GDPR bírságok

Közérdekű bejelentés érkezett 2019. december 29-én, miszerint (az azóta már felszámolás alatt lévő) Robinson-Tours Idegenforgalmi és Szolgáltató Kft. weboldalán 781 ügyfél személyes adatai váltak bárki számára elérhetővé. Az adatbázis tartalmát a Google keresőmotorja is felderítette, így kulcsszavas (akár név, úti cél alapján történő) kereséssel, jogosultságkezelés nélkül könnyen hozzáférhető volt. Az incidens több, mint egy hónapig állt fent. A későbbi ellenőrzések során látható volt, hogy az adatbázis frissült, új ügyfelekkel bővült. A cég tárhelyszolgáltatói, programozói, rendszergazdai feladatait a Next Time Media Ügynökség Kft. végezte. A hibáról az idegenforgalmi vállalkozás a határozat kézhezvételéig nem tudott, ezt követően a sérülékenységet azonnal jelezték a rendszergazda felé. Az incidens a weboldal fejlesztése során, a végső verzióból el nem távolított tesztkörnyezetből és a jogosultságellenőrzési rendszer hiányából adódott. A sérülékenység fennállásának időszakában két IP címről történt jogosulatlan hozzáférés, melyből az egyik a Hatóság vizsgálata során keletkezett. A hibából tanulva felhasználónév és jelszó alkalmazását vezettek be. A két fél szerződése szerint az adatfeldolgozás biztonságának garantálása az adatfeldolgozó, azaz a Next Time Media Ügynökség Kft. feladata, ezért ők is büntetésben részesültek.

Az ügy elindítását a Kötelezett egyik munkavállalója kezdeményezte, akit azzal bíztak meg, hogy a telephelyen kihelyezett kamerák által közvetített képeket ellenőrizze. A Kérelmezőt felettesei szóban utasították a munkavállalók ellenőrzésére, kiemelt figyelmet fordítva a pihenőidő eltöltését illetően. A pihenőidőt egy pihenési célból kialakított helyiségben töltötték a munkavállalók. Kamera ebben a helyiségben is működött. A kamerák eredetileg személy- és vagyonvédelmi okokból kerültek telepítésre. Erről a munkaszerződésben minden belépőt tájékoztattak, illetve az érintett munkavállalók e-mailben is megkapták az adatvédelmi szabályzatot. A szabályzat értelmében nem telepíthető kamera olyan helyiségbe, amely az alkalmazottak munkaközi idejének eltöltésére van kijelölve. A Kötelezett állítása szerint az ügyben említett pihenőhely elsődlegesen raktározásra és adminisztrációs tevékenységek végzésére van fenntartva, ezért volt indokolt a kamera felhelyezése. Később a Kötelezett egy másik munkavállalója is panaszt tett a Hatóságnál a kamerafelvételeket illető tájékoztatás hiányáról.
A vizsgálat során megállapították, hogy a kamerák szöge alkalmas a munkavállalók megfigyelésére. A két egymástól független panaszbejelentés alapján valószínűsíthető, hogy valóban alkalmazták a munkaintenzitás megfigyelésére a felvételeket.

A Kérelmező 2019. június 10-én személyesen kérte bankfiókjában, hogy az értesítési címét frissítsék új lakcímére. Annak tudatában távozott, hogy ez megtörtént. Később e-mailben kért tájékoztatást személyes- illetve kapcsolattartási adatairól. Ebben az e-mailben meg is jelölte új lakcímét. A tájékoztatás az új címére érkezett meg, viszont a kiküldött adatlapon még a régi cím szerepelt. A Kérelmező úgy gondolta, adatai azért nem lettek frissítve, mert a lakcím módosítási kérelem óta eltelt 3 hetes időtartam nem volt elegendő az adatmódosításra. Egy hónappal később, július 10-én a Kérelmező személyesen kérte bankfiókjában a bankszámlája megszüntetését. A Bank tájékoztatta, hogy a bankszámla 30 napon belül fog megszűnni. Ennek ellenére október 3-án a Kérelmező tudomására jutott, hogy bankszámlája még nem szűnt meg. Pár nappal később telefonon keresztül rögzített panaszbejelentést tett, kitérve az adatai kezelésével kapcsolatos jogsérelmi álláspontjára is. Értesítési címként még ekkor is csak a régi lakcíme szerepelt. Október 29-én a Bank írásbeli válaszában elismerte a számlamegszüntetés elmaradását, az ebből adódó jogellenes adatkezelést és a Kérelmező félretájékoztatását. A Hatóság nyilatkozattételre kérte fel a Bankot. A Bank álláspontja, hogy a Kérelmező tájékoztatása megtörtént. Az adatkezelési tájékoztató elérhető a weboldalukon és telefonos ügyfélszolgálaton, emellett a Kérelmező számára küldött válaszlevélhez is csatoltak egy nyomtatott példányt. A lakcím-módosítás az ügyintéző hibájából eredően lett sikertelen. A hiba felismerése után a Kérelmező nem a kölcsönös tájékoztatáson alapuló joggyakorlás elvének megfelelően járt el. A bankszámlaszám megszüntetésekor a jogalapnak megfelelően jártak el, betartva a megőrzési időt.

A Kérelmező 2019. július 15-én bérletkiadó automatán keresztül szeretett volna havibérletet vásárolni, de az automata a sikeres bankkártyás fizetést követően nem adott ki bérletszelvényt. A Kérelmező aznap jelezte a problémát a Kérelmezett (Közlekedésszervező) ügyfélszolgálatán. Az ügyfélszolgálati és adatfeldolgozói munkát a Kérelmezett számára egy másik tulajdonában álló cég végezte. Októberben a Kérelmező a kormányhivatalhoz kívánt fordulni az üggyel, ezért tájékoztatást kért az adatfeldolgozó cégtől a vásárlás során megadott személyes adataival (személyi igazolvány szám, bankkártya szám, bérlet érvényességi ideje), illetve kamerafelvétel megléte esetén a rögzített videó kiadásával kapcsolatban. Ezen felül kérte az adatai zárolását a vizsgálat lezárulásáig. A kért témában nem kapott teljes körű választ, adataihoz nem fért hozzá. A Kérelmezett nyilatkozata szerint az automaták a nyomtatás után törlik a személyes adatokat, ezek nem kerülnek tárolásra. Azonosítás céljából csak a tranzakciós adatokat tárolják, amelyek nem számítanak személyes adatnak. Az automaták ugyan kamerával felszereltek, viszont a felvételeket a törvénynek megfelelően 16 napig tárolják. A Kérelmező a tárolási idő letelte után kérvényezte a felvételek zárolását, így erre nem volt mód. A Kérelmezett szerint az automata bérletkiadó nyílását ért manipuláció (eltömítés) miatt eshetett meg a kellemetlenség. Ezekben az esetekben nem vállal kártérítést. A Hatóság végül a Közlekedésszervező cégre, mint adatkezelőre szabott ki bírságot a Kérelmező hiányos tájékoztatása miatt.

A Kérelmező a Kötelezett kaposvári üzletében 2018. május 26. napján kilencezer-kilencszázkilencven forint értékben vásárolt, majd fizetést követően úgy nyilatkozott, hogy nem kéri a visszajárót. Később vette észre, hogy húszezer forintos bankjeggyel fizetett, a blokk szerint tízezer-tíz forint visszajárót kapott, állítása szerint azonban nem kapott visszajárót. A Kérelmező május 29-én panaszt tett, melyről jegyzőkönyv is készült. Emellett ezen a napon a Kötelezett számára címzett levélben jelezte, hogy az esetről készült kamerafelvételt szeretné megtekinteni, illetve kérte, hogy az eset lezárásáig ne töröljék a felvételt. A Kötelezett válaszlevélben tájékoztatta a Kérelmezőt, hogy a felvételt csak hivatalos rendőrségi megkeresés ellenében adhatják ki.
A Kérelmező 2018. június 25. napján rendőrségi feljelentést tett, azonban a rendőrségi eljárás során a megkeresés idejében a kamerafelvétel már nem állt rendelkezésre. A Hatóság a fentiek alapján indokoltnak látta, hogy hatósági ellenőrzést indítson annak ellenőrzése érdekében, hogy a Kötelezett adatkezelési gyakorlat során betartja-e az általános adatvédelmi rendeletben foglalt követelményeket.
A Kötelezett nyilatkozata alapján, a kamerafelvétel hozzáférési jog kezelése nem központi utasítás alapján történt. Az adatvédelmi rendelet hatályba lépésekor (2018. május 25), még nem rendelkeztek belső adatkezelési szabályzattal. Elismerték, hogy hibásan jártak el a kérelem kezelése során.
A bírságot indokolja, hogy az általános adatvédelmi rendeletet 2018. május 25. napjától kell alkalmazni, így a 2018. május 26. napján készült kamerafelvétel tekintetében az ezt követő napokon előterjesztett kérelmekre a rendelet szabályai vonatkoznak. A rendelet alapján a rögzítő a kamerafelvételen szereplő valamely személy kérésére köteles hozzáférést biztosítani a felvétel azon részéhez, amelyen az adott személy szerepel. Emellett a rendelet értelmében kérésre a rögzítő köteles a szokásos megőrzési időn túl is tárolni a felvételeket, az érintett jogi igényeinek érvényesítése érdekében. Enyhítő körülmény, hogy a Kötelezett a jogsértő állapot felismerését követően, a szabályzat elkészültéig (2019. november 26.), elrendelte a kamerafelvételek rögzítésének megszüntetését.

A Kérelmező költözése után a Bankja felfüggesztette az egyenlegértesítő levelek postai küldését, mivel nem rendelkeztek a Kérelmező új címadataival. A Kérelmező számláján 2015-ig keletkezett tartozást a Bank Kérelmezett I.-nek, mint követelésbehajtással foglalkozó vállalatnak engedményezte. Kérelmezett I. a követelés kezelésével Kérelmezett II.-t (adatfeldolgozót) bízta meg, akivel 2016 decemberétől 2017 júliusáig dolgoztak az ügyön. Ezen időszak alatt vált ismertté a Kérelmező új címe is, melyre a végrehajtó cég által küldött levelet a Kérelmező nem kifogásolta. Később, 2019-ben Kérelmezett I. egy másik végrehajtó cégnek, Kérelmezett III.-nak engedményezte a követelést és ehhez a Kérelmező minden adatát, köztük a címadatot is átadta. Az érintettek közül a hatóság Kérelmező I.-t kötelezte bírság megfizetésére, a Kérelmező adatainak jogellenes kezelése miatt, mivel az adatokat nem az engedményezés során szerezte.

A Kérelmező levelet kapott Kérelmezett II.-től, amelyben a Kérelmezett I. és Kérelmezett II. között történt engedményezésről (követelés átruházásról) tájékoztatták és tartozása megfizetésével kapcsolatos ajánlatról értesítették. A Kérelmezőnek egyik fél felé sem volt tartozása ezért a levél küldőjét e-mailben, Kérelmezett I.-t legközelebbi bankfiókjában kereste fel. Kérelmezett I. továbbította a panaszt az engedményesnek (Kérelmezett II.-nek). Később a Kérelmező újabb e-mailben kért a Kérelmezettektől személyes adatai kezeléséről szóló tájékoztatást. Kérelmezett II. az ügy kezdetétől számított 2 hónap múlva tájékoztatást küldött a Kérelmezőnek, miszerint adminisztrációs hibából kifolyólag tévesen küldték ki számára a fizetési felszólítást, ezért az eljárást lezárják, adatait törlik a nyilvántartásból. A hiba forrása Kérelmezett I.-től származó nem hiteles ingatlan tulajdoni lap, amely szerint a Kérelmező egy ingatlan 1/12 tulajdoni hányadban tulajdonosa. A tulajdoni lapon tévesen szerepeltek a Kérelmező adatai. A téves rögzítés körülményei, okai nem feltárhatók. A végrehajtási jogot Kérelmezett I. az ingatlan másik résztulajdonosának terhére kívánta bejegyeztetni Kérelmezett II.-nél.

Kötelezett 2016 októberétől kezdődően pénzügyi közvetítői, alkuszi tevékenységet folytatott a Magyar Nemzeti Bank (MNB) engedélye nélkül. Az MNB 2018. szeptember 13-án helyszíni ellenőrzés során lefoglalt számos, a Kötelezett cég tevékenységéhez köthető dokumentumot, amelyeket a Hatóság részére is továbbított. Ezek többek között személyes adatokat is tartalmazó megbízási szerződések, tulajdoni lapok, banki dokumentációk, munkáltatói igazolások, bankszámlakivonatok, kölcsönszerződések, végrehajtási eljárásokkal és hitelezőkkel szemben folytatott peres eljárásokkal kapcsolatos iratok voltak.
A lefoglalt iratokkal 300 személy vált azonosíthatóvá, akik kapcsolatban álltak Kötelezettel. A dokumentumokban az ügyfelek személyes adatai (név, lakóhely, személyiigazolvány-szám, adószám, elérhetőség, jövedelem, végrehajtási eljárásokra vonatkozó adatok), illetve egészségügyi adatok, leletek is fel voltak tüntetve. A rendelkezésre álló adatok és az érintettek nagy száma miatt a Hatóság ellenőrzés során vizsgálta Kötelezett adatkezelési és adatvédelmi kötelezettségeinek való megfelelését.
Kötelezett nem rendelkezett adatkezelési tájékoztatóval és a szerződésekben sem voltak személyes adatokra vonatkozó rendelkezések. Sem az ügyfelek, sem pedig a munkavállalók adatainak rögzítésére, kezelésére sem készítettek adatvédelmi szabályzatot.
Kötelezett 2019. március 5-én vette kézhez az MNB eltiltó végzését. Ezt követően Kötelezett fizetésképtelenné vált, tevékenységet nem végez.

Jelen ügy érdekessége, hogy gyakorlatilag szinte mindenben megegyezik a jelen határozattal egy időben hozott NAIH/2020/838/2 számú határozatában fogaltakkal (ugyanaz a panasz, az újságban szereplő egy másik magánszemély részéről, szinte teljesen ugyanazokkal a jogsértésekkel). A másikhoz képest félmillió forinttal kisebb összegű bírság indoklásában a NAIH éppen arra hivatkozik, hogy annak kiszabásakor már tekintettel volt a párhuzamosan futó másik bírság összegére is.

A Hatóság által határozattal csak 2020 nyarán lezárt, ám részben még 2018-ra visszanyúló ügy több érdekes részmegállapítást is tartalmaz. Az eset lényege, hogy Kérelmező magánszemély azt panaszolta, hogy a Kérelmezett által 2019 elején, a Forbes Magazin mellékleteként megjelentetett „50 leggazdagabb magyar” c. kiadványban róla, mint kérelmezőről, illetve családjáról Kérelmezett egyes személyes és különleges adatokat az ő hozzájárulása és tájékoztatása nélkül jelentetett meg. Egyik érdekességként a Hatóság a jogsértés megállapítására irányuló kérelem 2018. május 25. napja előtti adatkezelést érintő része tekintetében az adatvédelmi hatósági eljárást végzésben megszüntette, mivel megállapítása szerint erre az időszakra nézve az általános adatvédelmi rendelet nem alkalmazandó, így akkorra vonatkozó vizsgálatra Hatóságnak nincs jogosultsága. A kérelem beadásának módja szempontjából érdekes, hogy a Hatóság csak a hozzá postai úton 2019. októberében beérkezett beadványt tekinti az adatvédelmi hatósági eljárás lefolytatására irányuló kérelemnek, az eljárás során az abban előadottakat, valamint az azt követően beérkezett nyilatkozatokat vette figyelembe. A Hatósághoz 2019 februárjában kizárólag elektronikus levél útján érkezett beadvány ugyanis az Ákr.) 35. § (2) bekezdése alapján nem minősül „Ákr. szerinti kérelemnek” , az csak vizsgálati eljárás lefolytatására irányuló kérelemként értelmezhető. Végezetül a NAIH megállapította, hogy Kérelmezett a kérdéses adatkezelés kapcsán nem megfelelően végezte el az érdekmérlegelést, és saját, illetve harmadik fél (nyilvánosság) jogos érdekeiről és ezek Kérelmezők érdekeivel való összemérésének eredményéről előzetesen nem tájékoztatta a Kérelmezőket. Továbbá, Kérelmezett azzal, hogy nem nyújtott megfelelő tájékoztatást a Kérelmezők részére az adatkezelés valamennyi lényeges körülményéről és a Kérelmezők személyes adatok kezelése elleni tiltakozáshoz való jogáról, továbbá a tudomására jutott információk ellenére a tiltakozást követően nem bizonyította, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek a Kérelmezők érdekeivel, jogaival és szabadságaival szemben, és a Kérelmezők érintetti joggyakorlásra irányuló kérelmeire adott válaszaiban nem nyújtott tájékoztatást a Kérelmezők jogérvényesítési lehetőségeiről, megsértette a jelzett jogszabályokat, amiért a mellékelt összegű adatvédelmi bírsággal sújtotta.

Kérelmező azzal a panasszal fordult a Hatósághoz, hogy volt munkáltatója, a Kérelmezett, a […] számú ingatlant ideiglenes lakáscímeként tartja nyilván annak ellenére, hogy az tíz évvel ezelőtt megszűnt. Kérelmező ezt több év alatt több alkalommal is jelezte Kérelmezettnek, ezért – álláspontja szerint – annak több alkalommal is lehetősége lett volna ezen adat törlésére. Sérelmezte továbbá, hogy Kérelmezett ezen túlmenően egyéb személyes adatait az ő hozzájárulása nélkül továbbította egy másik adatkezelő (a NAIH határozatából nem derül ki egyértelműen, de a körülményekből vélelmezetten egy pénzintézet) részére, Kérelmezett SZÉP-kártya-használatával összefüggésben. A vizsgálat során Kérelmezett egyrészt arra hivatkozott, hogy Kérelmező a lakcím megszűnését nem az általa elvárt, szabályos módon közölte vele, mint munkáltatóval; a másik, adattovábbításos ügyben pedig különféle jogszabályokra hivatkozott. A NAIH a vizsgálat végén összefoglalóan azt állapította meg, hogy „Az adatpontosság elvéből következően a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük. Az adatkezelőnek minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse” - márpedig ezt több ponton is elmulasztotta. A Kérelmezett az adattovábbítás jogalapjaként a jogos érdek jogalapját jelölte meg, ennek keretében arra hivatkozott, hogy az ő részéről jogos érdekként merült fel, hogy ezt a béren kívüli juttatást zökkenőmentesen biztosítsa a munkavállalói részére, a munkavállalók felől pedig, hogy az ügyintézést megkönnyítsék az oldalukon. A Hatóság álláspontja szerint ugyanakkor „a jogos érdek jogalapjára akkor lehet alapozni adatkezelést, ha az adatkezelés az adatkezelő vagy egy harmadik fél, nem pedig az érintettek jogos érdekeinek érvényesítéséhez szükséges. A harmadik fél fogalmából következően az érintett nem minősül harmadik félnek, ezért érdekében erre a jogalapra nem lehet hivatkozni.” Mindezek okán Kérelmezettet „hivatalból elmarasztalva” a jelzett adatvédelmi bírság megfizetésére kötelezte.

A Kérelmezők az őket képviselő […] szakszervezeten és e szakszervezet jogi képviselőjén keresztül azt kifogásolták, hogy a Kérelmezett elektronikus megfigyelőrendszert helyezett el a székhelyén található gyárépületének munkavállalók által használt ebédlőjében, a közösségi étkezésre, illetve a munkaközi szünet eltöltésére kijelölt helyiségben. Továbbá e kameráktól elkülönülten, egy elsődlegesen két munkavállaló által használt munkavégzési helyiségben is kamerát szereltek fel, amelyet – beállítási szöge alapján – kizárólag a munkavállalók megfigyelésére alkalmaznak. A kérelem szerint több eltérő információ van arról, hogy az élőképes vagy a mentett felvételeket kik láthatják, és ezen személyek köre olyan tág lehet, amely adatvédelmi aggályt vet fel. A kamerás megfigyelőrendszer telepítéséről előzetesen nem tájékoztatták megfelelően az érintetteket. A rendszer telepítése után szóban annyi tájékoztatást kaptak a helyszínen tartózkodó munkavállalók, hogy mostantól kamerarendszer üzemel az adott helyiségekben, azonban sem a felhasználás céljáról és jogalapjáról, sem a felvétel tárolásának helyéről és idejéről nem kaptak tájékoztatást, sem szóban, sem írásban, annak ellenére, hogy ezt többször kérték, írásban is. A Hatóság a kérelmet ugyan elutasította, de hivatalból megállapította, hogy a Kérelmezett a célhoz kötött adatkezelés és a szükségesség, az adattakarékosság, és a tisztességes adatkezelés elvébe ütközően, megfelelő jogalap hiányában kezelte a munkavállalók személyes adatait a kamerás megfigyeléssel összefüggően, továbbá az adatkezelésről jogellenesen nem nyújtott megfelelő előzetes tájékoztatást.

Kérelmező a személyes adatai jogellenes kezelésének és továbbításának megállapítását kérte a Hatóságtól, Kérelmezett I.-gyel, mint pénzintézettel, illetve Kérelmezett II.-vel, mint végrehajtóval szemben. Kérelmezett I.-el még 2008-ban kölcsönszerződést kötött, amelyet Kérelmezett I. 2014-ben felmondott. A követelést Kérelmezett I. Kérelmezett II.-re engedményezte. Utóbbi kérelmére, már 2017-ben végrehajtási eljárás indult Kérelmezővel szemben. A végrehajtó az ingatlan értékbecslését 2018. nyarán elvégezte. Kérelmező kifogásolta, hogy a vele szemben fennálló követelés behajtása, illetve végrehajtása alatt Kérelmezett II. (a Kérelmező állítása szerint feltételezhetően a Kérelmezett I.-vel közösen) több alkalommal, legutoljára 2018. november 22-én „külső” értékbecslő részére továbbította a személyes adatait. Ezzel kapcsolatban többször is panaszt nyújtott be, illetve két alkalommal feljelentést is tett, 2013-ban, majd 2018-ban. A Hatóság első lépésben a vizsgált időszakról döntött, így megállapította, hogy az ügy jelentős része 2018 májusa, azaz a GDPR-rendelet hatályba lépése előttre datálódik, így azzal az indoklással, hogy az abban foglaltak ezt megelőző időszakra nem alkalmazhatóak, az ügy összes erre vonatkozó részével kapcsolatos kérelmet elutasította, az erre vonatkozó eljárást megszüntette. Az ezt követő időszakra vonatkozóan hivatalból megállapította ugyanakkor, hogy Kérelmezett I. és II. egyaránt megsértette az adattakarékosság elvét, egyikük sem végzett érdekmérlegelési tesztet, ügyfelüket nem tájékoztatták megfelelően jogairól, adatait engedélye nélkül 3. fél részére továbbították. Emellett saját adataira vonatkozó megismerési, majd törlési kérelmére nem válaszoltak kellőképpen, így adatkezelésük több paragrafust sértett, ezért a határozatban foglalt összegű bírságok megfizetésére kötelezte őket..

A NAIH hivatalból vizsgálta dr. Hadházy Ákos Ányos országgyűlési képviselőnek (a továbbiakban: Adatkezelő) az Európai Ügyészséghez való csatlakozásra vonatkozó aláírásgyűjtésével összefüggésben történt adatkezelés jogszerűségét. Megállapította, hogy az érintettek adatkezeléshez történő hozzájárulásának hiányoznak a legfontosabb fogalmi elemei – azaz az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása – amelyek megléte szükséges ahhoz, hogy az adatkezelés Adatkezelő által megjelölt jogalapja, azaz a hozzájárulás érvényes legyen. Így Adatkezelő érvényes jogalap nélkül kezeli az aláírásgyűjtéssel összefüggésben az érintettektől gyűjtött valamennyi személyes adatot. Ezek a személyes adatok különleges kategóriái közé tartoznak, és azok kezelésére többek között abban az esetben van lehetősége az adatkezelőnek, ha ahhoz az érintett kifejezetten hozzájárulását adta. Az Adatkezelő emellett nem nyújtott az érintetteknek tájékoztatást az adatkezelés valamennyi lényeges körülményéről.

A munkahelyeken, a munkáltató számítógépein, munkahelyi e-mail címeken folyó – egyedi szerződésekkel nyilván bárhol szabályozható, de a valóságban bizonyosan hétköznapinak tekinthető – magáncélú levelezés következményeit felgöngyölítő, egyes részterületei miatt bírósági ítélettel záruló ügyben vizsgálódott a NAIH. Az eset lényege, hogy az egyik egyetemen korábban közalkalmazotti jogviszonyban álló kérelmező azt sérelmezte, hogy e jogviszonya megszűnése után volt munkáltatója azonnal megszüntette hozzáférési jogát az addig általa használt céges levelezőrendszerhez, pedig az jelentős számú, részben kutatói tevékenységéhez kötődő magánlevelet is tartalmazott, így kérte utóbbiak kiadását. Az egyetem ezt arra hivatkozva tagadta meg, hogy a szerver olyan nagy mennyiségű levelet tartalmaz, amelyet nincs kapacitása hivatali és magánlevelekre szétválogatni. A hatóság megállapítása a hosszas okfejtés és jogszabályi helyek idézése végén az lett, hogy az egyetem jogszerűtlenül tagadta meg a kért adatok kiadását, megsértve ezzel a GDPR-rendelet átlátható tájékoztatásra és hozzáférési jogra vonatkozó alapelveit. Általános tanulságként pedig azt tehetjük hozzá, hogy a munkaviszony felbontásakor keletkező hasonló problémák elkerülésének legjobb módja, ha a felek már magában a munkaszerződésben előre részletesen szabályozzák a hivatali számítógépek és levelezőrendszerek magáncélú használatának feltélteleit – és persze azokat mindketten be is tartják.

A gyakorlatában ritka esetként az adatkezelő mellett egy kisebb összegű adatvédelmi bírságot az adatfeldolgozóra is kirótt a NAIH. Az eljárás követeléskezelési tevékenységgel állt összefüggésben, és az érintetti jogok gyakorlásával (hozzáférési jog), valamint az adatvédelmi alapelvek (átláthatóság, célhoz kötöttség, pontosság, elszámoltathatóság) érvényesülésével kapcsolatban tartalmazott megállapításokat. A II. rendű kérelmezett adatfeldolgozóként vett részt az adatkezelésben és a felek közötti adatkezelésre vonatkozó megállapodás azt is rögzítette, hogy ha egy kérelmet az adatfeldolgozónál nyújtanak be, akkor azt az adatkezelőnek kell továbbítania, ezekre a kérelmekre közvetlenül nem válaszolhat. Az adatfeldolgozó a fentiek ellenére a hozzá beérkező kérelmet közvetlenül megválaszolta az érintettnek, ráadásul a levelében magára, mint adatkezelőre hivatkozik, csak a levél végén szerepel egy mondatban, hogy a választ, mint adatfeldolgozó küldi. A Hatóság szerint a megfelelő tájékoztatásért az adatkezelő, azaz az I. rendű kérelmezett felel, amellyel az általános adatvédelmi rendelet 5. cikk (2) bekezdés alapján neki ell elszámolnia. Tekintettel arra, hogy a II. rendű kérelmezett tájékoztatása félrevezető és ellentmondásos, mivel adatkezelőként és adatfeldolgozóként is hivatkozik magára, a Hatóság megállapította, hogy az adatfeldolgozói minőségén túlterjeszkedve nyújtott tájékoztatásával megsértette az átláthatóság elvét.

Nézzük, mit is kellett elkövetni az eddigi hazai rekordbüntetésért, azaz 100 millió forintért! A határozat szerint az ügyfél – a Digi Távközlési és Szolgáltató Kft. – tavaly szeptemberben szerzett tudomást és jelentett be rögtön adatvédelmi incidenst annak kapcsán, hogy egy támadó a www.digi.hu honlapon keresztül elérhető sérülékenységet kihasználva hozzáfért körülbelül […] érintett személyes adataihoz, akik nagyobb részt (kb. […] fő) az Ügyfél megrendelői és előfizetői, kisebb részt (kb. […] fő) pedig hírlevére feliratkozó volt. A személyes adatok között megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyiigazolvány-száma (esetenként személyi száma), e-mail címe, vezetékes és mobiltelefonszáma. Sőt, a rendszergazdák felhasználói adatai is, az ily módon rendszergazdai jogosultsággal hozzáférhető további adatok pedig még szélesebb körű visszaélésre adtak volna lehetőséget. Érdekesség, hogy a „támadó” egyébként egy etikus hacker volt, aki nem visszaélési, hanem segítő szándékkal kutatja fel különféle webes felületek sérülékenységét, így ebben az esetben is maga jelezte a hibát a Diginek, annak technikai jellegével együtt, így a cég ezt viszonylag hamar ki tudta javítani. A kiemelkedően nagy összegű, 100 millió forintos bírságot a hatóság hosszas felsorolásban indokolta. Kiemelte, hogy az incidens egy olyan hibára vezethető vissza, amelyről, illetve annak ingyenes javítási lehetőségéről a cégnek immár kilenc esztendeje tudomása volt (lehetett), ezt mégsem tette meg, amivel még saját érvényben lévő belső szabályzatait is semmibe vette. Közrejátszott benne az ügy kapcsán érintett adatok nagy száma, az azok érzékenysége által jelentett kockázatok, továbbá az ügyfél piaci pozíciója, amelyek alapján fokozottan elvárható tőle a megfelelő adatbiztonsági intézkedések alkalmazása. A bírság összegének megállapítása során figyelembe vették, hogy a Digi a 2018-as üzleti évben több mint 47 milliárd, a 2019-esben pedig több mint 51 milliárd forintos nettó árbevételt ért el, így a kiszabott bírság összege a jogsértés súlyával és a cég nagyságával is arányban áll.

A Hatósághoz 2019. július 9-én közérdekű bejelentés érkezett, amely az Ügyfél online időpont foglaló rendszerében fennálló, személyes-, köztük különleges adatokat érintő sérülékenységre hívta fel a
figyelmet. A hibából fakadóan személyes adatokat is tartalmazó orvosi leletek, beutalók váltak nyilvánosan, bejelentkezés vagy regisztráció nélkül is hozzáférhetővé. A bejelentő először az Ügyfélhez fordult észrevételével, azonban a hiba nem került kijavításra és visszajelzés sem érkezett. Egészségügyi adatok érintettsége miatt az ügy magas kockázati besorolást kapott. Az adatvédelmi incidens feltehetően körülbelül 9000 fő személyes adatait érinthette. Az Ügyfél nyilatkozata alapján, a jogosulatlan hozzáférési lehetőségről csak később, 2019. július 19-én a Hatóság végzéséből értesült, amelyet azonnal és teljes mértékben elhárított. Emellett a könyvtárak titkosítását, a jogosultsági szintek és a felhasználói hozzáférések szigorítását is eszközölte, ezzel kiküszöbölte az esetleges rendszerhibától független adatvisszaéléseket.

Egy banki ügyintéző téves adatrögzítésével az ügyfélnek okozott kár ügyében vizsgálódott a NAIH. Az eset legfőbb tanulsága, hogy bár a hatóság is megállapította, hogy a bank részéről nem szándékosság áll a háttérben, az ügyintéző hibája nem kimentési ok, azaz a bankot a felelősség alól nem mentesíti. Súlyosbító körülményként értékelték, hogy az ügyfélnek egy újabb hitelügylet során tényleges anyagi kára is származott a bank hibájából, illetve, hogy annak eljárásrendje önmagában nem nyújt garanciákat egy hasonló ügyintézői tévedés kiküszöbölésére. Enyhítő körülményként írták jóvá ugyanakkor, hogy egyedi esetről volt szó, illetve maga a pénzintézet is önként anyagi kártérítést nyújtott a kérelmezőnek – végül így kerekedett ki az egymillió forintos bírság.

Kérelmező magánszemély azért fordult a Hatósághoz, mert a Kérelmezett által üzemeltetett […] bárban a biztonsági őrök megtámadták és könnyű testi sértést követtek el ellene. Mivel álláspontja szerint az esetet rögzítették a bár épületén található – Kérelmező szerint jogszerűtlenül a közterületet is figyelő – kamerák, feljelentést tett, amelyben a rendőrségnek jelezte, hogy kérje be e kamerák által rögzített felvételeket, egyúttal kérte a kamerafelvételek zárolását. Egyben a közterületet jogszerűtlenül figyelő kamerákat és az azokról szóló tájékoztatás hiányát kifogásolta. Továbbá azt is, hogy a felvételek zárolására, majd tájékoztatás kérésére és személyes adataihoz való hozzáférésre, felvételkiadási kérelmére sem kapott érdemi választ; csupán jóval később annyit, hogy Kérelmezett törölte a korábban zárolt felvételeket. A NAIH a kérelemnek részben helyt adva megállapította, hogy Kérelmezett nem nyújtott megfelelő tájékoztatást intézkedéseiől, továbbá a zárolt kamerafelvételek feloldásáról és a felvételek törléséről, a másolatok kiadásának jogáról. Ezért utasította Kérelmezettet, hogy teljesítse Kérelmező hozzáférési jog gyakorlására irányuló kérelmét. A kamerákkal kapcsolatban hivatalból vizsgált adatkezelés kapcsán megállapította, hogy Kérelmezett megsértette az elszámoltathatóság alapelvét. Határozatában a kérelem adatvédelmi bírság kiszabására vonatkozó részét elutasította, ugyanakkor Kérelmezettet hivatalból kötelezte ennek megfizetésére.

A kérelemben előadottak szerint Kötelezett megbízottja …-én kézbesített egy fizetési felszólítás Kérelmező lakcímére. A dokumentumot Kérelmező férje vette át, aki tájékoztatta a képviselőt arról, hogy a felszólítás címzettje több éve életvitelszerűen külföldön tartózkodik. Kérelmező ugyanaznap telefonon közölte dokumentumot átadó személlyel, hogy a követelést maximum 2-3 napon belül ki fogja egyenlíteni - ami …napján meg is történt.. Kötelezett megbízottja a telefonos megbeszélés alkalmával nem közölte Kérelmezővel azt, hogy a beszélgetés, illetve a neve és a telefonszáma rögzítésre kerül-e, és arról sem tájékoztatta, hogy esetleg a későbbiekben ügyfélként fogják kezelni. Kérelmező ezt követően SMS értesítéseket kapott Kötelezettől, amelyben tartozást közöltek, amelynek elmaradása esetén végrehajtást helyeztek kilátásba. Kérelmező többször is jelezte a befizetés megtörténtét, azonban erre újabb felszólítások érkeztek. Kérelmező kérte, hogy a Hatóság állapítsa meg a Kötelezett jogellenes adatkezelésének tényét, és utasítsa a Kötelezettet a személyes adatai (telefonszám, e-mail cím, lakcím) törlésére. A lefolytatott vizsgálat során a Hatóság a telefonszám törlésére vonatkozó kérelemnek helyt adott, mivel a rendelet szerint Kérelmező személyes adatának kezeléséhez szükséges a megfelelő tájékoztatáson alapuló, egyértelmű, önkéntes és konkrét hozzájárulás meglétének bizonyítása, amelyet Kötelezett nem tudott igazolni. A kérelem többi részét végzésben elutasította.

Kötelezett jogellenesen készített, majd közzétett egy fényképet Kérelmezőről és annak kiskorú gyermekéről. Kérelmező nem járult hozzá a kép készítéséhez, és figyelmen kívül hagyták a hozzáféréshez és a törléshez való jogának gyakorlására irányuló kérelmét, így Kötelezett megsértette az érintetti joggyakorláshoz való jogát, az átlátható és a tisztességes adatkezelés jogát. Az adatkezelés megfelelő jogalap nélkül, a szükséges és arányos mértéket meghaladva történt, így Kötelezett megsértette a jogszerűség, a célhoz kötöttség és az adattakarékosság elvét is.

Az érthetetlenül gyakori esetek közé sorolható az az ügy, amelyben a bejelentő állampolgár a saját kertjében a szél által odafújt papírszemetek között egy nagyjából száz nevet és hozzájuk kapcsolódó egyéb személyes adatot, többek között ügyfélkapus jelszavakat is tartalmazó iratot fedezett föl, amelyről kiderült, hogy egy könyvelő cég ügyféllistájáról származnak. Az adatkezelő a vizsgálat során végig segítő módon járt el, és bár azok körét, akik az irodában egyáltalán hozzáférhettek a kikerült dokumentumokhoz, jelentősen le tudták szűkíteni, a konkrét „tettes”, akinek a gondatlansága vagy szándékossága ide vezetett, végül bizonyíthatóan nem volt tisztázható. A NAIH ebben az ügyben, miközben megállapította, hogy a könyvelő cég adat- és incidenskezelési szabályzatai, illetve gyakorlata nagyon is hiányos volt, illetve, hogy az adatokat indokolatlanul tárolta az elektronikus forma mellett papír alapon is, ami nagyban hozzájárult az incidens kialakulásához, a viszonylag kisebb összegű bírsággal elsősorban azt méltányolta, hogy a cég még az eljárás idején igazolta, hogy az adatbiztonság növelése, illetve egész eljárásrendje GDPR-megfeleltetése érdekében különösen gyors és hathatós intézkedéseket tett.

A kérelem szerint Kérelmezett - kölcsönszerződésével kapcsolatban - nem teljesítette a 2019…-én kelt, és hozzáférési joggyakorlásra irányuló kérelmében foglaltakat, a kért adatokhoz nem biztosított számára hozzáférést. Kérelmező álláspontja szerint a személyes adatai vonatkozásában adatvédelmi incidens történt, mivel a Kérelmezett által kezelt „adatok olyan módon módosultak, amelyeket az érintett nem lát át, nem látja az érintett az adatkezelés következetességét és jogszerűségét, az adatkezelő nyilvántartása és az érintett saját nyilvántartása nem egyezik meg ugyanazon időpontokra vetítve…” Tájékoztatást kért továbbá arról, hogy az […] e-mail címről küldött két dokumentumot, miszerint a részzletfizetési megállapodás felbontásra került, milyen személyes adatok alapján küldték meg a részére. Kérelmezett erre 2019…-én kelt válaszlevelében tájékoztatást adott általánosságban az adatkezelés céljáról, a kezelt személyes adatok kategóriáiról, az adatkezelés jogalapjáról, a címzettekről, a személyes adatok kezelésének, tárolásának időtartamáról, az automatizált döntéshozatalról, valamint az érintetti jogokról, valamint a jogérvényesítési lehetőségekről. Kérelmező álláspontja szerint a e válaszlevél csak általánosságokat tartalmaz, de nem ad választ a kérelemben megfogalmazott konkrét kérésekre, kérdésekre. A Hatóság a Kérelmező kérelmének helyt ad és megállapítja, hogy a Kérelmezett nem megfelelően teljesítette a 2019. július 5-én kelt hozzáférési joga gyakorlására irányuló kérelmét és ezzel megsértette a Kérelmező hozzáférési jogát. Utasítja a Kérelmezettet, hogy a 30 napon belül biztosítson hozzáférést Kérelmezőnek a kérelemben megjelölt személyes adataihoz. A Hatóság a kérelmet a Kérelmező személyes adatának nem minősülő adatok vonatkozásában elutasítja. Emellett Kérelmezettet hivatalból a jelzett bírság megfizetésére kötelezi.

Kérelmező korábbi munkáltatója megsértette a korlátozott tárolhatóság elvét azzal, hogy tárolta a korábbi igazgatói pozíciót betöltő Kérelmező magánlevelezéseit, illetve az átláthatóságot sértve -tájékoztatás nélkül, a célhoz kötöttséget sértve, megfelelő jogalap nélkül keresett egy dokumentumot a jogutód elrendelésével az archivált email fiókjaiban. Kérelmezett sértette az elszámoltathatóság elvét azzal, hogy nem történtek olyan szervezési, technikai intézkedések, amelyekkel a személyes adatok védelme az email fiókok használatával és archiválásával kapcsolatban biztosítva lett volna. Kötelezett állítása szerint a keresés célzottan, a feladó és a tárgy alapján történt, a folyamat során hozzáférhettek az érintett és vele kapcsolatban álló harmadik személyek személyes adataihoz. Bár az adatkezelés szükségességét igazolták, az adatkezelés jogsértő módon történt. A munkáltató nem adott lehetőséget arra, hogy az adatkezelést, az adatok törlését kontrollálhassa, és a szükséges adatokat a saját eszközére mentse. Kérelmezők kérelme Kérelmezettre irányult. Kérelmezett viszont Kötelezett nevében járt el egy közös adatkezelési szerződés alapján.

A Kérelmezők a Kérelmezettel szemben terjesztettek elő kérelmet a Hatóság felé. A Kérelmezett azonban a Kötelezett nevében járt el, a Kötelezett MNB által jóváhagyott közvetítőjeként. A Kötelezett és a Kérelmezett Közös Adatkezelői Szerződést kötött, így mindketten adatkezelőként tárolták a Kérelmezők személyes adatait. A Kérelmezett azonban nem adhatott választ az érintetti kérelmekre a Kötelezett írásos jóváhagyása nélkül, és engedély nélkül nem törölhetett adatot a követeléskezelő rendszerből. A Kérelmezett és a Kötelezett nem közösen hozott döntéseket, így a Kérelmezett nem adatkezelő, hanem adatfeldolgozó volt. Adatfeldolgozóként viszont nem sértette meg az adatvédelmi rendeletet. A Kötelezett a Kérelmezettel ellentétben megsértette a GDPR rendeletet azzal, hogy nem tett eleget a Kérelmezők személyes adatainak törlésére vonatkozó kérelmének, amelyeket a Kérelmezőkkel szemben fennálló követelés érvényesítése miatt tárolt. A Kötelezett a telefonszám adatokat jogalap nélkül kezelte, majd a hozzájárulásuk visszavonása (információs önrendelkezési jogukból fakadóan lehetséges) után is tovább kezelte azokat, így megsértette a célhoz kötöttség és az adattakarékosság elvét. A Kötelezett nem nyújtott előzetes tájékoztatást megfelelő módon arról, hogy ki a jogosult adatkezelő a törlési kérelmek elbírálásában, valamint a Kérelmezők Kérelmezett felé benyújtott levelére a Kötelezett válaszolt, a Kérelmezők számára így nem volt világos, hogy ki dönt a kérelmükről, ezzel pedig sérült az átlátható adatkezelés elve is.

Egy országgyűlési képviselő panaszbeadványában leírtak szerint az origo.hu internetes oldalon 2019. februárjában két cikk is megjelent arra vonatkozóan, hogy az országgyűlési képviselő korábban VIP belépőre tartott igényt az adott Egészségügyi Központban. A cikkben szkennelt formában, a személyes adatait - kivéve a nevét - kitakarva jelent meg az igényt bejelentő lap , amelyet a képviselő csak az Egészségügyi Központ részére küldött el emailben. A szóban forgó Ügyfél állítása szerint a cikkek megjelenésekor szerzett tudomást a történtekről, azonban azt nem minősítette adatvédelmi incidensnek, annak ellenére sem, hogy az Egészségügyi Központ felügyeletét ellátó szervezet a cikkek megjelenését követően egyből adatvédelmi ellenőrzést rendelt el. Az incidensnek való minősítés csak akkor történt meg, mikor a hatósági ellenőrzés már megkezdődött. Végül nem derült ki, hogy a képviselő igénybejelentő lapja hogyan kerülhetett az internetes portálhoz, azonban olyan körülményeket, eseményeket tártak fel, amelyek alapján valószínűsíthetően az Ügyfél adatbiztonsági intézkedéseinek sérülése miatt történt az incidens. Az incidens bejelentése nem történt meg a határidőig, csak jóval később, a hatósági eljárás kezdete után. Az ügyfél az adatvédelmi incidens bekövetkezésekor nem rendelkezett belső incidenskezelési szabályzattal, pedig az különösen elvárható lett volna, hiszen egyrészt a Központ hazánk legnagyobb egészségügyi intézményeinek egyike, éppen ezért nagyszámú különleges adatot is kezel, másrészt az Ügyfél honvédelmi célú adatkezelést is folytat.

A Kérelmező betegség miatti távolléte alatt telefonon kérte meg helyettesét, hogy egy bizonyos feladatot végezzen el. A helyettese az ehhez szükséges dokumentum megkeresésekor több elintézetlen feladatot is talált, így a Kérelmező asztalát, számítástechnikai eszközeit, email fiókját később újra ellenőrizték a károk elkerülése, enyhítése céljából. A munkafolyamatok folytonossága érdekében a helyettese a helyettesítés alatt használhatta eszközeit és email fiókját, azonban az el nem végzett feladatok ellenőrzése, a kérelmező teljesítményének értékelése túlmutat ezen a célon. Az ellenőrzést külsős munkatársak végezték, akik rendszergazdai feladatokat láttak el. Az ellenőrzés alatt fényképeket készítettek, amelyeket később egy jegyzőkönyvben és az azon alapuló felmondáskor is felhasználtak. Az ellenőrzés után megváltoztatták a Kérelmező emailjének jelszavát, továbbá megszüntették a hozzáférését a munkahelyi szerveren lévő dokumentumokhoz és az integrált vállalatirányítási rendszerhez. A Kérelmező által magáncélra is használt laptopon és telefonon tárolt saját és harmadik személyek személyes adataihoz az eljárás során bárki hozzáférhetett. A munkavállaló nem tudta tájékoztatni ezekről az adatokról a munkáltatóját, így sérült a tisztességes adatkezelés elve. A Kérelmezőt nem tájékoztatták előzetesen az ellenőrzésről, annak ellenére, hogy a tisztességes adatkezelés szerint biztosítani kell a munkavállaló vagy képviselője jelenlétét, illetve nem volt lehetősége a személyes adatok másolására, majd törlésére sem. Bár vannak olyan esetek, amikor azonnali intézkedések szükségesek, így nincs lehetőség a munkavállaló jelenlétére, ilyenkor is biztosítani kell, hogy az ellenőrzés menete, körülményei, a megismert adatok köre, az elvégzett adatkezelési műveletek, azok jogszerűsége később is ellenőrizhető legyen, azonban ez sem történt meg. A Kötelezett nem rendelkezett továbbá olyan belső szabályzattal, amely a munkavállalók által használt számítástechnikai eszközökre, email fiókok használatára, általános és egyedi ellenőrzésére, illetve az eszközökön tárolt adatok kezelésére vonatkozik. A Kötelezett megsértette az átláthatóság és az elszámoltathatóság elvét is.

A szóban forgó önkormányzat kamerás megfigyelése során személyes adatokat kezelt, hiszen a képmás személyes adatnak minősül, így megsértette a Kérelmező információs önrendelkezési jogát. Kötelezett több kamerát helyezett el az épületben és környékén, melyek közül kettő a parkolóra, három kamera pedig a bejárat körüli területre, az emelet közlekedőfolyosójára, valamint az emeleti lépcsőre néz. A megfigyelésben az alkalmazottak, a helyi önkormányzat, valamint a nemzetiségi önkormányzat képviselői – akik az épület néhány irodáját használták –, továbbá az önkormányzati ügyintézésen részt vevő ügyfelek érintettek. Ezek a kamerák hang nélkül készítettek videofelvételeket, Kötelezett szerint a felvételek tartalmának megtekintése csak bizonyos esetekben, az arra jogosult személyek által történt. Kötelezett az eljárást megelőző időszakban nem rendelkezett a kamerás megfigyelésre vonatkozó belső szabályzattal és adatkezelési tájékoztatóval, továbbá nem tájékoztatta előzetesen az érintetteket a kamerás adatkezelésről és annak körülményeiről. Az adatkezelés nem volt jogszerű és átlátható sem. Az eljárást megelőzően nem volt kijelölve az adatkezelésért felelős személy, illetve nem határozták meg, hogy mi az adatkezelés célja és jogalapja. A hosszú ideje jogellenesen történő adatkezelésnél Kötelezett nem vette figyelembe az adatkezelés szükségességét és arányosságát, illetve megsértette az adattakarékosság és a célhoz kötöttség elvét is.

A Földhivatal jelzálogjogosult-változásról szóló határozatot és kézbesítési jegyzéket továbbított az érintettek felé, azonban ezek személyes adatokat tartalmaztak. A Kérelmezett a határozatot a Kérelmezőknek és további 40 ingatlan tulajdonosnak küldte meg, akik ugyanebben a törlési kérelemben érintettek voltak. A határozat tartalmazta a Kérelmezők személyes adatait, többek között a felvett kölcsön összegét, a devizanemet és a kölcsön jogcímét is. A továbbított kézbesítési jegyzéken szerepeltek az érintettek nevei és lakcímei is. Így a Kérelmezett a Kérelmezők személyes adatait harmadik fél számára elérhetővé tette és nem adott átlátható tájékoztatást az adatkezelésről. A Kérelmezett nem gondoskodott arról, hogy a több intézkedést tartalmazó határozatnak csak az egyes érdekeltekre vonatkozó kivonatát továbbítsa. A Földhivatal ezzel megsértette az adattakarékosság és az átlátható adatkezelés elvét.

A közterület-felügyelet térfelügyeleti helyiségében belső kamerával folyamatosan megfigyelték az ott dolgozó közszolgálati tisztviselőket, hogy ellenőrízni tudják, hogy a dolgozók jogszerűen, az adatbiztonsági követelményeket betartva végzik-e feladatukat. Az adatkezelésről nem tájékoztatták az érintetteket az adatvédelmi rendelet szabályainak megfelelően. A kamera rögzítette, hogy valószínűsíthetően a kérelmező a hivatali diszpécser számítógépén képeket keresett, majd nyomtatott ki, és feliratozva kifüggesztette azokat a férfi öltözőben. A munkáltató ezt méltatlannak találta, így megszüntette a kérelmező közszolgálati jogviszonyát. A Kttv. szerint a közszolgálati tisztviselők munkájának ellenőrzése és személyes adatainak kezelése lehetséges, azonban az adatvédelmi rendelet szerint abban az esetben az, ha ez más, egyszerűbb eszközökkel nem megvalósítható, tehát megfelel az adattakarékosság elvének. A belső kamerával történő ellenőrzés azonban nem alkalmas az eredeti célra, hiszen csak az látható, hogy a tisztviselők a monitort nézik-e, az viszont nem, hogy mit néznek rajta. Az adatbiztonsági követelmények betartására vonatkozó ellenőrzés céljából szintén nem megfelelő az alkalmazott belső kamera. A tisztességtelen, hosszú ideje tartó, jogellenes adatkezelés sérti a szükségesség és adattakarékosság elvét, és nagy mértékben érinti a kérelmező magánszféráját. A munkáltató az eredeti céltól eltérő célból is felhasználta az adatokat – így derült fény az öltözőben kihelyezett képekre –, amellyel sérelmet okozott a kérelmezőnek, hiszen emiatt vesztette el munkáját.

A Törvényszék elnöke vezetői értekezletet tartott 14 járásbíróság elnökével/elnökhelyettesével és a Törvényszék kollégiumvezetőivel. Az értekezleten az elnök tájékoztatta a résztvevőket arról, hogy kilépett a Magyar Bírói Egyesületből (MABIE), és kiosztott egy listát az Egyesület tagjairól annak érdekében, hogy a vezetők beszéljenek a tagokkal arról, hogy ők is vegyék fontolóra a kilépést. Kérelmezett szerint a lista a Törvényszék elnökének utasítására lett elkészítve a bérnyilvántartási adatbázisból, azzal a céllal, hogy a vezetők ellenőrizni tudják, hogy egyesületi tagok-e, azonban nyilvánvalóan ennek nem ez volt a megfelelő módja. Az értekezlet 19 résztvevője (amelyből nyolcan egyesületi tagok is) megismerte a MABIE 51 bírójának tagságával kapcsolatos adatait. A MABIE egy szakszervezeti célú egyesület, így a megismert adatok különleges adatnak minősülnek. Az adatkezelés célja ebben az esetben nem volt összeegyeztethető az eredeti – tagdíj munkabérből való levonása – céllal, így ezek az adatok nem lettek volna hozzáférhetők a vezetők számára. A különleges adatok lekérdezésére és harmadik személyekkel való megosztására az elnöknek nem volt megfelelő jogalapja, igazolható célja és nem kapott hozzájárulást sem az érintettektől.

A bírság fizetésére kötelezett nem törölte és jogalap nélkül kezelte az érintett kérelme ellenére is a vezetékes- és mobiltelefonszám-adatait, arra hivatkozva, hogy joga van a tartozás rendezéséig személyesen, telefonon vagy írásban érvényesíteni az érdekeit. Kötelezett megsértette a célhoz kötöttség és az adattakarékosság elvét is, hiszen azután is kezelte az érintett személyes adatait, hogy ő visszavonta a hozzájárulását. A telefonszám nyilvántartása azonban nem bizonyult elengedhetetlennek, hiszen a lakcímadat is rendelkezésre állt.

Kérelmező szerint Kötelezett harmadik személy(ek) számára továbbította a személyes adatait, annak ellenére, hogy Kérelmező tiltakozott személyes adatainak kezelése ellen, majd kérte az adatok törlését is. Kötelezett Kérelmező számos személyes adatát kezelte különböző célból és jogalap alapján. A Bank megfelelő adatkezelési cél és jogalap nélkül tárolta Kérelmező azon személyes adatait is, amelyet a pénzmosás és a terrorizmus finanszírozásának megelőzéséről és megakadályozásáról szóló törvény nem ír elő megőrízendő adatként. Kötelezett átruházta egy követelésbehajtó vállalatnak engedményezés útján a lakossági lízing- és kölcsönszerződésből eredő követelést, a múltban felmerült, a jövőben esedékes kamattal és járulékkal, továbbá a követeléshez kapcsolódó mellékkötelezettségekből fakadó jogokkal együtt, és valóban továbbította a Kérelmező személyes adatait. Kötelezettnek kötelessége volt átadni a követelés fennállását bizonyító okiratokat, azaz a Kérelmezővel kötött kölcsönszerződést és az abban szereplő személyes adatokat, viszont további adatokat nem. Kötelezett a kölcsönszerződés teljesítése, szerződéses jogalap és jogos érdekre hivatkozva kezelte és továbbította a Kérelmező személyes adatait. A szerződéses jogalap azonban nem megfelelő, mert az engedményezéssel a problémát szerződésen kívül oldja meg, így az adattovábbítás jogalapja a jogos érdek lehet. Kötelezett megsértette az elszámoltathatóság elvét, hiszen az adatkezelés megjelölt jogalapja és az adattovábbítás szükségessége nem lett összemérve a Kérelmező érdekével. Kötelezett továbbá nem hívta fel megfelelő módon az érintett figyelmét a tiltakozáshoz való jogára, pedig ez legkésőbb az első kapcsolatfelvételkor kötelessége lett volna.

A Budapesti Rendőr-főkapitányság egyik dolgozója szolgálati feladatainak ellátása közben elvesztett egy pendrive-ot, amelyen rajta volt a főkapitányság teljes nevesített személyzeti állománytáblája és a rendvédelmi szolgálati jogviszonyváltáshoz kapcsolódó összes személyügyi anyag elektronikus másolata. A pendrive-on , 1733 fő személyes adata – neve, születési ideje, anyja neve, TAJ-száma, beosztása és munkaköre – szerepelt. Az adathordozót a dolgozó magáncélra használta, és nem alkalmazott semmilyen biztonsági intézkedést, hozzáférésvédelmet. Az adatvédelmi incidens továbbá nem került bejelentésre a rendeletben megszabott 72 órás határidőig.

Kötelezett fennálló banki követeléseket vásárolt, a vásárlással pedig a Kérelmezők, akik korábban banki hitelt vettek fel, személyes adatai is továbbításra kerültek. Kérelmezők az MNB-hez fordultak, mert úgy vélték, hogy Kötelezettnek nincs engedélye a követelésvásárlásra. Az MNB piacfelügyeleti eljárást indított, majd megállapította, hogy valóban nincs engedélye a vállalatnak erre a tevékenységre, hiszen a követelésvásárlási pénzügyi szolgáltatás az MNB engedélyéhez kötött. Az MNB eltiltotta a Kötelezettet ettől a tevékenységtől, és piacfelügyeleti bírságot szabott ki. Kötelezett állítása szerint a Banktól a kölcsönszerződésből eredő követelés engedményezési eljárás során került hozzá, valamint korábban Kérelmezők hozzájárulásával történt a személyes adatok felvétele, így a törvény eltérő rendelkezései hiányában a kötelezettség teljesítése céljából kezelte hozzájárulás nélkül az adatokat, és kezelheti továbbra is a hozzájárulás visszavonása után is. Az engedményezési szerződés alapján jogszerű lenne a személyes adatok kezelése a követelések érvényesítése céljából, azonban Kötelezett engedély nélkül végezte ezt a tevékenységet, így a tevékenység, az adatkezelés és az adatkezelés célja is jogellenes. Kötelezett a célhoz kötött adatkezelés elvét megsértette, és megfelelő jogalap nélkül kezelte az érintettek személyes adatait, hiszen a korábban hatályos Infotv.-re 2018. május 25-e óta már nem lehet jogszerűen hivatkozni.

Kérelmező több összetett kérelmet is benyújtott Kötelezett felé, amelyekben ismétlődő jelleggel kért számos, sok esetben túlzó intézkedést. Másolatot kért például a róla kezelt kamerafelvételekről, a Telecenterrel folytatott beszélgetéseinek hangfelvételeiről, a pénztárbefizetéseinek bizonylatairól, az ügyintézések jegyzőkönyveiről, az aláírásmintájáról, a kölcsönszerződéshez kapcsolódó adósminősítés dokumentumáról és arról a körlevélről is, amelyet az Kérelmező fényképét csatolva küldtek ki a fiókvezetőknek.Tájékoztatást kért többek között a személyes adatai kezelésének jogalapjáról, az irattárából eltűnt szerződésekhez kapcsolódó információkról, a pénztárbefizetési bizonylatok megőrzésével kapcsolatos információkról, a privátbanki hívások hangfelvételeiről, annak céljáról, jogalapjáról, illetve egyéb információiról, a jövedelemigazolás megsemmisítésének dátumáról, valamint az ügyintézéseihez kapcsolódó jegyzőkönyvek adatkezeléséről. A róla kezelt kamerafelvételek esetében kérte az adatkezelés korlátozását, a felvételek zárolását. Bizonyos hangfelvételek, kamerafelvételek és a jegyzőkönyvek eredeti példányának megtekintését is igényelte. Kérelmező kérte a személyes adatainak törlését is, amennyiben ez a hozzájárulása alapján történt. A Kérelmezett valóban nem válaszolt határidőn belül – kérelmek beérkezését követő egy hónapon belül – az egyes kérelmekre, és az elmaradást sem indokolta meg, állítása szerint azért, mert a Fővárosi Ítélőtábla végzését ezekre vonatkozóan is irányadónak értelmezte, annak ellenére, hogy az adatvédelmi kérelmek nem voltak összefüggésben a Fővárosi Ítélőtábla intézkedésével. Az Ítélőtábla végzése szerint a jogvita jogerős eldöntéséig tartózkodnia kellett az olyan írásos nyilatkozatok peren kívüli megküldésétől, amik a szerződéses viszonnyal kapcsolatosak. Kötelezett nagyrészt végül a határidő lejárta után eleget tett a kérelmeknek. A Hatóság végül megállapította, hogy néhány esetben megsértette Kérelmező hozzáférési jogát: nem kapta meg a kamerafelvételek másolatát a harmadik személyek és bizonyos információk kitakarásával, nem jelölte meg a pontos jogszabályi hivatkozásokat, amelyek miatt kezelte a személyes adatait, nem tájékoztatta a személyes adatai kezeléséről bizonyos jegyzőkönyvek esetében, és a körlevélről sem készített másolatot.

A Sziget Zrt. által szervezett rendezvényeken jogellenes adatkezelés történt több mint nyolcszázezer fő beléptetésénél. A cég a személyigazolványok beszkennelésével dokumentálta a belépők személyes adatait, miközben kép- és hangfelvételt is készített róluk. Abban az esetben, ha valakinek nem felelt meg ez a belépési mód, érvényteleníthették a jegyét, így a hozzájárulás nem volt szabad választási lehetőség, azaz sérült az önkéntesség és a külső befolyástól való mentesség elve. A hozzájárulás több okból sem felelt meg a jogalapnak, többek között nem történt megfelelő tájékoztatás az érintettek részére. A belépőket arról sem informálták megfelelően, hogy milyen célból és milyen időtartamra vonatkozóan őrzik meg az adataikat, illetve kik az adatfeldolgozók, és milyen jogkörrel rendelkeznek. A visszaélések és a magas fokú biztonság érdekében végzett adatkezelés azonban nem bizonyult alkalmasnak és elengedhetetlennek a célok eléréséhez. A visszaélések elkerülése céljából rögzített adatok sértették a célhoz kötött és a szükséges adatkezelés alapelveit. A látogatók biztonságának garantálása érdekében használt rendszer alkalmatlannak bizonyult a megnevezett célra. A Sziget Zrt. nemzetiségre vonatkozó adatrögzítése készletező adatkezelésnek minősült, továbbá a belépők nemére vonatkozó adatok sértették az adattakarékosság elvét.

Az igazgatóság egyik munkatársa téves címre küldött ki 9 darab, személyes adatot - úgy mint azonosító adat, elérhetőség, szociális azonosságra és egyéb, magánéletre vonatkozó adatok, büntetett előélet, bűncselekmény, büntetésre vonatkozó részletek - tartalmazó dokumentumot. A téves címzett hasonló feladatokat lát el, azonban más illetékességgel rendelkezik. Az incidens során sérült a 18 érintett személyes adatainak bizalmas jellege. Az incidens bejelentése a Hatóság részére nem történt meg a megengedett határidőn belül.

Az érintett személy előfizetői szerződést szeretett volna kötni, azonban az első kérelmezett a korábbi szolgáltatásokból fennmaradó kiegyenlítetlen tartozások miatt ezt megtagadta, a tartozást pedig a második kérelmezettre engedményezte. Az érintett kérte a személyes adatok egyeztetését és az ezt igazoló dokumentum kiadását, mert nem találta igaznak az elutasítás indokát. Az első kérelmezett - tévesen - a törölt adatokra hivatkozva nem tette lehetővé az adatok összehasonlítását, így nem tudott megbizonyosodni arról, hogy visszaéltek személyes adataival. Az első kérelmezett megsértette az érintett személyes adatainak hozzáféréséhez való jogát és az átlátható, tisztességes adatkezelés, továbbá a pontosság és elszámoltathatóság elvét. A második kérelmezett eltérő okok miatt többször megtagadta az adatok egyeztetését, megsértette az elszámoltathatóság elvét, továbbá nem a megfelelő jogalapra hivatkozott az érintett adatainak kezelésekor. A folyamat során kiderült, hogy a tartozás összege 623.854 Ft, amely úgy keletkezett, hogy egy, a magát érintettnek nevező férfi korábban 5 szerződést íratott az érintett nevére, mint a szerződések kötelezettje. Az első kérelmezett esetében sérült a pontosság elve, ugyanis a nyilvántartásokban egymástól eltérő személyes adatok (4 különböző anyja neve) tartoztak az érintetthez. A második kérelmezett nem tett eleget az elszámoltathatóság elvének, mert olyan szerződésekre hivatkozott a személyes adatok kezelése során, amelyek már megszűntek.

A Budapesti Műszaki és Gazdasági Egyetem többszöri megkeresés után sem válaszolt a kérelmező megkeresésére, amelyben a személyes adataihoz való hozzáférést igényelte. Az érintett szeretett volna hozzájutni a munkaköri leírásaihoz, a kieső időszakok adataihoz, az utána fizetett adó és a TB, a NAV, illetve a nyugdíjfolyosító felé történt bejelentés részleteihez is. Az egyetem azonban nem teljesítette határidőre az érintett hozzáférési jogára vonatkozó kérelmet, és nem indokolta a késedelem okát sem. Az érintett kérelmét csak a hatósági végzés átvétele után, azonban akkor is csak hiányosan teljesítette.

Egy ismeretlen támadó kihasznált egy, az adatkezelő által üzemeltetett honlap beállításaiból adódó sérülékenységet, és megszerezte a felhasználók adatbázisát, amelyet ezt követően közzé tett az interneten. Nyilvánosságra került a felhasználók teljes neve, email címe, a felhasználói nevük és titkosított formában a belépési jelszavak is. Bár a jelszavak kódolva voltak, a gyenge védelem miatt rövid idő alatt viszsza lehetett azokat fejteni. Az adatbázis sérülékenysége miatt 6987 érintettnek kerültek ki a politikai véleményére vonatkozó, különleges személyes adatai. A Párt állítása szerint egy tesztadatbázis vált nyilvánossá, amelyhez véletlenszerűen kiválasztott személyek régi adatait használták fel, ezek a személyes adatok azonban valósak voltak, a követelmények pedig az adatkezelés teljes időszakára vonatkoznak. Amikor az ügyfél tudomást szerzett az incidensről, nem tett eleget az incidensbejelentési kötelezettségének, és az érintetteket sem tájékoztatta a történtekről, mert úgy vélte, hogy nem jelent kockázatot az érintettek jogaira és szabadságaira vonatkozóan.

Az érintett arra kérte az adatkezelőt, hogy a nyilvántartott személyes adatai közül a telefonszámát töröljék. Az adatkezelő érdekmérlegelést követően úgy döntött, hogy a telefonszámot nem fogja törölni, hiszen jogos érdek alapján kezeli azt annak érdekében, hogy a lejárt tartozást telefonos megkeresés útján tudja érvényesíteni. Az adatkezelő nemcsak a törléshez való jog gyakorlására irányuló kérelemnek nem tett eleget, az adat kezelésével a célhoz kötöttség és az adattakarékosság elvét is megsértette, ugyanis a Kötelezett nyilvántartotta az érintett lakcímadatát is, amely megfelelő a kapcsolattartásra és a követelés behajtására is. A pénzintézet továbbá nem tájékoztatta ügyfelét arról, hogy adatait más célból is nyilván tartják.

Kecskemét Megyei Jogú Város Polgármesteri Hivatala az Érintett által tett közérdekű bejelentést jogellenesen továbbította harmadik fél számára, mert az elküldött dokumentumokat nem anonimizálta. A jogalap nélküli adattovábbítás az Érintettnek jelentős következménnyel járt, jelentős gazdasági és szociális hátrányt szenvedett, hiszen közalkalmazotti jogviszonyának megszűnése és a jogsértés között közvetlen ok-okozati kapcsolat állt fenn.

Az adatkezelő felszólította az Érintettet, hogy a vele szemben fennálló követelést teljesítse. Az Érintett vitatta az adatkezelés jogszerűségét, nem tartotta jogosnak a követelést, továbbá kérte, hogy az adatkezelő bocsássa rendelkezésére azokat a dokumentumokat, amelyekre a követelését alapozza, illetve tájékoztassa az általa kezelt személyes adatokról. Az adatkezelő - megsértve az adattakarékosság elvét - olyan azonosítóadatokat kért az Érintettől, amelyekkel az ügyet megelőzően nem rendelkezett, így azokat nem is kezelte, tehát nem lett volna mivel összehasonlítani azokat ügyfélazonosítási céllal. Az adatkezelő egyik válaszában sem, valamint a panaszkezelési eljárás lezárásakor sem tájékoztatta az ügyfelet arról, hogy a panasz kivizsgálása más formában is megtörténhetne. A biztonsági mentésekben tárolt személyes adatok kezelésével kapcsolatban az adatkezelő tevékenysége nem felelt meg az átláthatósági követelményeknek, hiszen az ezt szabályzó dokumentumhoz az érintett nem férhetett hozzá, valamint ezek kezeléséről, felhasználásáról nem tájékoztatta az Érintettet.

Az adatkezelő téves telefonszámra küldött hiteltartozással kapcsolatos SMS üzeneteket. A telefonszám tulajdonosa felvette a kapcsolatot a Bankkal, és kérte, hogy telefonszámát töröljék a nyilvántartásból, arra ne küldjenek üzenetet, hiszen nem is kezelhetnék azt. Az adatkezelő ezt nem tette meg azután sem, hogy nyilvánvalóvá vált, hogy a kérdéses telefonszám nem a Bank ügyfeléé, és nem korlátozta a telefonszám adatkezelését arra az időtartamra, amely az adat pontosságának ellenőrzéséhez szükséges lett volna, így sérült a pontosság elve.

Az Érintett hozzáférési jogát gyakorolva kérte azon kamerafelvételek kiadását, amelyeken ő szerepel. Az adatkezelő nem biztosított betekintést a felvételekbe, és nem adta át azok másolatát. A felvételeket jogsértő módon, az Érintett kérésének ellenére sem zárolták, így azok automatikusan törlődtek. Mindezek mellett az adatkezelő elmulasztotta tájékoztatni az Érintettet a jogorvoslati lehetőségekről.