság azt vizsgálta, hogy az első, nemleges válasz után a Kérelmezőnek küldött második Facebook Messenger feliratkozást kérő üzenet kezelése megfelelő jogalappal és tájékoztatás mellett történt-e. Az ügyben az oldal adminisztrátora, a Mindenki Magyarországa Mozgalom mint adatkezelő vett részt. Az automatikus üzenetküldés bekapcsolása a Mozgalomhoz köthető. A Facebook oldallal interakcióba lépő felhasználóknak az első üzenetváltást a Meta Ireland indítja. Ha az első kérdésre „Igen” válasz érkezik, a felhasználó a Mindenki Magyarországa Mozgalom Messenger-csatorna feliratkozójává válik és megkapja az adatvédelmi tájékoztató linkjét. A második üzenet azért került kiküldésre, mert a Facebook oldal adminisztrátori felületén nem volt „silence period” beállítva. A Mozgalom szerint ez a kampányidőszakban jogos érdekük (közszereplő érdeke), de nem tudták megfelelően alátámasztani. A Hatóság álláspontja szerint az adatvédelmi tájékoztatót a feliratkozási lehetőséggel egy időben kellett volna elérhetővé tenni, nemcsak a feliratkozást követően. Az esetet súlyosbítja, hogy a politikai véleményre vonatkozó adatok a GDPR szerinti különleges adat kategóriájába tartoznak.

Több bejelentő is kifogásolta, hogy a Szépségközpont helyiségeiben kamerákat üzemeltetnek, melyeken keresztül a munkavállalókat és vendégeket is lehallgatják. A Hatóság helyszíni szemlét tartott, mely során 32 kamerát találtak. A kamerákat alkalmasnak találták a dolgozók megfigyelésére munka és pihenés közben, illetve a vendégeket is folyamatos megfigyelés alatt tartották, miközben a kezelések alatt nem ritkán hiányos öltözetben láthatóak. A kamerák képfelvételeken túl hangot is rögzítettek, így a kezelőhelységekben a munkavállalók és vendégek beszélgetése is rögzítésre került. A Hatóság érvénytelennek tartotta a kamerás adatkezelés jogalapját, a hozzájárulás módját és a tájékoztatást is, mind a munkavállalók, mind pedig a vendégek részéről. A hangrögzítésről senkit sem tájékoztattak, ezzel súlyosan sértették a GDPR rendelkezései mellett a magánszférát is. Problémát találtak továbbá az ügyféladatok kezelésében és az ajánlói rendszerben (elégedett ügyfeleik adták meg ismerőseik elérhetőségét). A Szépségközpont weboldalán lévő kapcsolatfelvételi űrlappal az érintettek hozzájárulásukat adhatták a marketing célú megkeresésekhez (hírlevelek), azonban ezekről nem volt szó az adatkezelési tájékoztatóban. Továbbá azzal, hogy a Szépségközpont kezelte a vendégek egészségügyi adatait (pl.: beteg, műtik a lábát, terhes), hogy betegség esetén kezelési időpontjukat később érvényesíthessék, súlyosan megsértették a GDPR rendeletet.

A Kérelmező daganatos megbetegségére hivatkozva kérte személyes adatai kiadását a Természetgyógyásztól – akinek korábban igénybe vette egyes szolgáltatásait – a Természetgyógyász azonban adatbiztonsági okokra hivatkozva megtagadta a kérést, és az általa végzett mérések, vizsgálatok anyagait nem adta ki. Az adatkezelő (Természetgyógyász) nem tett közzé adatkezeléséről tájékoztatást, így a Kérelmezőnek nem volt rálátása a folyamatban lévő adatkezelésre és érintetti jogaira. A Hatóság felkérésére az adatkezelő egymásnak ellentmondó nyilatkozatokat tett a mérési eszközökkel végzett adatkezelési műveleteivel kapcsolatban és adatkezelési tájékoztatóját sem tudta felmutatni.

A Hitelintézet 2005-ben a Kérelmezők (ügyfelek) kölcsönszerződését hozzájárulásuk nélkül új, forintosított számlaszámra helyezte át, majd az új számlát 2016-ban a Követeléskezelőre engedményezte, továbbítva a Kérelmezők személyes adatait is. A Hatóság ebben az ügyben korábban már megállapította az adatvédelmi rendelet megsértését. Jelen esetben a Kérelmezők újabb kérelmet terjesztettek elő, melyben kérték adataik törlését a hitelszámla mindennemű kezelése kapcsán, jogosulatlan adatkezelésre hivatkozva. A Hatóság megállapítása szerint a Hitelintézetnek az engedményezéstől számított 8 évig jogszabályon alapuló adatmegőrzési kötelezettsége van, ezért elutasította az adattörlési kérelmet. A Követeléskezelő esetében az előzményügyben még megállapítható volt a jogsértés, ám azóta jogos érdekre hivatkozva, megfelelő érdekmérlegelési teszttel alátámasztva kezelik az adatokat, ezért az adattörlés ebben az esetben sem kérvényezhető. Az érdekmérlegelés alapján csak a telefonszámadatok kezelését nem fogadta el a Hatóság, hibás érdekek azonosítása miatt, ezért ennek törlését elrendelte a NAIH és a jogsértés súlyosságát és hosszú idejű fennállását figyelembe véve bírság kiszabása mellett döntött.

A balatoni Szálláshely két egymástól elkülönített kamerarendszert üzemeltetett. Egy csak élő képet közvetített a parkolóról, a másik hangrögzítést is támogatott a recepció, étkező, belső udvar és jakuzzi megfigyeléséhez. Az adatkezelő (Szálláshely) célként a személy- és vagyonvédelmet jelölte meg, jogos érdekre hivatkozva. A Hatóság a parkolót figyelő kamerát és a recepción lévő kamerát jogszerűnek találta, azonban a hangrögzítést jogellenesnek állapította meg, mivel a céllal nem arányos. Az érintettek nem tudtak a hangrögzítésről, és nem is következtethettek rá. Az étkezőben, belső udvarban és jakuzzinál lévő kamerákat a vendégek elvárásaival ellentétesnek ítélte a Hatóság, mivel pihenés, étkezés, intim szituációk közben az érintettek nem voltak tisztában a megfigyelés tényével.

Az ügy bejelentője a Webáruház korábbi vásárlója volt. Vásárlás során feliratkozott hírlevélre, később a hírlevélben található automatikus leiratkozó linken kérte személyes adatai törlését. A törlés sikerességéről visszaigazoló tájékoztatást kapott, mégis újabb hírlevél érkezett. A Webáruház Hatóságnak tett nyilatkozata szerint hackertámadás miatt helyre kellett állítani az adatbázist, majd a hírlevélküldő rendszer frissítésekor visszaszinkronizálták a bejelentő adatait is, emiatt kaphatott újabb levelet. A bejelentő ismételt kérésére törölték a személyes adatait, a Hatóság vizsgálata során mégis megtalálta a bejelentő telefonszámát és email címét a Webáruház rendszerében – ezek az adatok nem tartoznak a vásárlás miatt kötelezően megőrzendő adatok közé. A Hatóság tesztregisztrálást és tesztvásárlást folytatott le. A marketing célú adatkezeléshez a hozzájárulás jogalapját hivatkozták meg, azonban az ehhez szükséges tájékoztatás nem volt elégséges és a hozzájárulás lehetősége nem volt elkülönítve az ÁSZF elfogadásától.

A Kérelmezett üzletkötője hálózat-fejlesztés okán kereste fel telefonon az ügy bejelentőjét, aki sérelmezte, hogy a hívás elején nem kapott tájékoztatást a beszélgetés rögzítésének tényéről. A Kérelmezett nyilatkozata szerint az üzletkötő eltért a script elemeitől, ezért történhetet meg, hogy a rögzítés tényéről csak a hívás végén esett szó. A Hatóság döntése szerint a script esetén sem a megfelelő időpontban történik meg a tájékoztatás, mivel azt megelőzi az ügyfél beazonosítása. Emellett a tájékoztatás nem volt egyértelmű („ezen a rögzített vonalon”), és nem tartalmazta az érintetti jogokat (pl. tiltakozáshoz való jog) sem.

Egy fogorvosi rendelő tulajdonosa hozzájárulás nélkül végzett kamerás megfigyelést. A kamerák az ingóságok megóvása miatt lettek felszerelve. A Hatóság nem találta a céllal arányosnak a kamerák látószögét, mivel azok alkalmasak voltak a munkavállalók egész napos megfigyelésére és a pácienseket is jogtalanul rögzítette várakozás és kezelés közben. A kezelőhelyiségben a Hatóság állásfoglalása szerint a pácienst azonosítható módon nem rögzíthetné a kamera. A betegváróban nem volt nagyobb értékű tárgy, amely indokolttá tette volna a kamerahasználatot, és a Hatóság vizsgálata szerint nem életszerű, hogy rendelési időben fogászati eszközöket tulajdonítson el valaki. A vagyonvédelmi cél csak a készpénz átadására szolgáló hely megfigyelésére arányos. Az egész napos megfigyelés sérti a munkavállalók alapvető jogait és a tájékoztatás módja sem felelt meg a GDPR rendelkezéseinek.

Több panasz érkezett a Hatósághoz a kiskereskedelmi üzletlánc alkoholtartalmú italok kapcsán kialakított adatkezelési gyakorlatára vonatkozóan. Az üzletlánc alkoholtartalmú italok vásárlása esetén bemondásra – más bejelentések szerint fényképes igazolvány átadására kötelezve – rögzítette a vásárló születési idejét. Az adatkezelés céljáról, időtartamáról és jogalapjáról a pénztáros nem tudott tájékoztatást adni. A Hatóság előzetes értesítés nélküli szemle során igazolta a panaszba foglaltakat. Az adatkezelő jogalapként a fogyasztóvédelemről szóló 1997. évi CLV. törvény 16/A. § (1) és (4) bekezdéseit hivatkozta meg, amely szerint alkoholtartalmú italok vásárlását megelőzően „a vállalkozás vagy annak képviselője kétség esetén felhívja a fogyasztót életkorának hitelt érdemlő igazolására”, azonban az üzletlánc általános jelleggel – egy bejelentő 70 éves volt – minden alkoholos italt vásárló életkorát 180 napig tárolta a kasszarendszerben.

A Kötelezett kétféle hírlevelet küld az előfizetőknek: napi rendszerességgel hírösszesítőket és hetente EDM-eket, melyekben termékeiket, szolgáltatásaikat népszerűsítik. Volt egy időszak, amikor nem lehetett előfizetni az EDM-ekhez való hozzájárulás nélkül. A Hatóság felhívására ezen folyamaton változtattak, és külön checkboxot helyeztek el weboldalukon a két cél szétválasztására, azonban technikai hiba miatt mégis egybecsúsztak. Ezzel egyidőben a módosítást lekövették az ÁSZF-ben is, viszont a technikai hiba miatt nem tükrözte a valóságot. Azzal, hogy az érintettek nem kaptak megfelelő tájékoztatást és nem volt külön konkrét hozzájárulás az EDM adatkezelésre érvénytelen volt a hozzájárulásos jogalap.

Az eset egy korábbi, 2021.12.17-én közzétett, honlapunkon megtalálható ügy folytatása, melyben a Kérelmező Magyarország Nagykövetségének egy korábbi kormánytisztviselője. Elbocsátását egészségügyi adatai alapján (mentális zavarodottság) határozták meg, ám ezen adatok létezéséről a Kérelmező nem tudott, véletlen útján kerültek hozzá, tájékoztatást és hozzáférést nem kapott. A Hatóság ekkor 600.000 Ft-os adatvédelmi bírságot szabott ki, amelyet később a Fővárosi Törvényszék eltörölt, és a Hatóságot új eljárásra kötelezte. A Hatóság a korábbival megegyező döntésre jutott és ezúttal 500 000 Ft-os bírságösszeget állapított meg.

A Hatóság közérdekű bejelentés alapján ellenőrizte, hogy a „tenyek.hu” és „tv2play.hu” weboldalak sütikkel kapcsolatos adatkezelése megfelel-e a GDPR rendelkezéseinek. Jogalapként minden esetben az érintett hozzájárulását jelölték meg. A rendelet szerint a hozzájárulás megszerzése előtt köteles az adatkezelő olyan tájékoztatást nyújtani, amely alapján tájékozott hozzájárulás adható. A vizsgált esetben a tájékoztató szöveg megjelenésében – a megjelenési helyéhez képest túl hosszú volt, egyszerre néhány soronként olvasható, ahol az elfogadásra az első szinten, elutasításra csak a második szinten volt lehetőség – sem tartalmilag nem felet meg az adatvédelmi rendeletnek. Nem derült ki az adatkezelő személye, nem sorolták fel tételesen a sütiket, nem határozták meg az egyes sütikhez rendelt célokat, egyes esetekben túl tágan értelmezhető volt a szöveg, nem volt lehetőség a hozzájárulás visszavonására, nem volt információ az automatikus profilozásról és az adattovábbításról (utóbbi a 754 partner miatt feltételezhetően fennállt). A Hatóság megállapítása szerint megfelelő tájékoztatás nélkül a hozzájárulásra alapuló adatkezelés jogszerűtlen.

Az ügy bejelentője a Magyar Éremkibocsátó Kft. adatkezelési gyakorlatát kifogásolta, mivel weboldalukon vásárolva a rendeléskor megadott személyes adataival egy felhasználói fiókot regisztráltak neki, amiről csak utólag tájékoztatták. Az esettel kapcsolatban a Hatóság főként azt vizsgálta, hogy a személyes adatok megszerzése hogyan történik az új ügyfeleknél. Az új ügyfelek online, postái úton (más újság előfizetésekhez mellékelt formanyomtatvány visszaküldésével) vagy telefonon rendelhettek. Utóbbi két mód esetében az adatok kezeléséhez való hozzájárulás megfontolásához nem megfelelően vagy nem biztosították a szükséges minimális információkat. Ezen felül a Hatóság kifogásolta, hogy a begyűjtött email címeket célzott Google és Facebook hirdetésekhez is használták, ehhez viszont nem biztosítottak külön hozzájárulási lehetőséget. A Kérelmezett megsértette az előzetes tájékoztatás nyújtásának kötelezettségét, a jogszerű, átlátható adatkezelés elvét, a célhoz kötöttség elvét, és megfelelő hozzájárulás nélkül kezelte több ezer érintett adatait.

A Hatósághoz több bejelentés érkezett, miszerint a Kötelezett postai úton ingyenes szűrővizsgálatra történő invitálást küldött részükre, a hozzájárulásuk nélkül. A Kötelezett az érintettek nevét és címét a Belügyminisztérium nyilvántartásából rendszeresen kérelmezte, először direkt marketing majd piackutatási célú kapcsolatfelvételre hivatkozva. A Hatóság által vizsgált időszak alatt 300.000-400.000 érintett adataihoz jutottak így hozzá. A Hatóság megállapította, hogy a piackutatás mint cél nem fedte a valóságot, mivel továbbra is az újabb ügyfelek elérése volt a cél. A Kötelezett az érintetteket és a Belügyminisztériumot is megtévesztette, célját elfedte, ezzel megsértette a tisztességes eljárás elvét. Jogalapként önkéntes hozzájárulást jelöltek meg, mivel álláspontjuk szerint az érintettek korábban jelezhették volna a Belügyminisztérium felé, hogy nem kívánják adataikat rendelkezésre bocsátani piac- és közvéleménykutatás céljából. A Hatóság szerint a hozzájáruláshoz az érintettnek megfelelő tájékoztatást követően önkéntesen és egyértelműen kell a beleegyezésüket kinyilvánítani. A kiküldött értesítőkön lévő adatkezelési tájékoztatás hiányos volt, többek közt nem tartalmazta az adatkezelő adatait, a valós célt és helyes jogalapot, az igénybe vett adatfeldolgozókat.

A Lakásszövetkezet az adatvédelmi rendelet hatályba lépésekor a szükséges szabályzatokat és iratokat – köztük az adatközlő lapot – megvásárolta (a határozatban nem feltüntetett forrásból). Az adatvédelmi szabályzat rövidített változatát a lakástulajdonosok megkapták. A tulajdonosok adatait lakónyilvántartásban kezelik, a nyilvántartás már a rendelet megjelenése előtt is használatban volt. Adatközlő lapon kérték a tulajdonosoktól kapcsolattartási adataikat, hogy a rendeletnek eleget tegyenek és a korábban megadott adatokat ellenőrizzék. Jogalapként az alapszabályzatot és a hozzájárulást adták meg, azonban kitöltésre kötelezték az érintetteket (megtagadás esetén plusz költségek terhelésével, pénzbüntetéssel). A lapon tévesen jelölték meg adatkezelőként a vízműveket, emellett tévesen szerepelt rajta, hogy a visszaküldés kötelező. A Hatóság álláspontja szerint a kapcsolattartási adatok megadása nem tartozik a Lakásszövetkezet alapszabálya szerinti jogi kötelezettségbe, ezért ezen adatok kitöltése önkétes és hozzájáruláson alapszik. Azzal, hogy az adatbekérő lapon kötelezőként jelölték meg ezeket, megsértették a GDPR rendelkezéseit. A tájékoztatás sem volt pontos, az adatkezelő hibás megjelölésével. A rövidített tájékoztatóbán más hiányosságokat is felfedeztek.

A Kérelmező a vakcina regisztráció lekérdező webhelyen észlelte, hogy TAJ és születési dátum megadásával bárki, aki ezeket az adatokat ismeri lekérheti regisztrációjának érvényességét. Panaszával két alkalommal is a Kérelmezetthez fordult, majd mivel választ nem kapott, a Hatóságot kereste fel. A Kérelmezett a Hatóság megkeresésére sem válaszolt, annak ellenére, hogy a két alkalommal is kiküldött végzést igazolható módon átvették. Erre tekintettel a Hatóság 250.000 forint eljárási bírságot szabott ki. Mivel válasz ezt követően sem érkezett és a bírság sem került befizetésre, a Hatóság helyszíni szemlét tartott a Kérelmezett székhelyén. A helyszínen betekintettek az elektronikus információs rendszerbe és próba lekérdezéssel tesztelték, hogy az adatkezelési tájékoztatónak megfelelően zajlik-e az adatlekérés folyamata. Vizsgálatuk alapján a lekérdezés módja az adatvédelmi törvénynek megfelel, továbbá a lekérdezés eredményét nem sorolták a különleges személyes adatok közé, mivel a regisztráció nem egyenlő a vakcina felvételével. A Kérelmezett a Kérelmezői panasz megválaszolásának elmulasztását leterheltséggel indokolta, de a 8 hónapnyi késedelemre ez nem adott megfelelő magyarázatot. A Hatóság végzései az adminisztrációs folyamatban akadtak el, azokat átvételük után az Adatvédelmi Főosztály részére továbbították. A Hatóság az együttműködési kötelezettség megsértése és az érintetti jogok sérelme miatt bírság kiszabás mellett döntött.

A Kérelmező 2018-ban Hitelközvetítőn keresztül benyújtott hitelkérelmét a Bank először elutasította, majd az általa szóban elmondott személyes adatai alapján újabb hitelbírálati eredményről kapott értesítést, anélkül, hogy ezt kérvényezte volna. A Bank szerint ehhez szóbeli hozzájárulásuk volt, de ezt igazolni nem tudták. A Hatóság kérte a Kérelmezett adatainak törlését, ám ezt a Bank elutasította a panaszkezelési szabályzatukra hivatkozva, amely az adattárolást 10 évre írja elő.

Az ügy kapcsán a Hatóság a Bank teljes hitelbírálati célból végzett adatkezelését átvizsgálta. Azzal, hogy a Bank a meghiúsult hitelszerződésekkel kapcsolatos adatokat az újabb hitelbírálatokhoz is felhasználta, megsértette a célhoz kötöttség elvét. A hatósági eljárások során felülvizsgálták folyamataikat, és a hitelbírálat elvégzéséhez szükséges adatok megőrzését szerződéses jogalap helyett jogos érdekre módosították, ehhez érdekmérlegelést is csatoltak. A Hatóság a mérlegelést hiányosnak találta, mivel ebben nem indokolták az adatkezelés körülményét és nem nevezték meg a célját sem – ennek hiányában a jogalap sem elfogadható.

Az Oraculum 2020 Kft., az ezalenyeg.hu és további több mint 70 hírportál tulajdonosa két kampány során tömegesen keresett fel érintetteket azok politikai, illetve koronavírussal kapcsolatos véleményének felmérése céljából. Ennek lebonyolítására a piackutatással is foglalkozó SzondaPhone Kft.-t (adatfeldolgozó) bízták meg. A kutatócég az országos adatbázisát használta, a hívásokat robothívó szoftver bonyolította le, az érintettek a telefon nyomógombjai segítségével tudtak reagálni a feltett kérdésekre. A telefonszámok a korábbi telefonkönyvből származtak, a számokhoz tartozó többi adatot törölték, így álnevesítve azokat. A Hatóság adatvédelmi vizsgálata szerint a telefonos script-ek alapján az Oraculum 2020 Kft. – a script szövegének meghatározója – a cél kivételével egyetlen szükséges információt sem adott meg. Bár a cég jogos érdeket jelölt meg az adatkezelés jogalapjaként, ehhez a tájékoztatás tartalma nem volt megfelelő, és az adatkezeléssel szembeni tiltakozás lehetősége sem volt adott. A mellékelt érdekmérlegelési teszt sem támasztotta alá, hogy az adatkezelés az Oraculum 2020 Kft. jogos érdeke lenne. A mulasztások végett a Hatóság 7.000.000 forint adatvédelmi bírságot szabott ki. A SzondaPhone Kft. az álnevesített telefonszámokat tévesen nem személyes adatnak minősítette, ezért semmilyen adatkezelői kötelességet nem teljesített. Az előzetes tájékoztatás teljes hiányában, érvényes jogalap nélkül, a telefonszám adatbázisát korlátlan ideig és tiltakozási jog vagy egyéb érintetti jogok érdemi biztosítása nélkül kezelte éveken át, ezért a Hatóság 6.000.000 forint adatvédelmi bírság megfizetésére kötelezte.

Két érintetti panasz is érkezett a Szálláshely szolgáltatóra, melyekben sérelmezték a hozzájárulás nélküli hírlevélküldést és az adattörlési kérelem figyelmen kívül hagyását. A vendégek a Szállás weboldalán kérhettek árajánlatot. Ehhez az email címüket is meg kellett adniuk, melyet az elektronikus levelezőprogram el is mentett a hírlevelek küldéséhez is használt adatbankjába. A Szálláshely szerint – a Hatósággal ellenben – ez nem minősül adatkezelésnek és adatbázisnak sem. Nyilatkozatuk szerint azzal, hogy az árajánlatot kérő elfogadja az ÁSZF-et, az adatai kezeléséhez is hozzájárul. Azonban az ÁSZF elfogadása nem tekinthető hozzájárulásnak, mivel a GDPR rendelet kimondja, hogy a tájékoztatásnak tömör, átlátható, érthető és könnyen hozzáférhető formában kell történnie és el kell különíteni az egyéb, nem adatvédelemmel kapcsolatos tájékoztatástól. Ráadásul a hírlevelekkel kapcsolatban két jogalapot is megemlítettek, ami szintén nem elfogadható. A „kapcsolattartás” mint cél sem volt megfelelő, mivel az aktuális ajánlatokról való tájékoztatás közvetlen üzletszerzésnek tekinthető. A marketing célú adatkezelés esetében alapvető feltétel az érintettek informálása a hozzájárulási döntésük meghozása előtt, de a foglalás leadását lehetővé tevő weboldalon nem volt külön checkbox sem a direkt marketing célú adatkezeléshez. Továbbá nem tudták a Hatóság felé igazolni, hogy az érintettek adatait törölték, az érintetteknek sem adtak erről tájékoztatást.

A Kérelmező kétszer kérte levélben az egyéni vállalkozóként tevékenykedő Kérelmezettől a várandósgondozására vonatkozó egészségügyi dokumentációjának kiadását. Kérésére választ nem kapott, így a Hatósághoz fordult. A tényállás tisztázása során a Kérelmezett arra hivatkozott, hogy az érintetti kérelmet nem kapta meg, mivel a címzési helyen több orvos is rendel és nem ő vette át. A vizsgálat során az is kiderült, hogy a Kérelmező nem részesült adatkezelési tájékoztatásban, így ennek a megismerését, elfogadását sem tudta igazolni a Kérelmezett. A kért egészségügyi dokumentációt nem tudta a Kérelmező és a Hatóság részére bemutatni, mivel nem készültek ilyenek. A Kérelmező a vizsgálatokat a várandósgondozási kiskönyvének másolatával igazolta, melyben tollal kitöltve, pecséttel ellátva szerepelnek a látogatások és ultrahang vizsgálatok időpontjai. A vizsgálatokról, leletekről sem papír alapon, sem elektronikusan nem kapott eredményt. A hiányosságot a Kérelmezett a koronavírus járvány okozta leterheltséggel indokolta. A Hatóság bírság kiszabása mellett döntött, mivel a Kérelmezett nem kezelte átlátható módon az érintettek adatait, az adatkezelés jogszerűségét nem tudta igazolni és nem biztosította az érintetti jogokat.

A Kérelmező a kérelmezett Banktól egy telefonbeszélgetés hangfelvételének rendelkezésre bocsátását kérte, de ezt 1,5 hónap és két panasz megtételét követően kapta volna meg – feltéve, ha aláírással igazolja, hogy jogi képviselőjén kívül senkinek sem mutatja meg. A Kérelmező ezen feltételekkel nem tudott volna panaszt tenni a bankfelügyeletnél, ezért a Hatósághoz fordult. A tényállás tisztázása során a Bank azt nyilatkozta, hogy adminisztrációs hiba miatt történt csúszás a hangfelvétel kiadásában, majd a Kérelmező nem vette azt át, az említett feltételek miatt. A Hatóság döntése szerint a Bank nem teljesítette az érintetti kérelmet az egy hónapos határidőn belül, ennek meghosszabbításáról nem tájékoztatták a Kérelmezőt. Emellett a kérelem teljesítését a személyazonosításon kívül nem lehet különféle feltételekhez kötni, mivel az ügyintézővel folytatott beszélgetés nem tartalmazott üzleti titkokat.

A Hatóság hivatalból indított eljárást, mert valószínűsíthetőnek tartották, hogy a Webáruház adatkezelése sérti a GDPR rendelkezéseit. A weboldalon egy háztartási-energiatakarékossági kérdőívet tölthetnek ki az érdeklődők, cserébe egy 5 részes kozmetikai-háztartási termékekből összeállított csomagot kaphatnak. A kitöltőktől név, cím és telefonszám megadását is kérték, a csomag átadása miatt. A kérdőív beküldését az adatkezelési tájékoztató elfogadásához kötötték. Az eljárásban vizsgált időszakban 252 érintett töltötte ki a kérdőívet. Személyes adataik a kapcsolatfelvételi idő lejártával törlésre kerültek, azonban a Hatóság enélkül is meg tudta állapítani a jogsértést. A Hatóság álláspontja szerint az adatvédelmi tájékoztató nem fogalmazott egyértelműen, nem tartalmazta az adatkezelő kilétét és a megőrzési időt, nem közölte a jogalapot, a célokat felsorolva (nem az egyes adatokhoz kötve) jelölte meg. Mivel hiányos tájékoztatással a hozzájárulás nem elfogadható, ezért pénzbírság kiszabása mellett döntöttek.

Az ügy 2021. márciusában kezdődött, ekkor érkezett a Hatósághoz közérdekű bejelentés, amelyben az Önkormányzat COVID járvány kapcsán létrehozott átoltottságot vizsgáló kérdőívének jogszerűségét kérdőjelezték meg. A kérdőíveket postán küldték ki a kerületben élő nagykorú lakosoknak. Hozzájárulás alapján kezelték a kitöltők nevét, telefonszámát és e-mail címét, emellett egészségügyi adatokra kérdeztek rá (regisztrál-t e oltásra, megkapta-e az oltást, átesett-e a koronavírus fertőzésen). A Hatóság megkeresésére az Önkormányzat az egészségügyi adatok törléséről nyilatkozott. A kérdőíven nem szerepelt semmilyen tájékoztatás a célok, jogalapok, időtartamok tekintetében, ezért a hozzájárulás érvénytelennek tekinhető. Az adatgyűjtés során az adattakarékosság elvét is megsértette az Önkormányzat, mivel az egészségügyi adatokat nem anonim módon gyűjtötte – pl. iratazonosító számok segítségével.

Az incidens során hat darab, a Párt kezelésében lévő táblázat került nyilvánosan hozzáférhetővé egy fájlmegosztó oldalon keresztül, melyekben kb. 2000 pártoló tag adatai és elérhetőségei szerepeltek. Az esetről a Párt értesítette a Hatóságot. Az, hogy külső cselekmény vagy belső adatszivárgás okozta-e az esetet nem derült ki. Korábban a Google Sheets táblázatot hozzáférés korlátozással védték.

A bejelentést követően a Hatóság további adatszolgáltatást kért a Párttól, erre azonban nem érkezett válasz. A Hatóság az érintettek személyes adatainak kezelését magas kockázatúnak minősítette, mivel ezek politikai véleménnyel összefüggésbe hozható adatok voltak. A magas kockázattal szemben a Google Sheets online, ingyenesen elérhető szolgáltatása nem volt arányosan biztonságos, így azzal, hogy a Párt nem alkalmazott megfelelő technikai és szervezési intézkedéseket a pártszimpatizánsok adatainak megőrzése érdekében, megsértették az adatvédelmi törvényt.

A Kérelmező jogosulatlannak vélte a hitelszámlája engedményezésével összefüggő adatkezelést, ezért a Hatóság segítségét kérte. Ezt megelőzően tájékoztatást kért a Hitelintézettől adatai felhasználásával kapcsolatban és hozzájárulása hiányában kérte, töröljék személyes adatait majd utasítsák erre az engedményest is. A Hitelintézet határidőn belül válaszolt az érintetti kérelemre, azonban az ebben kért adattörlés elutasítását nem megfelelően indokolták meg, mivel a tájékoztatás csak az adatok átadására vonatkozott, a kezelt adatok körét és jogalapjait nem tartalmazta. A tájékoztatás során a Számviteli törvényben előírt megőrzési kötelezettségre kellett volna hivatkozniuk. A megküldött adatok között azonban volt kettő (levelezési cím és telefonszám), melyekre a Számviteli törvény nem vonatkozik. Ezek esetében a jogi igények érvényesítése lett volna a megfelelő jogalap. A Hitelintézet jogsértését a Hatóság súlyosnak vélte, a nem megfelelő tájékoztatás, a jogellenes adatkezelés és egy korábbi elmarasztalással végződő Hatósági ügy miatt, ezért 2.000.000 Ft-os bírságot szabott ki rá. A Követeléskezelő nyilatkozata tartalmazta a kezelt adatokat és az alkalmazott jogalapokat. A Kérelmezőtől nem érkezett feléjük adatvédelmi tárgyú megkeresés. A Követeléskezelő hibásan hivatkozott a szerződéses jogalapra, a követelési célú adatkezeléshez, hisz az csak a szerződés teljesítésére terjed ki. Jelen esetben a szerződés nemteljesítése miatt alakult ki a helyzet. Helyesen a követelés saját részére történő érvényesítéséhez fűződő jogos érdek lett volna elfogadható. A Hatóság felhívására a Követeléskezelő jogalapváltás mellett döntött, azonban a jogos érdek alkalmazásához szükséges érdekmérlegelési tesztet nem tudták bemutatni, emiatt 1.000.000 Ft bírságot kell megfizetniük.

Az eljárást a Kérelmező jogi képviselője kezdeményezte, és kérte a Kérelmező adatainak törlését a Központi Hitelinformációs Rendszerből (a továbbiakban: KHR). A Kérelmező először maga kérte a Követeléskezelőtől adatai törlését, elévülésre hivatkozva, azonban a Kérelmezett a tartozás megfizetéséhez kötötte ezt, mivel bírósági döntés még nem született az elévüléssel kapcsolatban.

A Hatóság álláspontja szerint az ügyben a kérelmezett Követeléskezelő referenciaadat-szolgáltatónak minősül, emellett a KHR-ben lévő adatokért adatkezelőként felelős, hisz ezek továbbítása, törlése, jogszerűsége, pontossága a hatáskörébe tartozik. Felülvizsgálatra került az adatok törvényes tárolásának ideje is, ennek eredménye, hogy 2019-től – a szerződéskötés felmondásától számított 10. évtől – jogalap nélkül kezelték a Kérelmező személyes adatait és a törlési kötelezettség elmulasztásával is megsértették a GDPR-t.

A megbírságolt személy autószerelői tevékenységet folytatott egy ingatlanban, melybe kamerákat telepítettek egy feltételezett betörési szándék észlelését követően. A megfigyelt területeken csak az ott dolgozó személyek – 6 fő – tartózkodhattak. Őket írásban tájékoztatták, hozzájárulásukat aláírással igazolták. A kamerákat élőkép megfigyelésére nem használták, bár a hozzájuk tartozó applikáció ezt lehetővé tette volna. A Hatóság több téren is kifogásolta az adatkezelési tevékenységüket. Egyrészt jogos érdek helyett a munkavállalók hozzájárulása képezte a rendszer üzemeltetésének jogalapját, mely az adatvédelmi szabályzatban leírtaknak is ellent mond. Másrészt az „iroda-ügyfélváró” és „konyha” helyiségeibe telepített kamerák alkalmasnak bizonyultak a munkavállalók indokolatlan megfigyelésére, mely nem összeegyeztethető az eredeti személy- és vagyonvédelmi céllal.

A Hatóság egy szerelési szolgáltatásokat nyújtó vállalkozás ellen indított vizsgálatot, mivel egy ügyfelük bejelentése alapján a lakásában végzett munkálatok közben hangfelvételt készítettek. A Kérelmezett állítása szerint a bejelentő esetében nem készült hangfelvétel, de elismerte, hogy szúrópróba szerűen – főként idős megrendelők esetében – az ügyvezető döntése alapján a munkálatokat végző kolléga saját mobiltelefonjával hangfelvételt készít, majd ezeket az ügyvezető offline, jelszóval védett laptopján a garanciaidő leteltéig (6 hónapig) tárolják. Az adatkezelés célja az ügyfelek tájékoztatásának dokumentálása volt, érintve a munkavégzés időtartamát és anyagköltségeit. Az érintetteket szóban tájékoztatták, emellett a munkalapon is szerepelt egy mondatban a hozzájáruláson alapuló felvételkészítés ténye. Egy korábbi hatósági vizsgálat során változtattak folyamataikon, a jogalapot jogos érdekre cserélték és a birtokukban lévő felvételeket törölték. A Hatóság az újabb vizsgálat során nem találta megfelelőnek a tájékoztatás minőségét, hiányolták a jogos érdeket alátámasztó érdekmérlegelési tesztet és nem tartották szükségesnek a hangfelvételkészítést, mivel panasz esetén az aláírt munkalap is elegendő lett volna. A felvételeket a célokon túl a munkavállalók ellenőrzésére is alkalmasnak találták.

A Hatóság ezúttal „Doktor Gődény” elnevezésű Facebook oldalon közzétett aláírásgyűjtő weboldal adatkezelésének jogszerűségét vetette vizsgálat alá. A kezdeményezés támogatásához online vagy aláírásgyűjtő ív letöltésével, postafiókra küldésével volt lehetőség. Az adatkezelési tájékoztatóban és a papír alapú íven is a Pártot jelölték meg adatkezelőként, ennek ellenére a Hatóság felkeresésére adott válaszban a Párt jelenlegi képviselője tagadta, hogy bármilyen részt vállalnának az ügyben, az egészet korábbi ügyvezetőjükhöz, dr. Gődény Györgyhöz kötötte. Dr. Gődény György a felkeresés során nem ismerte be, hogy köze lenne a gyűjtéshez, a Hatóság közösségi média források alapján mégis az adatkezelésben betöltött szerepét támasztotta alá. Korábbi nyilatkozatában elmondta, hogy a postafiókra érkező íveket ő veszi át, Facebook oldalán többször propagandálta az aláírásgyűjtést, egy online cikkben megjelent interjú során nyilatkozta, hogy ő maga és a Párt aláírást gyűjt. Az aláírásgyűjtésben betöltött meghatározó szerepe miatt adatkezelőnek minősítette a Hatóság, a Párttal együtt, mivel a tájékoztatókban ők voltak megjelölve. A Hatóság a következő hiányosságokat emelte ki: a weboldalon nem volt megfelelő a tájékoztatás az adatkezelés céljairól, mely különleges kategóriájú – politikai véleményre utaló – adatokat is érintett; nem adtak tájékoztatást az adatok tárolásáról, jogalapról; a politikai kapcsolattartáshoz való hozzájárulás nem a tájékoztatóba megadott módon zajlott. Az adatkezelést tisztességtelennek titulálták, mivel az adatkezelői minőség nem volt megfelelően tisztázott, az érintetteket megtévesztő módon tájékoztatták, a nem működő Párt megjelölésével.

Az ügy bejelentője kifogásolta, hogy személyes adatai (neve, lakcíme, telefonszáma) a hozzájárulása nélkül nyilvánosan elérhetőek egy telekommunikációs vállalat online tudakozójában. Panaszával először az ügyfélszolgálatot kereste fel, ahol összesen háromszor jelezte törlési igényét, mivel az első két alkalommal technikai és adminisztrációs hibák miatt ez nem valósult meg.

A problémához az vezetett, hogy a bejelentő 2015-ben kötött szerződésében ugyan nem járult hozzá a tudakozóban való adatközzétételhez, de 2018-ban újra-szerződéskor a hozzájárulását megadta. A vállalat ezt aláírt szerződés hiányában azonban nem tudta alátámasztani. A hatóság álláspontja szerint a vállalat jogalap nélkül hozta nyilvánosságra a bejelentő adatait és az adattörlési kérelemnek nem tettek határidőn belül eleget – a technikai hiba nem mentesíti őket az adatkezelői felelősségek alól.

A Kérelmező gépjármű vásárlási céllal személyi kölcsönt kívánt felvenni a Kérelmezettől, a hitelbírálat megtörtént, az ajánlatot aláírta, viszont szóban jelezte, hogy mégsem kéri a folyósítást. Ennek ellenére, amikor egy évvel később a Kérelmező egy másik pénzintézettől próbált kölcsönt felvenni, a Központi Hitelinformációs Rendszerben (KHR) 2 millió forint összegű kölcsönszerződést találtak a Kérelmezettel. A Kérelmező levélben kérte a Kérelmezettől adatainak KHR-ből való törlését, illetve kártérítést követelt. Adatait kérésére törölték. Magyarázatuk szerint a szerződés létrejött, mivel a Kérelmező aláírta, azonban a szóbeli elutasítás miatt az ügylet „folyósítás előtti ellenőrzés” állapotban van egy éve. A Hatóság álláspontja szerint a Kérelmezett jogi kötelezettségének eleget téve adta át a Kérelmező adatait a KHR részére, ha a szerződés megkötése igazolható. A Kérelmezett az elfogadó nyilatkozatot postai úton küldte el a Kérelmező részére, de nem ajánlott szelvénnyel adták fel, kiküldése és átvétele sem bizonyítható, ennek értelmében az adattovábbítás jogszerűsége sem igazolható.

Az ügy Kérelmezője jogtalannak vélte tartozását, melyet a Követelésbehajtó öröklés jogcímen követelt tőle, mivel öröksége nem fedezte az örökhagyó tartozásait. A felszólítás kézhezvételét követően panaszáról telefonon tájékoztatta a Követeléskezelőt, emellett kérte személyes adatainak törlését. Kérelmét indoklás nélkül elutasították.

A Hatóság megállapítása szerint az esethez két adminisztrációs hiba vezetett, melyek összhatása nagyfokú gondatlanságként értékelhető. A behajtási kérelmet adminisztrációs hiba miatt indították, mivel a Kérelmező örökösként szerepelt nyilvántartásukban. A Kérelmező szóban elhangzott panaszát állítólag nem rögzítették, pedig 5 évig tárolni kellett volna. A Hatóság benyomása mégis az lett, hogy a beszélgetés rögzítésre került, a Követeléskezelő az eljárás során megjegyzéseket is fűzött hozzá. A felvételt az eljárás indulását követően törölhették, sértve ezzel az elszámolhatóság elvét. Mivel a tartozás valóban nem volt érvényesíthető, a Kérelmező adatait jogszerűtlenül kezelték.

A Kérelmező – közügyektől visszavonult közszereplő, korábbi országgyűlési-képviselő és EU-parlamenti képviselő – sérelmezte, hogy a Híroldal riportere hozzájárulása nélkül készített fényképeket és több személyes adatával együtt – külső, életvitel, vagyon, ingatlan – közzétette online híroldalán és nyomtatott kiadásban. A Híroldal véleménye szerint a Kérelmező közszereplő, így a közzétett adatok nyilvános adatnak minősülnek és közérdeklődésre számot tartó tartalomként hozták nyilvánosságra. A Hatóság álláspontja szerint attól függetlenül, hogy a Kérelmező 30 évig volt a hazai közélet aktív szereplője, ugyanúgy megilleti a magánélet védelméhez való jog. A Kérelmezőről közzétett 4 fotóból 3 esetben olyan tevékenységeket ábrázol, ami magánéletét mutatja be, tehát nem minősül közügynek. Ezeket a Kérelmező hozzájárulása nélkül nem használhatták volna fel. Az újságírással kapcsolatos adatkezelés – amennyiben nem hozzájáruláson alapul – jogos érdek jogalapon történhet. A Fővárosi Törvényszék ítélete kimondta, hogy a képek titokban, a Kérelmező tudta nélkül készültek, ebből kifolyólag előzetes tájékoztatás nem történt. A Hatóság vizsgálatával párhuzamosan a Fővárosi Törvényszék ítéletet hozott az üggyel kapcsolatban, ebben Kötelezte a kérelmezettet a képek eltávolítására.

A bank 2017 óta alkalmazott hangelemző szoftvert, hogy mesterséges intelligencia segítségével elemezzék az ügyfélszolgálati telefonhívásokat. A szoftverrel egyrészt a munkavállalók teljesítményét értékelték, a várakoztatás, a csendben töltött idő és az egymásra beszélés alapján. Emellett adatokat gyűjtöttek az elégedetlen telefonálókról, hogy felmérjék, milyen sorrendben hívja őket vissza egy magasabb képzettséggel rendelkező munkatársuk. A rangsoroláshoz minden hívást rögzítettek, majd a szoftver kulcsszavak (például trágár szavak) és érzelmi, hangulati elemek azonosításával állította ki a listát – bár utóbbit csak az esetek 8%-ában ismerte fel.

A bank honlapján lévő adatkezelési tájékoztató nem tartalmazott érdemi információt a hangelemzésről, csak a minőségbiztosítást és panaszmegelőzést jelölték meg célként. A mesterséges intelligencia alkalmazásának adatvédelmi veszélyeire a hatásvizsgálat során is kitértek, de az érdekmérlegelési teszt nem tartalmazott megoldást ezek kezelésére.

A Hatóság felülvizsgálati kérelem hatására újravizsgálta azt a 2020. december 10-én kiadott (általunk is feldolgozott) határozatot, melyben 8 millió forint bírságot szabott ki az Egyetemnek, a rendszeres szociális ösztöndíj pályázatok benyújtása során végzett jogellenes adatkezelés miatt. A megismételt eljárásban nyilatkozattételre kérték fel az Egyetemet. Az Egyetem előadta, hogy a pályázó saját gyermekére vonatkozó adat olyan szempont, amit az Egyetem a vonatkozó szabályozás alapján köteles figyelembe venni; törlésre került a téves tény, miszerint valamennyi pályázó köteles csatolni lakossági bankszámlakivonatát kereseti körülményeinek igazolásához; illetve az árvaellátásról szóló dokumentum vagy a Nyugdíjfolyósító Igazgatósági igazolás csatolásának okait is tisztázták. A Hatóság elfogadta az Egyetem bizonyítását, azonban ez a három tényező csak kis mértékben csökkentette a jogsértő adatkezelési műveletek számát. A jogsértés súlyos kategóriába esése és az érintettek magas száma miatt továbbra is indokoltnak tartotta a bírság kiszabását, de 6 millió forintra mérsékelte azt.

Az Érintett 2019-ben kapott névre szóló, támogatást kérő levelet és csekket az Alapítványtól. Nyilatkozata szerint az adatait nem adta meg az Alapítványnak és adományozójuk sem volt soha, ezért tájékoztatást kért adatai forrására vonatkozóan. Válaszul az Alapítvány egy adattörlési jegyzőkönyvet küldött az Érintettnek, adatai kezeléséről azonban nem tájékoztatták. Nyilatkozattételükben a lehetséges támogatók adatainak forrásaként az interneten nyilvánosan hozzáférhető telefonkönyvet, valamint a Belügyminisztériumtól kikért adatbázist jelölték meg.
Ugyan civil szervezeteknek az adománygyűjtés érdekében az első kapcsolatfelvétellel végzett adatkezelés alapulhat érdekmérlegelési teszttel alátámasztott jogos érdeken, ám az Alapítvány érdekmérlegelése nem volt megfelelő, csak saját érdekeit tartalmazta, az érdekek összevetését nem. Az adatkezelési tájékoztatójukban jogos érdek helyett kizárólag az érintett hozzájárulására hivatkoztak, ebben adatkezelési folyamatukat nem a valóságnak megfelelően írták le. Az Érintett kérésére történő tájékoztatás helytelen volt, továbbá a feltárás során nem találták az Érintett adatait, így azok forrása tisztázatlan maradt. Mivel a teljes adatkezelési folyamatuk nem volt megfelelő, és korábban is volt hasonló okból kifolyólag hatósági ügyük, végül pénzbírság kiszabása mellett döntött a Hatóság. Ennek mértékénél számba vették, hogy az adományozottak is kárát szenvedhetik, ezért a jogosnak vélt összegnél alacsonyabb bírságot határoztak meg.

Az eljárás előzményeként a Kérelmezett magánvádas büntetőeljárást kezdeményezett a Kérelmezővel szemben, a Pesti Központi Kerületi Bíróság előtt. A feljelentéshez az vezetett, hogy a Kérelmező a [Társaság] jogtanácsosaként átadta a Kérelmezett magánlevelét, „szigorú magántitkát” az ügy másik két terheltje számára. A Bíróság büntetőeljárást indított, és személyes meghallgatást tűzött ki. A Kérelmezőnek feljelentettként a Bíróság kétszer küldött ki idézést, sikertelen kézbesítéssel.
A Kérelmezett az általa kezdeményezett büntetőeljárás irataiba való betekintés során képet készített a felbontatlan borítékról és a saját nevére szóló idézésről, majd ezeket e-mailben továbbította a Kérelmező több kollégájának és a [Társaság] központi e-mail címére, ezáltal a címzettek tudomást szereztek a Kérelmező büntetőügyéről. Az e-maileket azzal az indokkal küldte, hogy a Kérelmező biztosan megjelenjen a tárgyaláson.
A Kérelmező ezután fordult az Adatvédelmi Hatósághoz. Nyilatkozata szerint az e-mailhez összesen 142-216 fő fért hozzá. A Hatóság bevonását követően a Kérelmezett újabb ügyet indított a Bíróságon a Kérelmezővel szemben, az idézést ezúttal is elküldte a korábbi címzetteknek.
A Kérelmezett a Hatóság kérdéseire azt nyilatkozta, hogy nem minősül adatkezelőnek, mivel magánszemélyként, magánvádlóként, személyes célból küldte az e-maileket. A Hatóság mégis felelősnek vélte. A harmadik feleknek is továbbított e-mailek és dokumentumok a Kérelmező nevén és lakcímén túl személyes bűnügyi adatokat is tartalmaztak mint az eljárásjogi pozíciója, a bűncselekmény jellege. A Hatóság úgy vélte, hogy a Kérelmezett az adatok továbbításával adatkezelést végzett, mivel ő határozta meg az adatkezelés módját és célját; adatkezelőnek az a személy minősül, aki az adatkezeléssel kapcsolatos tényleges befolyást gyakorolja. Nem befolyásolja, hogy a Kérelmezett természetes személy, hiszen a GDPR fogalommeghatározása szerint adatkezelő természetes vagy jogi személy is lehet.
A Hatóság álláspontja szerint akkor minősülhetett volna a két e-mail elküldése személyes tevékenység keretében végzett adatkezelésnek, ha azt a Kérelmezett csak és kizárólag közvetlenül a Kérelmezőnek küldte volna meg.

A Kérelmező Magyarország Nagykövetségén teljesített tartós külszolgálatot, mielőtt Kérelmezett megszűntette külszolgálati és kormányzati jogviszonyát. Ezt követően a Kérelmező a Közszolgálati Döntőbizottságnál (KD) panaszban kifejtette, miért tartja jogszerűtlennek a döntést. A KD az eljárás során olyan a Kérelmezett által használt adatokat is feltárt – köztük mentális zavarodottságra utaló egészségügyi adatok – melyek létezéséről a Kérelmező nem rendelkezett tudomással és kérése ellenére sem adták ki a másolatokat részére. A Hatóság a Kérelmezettel szemben két irányú kötelezettség fennállást állapított meg. Az mentális állapotot leíró egészségügyi adatok megszerzésétől számított egy hónapon belül tájékoztatni kellett volna a Kötelezettet ezekről, a jogalap, cél és megőrzési idő feltüntetésével együtt. A tájékoztatás elmaradásával információs előfölény alakult ki. Miután a Kérelmező véletlenül tudomást szerzett az adatkezelésről, kérte a rá vonatkozó adatok kiadását, melyet a Kérelmezett megtagadott, ezzel megsértve a Kérelmező hozzáférési jogát.

Bejelentés alapján magánszemély ingatlanán elhelyezett kamerák jogszerűsége kapcsán indítottak eljárást, mivel egy kamera a kerítésen kívüli közterület megfigyelésére is alkalmasnak bizonyult. A Hatóság annak ellenére is fedezett fel jogszerűtlenségeket, hogy a kamerák felszerelés előtt a Jegyzőnél és a Rendőrségnél is bejelentésre kerültek. A vizsgálat alapján a magánszemélyt adatkezelőnek minősítették, mivel a kamerás megfigyelés magántulajdonon kívül eső területen tartózkodó személyekre is kiterjed, így a GDPR hatálya alá tartozik. A Hatóság hiányolta a megfelelő jogalapot, a megfelelő tájékoztatást, mivel célként a lopások megelőzését nem tartották elfogadhatónak, a kihelyezett piktogramok pedig nem adnak elégséges tájékoztatást. Súlyosbító tényezőként jelent meg, hogy a közterületen kiskorúak is tartózkodhatnak és a Kérelmezett nem válaszolt a Hatóság megkeresésére.

Gépkocsijának szervizelését követően a Szerviz elkérte a Kérelmező e-mail címét, melyen keresztül később elégedettségi kérdőív kitöltésére kérték fel. Az e-mail küldője a gépkocsi Importőr volt és az üzenet tartalmazta a Kérelmező gépkocsijának alvázszámát is, ezzel beazonosíthatóvá téve őt.
A Hatóság kiderítette, hogy a Szerviz mint adatfeldolgozó továbbította az adatokat az Importőr felé, a köztük fennálló márkaszervíz szerződés alapján, így a vizsgálat az Importőrrel, mint adatkezelővel szemben folytatódott.
Az Importőr nyilatkozata szerint az ügyfelek adatvédelmi tájékoztatását elsősorban a Szerviz végzi, a munkalappal egyidejűleg átadott nyomtatott adatkezelési tájékoztatóval. A vizsgálatok során a Hatóság arra jutott, hogy a munkalaphoz csatolt adatkezelési tájékoztató más céllal, más jogalappal készült, így nem felel meg az ügyfélelégedettség-méréssel kapcsolatos tájékoztatásnak (ráadásul a Kérelmező esetében a Szerviz munkavállalója a munkalap kitöltését, aláíratását és a tájékoztató átadását el is mulasztotta). Habár a Kérelmező nem vált az Importőr ügyfelévé, az adatkezelői mivolta miatt mégis az Importőr feladata lett volna a tájékoztatást, így a bírság megfizetésére is ők a kötelezettek.

A Kérelmező Kérelmezett előfizetőjeként emailben jelezte, hogy lakcímváltozás miatt a szolgáltatást lemondja és új címére – melyet az emailben megjelölt – szeretné átvinni. Ennek ellenére költözését követően számlát állítottak ki a régi lakcímére. Telefonos panaszbejelentése alapján ezt törölték, később azonban újabb fizetési felszólítást kapott a lemondott szolgáltatás után. Felkereste a Kérelmezett üzletét, hogy kikérje a két korábbi telefonhívása hangfelvételét. Kifogásolta az ügyintézés menetét, ezért a vásárlók könyvébe leírta tapasztalatait. Ezek meneteként többször is meg kellett adnia elérhetőségét, ahol az új címét jelölte meg. A hangfelvételekről szóló tájékoztató levelet és a panaszai válaszlevelét mégis a régi címére postázták. Adminisztrációs hiba miatt csak az ügyfélcímét módosították, a számlázási, postai címe a régi maradt. Azzal, hogy nem tettek eleget a lakcímadatok helyesbítésére vonatkozó kérelemnek megsértették a pontosság elvét és a helyesbítéshez való jogot, mivel az adatkezelőnek kötelessége a személyes adatok pontosságának biztosítása.

Az ügy kérelmezője harmadik személy tévesen megadott email címe miatt kapott kéretlen elektronikus levelet a telekommunikációs vállalattól. A problémát a cég ügyfélszolgálati email címén jelezte és kérte az elérhetőség törlését, hivatkozva a tényre, miszerint nem ő az ügyfelük. Megkeresésére sablon üzenetben küldött leiratkozási lehetőség hivatkozását kapta válaszul.

Mivel továbbra is kapott leveleket kérését további két alkalommal megismételte, jelezve, hogy a leiratkozási hivatkozás a bejelentkezési oldalra irányítja. A hivatkozási problémát később a NAIH vizsgálata is igazolta. A link nem egy bárki által használható leiratkozási felületet takart, csak a bejelentkezett ügyfelek számára nyújtott elérhető megoldást.

A kiszabott bírság mértékére több hasonló előzményügy is ráhatással volt. Ezekben a helytelen adat törlését csak a hatósági tényállás kézhezvételét követően végezték el, például téves mobiltelefonszám megadása vagy marketing megkeresésre vonatkozó nyilatkozat téves rögzítése esetében.

A megbírságolt tévécsatorna a Kérelmező egészségügyi adatait, melyek a személyes adatok különleges kategóriájába tartoznak, megfelelő jogalap hiányában hozta nyilvánosságra hírműsorában. A tájékoztatóban kitértek a Kérelmezett balesetét és kórházi kezelését érintő részletekre is, képi anyagként az eset helyszínét, a Kérelmezett lakóhelyét (település, utca, társasház) bemutatva, majd a keresztneve is elhangzott. A riporthoz a csatorna Messenger üzenetben kereste fel a Kérelmező szüleit, majd válasz hiányában testvérét, aki jelezte, hogy az interjútól elzárkóznak és nem kívánják az eset nyilvános megosztását.

A Kérelmező 2007-ben létrejött kölcsönszerződését Kérelmezett 1-nél (Hitelintézet) kötötte. A tartozás 2019-ben engedményezésre került Kérelmezett 2 (Követelésbehajtó) részére. A Kérelmező az engedményezést megelőző évben „Nyilatkozat” című levelében tiltotta meg a Hitelintézet számára az adatai harmadik félnek való kiadását. Emellett közel egy év alatt a Kérelmező nagy számú, kb. 50 panaszt nyújtott be a Hitelintézet számára. Ezek besorolása, feldolgozása nagy munkaterhet jelentett, ezért a „Nyilatkozat” c. levélre nem válaszoltak. A Követelésbehajtó a követelés megvásárlásakor a végzéshez nem szükséges egyéb személyes adatokat is kapott mint a Kérelmező telefonszáma, jövedelmi helyzetére vonatkozó adatok, hitelfelvétel célja. Az adatkezelési cél érdekében szükségtelen adatokat törölte. Hitelintézet [Kérelmezett 1] 2019-ben beolvadással megszűnt. A Hatóság Kérelmezett 1 adatkezelése miatt a Jogutódot bírságolta meg az általános adatvédelmi rendelet megsértése miatt. A rendeletnek ellentmondott, hogy Kérelmezett 1 a Követelésbehajtó részére olyan személyes adatokat is átadott, melyek nem szükségesek az igényérvényesítéséhez; ezeket a személyes adatokat az engedményezést követően ő és a Jogutód is jogellenesen kezelte; elmulasztotta a Kérelmező beadványaira való válaszadást, tájékoztatást.

A Kérelmező felmondott a munkahelyén és leadta a munkáltatója által biztosított laptopot. A Munkáltató a laptop ellenőrzésekor a böngészőt megnyitva betekintést nyert a Kérelmező magáncélú e-mail fiókjába – ekkor még azt hitte egy másodlagos céges fiókról van szó, mivel ez bevett gyakorlat volt náluk – és észlelte, hogy a Kérelmező üzleti titkokat továbbított a konkurenciának. A Kérelmező céges fiókja a munkaviszony megszűnését követően nem került megszüntetésre, csak archiválták, és az érkező leveleket az ügyvezetőnek továbbították. A Kérelmező sérelmezte, hogy fiókja még aktív, állítása szerint magán emailcímére is kapott innen továbbított leveleket, ezért a Hatósághoz fordult. Az email fiók archív megőrzését a Hatóság elfogadta, de a jogos érdekkel való alátámasztását érdekmérlegelés hiányában nem. Az eszköz átvizsgálása a Kérelmező jelenlétében lett volna jogszerű, mivel jelezni tudta volna, hogy a látott email fiók magánjellegű. A Kérelmezőt nem tájékoztatták a vizsgálatról és belső szabályzatuk sem volt az eszközök használatáról.

A Kérelmező korábban diszpécserként dolgozott [Cég2] – forgalomirányító – alkalmazásában. Munkaviszonya megszüntetését [Cég2] egy [Cég1] – közlekedésszervező – által rögzített és továbbított, a Kérelmezővel folytatott (szolgáltatás-ellenőrzési) telefonbeszélgetés alapján indokolta. A Kérelmező sérelmezte a beszélgetés rögzítését, ezért jogi képviselőjén keresztül fordult a Hatósághoz. Az általános adatvédelmi rendelet alapján egy személy hangja is személyes adatnak számít, a személyes adaton elvégzett bármely művelet pedig adatkezelésnek minősül. A felvételeket mindkét cég a saját céljaira alkalmazta, [Cég1] a [Cég2] szolgáltatásának ellenőrzése érdekében, míg [Cég2] munkafegyelmi vétség megállapítására használta. Ebből kifolyólag önálló adatkezelőnek minősülnek. [Cég1] nyilatkozata szerint a telefonhívások rögzítése diszpécseri munkakörből adódó jellegzetesség, ezért nem nyújtott tájékoztatást sem [Cég2], sem a Kérelmező számára. Miután [Cég2] megkapta a felvételt, ő sem tájékoztatta a Kérelmezőt az általa folytatott adatkezelésről. A közszolgálatot ellátó cégek nem tettek eleget az elszámolhatóság alapelvének.

A Hatóság bejelentés alapján szólította fel a Kérelmezettet weboldalain folyó adatkezelési gyakorlatuk ismertetésére. A Kérelmezett válaszában kijelentette, hogy nem gyűjtenek és kezelnek személyes adatokat, továbbá honlapjuk sincs. A válaszlevél beérkezését követően a Hatóság megvizsgálta a weboldalt és megállapította, hogy a kapcsolat menüpont alatt kérdésfeltevés esetén a Kérelmezett begyűjti az érintettek nevét, e-mail címét és telefonszámát. Ennek tudatában ismét felkeresték a Kérelmezettet tényállás tisztázás céljából. Határidőn belül nem érkezett válasz, ezért először százezer forint eljárási bírság megfizetésére és ismételt adatszolgáltatás teljesítésére kötelezték. A Kérelmezett erre sem reagált, ezért a Hatóság a weboldal domain-regisztrátoraihoz fordult. […] Kft., mint regisztrátor arról nyilatkozott, hogy a domaint 2018. május 25. és 2020. június 26. napja között a Kérelmezett használta. A fentiek alapján a Hatóság megállapította, hogy a Kérelmezett vizsgálati eljárásban tett nyilatkozata nem felelt meg a valóságnak, fennáll az adatkezelői felelőssége, mint domain-használó.

A Kérelmező 2017-től nem tudta tovább fizetni a 2008-ban kötött banki kölcsönszerződésének törlesztőrészletét. A Bank a követelést 2018-ban engedményezte a (követelésbehajtó) Társaság felé. A Társaság engedményezettként levélben szólította fel a Kérelmezőt a követelés teljesítésére. A levél kézbesítését követően a Kérelmező jelezte a Bank felé, hogy adatai továbbítását a Társaság részére – hozzájárulásának hiánya miatt – jogellenesnek véli, emellett kérte beadványa GDPR alapján történő elbírálását. A Bank arra hivatkozott, hogy az engedményezés során az ÁSZF-ben leírtak alapján jártak el. A Társaság hangsúlyozta, hogy MNB engedéllyel rendelkezik, ennek bizonyításaként elküldték a működési engedélyüket. A Hatóság észlelte, hogy a működési engedélyben meghatározott közigazgatási területnek a Kérelmező nem lakosa. A tényállás tisztázása során egyik kötelezett sem tudta megnevezni az adatkezelés jogalapját, ezzel az elszámolhatóság elvét sértették. Az engedményezéskor átadott finanszírozási kérelem szükségtelen a követelés érvényesítéséhez, ennek továbbításával és tárolásával megsértették az adattakarékosság és célhoz kötöttség elvét. A Bank továbbá a Kérelmező hozzáférési jogát is megsértette, a kért tájékoztatás elmulasztásával.

A Kérelmező álláspontja szerint a Kérelmezett (Követelésbehajtó) adatkezelési tájékoztatója nem megfelelő, nem tartalmaz minden szükséges információt. A Hatóság felkeresésére a Kérelmezett arról számolt be, hogy a követelés engedményezését követően, a Kérelmező számára küldött első felszólító levélben részletesen tájékoztatták az adatkezelésről, a későbbi levelekben már csak online tájékoztatójuk elérési útja szerepelt. A Kérelmezett az Engedményezőtől megkapta a Kérelmező telefonszámát. Elmondásuk szerint, ezt addig kezelik jogos érdekre hivatkozva, ameddig el nem érik az érintettet, annak érdekében, hogy a hozzájárulását kérjék. A Kérelmezőt próbálták hívni és beleegyezését kérni, de nem volt együttműködő, nem azonosította magát. Lakcímét a Belügyminisztériumtól kérték le, ide küldtek leveleket. A Hatóság megállapítása szerint a Követelésbehajtó több mint 3 évig hozzájárulás nélkül, megfelelő jogalap hiányában kezelte a Kérelmező telefonszámát, lakcíme megléte mellett ezzel sértve az adattakarékosság elvét is.

Az Otthonban 25 kamerából álló megfigyelőrendszer működött, a lakói vagyonvédelem, a munkarend és házirend fenntartása, továbbá az emberi élet, testi épség, személyi szabadság és üzleti titkok védelme céljából. Konkrét példaként említettek vitás ügyeket, mint a lakók egymás közötti élelmiszer-eltulajdonítása a teakonyhából, vagy tettlegesség, baleset esetén fellépő tényfeltáró szerepet. Az irodában is üzemelt kamera a lakóknak történő kifizetések dokumentálása, a páncélszekrény, az irodai munkatársak, dokumentumok, felszerelések védelme érdekében, amelyet viszont látószöge alkalmassá tett a munkavállalók tevékenységének rögzítésére is.
A NAIH álláspontja szerint a megfigyelés a Kötelezett által meghatározott és folytatott célra nem jogszerű, míg a vagyonvédelmi adatkezelési cél nem egyértelmű. A bírság kiszabása előtt három alkalommal szólították fel az Otthont, hogy szüntesse meg a kamerás megfigyelést. Most a bírságon túl 8 kamera üzemen kívüli helyezését kérték, mivel ezek alkalmatlanok a meghatározott adatkezelési cél elérésére. A többi kamerával kapcsolatban pedig megfelelő és átlátható tájékoztatást rendeltek el a lakók és dolgozók számára.

Budapest Főváros Kormányhivatala Népegészségügyi Főosztálya 2020. április 14-én a főváros XI., XII., XXII. kerületében dolgozó háziorvosoknak címzett e-mailt, melyhez egy Excel táblázatban mellékelték az OMSZ által gyűjtött Covid-19 világjárványhoz kapcsolódó minták eredményeit, 1153 beteg személyes adataival, panaszaival együtt.
Az adatok kiszivárogtak, mivel az incidens bejelentője egy magánszemély, aki nem tartozott az e-mail eredeti címzettjei közé, neki szintén magán e-mail címről továbbították a táblázatot.
A Kormányhivatal adatvédelmi tisztviselőjének véleménye szerint a táblázat elküldése előtt az abban szereplő adatokat körzetenként le kellett volna válogatni és külön-külön megküldeni a háziorvosoknak, mivel az adott háziorvos csak a vele orvos-páciens viszonyban lévő érintettek adatait ismerhette volna meg. Emellett kiemelte, hogy az adatvédelmi incidens nem járt kockázattal a természetes személyek jogaira, így az incidens bejelentését a Hatóság irányába nem tartották indokoltnak.
A NAIH álláspontja szerint a Hivatal nem alkalmazott megfelelő technikai és szervezési intézkedéseket (pl.: jelszavas hozzáférésvédelem) az egészségügyi adatok bizalmasságának megőrzése érdekében az adattovábbítás során. A kockázatelemzés során pedig nem a megfelelő kategóriába sorolták az incidenst, ezért elmulasztották a Hatóság és az érintettek tájékoztatását.

A bejelentő kifogásolta, hogy a Követeléskezelő jogalap nélkül szerezte meg és kezeli személyes adatait, továbbá lakcímváltozásának lekövetése hiányában adatait és banktitkait harmadik személyek is megismerhették. A tényállás tisztázása során a Követeléskezelő nyilatkozta, hogy engedményezési szerződéssel lett a kölcsönszerződéssel fennálló követelés jogosultja, ahol a bejelentő adatainak forrása az engedményező, az adatkezelés célja pedig követeléskezelés. Jogalapként a GDPR 6. cikk (1) bekezdés b) pontjára hivatkoztak. A Hatóság megállapítása, hogy az említett jogalap csak akkor alkalmazható, ha az a szerződés teljesítéséhez szükséges, tehát a szerződés érintett általi nemteljesítésre nem lehet kiterjeszteni, így követeléskezelés céljából történő kezelésre nem alkalmazható. Az adatkezelés célja és jogalapja is ellent mond a GDPR-nak, továbbá a bejelentő adatvédelmi tájékoztatása is hiányos volt. A Követeléskezelőt korábban már négy alkalommal, összesen 8.500.000 forint adatvédelmi bírsággal büntette a Hatóság.

A Kérelmező e-mailben kérte egy bankfiók külső és belső kamerái által, meghatározott időpontokban készült felvételek zárolását és az ezekhez való hozzáférését. Kérését a törvényben foglalt határidőre nem teljesítették, az elutasítás okáról nem tájékoztatták, ezért megismételte a felkérést. Tényállás tisztázása során a Kérelmezett nyilatkozta, hogy bár a Kérelmező tájékoztatását elmulasztotta – a határidő 60 napos meghosszabbításáról a Kérelmezőt levélben értesítette – a kamerafelvételek maszkolását (anonimizálását) a teljesítés érdekében megkezdte. A Kérelmezőnek a Hatósághoz küldött nyilatkozattal egyidőben megküldték a kért felvételeket. A Kérelmező kifogásolta, hogy a felvételeket nagymértékben maszkolták, így a készítésének helye megállapíthatatlan. A Hatóság álláspontja szerint a Kérelmező tájékoztatása nem felelt meg az adatvédelmi rendeletnek, mivel a kérelem beérkezésétől számított egy hónapon belül nem történt meg. A határidő 60 napos meghosszabbítása csak az első kérelemre vonatkozott. Végül a Kérelmező több, mint 4 hónap elteltével kapott választ. A tájékoztatás elmulasztásáért kiszabott bírság mellett felszólították a Kérelmezettet, hogy a kért felvételeket indokolatlanul túlzó mértékű maszkolás nélkül bocsássa a Kérelmező rendelkezésére, mivel ezek az ügyfelek által bejárható területekről készültek.

Az incidens bejelentője a várandósság 12. hetét követően kereste fel Bankját a babaváró kölcsöne törlesztőrészletének felfüggesztése kapcsán. Az ügy általános meneteként ennek igazolására be kellett mutatnia a várandósgondozási könyvét. A Bank ügyintézői szabályozás hiányában fiókonként eltérő terjedelemben másolatot készítettek erről. A bejelentő esetében a teljes könyvet lemásolták. A könyv a várandós nő személyes adatain túl számos egészségügyi adatot is tartalmaz. A hatósági végzés kézhezvételét követően a Bank megszüntette az érintett dokumentumok másolását, a korábbi másolatokat megsemmisítették és szabályzat módosításban írták le, hogy a bemutatandó dokumentumokról másolatot nem készítenek. Az ügyfelek a várandósgondozási könyv bemutatását követően egy nyomtatvány kitöltésével igazolhatják adataikat a továbbiakban. Mivel a Bank megsértette az adattakarékosság elvét és nem nyújtott átlátható tájékoztatást a babaváró kölcsön igénylése és a létrejött kölcsönszerződések fennállása alatt végzett adatkezelésről, a Hatóság 35 millió forint bírságot szabott ki.

Az eljárást az Ügyfél bejelentése alapján a berlini adatvédelmi hatóság kezdeményezte az IMI rendszeren – az Európai Bizottság belső piaci információs rendszere, amely lehetővé teszi a közigazgatási szervek közötti információcserét. Az Ügyfél a Kérelmezett weboldalán foglalt szállást, itt az adatkezelésről nem talált tájékoztatót. A szállásra érkezéskor ki kellett töltenie a szükséges formanyomtatványt és át kellett adnia személyazonosító igazolványát, melyről a szállásadó alkalmazottja okostelefonjával fényképet készített és egy a kollégáival közös WhatsApp csoportos beszélgetésbe töltötte fel. Az alkalmazott elmondása szerint ennek hiányában nem foglalhatták volna el a szállást. A NAIH vizsgálata során nem talált a weboldalon adatkezelési tájékoztatót, későbbi próbálkozásaik során nem kattintható hivatkozást találtak. Az Ügyfél hozzáférési kérelmére 7 hónap után válaszoltak. Ebben az általános adatkezelési tájékoztatót küldték meg részére, azonban ezt az adott érintett adataira vonatkozóan kellett volna kiadni, ráadásul egy hónapon belül. A szállásadó megsértette az adattakarékosság elvét azzal, hogy a személyazonosító okmányról fényképet készített, a WhatsApp csoportba történő megosztásra pedig nem volt jogalapjuk.

A Hatóság névtelen bejelentés alapján indított vizsgálatot annak feltárására, hogy a Budapesti Műszaki és Gazdaságtudományi Egyetem a szociális ösztöndíj iránti pályázatok benyújtása, valamint elbírálása során betartja-e az általános adatvédelmi rendelet előírásait. Mivel az Egyetem nem fér hozzá olyan állami adatbázishoz, amelyből adatokat kérhetne le a juttatásra való jogosultság megállapítása érdekében, a hallgató köteles a pályázatához mellékelni a jogosultságot igazoló dokumentumokat. A vizsgálat során több hibára is fény derült. Az Egyetem nem törekedett az adatminimalizálásra. Olyan adatok kezelését is előírta, amelyet az általa hivatkozott jogszabályok nem határoztak meg értékelendő szempontként. Ilyenek a pályázóval egy háztartásban élő harmadik személyek egészségügyi adatai is, amelyeket a GDPR rendelet különleges kategóriába sorol. A jövedelemigazolásokat pedig 6 hónapra visszamenőleg kérték be az előírt 3 hónappal szemben. A pályázatok elbírálása az Egyetem álláspontja szerint kötelező adatkezeléssel jár, a kérelem benyújtása pedig önkéntes, mivel a hallgatóknak nem kötelező pályázatot leadni. Ez esetben az önkéntesség megkérdőjelezhető. Ha a hallgató nem adja hozzájárulását adatai kezeléséhez vagy nem csatol minden bekért dokumentumot hátrány érheti, azaz alacsonyabb ösztöndíjat kap vagy egyáltalán nem kap támogatást. A felsoroltakon túl a Hatóság az adatkezelésről nyújtott tájékoztatást is megtévesztőnek, jogsértőnek vélte, főként azért, mert nem tettek különbséget a pályázó hallgató és harmadik személyek (pályázóval egy háztartásban élők) adatainak kezelése és hozzájárulása között.

FRISSÍTÉS: 2022. február 2-án a Hatóság felülvizsgálta a határozatot, és 6 millió forintra mérsékelte a bírságot.

Közérdekű bejelentés érkezett 2019. december 29-én, miszerint (az azóta már felszámolás alatt lévő) Robinson-Tours Idegenforgalmi és Szolgáltató Kft. weboldalán 781 ügyfél személyes adatai váltak bárki számára elérhetővé. Az adatbázis tartalmát a Google keresőmotorja is felderítette, így kulcsszavas (akár név, úti cél alapján történő) kereséssel, jogosultságkezelés nélkül könnyen hozzáférhető volt. Az incidens több, mint egy hónapig állt fent. A későbbi ellenőrzések során látható volt, hogy az adatbázis frissült, új ügyfelekkel bővült. A cég tárhelyszolgáltatói, programozói, rendszergazdai feladatait a Next Time Media Ügynökség Kft. végezte. A hibáról az idegenforgalmi vállalkozás a határozat kézhezvételéig nem tudott, ezt követően a sérülékenységet azonnal jelezték a rendszergazda felé. Az incidens a weboldal fejlesztése során, a végső verzióból el nem távolított tesztkörnyezetből és a jogosultságellenőrzési rendszer hiányából adódott. A sérülékenység fennállásának időszakában két IP címről történt jogosulatlan hozzáférés, melyből az egyik a Hatóság vizsgálata során keletkezett. A hibából tanulva felhasználónév és jelszó alkalmazását vezettek be. A két fél szerződése szerint az adatfeldolgozás biztonságának garantálása az adatfeldolgozó, azaz a Next Time Media Ügynökség Kft. feladata, ezért ők is büntetésben részesültek.

A Kérelmező mobilparkolási szolgáltatást kívánt igénybe venni, azonban a szolgáltatásban hiba állt be, így a fizetés sikertelen volt, ami miatt megbírságolták. A pótdíj megfizetését kérelmezte a mobilszolgáltatójától, akivel a fizetéshez használt céges készülékén előfizetői szerződés volt. A szolgáltató a Kérelmező munkáltatójának címezte válaszlevelét, melyhez a Kérelmező személyes adatai mellett az ügyhöz kapcsolódó dokumentumokat is mellékelte. A Kötelezett álláspontja szerint a telefonszám alapján a munkáltató minősül előfizetőnek, a vizsgálati eredményekről pedig az előfizetőt kötelesek tájékoztatni.
A Hatóság megállapította, hogy a Kötelezett megfelelő jogalap nélkül továbbította a Kérelmező személyes adatait a munkáltató részére, mivel az eset nem állt összefüggésben a szerződéssel. A Kérelmezőt, mint felhasználót kellett volna értesíteni.

Az ügy elindítását a Kötelezett egyik munkavállalója kezdeményezte, akit azzal bíztak meg, hogy a telephelyen kihelyezett kamerák által közvetített képeket ellenőrizze. A Kérelmezőt felettesei szóban utasították a munkavállalók ellenőrzésére, kiemelt figyelmet fordítva a pihenőidő eltöltését illetően. A pihenőidőt egy pihenési célból kialakított helyiségben töltötték a munkavállalók. Kamera ebben a helyiségben is működött. A kamerák eredetileg személy- és vagyonvédelmi okokból kerültek telepítésre. Erről a munkaszerződésben minden belépőt tájékoztattak, illetve az érintett munkavállalók e-mailben is megkapták az adatvédelmi szabályzatot. A szabályzat értelmében nem telepíthető kamera olyan helyiségbe, amely az alkalmazottak munkaközi idejének eltöltésére van kijelölve. A Kötelezett állítása szerint az ügyben említett pihenőhely elsődlegesen raktározásra és adminisztrációs tevékenységek végzésére van fenntartva, ezért volt indokolt a kamera felhelyezése. Később a Kötelezett egy másik munkavállalója is panaszt tett a Hatóságnál a kamerafelvételeket illető tájékoztatás hiányáról.
A vizsgálat során megállapították, hogy a kamerák szöge alkalmas a munkavállalók megfigyelésére. A két egymástól független panaszbejelentés alapján valószínűsíthető, hogy valóban alkalmazták a munkaintenzitás megfigyelésére a felvételeket.

A Kérelmező 2019. június 10-én személyesen kérte bankfiókjában, hogy az értesítési címét frissítsék új lakcímére. Annak tudatában távozott, hogy ez megtörtént. Később e-mailben kért tájékoztatást személyes- illetve kapcsolattartási adatairól. Ebben az e-mailben meg is jelölte új lakcímét. A tájékoztatás az új címére érkezett meg, viszont a kiküldött adatlapon még a régi cím szerepelt. A Kérelmező úgy gondolta, adatai azért nem lettek frissítve, mert a lakcím módosítási kérelem óta eltelt 3 hetes időtartam nem volt elegendő az adatmódosításra. Egy hónappal később, július 10-én a Kérelmező személyesen kérte bankfiókjában a bankszámlája megszüntetését. A Bank tájékoztatta, hogy a bankszámla 30 napon belül fog megszűnni. Ennek ellenére október 3-án a Kérelmező tudomására jutott, hogy bankszámlája még nem szűnt meg. Pár nappal később telefonon keresztül rögzített panaszbejelentést tett, kitérve az adatai kezelésével kapcsolatos jogsérelmi álláspontjára is. Értesítési címként még ekkor is csak a régi lakcíme szerepelt. Október 29-én a Bank írásbeli válaszában elismerte a számlamegszüntetés elmaradását, az ebből adódó jogellenes adatkezelést és a Kérelmező félretájékoztatását. A Hatóság nyilatkozattételre kérte fel a Bankot. A Bank álláspontja, hogy a Kérelmező tájékoztatása megtörtént. Az adatkezelési tájékoztató elérhető a weboldalukon és telefonos ügyfélszolgálaton, emellett a Kérelmező számára küldött válaszlevélhez is csatoltak egy nyomtatott példányt. A lakcím-módosítás az ügyintéző hibájából eredően lett sikertelen. A hiba felismerése után a Kérelmező nem a kölcsönös tájékoztatáson alapuló joggyakorlás elvének megfelelően járt el. A bankszámlaszám megszüntetésekor a jogalapnak megfelelően jártak el, betartva a megőrzési időt.

A Kérelmező régi lakcímére érkeztek fizetési felszólítólevelek a Követeléskezelőtől. A követelés eredeti jogosultja a Bank volt, mellyel 2001-ben kötött kölcsönszerződést a Kérelmező, majd a tartozás törlesztésének elmulasztása miatt a tartozást a Bank a Követeléskezelőnek engedményezte. A Kérelmező jelezte a Követeléskezelő felé, hogy lakcíme nem egyezik meg a Belügyminisztérium nyilvántartásából lekérttel, ezért töröljék azt és minden más személyes adatát. A Hatóság álláspontja szerint azzal, hogy nem törölték a nem naprakész lakcím adatot megsértették a GDPR rendeletet.

A 2020-as év második legnagyobb büntetését a UPC tudhatta magáénak. A Hatóság 60 000 000 forintos adatvédelmi bírságot szabott ki, személyes ügyfélszolgálatukon zajló ügyintézés során készített hangfelvételek miatt. Az eset az országban 24 üzlettel rendelkező cégnél havonta körülbelül 50 000 ügyfél adatait érintette. A UPC meglátása szerint az adatkezelés ily módja megfelelő jogalappal rendelkezett, ezt a hangrögzítés bevezetését megelőző érdekmérlegelési teszttel támasztották alá, mely szerint az adatkezelési cél a UPC gazdasági érdekeinek védelmén túl a fogyasztóvédelmi érdekek biztosítására is kiterjed. Az üzletbe belépő ügyfeleket a sorszámhúzó rendszeren keresztül tájékoztatták a hangrögzítés tényéről, emellett a honlapjukon megtalálható Általános tájékoztatóba is belefoglalták. A Hatóság álláspontja szerint az adatkezelés jogalapja nem helytálló, mivel az érdekmérlegelési teszten nem az ügyfelek ellenérdekeit vizsgálták. Az érintettek jogait illető garanciákat sem tartották megfelelőnek, a felvételek tárolási idejének hossza és a hozzáférés belső szabályozásának hiányában. Nem voltak egyértelműek a megfogalmazott célok, így a felvételek készítése nem felelt meg a célhoz kötöttség elvének. A teljes ügyintézési folyamat rögzítésével pedig megsértették az adattakarékosság elvét. A Hatóság megállapította, hogy a UPC a felvétel-készítés megkezdését megelőzően az érintettek részére kizárólag az adatkezelés tényéről nyújtott tájékoztatást a sorszámhúzó rendszeren keresztül, melynek formai és tartalmi elemei nem voltak megfelelőek a teljes körű tájékoztatásra.

A Kérelmező 2019. július 15-én bérletkiadó automatán keresztül szeretett volna havibérletet vásárolni, de az automata a sikeres bankkártyás fizetést követően nem adott ki bérletszelvényt. A Kérelmező aznap jelezte a problémát a Kérelmezett (Közlekedésszervező) ügyfélszolgálatán. Az ügyfélszolgálati és adatfeldolgozói munkát a Kérelmezett számára egy másik tulajdonában álló cég végezte. Októberben a Kérelmező a kormányhivatalhoz kívánt fordulni az üggyel, ezért tájékoztatást kért az adatfeldolgozó cégtől a vásárlás során megadott személyes adataival (személyi igazolvány szám, bankkártya szám, bérlet érvényességi ideje), illetve kamerafelvétel megléte esetén a rögzített videó kiadásával kapcsolatban. Ezen felül kérte az adatai zárolását a vizsgálat lezárulásáig. A kért témában nem kapott teljes körű választ, adataihoz nem fért hozzá. A Kérelmezett nyilatkozata szerint az automaták a nyomtatás után törlik a személyes adatokat, ezek nem kerülnek tárolásra. Azonosítás céljából csak a tranzakciós adatokat tárolják, amelyek nem számítanak személyes adatnak. Az automaták ugyan kamerával felszereltek, viszont a felvételeket a törvénynek megfelelően 16 napig tárolják. A Kérelmező a tárolási idő letelte után kérvényezte a felvételek zárolását, így erre nem volt mód. A Kérelmezett szerint az automata bérletkiadó nyílását ért manipuláció (eltömítés) miatt eshetett meg a kellemetlenség. Ezekben az esetekben nem vállal kártérítést. A Hatóság végül a Közlekedésszervező cégre, mint adatkezelőre szabott ki bírságot a Kérelmező hiányos tájékoztatása miatt.

A Kérelmező a Kötelezett kaposvári üzletében 2018. május 26. napján kilencezer-kilencszázkilencven forint értékben vásárolt, majd fizetést követően úgy nyilatkozott, hogy nem kéri a visszajárót. Később vette észre, hogy húszezer forintos bankjeggyel fizetett, a blokk szerint tízezer-tíz forint visszajárót kapott, állítása szerint azonban nem kapott visszajárót. A Kérelmező május 29-én panaszt tett, melyről jegyzőkönyv is készült. Emellett ezen a napon a Kötelezett számára címzett levélben jelezte, hogy az esetről készült kamerafelvételt szeretné megtekinteni, illetve kérte, hogy az eset lezárásáig ne töröljék a felvételt. A Kötelezett válaszlevélben tájékoztatta a Kérelmezőt, hogy a felvételt csak hivatalos rendőrségi megkeresés ellenében adhatják ki.
A Kérelmező 2018. június 25. napján rendőrségi feljelentést tett, azonban a rendőrségi eljárás során a megkeresés idejében a kamerafelvétel már nem állt rendelkezésre. A Hatóság a fentiek alapján indokoltnak látta, hogy hatósági ellenőrzést indítson annak ellenőrzése érdekében, hogy a Kötelezett adatkezelési gyakorlat során betartja-e az általános adatvédelmi rendeletben foglalt követelményeket.
A Kötelezett nyilatkozata alapján, a kamerafelvétel hozzáférési jog kezelése nem központi utasítás alapján történt. Az adatvédelmi rendelet hatályba lépésekor (2018. május 25), még nem rendelkeztek belső adatkezelési szabályzattal. Elismerték, hogy hibásan jártak el a kérelem kezelése során.
A bírságot indokolja, hogy az általános adatvédelmi rendeletet 2018. május 25. napjától kell alkalmazni, így a 2018. május 26. napján készült kamerafelvétel tekintetében az ezt követő napokon előterjesztett kérelmekre a rendelet szabályai vonatkoznak. A rendelet alapján a rögzítő a kamerafelvételen szereplő valamely személy kérésére köteles hozzáférést biztosítani a felvétel azon részéhez, amelyen az adott személy szerepel. Emellett a rendelet értelmében kérésre a rögzítő köteles a szokásos megőrzési időn túl is tárolni a felvételeket, az érintett jogi igényeinek érvényesítése érdekében. Enyhítő körülmény, hogy a Kötelezett a jogsértő állapot felismerését követően, a szabályzat elkészültéig (2019. november 26.), elrendelte a kamerafelvételek rögzítésének megszüntetését.

A Kérelmező költözése után a Bankja felfüggesztette az egyenlegértesítő levelek postai küldését, mivel nem rendelkeztek a Kérelmező új címadataival. A Kérelmező számláján 2015-ig keletkezett tartozást a Bank Kérelmezett I.-nek, mint követelésbehajtással foglalkozó vállalatnak engedményezte. Kérelmezett I. a követelés kezelésével Kérelmezett II.-t (adatfeldolgozót) bízta meg, akivel 2016 decemberétől 2017 júliusáig dolgoztak az ügyön. Ezen időszak alatt vált ismertté a Kérelmező új címe is, melyre a végrehajtó cég által küldött levelet a Kérelmező nem kifogásolta. Később, 2019-ben Kérelmezett I. egy másik végrehajtó cégnek, Kérelmezett III.-nak engedményezte a követelést és ehhez a Kérelmező minden adatát, köztük a címadatot is átadta. Az érintettek közül a hatóság Kérelmező I.-t kötelezte bírság megfizetésére, a Kérelmező adatainak jogellenes kezelése miatt, mivel az adatokat nem az engedményezés során szerezte.

A Kérelmező levelet kapott Kérelmezett II.-től, amelyben a Kérelmezett I. és Kérelmezett II. között történt engedményezésről (követelés átruházásról) tájékoztatták és tartozása megfizetésével kapcsolatos ajánlatról értesítették. A Kérelmezőnek egyik fél felé sem volt tartozása ezért a levél küldőjét e-mailben, Kérelmezett I.-t legközelebbi bankfiókjában kereste fel. Kérelmezett I. továbbította a panaszt az engedményesnek (Kérelmezett II.-nek). Később a Kérelmező újabb e-mailben kért a Kérelmezettektől személyes adatai kezeléséről szóló tájékoztatást. Kérelmezett II. az ügy kezdetétől számított 2 hónap múlva tájékoztatást küldött a Kérelmezőnek, miszerint adminisztrációs hibából kifolyólag tévesen küldték ki számára a fizetési felszólítást, ezért az eljárást lezárják, adatait törlik a nyilvántartásból. A hiba forrása Kérelmezett I.-től származó nem hiteles ingatlan tulajdoni lap, amely szerint a Kérelmező egy ingatlan 1/12 tulajdoni hányadban tulajdonosa. A tulajdoni lapon tévesen szerepeltek a Kérelmező adatai. A téves rögzítés körülményei, okai nem feltárhatók. A végrehajtási jogot Kérelmezett I. az ingatlan másik résztulajdonosának terhére kívánta bejegyeztetni Kérelmezett II.-nél.

Kötelezett 2016 októberétől kezdődően pénzügyi közvetítői, alkuszi tevékenységet folytatott a Magyar Nemzeti Bank (MNB) engedélye nélkül. Az MNB 2018. szeptember 13-án helyszíni ellenőrzés során lefoglalt számos, a Kötelezett cég tevékenységéhez köthető dokumentumot, amelyeket a Hatóság részére is továbbított. Ezek többek között személyes adatokat is tartalmazó megbízási szerződések, tulajdoni lapok, banki dokumentációk, munkáltatói igazolások, bankszámlakivonatok, kölcsönszerződések, végrehajtási eljárásokkal és hitelezőkkel szemben folytatott peres eljárásokkal kapcsolatos iratok voltak.
A lefoglalt iratokkal 300 személy vált azonosíthatóvá, akik kapcsolatban álltak Kötelezettel. A dokumentumokban az ügyfelek személyes adatai (név, lakóhely, személyiigazolvány-szám, adószám, elérhetőség, jövedelem, végrehajtási eljárásokra vonatkozó adatok), illetve egészségügyi adatok, leletek is fel voltak tüntetve. A rendelkezésre álló adatok és az érintettek nagy száma miatt a Hatóság ellenőrzés során vizsgálta Kötelezett adatkezelési és adatvédelmi kötelezettségeinek való megfelelését.
Kötelezett nem rendelkezett adatkezelési tájékoztatóval és a szerződésekben sem voltak személyes adatokra vonatkozó rendelkezések. Sem az ügyfelek, sem pedig a munkavállalók adatainak rögzítésére, kezelésére sem készítettek adatvédelmi szabályzatot.
Kötelezett 2019. március 5-én vette kézhez az MNB eltiltó végzését. Ezt követően Kötelezett fizetésképtelenné vált, tevékenységet nem végez.

Kérelmező azzal a panasszal fordult a Hatósághoz, hogy volt munkáltatója, a Kérelmezett, a […] számú ingatlant ideiglenes lakáscímeként tartja nyilván annak ellenére, hogy az tíz évvel ezelőtt megszűnt. Kérelmező ezt több év alatt több alkalommal is jelezte Kérelmezettnek, ezért – álláspontja szerint – annak több alkalommal is lehetősége lett volna ezen adat törlésére. Sérelmezte továbbá, hogy Kérelmezett ezen túlmenően egyéb személyes adatait az ő hozzájárulása nélkül továbbította egy másik adatkezelő (a NAIH határozatából nem derül ki egyértelműen, de a körülményekből vélelmezetten egy pénzintézet) részére, Kérelmezett SZÉP-kártya-használatával összefüggésben. A vizsgálat során Kérelmezett egyrészt arra hivatkozott, hogy Kérelmező a lakcím megszűnését nem az általa elvárt, szabályos módon közölte vele, mint munkáltatóval; a másik, adattovábbításos ügyben pedig különféle jogszabályokra hivatkozott. A NAIH a vizsgálat végén összefoglalóan azt állapította meg, hogy „Az adatpontosság elvéből következően a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük. Az adatkezelőnek minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse” - márpedig ezt több ponton is elmulasztotta. A Kérelmezett az adattovábbítás jogalapjaként a jogos érdek jogalapját jelölte meg, ennek keretében arra hivatkozott, hogy az ő részéről jogos érdekként merült fel, hogy ezt a béren kívüli juttatást zökkenőmentesen biztosítsa a munkavállalói részére, a munkavállalók felől pedig, hogy az ügyintézést megkönnyítsék az oldalukon. A Hatóság álláspontja szerint ugyanakkor „a jogos érdek jogalapjára akkor lehet alapozni adatkezelést, ha az adatkezelés az adatkezelő vagy egy harmadik fél, nem pedig az érintettek jogos érdekeinek érvényesítéséhez szükséges. A harmadik fél fogalmából következően az érintett nem minősül harmadik félnek, ezért érdekében erre a jogalapra nem lehet hivatkozni.” Mindezek okán Kérelmezettet „hivatalból elmarasztalva” a jelzett adatvédelmi bírság megfizetésére kötelezte.

A Hatóság által határozattal csak 2020 nyarán lezárt, ám részben még 2018-ra visszanyúló ügy több érdekes részmegállapítást is tartalmaz. Az eset lényege, hogy Kérelmező magánszemély azt panaszolta, hogy a Kérelmezett által 2019 elején, a Forbes Magazin mellékleteként megjelentetett „50 leggazdagabb magyar” c. kiadványban róla, mint kérelmezőről, illetve családjáról Kérelmezett egyes személyes és különleges adatokat az ő hozzájárulása és tájékoztatása nélkül jelentetett meg. Egyik érdekességként a Hatóság a jogsértés megállapítására irányuló kérelem 2018. május 25. napja előtti adatkezelést érintő része tekintetében az adatvédelmi hatósági eljárást végzésben megszüntette, mivel megállapítása szerint erre az időszakra nézve az általános adatvédelmi rendelet nem alkalmazandó, így akkorra vonatkozó vizsgálatra Hatóságnak nincs jogosultsága. A kérelem beadásának módja szempontjából érdekes, hogy a Hatóság csak a hozzá postai úton 2019. októberében beérkezett beadványt tekinti az adatvédelmi hatósági eljárás lefolytatására irányuló kérelemnek, az eljárás során az abban előadottakat, valamint az azt követően beérkezett nyilatkozatokat vette figyelembe. A Hatósághoz 2019 februárjában kizárólag elektronikus levél útján érkezett beadvány ugyanis az Ákr.) 35. § (2) bekezdése alapján nem minősül „Ákr. szerinti kérelemnek” , az csak vizsgálati eljárás lefolytatására irányuló kérelemként értelmezhető. Végezetül a NAIH megállapította, hogy Kérelmezett a kérdéses adatkezelés kapcsán nem megfelelően végezte el az érdekmérlegelést, és saját, illetve harmadik fél (nyilvánosság) jogos érdekeiről és ezek Kérelmezők érdekeivel való összemérésének eredményéről előzetesen nem tájékoztatta a Kérelmezőket. Továbbá, Kérelmezett azzal, hogy nem nyújtott megfelelő tájékoztatást a Kérelmezők részére az adatkezelés valamennyi lényeges körülményéről és a Kérelmezők személyes adatok kezelése elleni tiltakozáshoz való jogáról, továbbá a tudomására jutott információk ellenére a tiltakozást követően nem bizonyította, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek a Kérelmezők érdekeivel, jogaival és szabadságaival szemben, és a Kérelmezők érintetti joggyakorlásra irányuló kérelmeire adott válaszaiban nem nyújtott tájékoztatást a Kérelmezők jogérvényesítési lehetőségeiről, megsértette a jelzett jogszabályokat, amiért a mellékelt összegű adatvédelmi bírsággal sújtotta.

Jelen ügy érdekessége, hogy gyakorlatilag szinte mindenben megegyezik a jelen határozattal egy időben hozott NAIH/2020/838/2 számú határozatában fogaltakkal (ugyanaz a panasz, az újságban szereplő egy másik magánszemély részéről, szinte teljesen ugyanazokkal a jogsértésekkel). A másikhoz képest félmillió forinttal kisebb összegű bírság indoklásában a NAIH éppen arra hivatkozik, hogy annak kiszabásakor már tekintettel volt a párhuzamosan futó másik bírság összegére is.

A Kérelmezők az őket képviselő […] szakszervezeten és e szakszervezet jogi képviselőjén keresztül azt kifogásolták, hogy a Kérelmezett elektronikus megfigyelőrendszert helyezett el a székhelyén található gyárépületének munkavállalók által használt ebédlőjében, a közösségi étkezésre, illetve a munkaközi szünet eltöltésére kijelölt helyiségben. Továbbá e kameráktól elkülönülten, egy elsődlegesen két munkavállaló által használt munkavégzési helyiségben is kamerát szereltek fel, amelyet – beállítási szöge alapján – kizárólag a munkavállalók megfigyelésére alkalmaznak. A kérelem szerint több eltérő információ van arról, hogy az élőképes vagy a mentett felvételeket kik láthatják, és ezen személyek köre olyan tág lehet, amely adatvédelmi aggályt vet fel. A kamerás megfigyelőrendszer telepítéséről előzetesen nem tájékoztatták megfelelően az érintetteket. A rendszer telepítése után szóban annyi tájékoztatást kaptak a helyszínen tartózkodó munkavállalók, hogy mostantól kamerarendszer üzemel az adott helyiségekben, azonban sem a felhasználás céljáról és jogalapjáról, sem a felvétel tárolásának helyéről és idejéről nem kaptak tájékoztatást, sem szóban, sem írásban, annak ellenére, hogy ezt többször kérték, írásban is. A Hatóság a kérelmet ugyan elutasította, de hivatalból megállapította, hogy a Kérelmezett a célhoz kötött adatkezelés és a szükségesség, az adattakarékosság, és a tisztességes adatkezelés elvébe ütközően, megfelelő jogalap hiányában kezelte a munkavállalók személyes adatait a kamerás megfigyeléssel összefüggően, továbbá az adatkezelésről jogellenesen nem nyújtott megfelelő előzetes tájékoztatást.

A Kérelmező vitatta a Pénzintézet adatkezelésének jogszerűségét és a hozzáférési kérelmének megfelelő teljesítését. A Pénzintézet e-mailben tájékoztatta a Kérelmezőt, hogy a pénztártagok számára csoportos egészségbiztosítást kötött a Biztosítóval. A Kérelmező tájékoztatást kért arról, hogy milyen alapon adta át a Pénzintézet az adatait a Biztosítónak. A Pénzintézet válaszában nem tért ki a jogalapra, ezért újabb tájékoztatást kért adatainak továbbításáról. Erre válaszul általános tájékoztatást kapott az adatkezelésről. Azzal, hogy a kérdésekre nem adott konkrét választ, a Pénzintézet megsértette a GDPR rendeletet.

Kérelmező a személyes adatai jogellenes kezelésének és továbbításának megállapítását kérte a Hatóságtól, Kérelmezett I.-gyel, mint pénzintézettel, illetve Kérelmezett II.-vel, mint végrehajtóval szemben. Kérelmezett I.-el még 2008-ban kölcsönszerződést kötött, amelyet Kérelmezett I. 2014-ben felmondott. A követelést Kérelmezett I. Kérelmezett II.-re engedményezte. Utóbbi kérelmére, már 2017-ben végrehajtási eljárás indult Kérelmezővel szemben. A végrehajtó az ingatlan értékbecslését 2018. nyarán elvégezte. Kérelmező kifogásolta, hogy a vele szemben fennálló követelés behajtása, illetve végrehajtása alatt Kérelmezett II. (a Kérelmező állítása szerint feltételezhetően a Kérelmezett I.-vel közösen) több alkalommal, legutoljára 2018. november 22-én „külső” értékbecslő részére továbbította a személyes adatait. Ezzel kapcsolatban többször is panaszt nyújtott be, illetve két alkalommal feljelentést is tett, 2013-ban, majd 2018-ban. A Hatóság első lépésben a vizsgált időszakról döntött, így megállapította, hogy az ügy jelentős része 2018 májusa, azaz a GDPR-rendelet hatályba lépése előttre datálódik, így azzal az indoklással, hogy az abban foglaltak ezt megelőző időszakra nem alkalmazhatóak, az ügy összes erre vonatkozó részével kapcsolatos kérelmet elutasította, az erre vonatkozó eljárást megszüntette. Az ezt követő időszakra vonatkozóan hivatalból megállapította ugyanakkor, hogy Kérelmezett I. és II. egyaránt megsértette az adattakarékosság elvét, egyikük sem végzett érdekmérlegelési tesztet, ügyfelüket nem tájékoztatták megfelelően jogairól, adatait engedélye nélkül 3. fél részére továbbították. Emellett saját adataira vonatkozó megismerési, majd törlési kérelmére nem válaszoltak kellőképpen, így adatkezelésük több paragrafust sértett, ezért a határozatban foglalt összegű bírságok megfizetésére kötelezte őket..

A NAIH hivatalból vizsgálta dr. Hadházy Ákos Ányos országgyűlési képviselőnek (a továbbiakban: Adatkezelő) az Európai Ügyészséghez való csatlakozásra vonatkozó aláírásgyűjtésével összefüggésben történt adatkezelés jogszerűségét. Megállapította, hogy az érintettek adatkezeléshez történő hozzájárulásának hiányoznak a legfontosabb fogalmi elemei – azaz az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása – amelyek megléte szükséges ahhoz, hogy az adatkezelés Adatkezelő által megjelölt jogalapja, azaz a hozzájárulás érvényes legyen. Így Adatkezelő érvényes jogalap nélkül kezeli az aláírásgyűjtéssel összefüggésben az érintettektől gyűjtött valamennyi személyes adatot. Ezek a személyes adatok különleges kategóriái közé tartoznak, és azok kezelésére többek között abban az esetben van lehetősége az adatkezelőnek, ha ahhoz az érintett kifejezetten hozzájárulását adta. Az Adatkezelő emellett nem nyújtott az érintetteknek tájékoztatást az adatkezelés valamennyi lényeges körülményéről.

A munkahelyeken, a munkáltató számítógépein, munkahelyi e-mail címeken folyó – egyedi szerződésekkel nyilván bárhol szabályozható, de a valóságban bizonyosan hétköznapinak tekinthető – magáncélú levelezés következményeit felgöngyölítő, egyes részterületei miatt bírósági ítélettel záruló ügyben vizsgálódott a NAIH. Az eset lényege, hogy az egyik egyetemen korábban közalkalmazotti jogviszonyban álló kérelmező azt sérelmezte, hogy e jogviszonya megszűnése után volt munkáltatója azonnal megszüntette hozzáférési jogát az addig általa használt céges levelezőrendszerhez, pedig az jelentős számú, részben kutatói tevékenységéhez kötődő magánlevelet is tartalmazott, így kérte utóbbiak kiadását. Az egyetem ezt arra hivatkozva tagadta meg, hogy a szerver olyan nagy mennyiségű levelet tartalmaz, amelyet nincs kapacitása hivatali és magánlevelekre szétválogatni. A hatóság megállapítása a hosszas okfejtés és jogszabályi helyek idézése végén az lett, hogy az egyetem jogszerűtlenül tagadta meg a kért adatok kiadását, megsértve ezzel a GDPR-rendelet átlátható tájékoztatásra és hozzáférési jogra vonatkozó alapelveit. Általános tanulságként pedig azt tehetjük hozzá, hogy a munkaviszony felbontásakor keletkező hasonló problémák elkerülésének legjobb módja, ha a felek már magában a munkaszerződésben előre részletesen szabályozzák a hivatali számítógépek és levelezőrendszerek magáncélú használatának feltélteleit – és persze azokat mindketten be is tartják.

A gyakorlatában ritka esetként az adatkezelő mellett egy kisebb összegű adatvédelmi bírságot az adatfeldolgozóra is kirótt a NAIH. Az eljárás követeléskezelési tevékenységgel állt összefüggésben, és az érintetti jogok gyakorlásával (hozzáférési jog), valamint az adatvédelmi alapelvek (átláthatóság, célhoz kötöttség, pontosság, elszámoltathatóság) érvényesülésével kapcsolatban tartalmazott megállapításokat. A II. rendű kérelmezett adatfeldolgozóként vett részt az adatkezelésben és a felek közötti adatkezelésre vonatkozó megállapodás azt is rögzítette, hogy ha egy kérelmet az adatfeldolgozónál nyújtanak be, akkor azt az adatkezelőnek kell továbbítania, ezekre a kérelmekre közvetlenül nem válaszolhat. Az adatfeldolgozó a fentiek ellenére a hozzá beérkező kérelmet közvetlenül megválaszolta az érintettnek, ráadásul a levelében magára, mint adatkezelőre hivatkozik, csak a levél végén szerepel egy mondatban, hogy a választ, mint adatfeldolgozó küldi. A Hatóság szerint a megfelelő tájékoztatásért az adatkezelő, azaz az I. rendű kérelmezett felel, amellyel az általános adatvédelmi rendelet 5. cikk (2) bekezdés alapján neki ell elszámolnia. Tekintettel arra, hogy a II. rendű kérelmezett tájékoztatása félrevezető és ellentmondásos, mivel adatkezelőként és adatfeldolgozóként is hivatkozik magára, a Hatóság megállapította, hogy az adatfeldolgozói minőségén túlterjeszkedve nyújtott tájékoztatásával megsértette az átláthatóság elvét.

Nézzük, mit is kellett elkövetni az eddigi hazai rekordbüntetésért, azaz 100 millió forintért! A határozat szerint az ügyfél – a Digi Távközlési és Szolgáltató Kft. – tavaly szeptemberben szerzett tudomást és jelentett be rögtön adatvédelmi incidenst annak kapcsán, hogy egy támadó a www.digi.hu honlapon keresztül elérhető sérülékenységet kihasználva hozzáfért körülbelül […] érintett személyes adataihoz, akik nagyobb részt (kb. […] fő) az Ügyfél megrendelői és előfizetői, kisebb részt (kb. […] fő) pedig hírlevére feliratkozó volt. A személyes adatok között megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyiigazolvány-száma (esetenként személyi száma), e-mail címe, vezetékes és mobiltelefonszáma. Sőt, a rendszergazdák felhasználói adatai is, az ily módon rendszergazdai jogosultsággal hozzáférhető további adatok pedig még szélesebb körű visszaélésre adtak volna lehetőséget. Érdekesség, hogy a „támadó” egyébként egy etikus hacker volt, aki nem visszaélési, hanem segítő szándékkal kutatja fel különféle webes felületek sérülékenységét, így ebben az esetben is maga jelezte a hibát a Diginek, annak technikai jellegével együtt, így a cég ezt viszonylag hamar ki tudta javítani. A kiemelkedően nagy összegű, 100 millió forintos bírságot a hatóság hosszas felsorolásban indokolta. Kiemelte, hogy az incidens egy olyan hibára vezethető vissza, amelyről, illetve annak ingyenes javítási lehetőségéről a cégnek immár kilenc esztendeje tudomása volt (lehetett), ezt mégsem tette meg, amivel még saját érvényben lévő belső szabályzatait is semmibe vette. Közrejátszott benne az ügy kapcsán érintett adatok nagy száma, az azok érzékenysége által jelentett kockázatok, továbbá az ügyfél piaci pozíciója, amelyek alapján fokozottan elvárható tőle a megfelelő adatbiztonsági intézkedések alkalmazása. A bírság összegének megállapítása során figyelembe vették, hogy a Digi a 2018-as üzleti évben több mint 47 milliárd, a 2019-esben pedig több mint 51 milliárd forintos nettó árbevételt ért el, így a kiszabott bírság összege a jogsértés súlyával és a cég nagyságával is arányban áll.

FRISSÍTÉS: 2023. június 22-én megismételt hatósági eljárás keretében a korábbi 100 millió forintos bírásgot 80 millió forintra mérsékelték.

A Hatósághoz 2019. július 9-én közérdekű bejelentés érkezett, amely az Ügyfél online időpont foglaló rendszerében fennálló, személyes-, köztük különleges adatokat érintő sérülékenységre hívta fel a
figyelmet. A hibából fakadóan személyes adatokat is tartalmazó orvosi leletek, beutalók váltak nyilvánosan, bejelentkezés vagy regisztráció nélkül is hozzáférhetővé. A bejelentő először az Ügyfélhez fordult észrevételével, azonban a hiba nem került kijavításra és visszajelzés sem érkezett. Egészségügyi adatok érintettsége miatt az ügy magas kockázati besorolást kapott. Az adatvédelmi incidens feltehetően körülbelül 9000 fő személyes adatait érinthette. Az Ügyfél nyilatkozata alapján, a jogosulatlan hozzáférési lehetőségről csak később, 2019. július 19-én a Hatóság végzéséből értesült, amelyet azonnal és teljes mértékben elhárított. Emellett a könyvtárak titkosítását, a jogosultsági szintek és a felhasználói hozzáférések szigorítását is eszközölte, ezzel kiküszöbölte az esetleges rendszerhibától független adatvisszaéléseket.

A beérkezett kérelem alapján az intézmény vezetője pozíciójával visszaélve 82 alkalommal jogosulatlanul ismerte meg a Kérelmezők – 3 alkalmazott – egészségügyi személyes adatait, a betegellátási nyilvántartásra használt MedSolution és az eMedSolution információs rendszerekből lekérve. Ezt a rendszer naplófájljaival támasztották alá a Hatóság felé. A Kérelmezők kifogásolták, hogy az ügyet jelentve az Adatkezelőnek (Szegedi Tudományegyetem), nem minősítették azt incidensnek, és nem teljesítették ezzel összefüggő kötelezettségeit, például a Hatóság felé történő bejelentést. Mivel az adatlekérés még a GDPR rendelet hatályba lépése előtt történt, ezt a Hatóság nem vizsgálta, csak az incidens vizsgálásának menetét. A Hatóság értékelése szerint az alkalmazottak egészségügyi adatainak lekérése jogellenes volt, így adatvédelmi incidens következett be. Az Adatkezelőnek, miután tudomására jutott, 72 órán belül jelentenie kellett volna a Hatóságnak, mivel az adatok különleges jellege miatt az ügy kockázattal járt az érintettekre nézve. Emellett a Hatóság hiányolta az információs rendszerből az adatbiztonsági intézkedéseket, például jelzést az ismétlődő lekérések esetében.

Egy banki ügyintéző téves adatrögzítésével az ügyfélnek okozott kár ügyében vizsgálódott a NAIH. Az eset legfőbb tanulsága, hogy bár a hatóság is megállapította, hogy a bank részéről nem szándékosság áll a háttérben, az ügyintéző hibája nem kimentési ok, azaz a bankot a felelősség alól nem mentesíti. Súlyosbító körülményként értékelték, hogy az ügyfélnek egy újabb hitelügylet során tényleges anyagi kára is származott a bank hibájából, illetve, hogy annak eljárásrendje önmagában nem nyújt garanciákat egy hasonló ügyintézői tévedés kiküszöbölésére. Enyhítő körülményként írták jóvá ugyanakkor, hogy egyedi esetről volt szó, illetve maga a pénzintézet is önként anyagi kártérítést nyújtott a kérelmezőnek – végül így kerekedett ki az egymillió forintos bírság.

Kérelmező magánszemély azért fordult a Hatósághoz, mert a Kérelmezett által üzemeltetett […] bárban a biztonsági őrök megtámadták és könnyű testi sértést követtek el ellene. Mivel álláspontja szerint az esetet rögzítették a bár épületén található – Kérelmező szerint jogszerűtlenül a közterületet is figyelő – kamerák, feljelentést tett, amelyben a rendőrségnek jelezte, hogy kérje be e kamerák által rögzített felvételeket, egyúttal kérte a kamerafelvételek zárolását. Egyben a közterületet jogszerűtlenül figyelő kamerákat és az azokról szóló tájékoztatás hiányát kifogásolta. Továbbá azt is, hogy a felvételek zárolására, majd tájékoztatás kérésére és személyes adataihoz való hozzáférésre, felvételkiadási kérelmére sem kapott érdemi választ; csupán jóval később annyit, hogy Kérelmezett törölte a korábban zárolt felvételeket. A NAIH a kérelemnek részben helyt adva megállapította, hogy Kérelmezett nem nyújtott megfelelő tájékoztatást intézkedéseiől, továbbá a zárolt kamerafelvételek feloldásáról és a felvételek törléséről, a másolatok kiadásának jogáról. Ezért utasította Kérelmezettet, hogy teljesítse Kérelmező hozzáférési jog gyakorlására irányuló kérelmét. A kamerákkal kapcsolatban hivatalból vizsgált adatkezelés kapcsán megállapította, hogy Kérelmezett megsértette az elszámoltathatóság alapelvét. Határozatában a kérelem adatvédelmi bírság kiszabására vonatkozó részét elutasította, ugyanakkor Kérelmezettet hivatalból kötelezte ennek megfizetésére.

A kérelemben előadottak szerint Kötelezett megbízottja …-én kézbesített egy fizetési felszólítás Kérelmező lakcímére. A dokumentumot Kérelmező férje vette át, aki tájékoztatta a képviselőt arról, hogy a felszólítás címzettje több éve életvitelszerűen külföldön tartózkodik. Kérelmező ugyanaznap telefonon közölte dokumentumot átadó személlyel, hogy a követelést maximum 2-3 napon belül ki fogja egyenlíteni - ami …napján meg is történt.. Kötelezett megbízottja a telefonos megbeszélés alkalmával nem közölte Kérelmezővel azt, hogy a beszélgetés, illetve a neve és a telefonszáma rögzítésre kerül-e, és arról sem tájékoztatta, hogy esetleg a későbbiekben ügyfélként fogják kezelni. Kérelmező ezt követően SMS értesítéseket kapott Kötelezettől, amelyben tartozást közöltek, amelynek elmaradása esetén végrehajtást helyeztek kilátásba. Kérelmező többször is jelezte a befizetés megtörténtét, azonban erre újabb felszólítások érkeztek. Kérelmező kérte, hogy a Hatóság állapítsa meg a Kötelezett jogellenes adatkezelésének tényét, és utasítsa a Kötelezettet a személyes adatai (telefonszám, e-mail cím, lakcím) törlésére. A lefolytatott vizsgálat során a Hatóság a telefonszám törlésére vonatkozó kérelemnek helyt adott, mivel a rendelet szerint Kérelmező személyes adatának kezeléséhez szükséges a megfelelő tájékoztatáson alapuló, egyértelmű, önkéntes és konkrét hozzájárulás meglétének bizonyítása, amelyet Kötelezett nem tudott igazolni. A kérelem többi részét végzésben elutasította.

Kötelezett jogellenesen készített, majd közzétett egy fényképet Kérelmezőről és annak kiskorú gyermekéről. Kérelmező nem járult hozzá a kép készítéséhez, és figyelmen kívül hagyták a hozzáféréshez és a törléshez való jogának gyakorlására irányuló kérelmét, így Kötelezett megsértette az érintetti joggyakorláshoz való jogát, az átlátható és a tisztességes adatkezelés jogát. Az adatkezelés megfelelő jogalap nélkül, a szükséges és arányos mértéket meghaladva történt, így Kötelezett megsértette a jogszerűség, a célhoz kötöttség és az adattakarékosság elvét is.

Az érthetetlenül gyakori esetek közé sorolható az az ügy, amelyben a bejelentő állampolgár a saját kertjében a szél által odafújt papírszemetek között egy nagyjából száz nevet és hozzájuk kapcsolódó egyéb személyes adatot, többek között ügyfélkapus jelszavakat is tartalmazó iratot fedezett föl, amelyről kiderült, hogy egy könyvelő cég ügyféllistájáról származnak. Az adatkezelő a vizsgálat során végig segítő módon járt el, és bár azok körét, akik az irodában egyáltalán hozzáférhettek a kikerült dokumentumokhoz, jelentősen le tudták szűkíteni, a konkrét „tettes”, akinek a gondatlansága vagy szándékossága ide vezetett, végül bizonyíthatóan nem volt tisztázható. A NAIH ebben az ügyben, miközben megállapította, hogy a könyvelő cég adat- és incidenskezelési szabályzatai, illetve gyakorlata nagyon is hiányos volt, illetve, hogy az adatokat indokolatlanul tárolta az elektronikus forma mellett papír alapon is, ami nagyban hozzájárult az incidens kialakulásához, a viszonylag kisebb összegű bírsággal elsősorban azt méltányolta, hogy a cég még az eljárás idején igazolta, hogy az adatbiztonság növelése, illetve egész eljárásrendje GDPR-megfeleltetése érdekében különösen gyors és hathatós intézkedéseket tett.

A kérelem szerint Kérelmezett - kölcsönszerződésével kapcsolatban - nem teljesítette a 2019…-én kelt, és hozzáférési joggyakorlásra irányuló kérelmében foglaltakat, a kért adatokhoz nem biztosított számára hozzáférést. Kérelmező álláspontja szerint a személyes adatai vonatkozásában adatvédelmi incidens történt, mivel a Kérelmezett által kezelt „adatok olyan módon módosultak, amelyeket az érintett nem lát át, nem látja az érintett az adatkezelés következetességét és jogszerűségét, az adatkezelő nyilvántartása és az érintett saját nyilvántartása nem egyezik meg ugyanazon időpontokra vetítve…” Tájékoztatást kért továbbá arról, hogy az […] e-mail címről küldött két dokumentumot, miszerint a részzletfizetési megállapodás felbontásra került, milyen személyes adatok alapján küldték meg a részére. Kérelmezett erre 2019…-én kelt válaszlevelében tájékoztatást adott általánosságban az adatkezelés céljáról, a kezelt személyes adatok kategóriáiról, az adatkezelés jogalapjáról, a címzettekről, a személyes adatok kezelésének, tárolásának időtartamáról, az automatizált döntéshozatalról, valamint az érintetti jogokról, valamint a jogérvényesítési lehetőségekről. Kérelmező álláspontja szerint a e válaszlevél csak általánosságokat tartalmaz, de nem ad választ a kérelemben megfogalmazott konkrét kérésekre, kérdésekre. A Hatóság a Kérelmező kérelmének helyt ad és megállapítja, hogy a Kérelmezett nem megfelelően teljesítette a 2019. július 5-én kelt hozzáférési joga gyakorlására irányuló kérelmét és ezzel megsértette a Kérelmező hozzáférési jogát. Utasítja a Kérelmezettet, hogy a 30 napon belül biztosítson hozzáférést Kérelmezőnek a kérelemben megjelölt személyes adataihoz. A Hatóság a kérelmet a Kérelmező személyes adatának nem minősülő adatok vonatkozásában elutasítja. Emellett Kérelmezettet hivatalból a jelzett bírság megfizetésére kötelezi.

Kérelmező korábbi munkáltatója megsértette a korlátozott tárolhatóság elvét azzal, hogy tárolta a korábbi igazgatói pozíciót betöltő Kérelmező magánlevelezéseit, illetve az átláthatóságot sértve -tájékoztatás nélkül, a célhoz kötöttséget sértve, megfelelő jogalap nélkül keresett egy dokumentumot a jogutód elrendelésével az archivált email fiókjaiban. Kérelmezett sértette az elszámoltathatóság elvét azzal, hogy nem történtek olyan szervezési, technikai intézkedések, amelyekkel a személyes adatok védelme az email fiókok használatával és archiválásával kapcsolatban biztosítva lett volna. Kötelezett állítása szerint a keresés célzottan, a feladó és a tárgy alapján történt, a folyamat során hozzáférhettek az érintett és vele kapcsolatban álló harmadik személyek személyes adataihoz. Bár az adatkezelés szükségességét igazolták, az adatkezelés jogsértő módon történt. A munkáltató nem adott lehetőséget arra, hogy az adatkezelést, az adatok törlését kontrollálhassa, és a szükséges adatokat a saját eszközére mentse. Kérelmezők kérelme Kérelmezettre irányult. Kérelmezett viszont Kötelezett nevében járt el egy közös adatkezelési szerződés alapján.

A Kérelmezők a Kérelmezettel szemben terjesztettek elő kérelmet a Hatóság felé. A Kérelmezett azonban a Kötelezett nevében járt el, a Kötelezett MNB által jóváhagyott közvetítőjeként. A Kötelezett és a Kérelmezett Közös Adatkezelői Szerződést kötött, így mindketten adatkezelőként tárolták a Kérelmezők személyes adatait. A Kérelmezett azonban nem adhatott választ az érintetti kérelmekre a Kötelezett írásos jóváhagyása nélkül, és engedély nélkül nem törölhetett adatot a követeléskezelő rendszerből. A Kérelmezett és a Kötelezett nem közösen hozott döntéseket, így a Kérelmezett nem adatkezelő, hanem adatfeldolgozó volt. Adatfeldolgozóként viszont nem sértette meg az adatvédelmi rendeletet. A Kötelezett a Kérelmezettel ellentétben megsértette a GDPR rendeletet azzal, hogy nem tett eleget a Kérelmezők személyes adatainak törlésére vonatkozó kérelmének, amelyeket a Kérelmezőkkel szemben fennálló követelés érvényesítése miatt tárolt. A Kötelezett a telefonszám adatokat jogalap nélkül kezelte, majd a hozzájárulásuk visszavonása (információs önrendelkezési jogukból fakadóan lehetséges) után is tovább kezelte azokat, így megsértette a célhoz kötöttség és az adattakarékosság elvét. A Kötelezett nem nyújtott előzetes tájékoztatást megfelelő módon arról, hogy ki a jogosult adatkezelő a törlési kérelmek elbírálásában, valamint a Kérelmezők Kérelmezett felé benyújtott levelére a Kötelezett válaszolt, a Kérelmezők számára így nem volt világos, hogy ki dönt a kérelmükről, ezzel pedig sérült az átlátható adatkezelés elve is.

Egy országgyűlési képviselő panaszbeadványában leírtak szerint az origo.hu internetes oldalon 2019. februárjában két cikk is megjelent arra vonatkozóan, hogy az országgyűlési képviselő korábban VIP belépőre tartott igényt az adott Egészségügyi Központban. A cikkben szkennelt formában, a személyes adatait - kivéve a nevét - kitakarva jelent meg az igényt bejelentő lap , amelyet a képviselő csak az Egészségügyi Központ részére küldött el emailben. A szóban forgó Ügyfél állítása szerint a cikkek megjelenésekor szerzett tudomást a történtekről, azonban azt nem minősítette adatvédelmi incidensnek, annak ellenére sem, hogy az Egészségügyi Központ felügyeletét ellátó szervezet a cikkek megjelenését követően egyből adatvédelmi ellenőrzést rendelt el. Az incidensnek való minősítés csak akkor történt meg, mikor a hatósági ellenőrzés már megkezdődött. Végül nem derült ki, hogy a képviselő igénybejelentő lapja hogyan kerülhetett az internetes portálhoz, azonban olyan körülményeket, eseményeket tártak fel, amelyek alapján valószínűsíthetően az Ügyfél adatbiztonsági intézkedéseinek sérülése miatt történt az incidens. Az incidens bejelentése nem történt meg a határidőig, csak jóval később, a hatósági eljárás kezdete után. Az ügyfél az adatvédelmi incidens bekövetkezésekor nem rendelkezett belső incidenskezelési szabályzattal, pedig az különösen elvárható lett volna, hiszen egyrészt a Központ hazánk legnagyobb egészségügyi intézményeinek egyike, éppen ezért nagyszámú különleges adatot is kezel, másrészt az Ügyfél honvédelmi célú adatkezelést is folytat.

A Kérelmező műhelyét a szomszédos telephely tulajdonosa (Kérelmezett) magánnyomozó megbízásával felszereltetett kamerával figyeltette. A vizsgálat során bizonyossá vált, hogy a Kérelmezett önhatalmúan folytatott nyomozást a Kérelmező illegális tevékenységének bizonyítása érdekében. A Kérelmezett beismerte, hogy magánnyomozó társaság által üzemeltetett kamerával alkalomszerűen (gyanús esemény észlelésekor) felvételt készített a szerelőműhely bejáratáról, melyeken esetenként a Kérelmező és édesapja is szerepeltek. A rögzítés tényéről a Kérelmezőket személyes megkeresés formájában tájékoztatta a nyomozó. Az ügyben a Kérelmezett és a Magánnyomozó Iroda közös adatkezelőnek minősülnek, de felelősségük nem egyetemleges, mivel különböző mértékben vettek részt az adatkezelésben. A Hatóság a Kérelmezettet figyelmeztetésben részesítette, a Nyomozóirodát célhoz kötöttség és adattakarékosság elvének megsértéséért és jogellenes adatkezelés miatt adatvédelmi bírság megfizetésére kötelezte.

A Kérelmező betegség miatti távolléte alatt telefonon kérte meg helyettesét, hogy egy bizonyos feladatot végezzen el. A helyettese az ehhez szükséges dokumentum megkeresésekor több elintézetlen feladatot is talált, így a Kérelmező asztalát, számítástechnikai eszközeit, email fiókját később újra ellenőrizték a károk elkerülése, enyhítése céljából. A munkafolyamatok folytonossága érdekében a helyettese a helyettesítés alatt használhatta eszközeit és email fiókját, azonban az el nem végzett feladatok ellenőrzése, a kérelmező teljesítményének értékelése túlmutat ezen a célon. Az ellenőrzést külsős munkatársak végezték, akik rendszergazdai feladatokat láttak el. Az ellenőrzés alatt fényképeket készítettek, amelyeket később egy jegyzőkönyvben és az azon alapuló felmondáskor is felhasználtak. Az ellenőrzés után megváltoztatták a Kérelmező emailjének jelszavát, továbbá megszüntették a hozzáférését a munkahelyi szerveren lévő dokumentumokhoz és az integrált vállalatirányítási rendszerhez. A Kérelmező által magáncélra is használt laptopon és telefonon tárolt saját és harmadik személyek személyes adataihoz az eljárás során bárki hozzáférhetett. A munkavállaló nem tudta tájékoztatni ezekről az adatokról a munkáltatóját, így sérült a tisztességes adatkezelés elve. A Kérelmezőt nem tájékoztatták előzetesen az ellenőrzésről, annak ellenére, hogy a tisztességes adatkezelés szerint biztosítani kell a munkavállaló vagy képviselője jelenlétét, illetve nem volt lehetősége a személyes adatok másolására, majd törlésére sem. Bár vannak olyan esetek, amikor azonnali intézkedések szükségesek, így nincs lehetőség a munkavállaló jelenlétére, ilyenkor is biztosítani kell, hogy az ellenőrzés menete, körülményei, a megismert adatok köre, az elvégzett adatkezelési műveletek, azok jogszerűsége később is ellenőrizhető legyen, azonban ez sem történt meg. A Kötelezett nem rendelkezett továbbá olyan belső szabályzattal, amely a munkavállalók által használt számítástechnikai eszközökre, email fiókok használatára, általános és egyedi ellenőrzésére, illetve az eszközökön tárolt adatok kezelésére vonatkozik. A Kötelezett megsértette az átláthatóság és az elszámoltathatóság elvét is.

A szóban forgó önkormányzat kamerás megfigyelése során személyes adatokat kezelt, hiszen a képmás személyes adatnak minősül, így megsértette a Kérelmező információs önrendelkezési jogát. Kötelezett több kamerát helyezett el az épületben és környékén, melyek közül kettő a parkolóra, három kamera pedig a bejárat körüli területre, az emelet közlekedőfolyosójára, valamint az emeleti lépcsőre néz. A megfigyelésben az alkalmazottak, a helyi önkormányzat, valamint a nemzetiségi önkormányzat képviselői – akik az épület néhány irodáját használták –, továbbá az önkormányzati ügyintézésen részt vevő ügyfelek érintettek. Ezek a kamerák hang nélkül készítettek videofelvételeket, Kötelezett szerint a felvételek tartalmának megtekintése csak bizonyos esetekben, az arra jogosult személyek által történt. Kötelezett az eljárást megelőző időszakban nem rendelkezett a kamerás megfigyelésre vonatkozó belső szabályzattal és adatkezelési tájékoztatóval, továbbá nem tájékoztatta előzetesen az érintetteket a kamerás adatkezelésről és annak körülményeiről. Az adatkezelés nem volt jogszerű és átlátható sem. Az eljárást megelőzően nem volt kijelölve az adatkezelésért felelős személy, illetve nem határozták meg, hogy mi az adatkezelés célja és jogalapja. A hosszú ideje jogellenesen történő adatkezelésnél Kötelezett nem vette figyelembe az adatkezelés szükségességét és arányosságát, illetve megsértette az adattakarékosság és a célhoz kötöttség elvét is.

A Földhivatal jelzálogjogosult-változásról szóló határozatot és kézbesítési jegyzéket továbbított az érintettek felé, azonban ezek személyes adatokat tartalmaztak. A Kérelmezett a határozatot a Kérelmezőknek és további 40 ingatlan tulajdonosnak küldte meg, akik ugyanebben a törlési kérelemben érintettek voltak. A határozat tartalmazta a Kérelmezők személyes adatait, többek között a felvett kölcsön összegét, a devizanemet és a kölcsön jogcímét is. A továbbított kézbesítési jegyzéken szerepeltek az érintettek nevei és lakcímei is. Így a Kérelmezett a Kérelmezők személyes adatait harmadik fél számára elérhetővé tette és nem adott átlátható tájékoztatást az adatkezelésről. A Kérelmezett nem gondoskodott arról, hogy a több intézkedést tartalmazó határozatnak csak az egyes érdekeltekre vonatkozó kivonatát továbbítsa. A Földhivatal ezzel megsértette az adattakarékosság és az átlátható adatkezelés elvét.

A közterület-felügyelet térfelügyeleti helyiségében belső kamerával folyamatosan megfigyelték az ott dolgozó közszolgálati tisztviselőket, hogy ellenőrízni tudják, hogy a dolgozók jogszerűen, az adatbiztonsági követelményeket betartva végzik-e feladatukat. Az adatkezelésről nem tájékoztatták az érintetteket az adatvédelmi rendelet szabályainak megfelelően. A kamera rögzítette, hogy valószínűsíthetően a kérelmező a hivatali diszpécser számítógépén képeket keresett, majd nyomtatott ki, és feliratozva kifüggesztette azokat a férfi öltözőben. A munkáltató ezt méltatlannak találta, így megszüntette a kérelmező közszolgálati jogviszonyát. A Kttv. szerint a közszolgálati tisztviselők munkájának ellenőrzése és személyes adatainak kezelése lehetséges, azonban az adatvédelmi rendelet szerint abban az esetben az, ha ez más, egyszerűbb eszközökkel nem megvalósítható, tehát megfelel az adattakarékosság elvének. A belső kamerával történő ellenőrzés azonban nem alkalmas az eredeti célra, hiszen csak az látható, hogy a tisztviselők a monitort nézik-e, az viszont nem, hogy mit néznek rajta. Az adatbiztonsági követelmények betartására vonatkozó ellenőrzés céljából szintén nem megfelelő az alkalmazott belső kamera. A tisztességtelen, hosszú ideje tartó, jogellenes adatkezelés sérti a szükségesség és adattakarékosság elvét, és nagy mértékben érinti a kérelmező magánszféráját. A munkáltató az eredeti céltól eltérő célból is felhasználta az adatokat – így derült fény az öltözőben kihelyezett képekre –, amellyel sérelmet okozott a kérelmezőnek, hiszen emiatt vesztette el munkáját.

A Törvényszék elnöke vezetői értekezletet tartott 14 járásbíróság elnökével/elnökhelyettesével és a Törvényszék kollégiumvezetőivel. Az értekezleten az elnök tájékoztatta a résztvevőket arról, hogy kilépett a Magyar Bírói Egyesületből (MABIE), és kiosztott egy listát az Egyesület tagjairól annak érdekében, hogy a vezetők beszéljenek a tagokkal arról, hogy ők is vegyék fontolóra a kilépést. Kérelmezett szerint a lista a Törvényszék elnökének utasítására lett elkészítve a bérnyilvántartási adatbázisból, azzal a céllal, hogy a vezetők ellenőrizni tudják, hogy egyesületi tagok-e, azonban nyilvánvalóan ennek nem ez volt a megfelelő módja. Az értekezlet 19 résztvevője (amelyből nyolcan egyesületi tagok is) megismerte a MABIE 51 bírójának tagságával kapcsolatos adatait. A MABIE egy szakszervezeti célú egyesület, így a megismert adatok különleges adatnak minősülnek. Az adatkezelés célja ebben az esetben nem volt összeegyeztethető az eredeti – tagdíj munkabérből való levonása – céllal, így ezek az adatok nem lettek volna hozzáférhetők a vezetők számára. A különleges adatok lekérdezésére és harmadik személyekkel való megosztására az elnöknek nem volt megfelelő jogalapja, igazolható célja és nem kapott hozzájárulást sem az érintettektől.

Kérelmező szerint Kötelezett harmadik személy(ek) számára továbbította a személyes adatait, annak ellenére, hogy Kérelmező tiltakozott személyes adatainak kezelése ellen, majd kérte az adatok törlését is. Kötelezett Kérelmező számos személyes adatát kezelte különböző célból és jogalap alapján. A Bank megfelelő adatkezelési cél és jogalap nélkül tárolta Kérelmező azon személyes adatait is, amelyet a pénzmosás és a terrorizmus finanszírozásának megelőzéséről és megakadályozásáról szóló törvény nem ír elő megőrízendő adatként. Kötelezett átruházta egy követelésbehajtó vállalatnak engedményezés útján a lakossági lízing- és kölcsönszerződésből eredő követelést, a múltban felmerült, a jövőben esedékes kamattal és járulékkal, továbbá a követeléshez kapcsolódó mellékkötelezettségekből fakadó jogokkal együtt, és valóban továbbította a Kérelmező személyes adatait. Kötelezettnek kötelessége volt átadni a követelés fennállását bizonyító okiratokat, azaz a Kérelmezővel kötött kölcsönszerződést és az abban szereplő személyes adatokat, viszont további adatokat nem. Kötelezett a kölcsönszerződés teljesítése, szerződéses jogalap és jogos érdekre hivatkozva kezelte és továbbította a Kérelmező személyes adatait. A szerződéses jogalap azonban nem megfelelő, mert az engedményezéssel a problémát szerződésen kívül oldja meg, így az adattovábbítás jogalapja a jogos érdek lehet. Kötelezett megsértette az elszámoltathatóság elvét, hiszen az adatkezelés megjelölt jogalapja és az adattovábbítás szükségessége nem lett összemérve a Kérelmező érdekével. Kötelezett továbbá nem hívta fel megfelelő módon az érintett figyelmét a tiltakozáshoz való jogára, pedig ez legkésőbb az első kapcsolatfelvételkor kötelessége lett volna.

A bírság fizetésére kötelezett nem törölte és jogalap nélkül kezelte az érintett kérelme ellenére is a vezetékes- és mobiltelefonszám-adatait, arra hivatkozva, hogy joga van a tartozás rendezéséig személyesen, telefonon vagy írásban érvényesíteni az érdekeit. Kötelezett megsértette a célhoz kötöttség és az adattakarékosság elvét is, hiszen azután is kezelte az érintett személyes adatait, hogy ő visszavonta a hozzájárulását. A telefonszám nyilvántartása azonban nem bizonyult elengedhetetlennek, hiszen a lakcímadat is rendelkezésre állt.

A Budapesti Rendőr-főkapitányság egyik dolgozója szolgálati feladatainak ellátása közben elvesztett egy pendrive-ot, amelyen rajta volt a főkapitányság teljes nevesített személyzeti állománytáblája és a rendvédelmi szolgálati jogviszonyváltáshoz kapcsolódó összes személyügyi anyag elektronikus másolata. A pendrive-on , 1733 fő személyes adata – neve, születési ideje, anyja neve, TAJ-száma, beosztása és munkaköre – szerepelt. Az adathordozót a dolgozó magáncélra használta, és nem alkalmazott semmilyen biztonsági intézkedést, hozzáférésvédelmet. Az adatvédelmi incidens továbbá nem került bejelentésre a rendeletben megszabott 72 órás határidőig.

Kötelezett fennálló banki követeléseket vásárolt, a vásárlással pedig a Kérelmezők, akik korábban banki hitelt vettek fel, személyes adatai is továbbításra kerültek. Kérelmezők az MNB-hez fordultak, mert úgy vélték, hogy Kötelezettnek nincs engedélye a követelésvásárlásra. Az MNB piacfelügyeleti eljárást indított, majd megállapította, hogy valóban nincs engedélye a vállalatnak erre a tevékenységre, hiszen a követelésvásárlási pénzügyi szolgáltatás az MNB engedélyéhez kötött. Az MNB eltiltotta a Kötelezettet ettől a tevékenységtől, és piacfelügyeleti bírságot szabott ki. Kötelezett állítása szerint a Banktól a kölcsönszerződésből eredő követelés engedményezési eljárás során került hozzá, valamint korábban Kérelmezők hozzájárulásával történt a személyes adatok felvétele, így a törvény eltérő rendelkezései hiányában a kötelezettség teljesítése céljából kezelte hozzájárulás nélkül az adatokat, és kezelheti továbbra is a hozzájárulás visszavonása után is. Az engedményezési szerződés alapján jogszerű lenne a személyes adatok kezelése a követelések érvényesítése céljából, azonban Kötelezett engedély nélkül végezte ezt a tevékenységet, így a tevékenység, az adatkezelés és az adatkezelés célja is jogellenes. Kötelezett a célhoz kötött adatkezelés elvét megsértette, és megfelelő jogalap nélkül kezelte az érintettek személyes adatait, hiszen a korábban hatályos Infotv.-re 2018. május 25-e óta már nem lehet jogszerűen hivatkozni.

Kérelmező több összetett kérelmet is benyújtott Kötelezett felé, amelyekben ismétlődő jelleggel kért számos, sok esetben túlzó intézkedést. Másolatot kért például a róla kezelt kamerafelvételekről, a Telecenterrel folytatott beszélgetéseinek hangfelvételeiről, a pénztárbefizetéseinek bizonylatairól, az ügyintézések jegyzőkönyveiről, az aláírásmintájáról, a kölcsönszerződéshez kapcsolódó adósminősítés dokumentumáról és arról a körlevélről is, amelyet az Kérelmező fényképét csatolva küldtek ki a fiókvezetőknek.Tájékoztatást kért többek között a személyes adatai kezelésének jogalapjáról, az irattárából eltűnt szerződésekhez kapcsolódó információkról, a pénztárbefizetési bizonylatok megőrzésével kapcsolatos információkról, a privátbanki hívások hangfelvételeiről, annak céljáról, jogalapjáról, illetve egyéb információiról, a jövedelemigazolás megsemmisítésének dátumáról, valamint az ügyintézéseihez kapcsolódó jegyzőkönyvek adatkezeléséről. A róla kezelt kamerafelvételek esetében kérte az adatkezelés korlátozását, a felvételek zárolását. Bizonyos hangfelvételek, kamerafelvételek és a jegyzőkönyvek eredeti példányának megtekintését is igényelte. Kérelmező kérte a személyes adatainak törlését is, amennyiben ez a hozzájárulása alapján történt. A Kérelmezett valóban nem válaszolt határidőn belül – kérelmek beérkezését követő egy hónapon belül – az egyes kérelmekre, és az elmaradást sem indokolta meg, állítása szerint azért, mert a Fővárosi Ítélőtábla végzését ezekre vonatkozóan is irányadónak értelmezte, annak ellenére, hogy az adatvédelmi kérelmek nem voltak összefüggésben a Fővárosi Ítélőtábla intézkedésével. Az Ítélőtábla végzése szerint a jogvita jogerős eldöntéséig tartózkodnia kellett az olyan írásos nyilatkozatok peren kívüli megküldésétől, amik a szerződéses viszonnyal kapcsolatosak. Kötelezett nagyrészt végül a határidő lejárta után eleget tett a kérelmeknek. A Hatóság végül megállapította, hogy néhány esetben megsértette Kérelmező hozzáférési jogát: nem kapta meg a kamerafelvételek másolatát a harmadik személyek és bizonyos információk kitakarásával, nem jelölte meg a pontos jogszabályi hivatkozásokat, amelyek miatt kezelte a személyes adatait, nem tájékoztatta a személyes adatai kezeléséről bizonyos jegyzőkönyvek esetében, és a körlevélről sem készített másolatot.

A Sziget Zrt. által szervezett rendezvényeken jogellenes adatkezelés történt több mint nyolcszázezer fő beléptetésénél. A cég a személyigazolványok beszkennelésével dokumentálta a belépők személyes adatait, miközben kép- és hangfelvételt is készített róluk. Abban az esetben, ha valakinek nem felelt meg ez a belépési mód, érvényteleníthették a jegyét, így a hozzájárulás nem volt szabad választási lehetőség, azaz sérült az önkéntesség és a külső befolyástól való mentesség elve. A hozzájárulás több okból sem felelt meg a jogalapnak, többek között nem történt megfelelő tájékoztatás az érintettek részére. A belépőket arról sem informálták megfelelően, hogy milyen célból és milyen időtartamra vonatkozóan őrzik meg az adataikat, illetve kik az adatfeldolgozók, és milyen jogkörrel rendelkeznek. A visszaélések és a magas fokú biztonság érdekében végzett adatkezelés azonban nem bizonyult alkalmasnak és elengedhetetlennek a célok eléréséhez. A visszaélések elkerülése céljából rögzített adatok sértették a célhoz kötött és a szükséges adatkezelés alapelveit. A látogatók biztonságának garantálása érdekében használt rendszer alkalmatlannak bizonyult a megnevezett célra. A Sziget Zrt. nemzetiségre vonatkozó adatrögzítése készletező adatkezelésnek minősült, továbbá a belépők nemére vonatkozó adatok sértették az adattakarékosság elvét.

Az igazgatóság egyik munkatársa téves címre küldött ki 9 darab, személyes adatot - úgy mint azonosító adat, elérhetőség, szociális azonosságra és egyéb, magánéletre vonatkozó adatok, büntetett előélet, bűncselekmény, büntetésre vonatkozó részletek - tartalmazó dokumentumot. A téves címzett hasonló feladatokat lát el, azonban más illetékességgel rendelkezik. Az incidens során sérült a 18 érintett személyes adatainak bizalmas jellege. Az incidens bejelentése a Hatóság részére nem történt meg a megengedett határidőn belül.

Az érintett személy előfizetői szerződést szeretett volna kötni, azonban az első kérelmezett a korábbi szolgáltatásokból fennmaradó kiegyenlítetlen tartozások miatt ezt megtagadta, a tartozást pedig a második kérelmezettre engedményezte. Az érintett kérte a személyes adatok egyeztetését és az ezt igazoló dokumentum kiadását, mert nem találta igaznak az elutasítás indokát. Az első kérelmezett - tévesen - a törölt adatokra hivatkozva nem tette lehetővé az adatok összehasonlítását, így nem tudott megbizonyosodni arról, hogy visszaéltek személyes adataival. Az első kérelmezett megsértette az érintett személyes adatainak hozzáféréséhez való jogát és az átlátható, tisztességes adatkezelés, továbbá a pontosság és elszámoltathatóság elvét. A második kérelmezett eltérő okok miatt többször megtagadta az adatok egyeztetését, megsértette az elszámoltathatóság elvét, továbbá nem a megfelelő jogalapra hivatkozott az érintett adatainak kezelésekor. A folyamat során kiderült, hogy a tartozás összege 623.854 Ft, amely úgy keletkezett, hogy egy, a magát érintettnek nevező férfi korábban 5 szerződést íratott az érintett nevére, mint a szerződések kötelezettje. Az első kérelmezett esetében sérült a pontosság elve, ugyanis a nyilvántartásokban egymástól eltérő személyes adatok (4 különböző anyja neve) tartoztak az érintetthez. A második kérelmezett nem tett eleget az elszámoltathatóság elvének, mert olyan szerződésekre hivatkozott a személyes adatok kezelése során, amelyek már megszűntek.

A Budapesti Műszaki és Gazdasági Egyetem többszöri megkeresés után sem válaszolt a kérelmező megkeresésére, amelyben a személyes adataihoz való hozzáférést igényelte. Az érintett szeretett volna hozzájutni a munkaköri leírásaihoz, a kieső időszakok adataihoz, az utána fizetett adó és a TB, a NAV, illetve a nyugdíjfolyosító felé történt bejelentés részleteihez is. Az egyetem azonban nem teljesítette határidőre az érintett hozzáférési jogára vonatkozó kérelmet, és nem indokolta a késedelem okát sem. Az érintett kérelmét csak a hatósági végzés átvétele után, azonban akkor is csak hiányosan teljesítette.

Egy ismeretlen támadó kihasznált egy, az adatkezelő által üzemeltetett honlap beállításaiból adódó sérülékenységet, és megszerezte a felhasználók adatbázisát, amelyet ezt követően közzé tett az interneten. Nyilvánosságra került a felhasználók teljes neve, email címe, a felhasználói nevük és titkosított formában a belépési jelszavak is. Bár a jelszavak kódolva voltak, a gyenge védelem miatt rövid idő alatt viszsza lehetett azokat fejteni. Az adatbázis sérülékenysége miatt 6987 érintettnek kerültek ki a politikai véleményére vonatkozó, különleges személyes adatai. A Párt állítása szerint egy tesztadatbázis vált nyilvánossá, amelyhez véletlenszerűen kiválasztott személyek régi adatait használták fel, ezek a személyes adatok azonban valósak voltak, a követelmények pedig az adatkezelés teljes időszakára vonatkoznak. Amikor az ügyfél tudomást szerzett az incidensről, nem tett eleget az incidensbejelentési kötelezettségének, és az érintetteket sem tájékoztatta a történtekről, mert úgy vélte, hogy nem jelent kockázatot az érintettek jogaira és szabadságaira vonatkozóan.

Az érintett arra kérte az adatkezelőt, hogy a nyilvántartott személyes adatai közül a telefonszámát töröljék. Az adatkezelő érdekmérlegelést követően úgy döntött, hogy a telefonszámot nem fogja törölni, hiszen jogos érdek alapján kezeli azt annak érdekében, hogy a lejárt tartozást telefonos megkeresés útján tudja érvényesíteni. Az adatkezelő nemcsak a törléshez való jog gyakorlására irányuló kérelemnek nem tett eleget, az adat kezelésével a célhoz kötöttség és az adattakarékosság elvét is megsértette, ugyanis a Kötelezett nyilvántartotta az érintett lakcímadatát is, amely megfelelő a kapcsolattartásra és a követelés behajtására is. A pénzintézet továbbá nem tájékoztatta ügyfelét arról, hogy adatait más célból is nyilván tartják.

Kecskemét Megyei Jogú Város Polgármesteri Hivatala az Érintett által tett közérdekű bejelentést jogellenesen továbbította harmadik fél számára, mert az elküldött dokumentumokat nem anonimizálta. A jogalap nélküli adattovábbítás az Érintettnek jelentős következménnyel járt, jelentős gazdasági és szociális hátrányt szenvedett, hiszen közalkalmazotti jogviszonyának megszűnése és a jogsértés között közvetlen ok-okozati kapcsolat állt fenn.

Az adatkezelő felszólította az Érintettet, hogy a vele szemben fennálló követelést teljesítse. Az Érintett vitatta az adatkezelés jogszerűségét, nem tartotta jogosnak a követelést, továbbá kérte, hogy az adatkezelő bocsássa rendelkezésére azokat a dokumentumokat, amelyekre a követelését alapozza, illetve tájékoztassa az általa kezelt személyes adatokról. Az adatkezelő - megsértve az adattakarékosság elvét - olyan azonosítóadatokat kért az Érintettől, amelyekkel az ügyet megelőzően nem rendelkezett, így azokat nem is kezelte, tehát nem lett volna mivel összehasonlítani azokat ügyfélazonosítási céllal. Az adatkezelő egyik válaszában sem, valamint a panaszkezelési eljárás lezárásakor sem tájékoztatta az ügyfelet arról, hogy a panasz kivizsgálása más formában is megtörténhetne. A biztonsági mentésekben tárolt személyes adatok kezelésével kapcsolatban az adatkezelő tevékenysége nem felelt meg az átláthatósági követelményeknek, hiszen az ezt szabályzó dokumentumhoz az érintett nem férhetett hozzá, valamint ezek kezeléséről, felhasználásáról nem tájékoztatta az Érintettet.

Az adatkezelő téves telefonszámra küldött hiteltartozással kapcsolatos SMS üzeneteket. A telefonszám tulajdonosa felvette a kapcsolatot a Bankkal, és kérte, hogy telefonszámát töröljék a nyilvántartásból, arra ne küldjenek üzenetet, hiszen nem is kezelhetnék azt. Az adatkezelő ezt nem tette meg azután sem, hogy nyilvánvalóvá vált, hogy a kérdéses telefonszám nem a Bank ügyfeléé, és nem korlátozta a telefonszám adatkezelését arra az időtartamra, amely az adat pontosságának ellenőrzéséhez szükséges lett volna, így sérült a pontosság elve.

Az Érintett hozzáférési jogát gyakorolva kérte azon kamerafelvételek kiadását, amelyeken ő szerepel. Az adatkezelő nem biztosított betekintést a felvételekbe, és nem adta át azok másolatát. A felvételeket jogsértő módon, az Érintett kérésének ellenére sem zárolták, így azok automatikusan törlődtek. Mindezek mellett az adatkezelő elmulasztotta tájékoztatni az Érintettet a jogorvoslati lehetőségekről.