GDPR bírságok

A megbírságolt személy autószerelői tevékenységet folytatott egy ingatlanban, melybe kamerákat telepítettek egy feltételezett betörési szándék észlelését követően. A megfigyelt területeken csak az ott dolgozó személyek – 6 fő – tartózkodhattak. Őket írásban tájékoztatták, hozzájárulásukat aláírással igazolták. A kamerákat élőkép megfigyelésére nem használták, bár a hozzájuk tartozó applikáció ezt lehetővé tette volna. A Hatóság több téren is kifogásolta az adatkezelési tevékenységüket. Egyrészt jogos érdek helyett a munkavállalók hozzájárulása képezte a rendszer üzemeltetésének jogalapját, mely az adatvédelmi szabályzatban leírtaknak is ellent mond. Másrészt az „iroda-ügyfélváró” és „konyha” helyiségeibe telepített kamerák alkalmasnak bizonyultak a munkavállalók indokolatlan megfigyelésére, mely nem összeegyeztethető az eredeti személy- és vagyonvédelmi céllal.

A Hatóság ezúttal „Doktor Gődény” elnevezésű Facebook oldalon közzétett aláírásgyűjtő weboldal adatkezelésének jogszerűségét vetette vizsgálat alá. A kezdeményezés támogatásához online vagy aláírásgyűjtő ív letöltésével, postafiókra küldésével volt lehetőség. Az adatkezelési tájékoztatóban és a papír alapú íven is a Pártot jelölték meg adatkezelőként, ennek ellenére a Hatóság felkeresésére adott válaszban a Párt jelenlegi képviselője tagadta, hogy bármilyen részt vállalnának az ügyben, az egészet korábbi ügyvezetőjükhöz, dr. Gődény Györgyhöz kötötte. Dr. Gődény György a felkeresés során nem ismerte be, hogy köze lenne a gyűjtéshez, a Hatóság közösségi média források alapján mégis az adatkezelésben betöltött szerepét támasztotta alá. Korábbi nyilatkozatában elmondta, hogy a postafiókra érkező íveket ő veszi át, Facebook oldalán többször propagandálta az aláírásgyűjtést, egy online cikkben megjelent interjú során nyilatkozta, hogy ő maga és a Párt aláírást gyűjt. Az aláírásgyűjtésben betöltött meghatározó szerepe miatt adatkezelőnek minősítette a Hatóság, a Párttal együtt, mivel a tájékoztatókban ők voltak megjelölve. A Hatóság a következő hiányosságokat emelte ki: a weboldalon nem volt megfelelő a tájékoztatás az adatkezelés céljairól, mely különleges kategóriájú – politikai véleményre utaló – adatokat is érintett; nem adtak tájékoztatást az adatok tárolásáról, jogalapról; a politikai kapcsolattartáshoz való hozzájárulás nem a tájékoztatóba megadott módon zajlott. Az adatkezelést tisztességtelennek titulálták, mivel az adatkezelői minőség nem volt megfelelően tisztázott, az érintetteket megtévesztő módon tájékoztatták, a nem működő Párt megjelölésével.

Az ügy bejelentője kifogásolta, hogy személyes adatai (neve, lakcíme, telefonszáma) a hozzájárulása nélkül nyilvánosan elérhetőek egy telekommunikációs vállalat online tudakozójában. Panaszával először az ügyfélszolgálatot kereste fel, ahol összesen háromszor jelezte törlési igényét, mivel az első két alkalommal technikai és adminisztrációs hibák miatt ez nem valósult meg.

A problémához az vezetett, hogy a bejelentő 2015-ben kötött szerződésében ugyan nem járult hozzá a tudakozóban való adatközzétételhez, de 2018-ban újra-szerződéskor a hozzájárulását megadta. A vállalat ezt aláírt szerződés hiányában azonban nem tudta alátámasztani. A hatóság álláspontja szerint a vállalat jogalap nélkül hozta nyilvánosságra a bejelentő adatait és az adattörlési kérelemnek nem tettek határidőn belül eleget – a technikai hiba nem mentesíti őket az adatkezelői felelősségek alól.

A bank 2017 óta alkalmazott hangelemző szoftvert, hogy mesterséges intelligencia segítségével elemezzék az ügyfélszolgálati telefonhívásokat. A szoftverrel egyrészt a munkavállalók teljesítményét értékelték, a várakoztatás, a csendben töltött idő és az egymásra beszélés alapján. Emellett adatokat gyűjtöttek az elégedetlen telefonálókról, hogy felmérjék, milyen sorrendben hívja őket vissza egy magasabb képzettséggel rendelkező munkatársuk. A rangsoroláshoz minden hívást rögzítettek, majd a szoftver kulcsszavak (például trágár szavak) és érzelmi, hangulati elemek azonosításával állította ki a listát – bár utóbbit csak az esetek 8%-ában ismerte fel.

A bank honlapján lévő adatkezelési tájékoztató nem tartalmazott érdemi információt a hangelemzésről, csak a minőségbiztosítást és panaszmegelőzést jelölték meg célként. A mesterséges intelligencia alkalmazásának adatvédelmi veszélyeire a hatásvizsgálat során is kitértek, de az érdekmérlegelési teszt nem tartalmazott megoldást ezek kezelésére.

Az Érintett 2019-ben kapott névre szóló, támogatást kérő levelet és csekket az Alapítványtól. Nyilatkozata szerint az adatait nem adta meg az Alapítványnak és adományozójuk sem volt soha, ezért tájékoztatást kért adatai forrására vonatkozóan. Válaszul az Alapítvány egy adattörlési jegyzőkönyvet küldött az Érintettnek, adatai kezeléséről azonban nem tájékoztatták. Nyilatkozattételükben a lehetséges támogatók adatainak forrásaként az interneten nyilvánosan hozzáférhető telefonkönyvet, valamint a Belügyminisztériumtól kikért adatbázist jelölték meg.
Ugyan civil szervezeteknek az adománygyűjtés érdekében az első kapcsolatfelvétellel végzett adatkezelés alapulhat érdekmérlegelési teszttel alátámasztott jogos érdeken, ám az Alapítvány érdekmérlegelése nem volt megfelelő, csak saját érdekeit tartalmazta, az érdekek összevetését nem. Az adatkezelési tájékoztatójukban jogos érdek helyett kizárólag az érintett hozzájárulására hivatkoztak, ebben adatkezelési folyamatukat nem a valóságnak megfelelően írták le. Az Érintett kérésére történő tájékoztatás helytelen volt, továbbá a feltárás során nem találták az Érintett adatait, így azok forrása tisztázatlan maradt. Mivel a teljes adatkezelési folyamatuk nem volt megfelelő, és korábban is volt hasonló okból kifolyólag hatósági ügyük, végül pénzbírság kiszabása mellett döntött a Hatóság. Ennek mértékénél számba vették, hogy az adományozottak is kárát szenvedhetik, ezért a jogosnak vélt összegnél alacsonyabb bírságot határoztak meg.

Az eljárás előzményeként a Kérelmezett magánvádas büntetőeljárást kezdeményezett a Kérelmezővel szemben, a Pesti Központi Kerületi Bíróság előtt. A feljelentéshez az vezetett, hogy a Kérelmező a [Társaság] jogtanácsosaként átadta a Kérelmezett magánlevelét, „szigorú magántitkát” az ügy másik két terheltje számára. A Bíróság büntetőeljárást indított, és személyes meghallgatást tűzött ki. A Kérelmezőnek feljelentettként a Bíróság kétszer küldött ki idézést, sikertelen kézbesítéssel.
A Kérelmezett az általa kezdeményezett büntetőeljárás irataiba való betekintés során képet készített a felbontatlan borítékról és a saját nevére szóló idézésről, majd ezeket e-mailben továbbította a Kérelmező több kollégájának és a [Társaság] központi e-mail címére, ezáltal a címzettek tudomást szereztek a Kérelmező büntetőügyéről. Az e-maileket azzal az indokkal küldte, hogy a Kérelmező biztosan megjelenjen a tárgyaláson.
A Kérelmező ezután fordult az Adatvédelmi Hatósághoz. Nyilatkozata szerint az e-mailhez összesen 142-216 fő fért hozzá. A Hatóság bevonását követően a Kérelmezett újabb ügyet indított a Bíróságon a Kérelmezővel szemben, az idézést ezúttal is elküldte a korábbi címzetteknek.
A Kérelmezett a Hatóság kérdéseire azt nyilatkozta, hogy nem minősül adatkezelőnek, mivel magánszemélyként, magánvádlóként, személyes célból küldte az e-maileket. A Hatóság mégis felelősnek vélte. A harmadik feleknek is továbbított e-mailek és dokumentumok a Kérelmező nevén és lakcímén túl személyes bűnügyi adatokat is tartalmaztak mint az eljárásjogi pozíciója, a bűncselekmény jellege. A Hatóság úgy vélte, hogy a Kérelmezett az adatok továbbításával adatkezelést végzett, mivel ő határozta meg az adatkezelés módját és célját; adatkezelőnek az a személy minősül, aki az adatkezeléssel kapcsolatos tényleges befolyást gyakorolja. Nem befolyásolja, hogy a Kérelmezett természetes személy, hiszen a GDPR fogalommeghatározása szerint adatkezelő természetes vagy jogi személy is lehet.
A Hatóság álláspontja szerint akkor minősülhetett volna a két e-mail elküldése személyes tevékenység keretében végzett adatkezelésnek, ha azt a Kérelmezett csak és kizárólag közvetlenül a Kérelmezőnek küldte volna meg.

Gépkocsijának szervizelését követően a Szerviz elkérte a Kérelmező e-mail címét, melyen keresztül később elégedettségi kérdőív kitöltésére kérték fel. Az e-mail küldője a gépkocsi Importőr volt és az üzenet tartalmazta a Kérelmező gépkocsijának alvázszámát is, ezzel beazonosíthatóvá téve őt.
A Hatóság kiderítette, hogy a Szerviz mint adatfeldolgozó továbbította az adatokat az Importőr felé, a köztük fennálló márkaszervíz szerződés alapján, így a vizsgálat az Importőrrel, mint adatkezelővel szemben folytatódott.
Az Importőr nyilatkozata szerint az ügyfelek adatvédelmi tájékoztatását elsősorban a Szerviz végzi, a munkalappal egyidejűleg átadott nyomtatott adatkezelési tájékoztatóval. A vizsgálatok során a Hatóság arra jutott, hogy a munkalaphoz csatolt adatkezelési tájékoztató más céllal, más jogalappal készült, így nem felel meg az ügyfélelégedettség-méréssel kapcsolatos tájékoztatásnak (ráadásul a Kérelmező esetében a Szerviz munkavállalója a munkalap kitöltését, aláíratását és a tájékoztató átadását el is mulasztotta). Habár a Kérelmező nem vált az Importőr ügyfelévé, az adatkezelői mivolta miatt mégis az Importőr feladata lett volna a tájékoztatást, így a bírság megfizetésére is ők a kötelezettek.

Az ügy kérelmezője harmadik személy tévesen megadott email címe miatt kapott kéretlen elektronikus levelet a telekommunikációs vállalattól. A problémát a cég ügyfélszolgálati email címén jelezte és kérte az elérhetőség törlését, hivatkozva a tényre, miszerint nem ő az ügyfelük. Megkeresésére sablon üzenetben küldött leiratkozási lehetőség hivatkozását kapta válaszul.

Mivel továbbra is kapott leveleket kérését további két alkalommal megismételte, jelezve, hogy a leiratkozási hivatkozás a bejelentkezési oldalra irányítja. A hivatkozási problémát később a NAIH vizsgálata is igazolta. A link nem egy bárki által használható leiratkozási felületet takart, csak a bejelentkezett ügyfelek számára nyújtott elérhető megoldást.

A kiszabott bírság mértékére több hasonló előzményügy is ráhatással volt. Ezekben a helytelen adat törlését csak a hatósági tényállás kézhezvételét követően végezték el, például téves mobiltelefonszám megadása vagy marketing megkeresésre vonatkozó nyilatkozat téves rögzítése esetében.

A megbírságolt tévécsatorna a Kérelmező egészségügyi adatait, melyek a személyes adatok különleges kategóriájába tartoznak, megfelelő jogalap hiányában hozta nyilvánosságra hírműsorában. A tájékoztatóban kitértek a Kérelmezett balesetét és kórházi kezelését érintő részletekre is, képi anyagként az eset helyszínét, a Kérelmezett lakóhelyét (település, utca, társasház) bemutatva, majd a keresztneve is elhangzott. A riporthoz a csatorna Messenger üzenetben kereste fel a Kérelmező szüleit, majd válasz hiányában testvérét, aki jelezte, hogy az interjútól elzárkóznak és nem kívánják az eset nyilvános megosztását.

A Kérelmező 2007-ben létrejött kölcsönszerződését Kérelmezett 1-nél (Hitelintézet) kötötte. A tartozás 2019-ben engedményezésre került Kérelmezett 2 (Követelésbehajtó) részére. A Kérelmező az engedményezést megelőző évben „Nyilatkozat” című levelében tiltotta meg a Hitelintézet számára az adatai harmadik félnek való kiadását. Emellett közel egy év alatt a Kérelmező nagy számú, kb. 50 panaszt nyújtott be a Hitelintézet számára. Ezek besorolása, feldolgozása nagy munkaterhet jelentett, ezért a „Nyilatkozat” c. levélre nem válaszoltak. A Követelésbehajtó a követelés megvásárlásakor a végzéshez nem szükséges egyéb személyes adatokat is kapott mint a Kérelmező telefonszáma, jövedelmi helyzetére vonatkozó adatok, hitelfelvétel célja. Az adatkezelési cél érdekében szükségtelen adatokat törölte. Hitelintézet [Kérelmezett 1] 2019-ben beolvadással megszűnt. A Hatóság Kérelmezett 1 adatkezelése miatt a Jogutódot bírságolta meg az általános adatvédelmi rendelet megsértése miatt. A rendeletnek ellentmondott, hogy Kérelmezett 1 a Követelésbehajtó részére olyan személyes adatokat is átadott, melyek nem szükségesek az igényérvényesítéséhez; ezeket a személyes adatokat az engedményezést követően ő és a Jogutód is jogellenesen kezelte; elmulasztotta a Kérelmező beadványaira való válaszadást, tájékoztatást.

A Kérelmező korábban diszpécserként dolgozott [Cég2] – forgalomirányító – alkalmazásában. Munkaviszonya megszüntetését [Cég2] egy [Cég1] – közlekedésszervező – által rögzített és továbbított, a Kérelmezővel folytatott (szolgáltatás-ellenőrzési) telefonbeszélgetés alapján indokolta. A Kérelmező sérelmezte a beszélgetés rögzítését, ezért jogi képviselőjén keresztül fordult a Hatósághoz. Az általános adatvédelmi rendelet alapján egy személy hangja is személyes adatnak számít, a személyes adaton elvégzett bármely művelet pedig adatkezelésnek minősül. A felvételeket mindkét cég a saját céljaira alkalmazta, [Cég1] a [Cég2] szolgáltatásának ellenőrzése érdekében, míg [Cég2] munkafegyelmi vétség megállapítására használta. Ebből kifolyólag önálló adatkezelőnek minősülnek. [Cég1] nyilatkozata szerint a telefonhívások rögzítése diszpécseri munkakörből adódó jellegzetesség, ezért nem nyújtott tájékoztatást sem [Cég2], sem a Kérelmező számára. Miután [Cég2] megkapta a felvételt, ő sem tájékoztatta a Kérelmezőt az általa folytatott adatkezelésről. A közszolgálatot ellátó cégek nem tettek eleget az elszámolhatóság alapelvének.

A Hatóság bejelentés alapján szólította fel a Kérelmezettet weboldalain folyó adatkezelési gyakorlatuk ismertetésére. A Kérelmezett válaszában kijelentette, hogy nem gyűjtenek és kezelnek személyes adatokat, továbbá honlapjuk sincs. A válaszlevél beérkezését követően a Hatóság megvizsgálta a weboldalt és megállapította, hogy a kapcsolat menüpont alatt kérdésfeltevés esetén a Kérelmezett begyűjti az érintettek nevét, e-mail címét és telefonszámát. Ennek tudatában ismét felkeresték a Kérelmezettet tényállás tisztázás céljából. Határidőn belül nem érkezett válasz, ezért először százezer forint eljárási bírság megfizetésére és ismételt adatszolgáltatás teljesítésére kötelezték. A Kérelmezett erre sem reagált, ezért a Hatóság a weboldal domain-regisztrátoraihoz fordult. […] Kft., mint regisztrátor arról nyilatkozott, hogy a domaint 2018. május 25. és 2020. június 26. napja között a Kérelmezett használta. A fentiek alapján a Hatóság megállapította, hogy a Kérelmezett vizsgálati eljárásban tett nyilatkozata nem felelt meg a valóságnak, fennáll az adatkezelői felelőssége, mint domain-használó.

A Kérelmező 2017-től nem tudta tovább fizetni a 2008-ban kötött banki kölcsönszerződésének törlesztőrészletét. A Bank a követelést 2018-ban engedményezte a (követelésbehajtó) Társaság felé. A Társaság engedményezettként levélben szólította fel a Kérelmezőt a követelés teljesítésére. A levél kézbesítését követően a Kérelmező jelezte a Bank felé, hogy adatai továbbítását a Társaság részére – hozzájárulásának hiánya miatt – jogellenesnek véli, emellett kérte beadványa GDPR alapján történő elbírálását. A Bank arra hivatkozott, hogy az engedményezés során az ÁSZF-ben leírtak alapján jártak el. A Társaság hangsúlyozta, hogy MNB engedéllyel rendelkezik, ennek bizonyításaként elküldték a működési engedélyüket. A Hatóság észlelte, hogy a működési engedélyben meghatározott közigazgatási területnek a Kérelmező nem lakosa. A tényállás tisztázása során egyik kötelezett sem tudta megnevezni az adatkezelés jogalapját, ezzel az elszámolhatóság elvét sértették. Az engedményezéskor átadott finanszírozási kérelem szükségtelen a követelés érvényesítéséhez, ennek továbbításával és tárolásával megsértették az adattakarékosság és célhoz kötöttség elvét. A Bank továbbá a Kérelmező hozzáférési jogát is megsértette, a kért tájékoztatás elmulasztásával.

A Kérelmező álláspontja szerint a Kérelmezett (Követelésbehajtó) adatkezelési tájékoztatója nem megfelelő, nem tartalmaz minden szükséges információt. A Hatóság felkeresésére a Kérelmezett arról számolt be, hogy a követelés engedményezését követően, a Kérelmező számára küldött első felszólító levélben részletesen tájékoztatták az adatkezelésről, a későbbi levelekben már csak online tájékoztatójuk elérési útja szerepelt. A Kérelmezett az Engedményezőtől megkapta a Kérelmező telefonszámát. Elmondásuk szerint, ezt addig kezelik jogos érdekre hivatkozva, ameddig el nem érik az érintettet, annak érdekében, hogy a hozzájárulását kérjék. A Kérelmezőt próbálták hívni és beleegyezését kérni, de nem volt együttműködő, nem azonosította magát. Lakcímét a Belügyminisztériumtól kérték le, ide küldtek leveleket. A Hatóság megállapítása szerint a Követelésbehajtó több mint 3 évig hozzájárulás nélkül, megfelelő jogalap hiányában kezelte a Kérelmező telefonszámát, lakcíme megléte mellett ezzel sértve az adattakarékosság elvét is.

Az Otthonban 25 kamerából álló megfigyelőrendszer működött, a lakói vagyonvédelem, a munkarend és házirend fenntartása, továbbá az emberi élet, testi épség, személyi szabadság és üzleti titkok védelme céljából. Konkrét példaként említettek vitás ügyeket, mint a lakók egymás közötti élelmiszer-eltulajdonítása a teakonyhából, vagy tettlegesség, baleset esetén fellépő tényfeltáró szerepet. Az irodában is üzemelt kamera a lakóknak történő kifizetések dokumentálása, a páncélszekrény, az irodai munkatársak, dokumentumok, felszerelések védelme érdekében, amelyet viszont látószöge alkalmassá tett a munkavállalók tevékenységének rögzítésére is.
A NAIH álláspontja szerint a megfigyelés a Kötelezett által meghatározott és folytatott célra nem jogszerű, míg a vagyonvédelmi adatkezelési cél nem egyértelmű. A bírság kiszabása előtt három alkalommal szólították fel az Otthont, hogy szüntesse meg a kamerás megfigyelést. Most a bírságon túl 8 kamera üzemen kívüli helyezését kérték, mivel ezek alkalmatlanok a meghatározott adatkezelési cél elérésére. A többi kamerával kapcsolatban pedig megfelelő és átlátható tájékoztatást rendeltek el a lakók és dolgozók számára.

Budapest Főváros Kormányhivatala Népegészségügyi Főosztálya 2020. április 14-én a főváros XI., XII., XXII. kerületében dolgozó háziorvosoknak címzett e-mailt, melyhez egy Excel táblázatban mellékelték az OMSZ által gyűjtött Covid-19 világjárványhoz kapcsolódó minták eredményeit, 1153 beteg személyes adataival, panaszaival együtt.
Az adatok kiszivárogtak, mivel az incidens bejelentője egy magánszemély, aki nem tartozott az e-mail eredeti címzettjei közé, neki szintén magán e-mail címről továbbították a táblázatot.
A Kormányhivatal adatvédelmi tisztviselőjének véleménye szerint a táblázat elküldése előtt az abban szereplő adatokat körzetenként le kellett volna válogatni és külön-külön megküldeni a háziorvosoknak, mivel az adott háziorvos csak a vele orvos-páciens viszonyban lévő érintettek adatait ismerhette volna meg. Emellett kiemelte, hogy az adatvédelmi incidens nem járt kockázattal a természetes személyek jogaira, így az incidens bejelentését a Hatóság irányába nem tartották indokoltnak.
A NAIH álláspontja szerint a Hivatal nem alkalmazott megfelelő technikai és szervezési intézkedéseket (pl.: jelszavas hozzáférésvédelem) az egészségügyi adatok bizalmasságának megőrzése érdekében az adattovábbítás során. A kockázatelemzés során pedig nem a megfelelő kategóriába sorolták az incidenst, ezért elmulasztották a Hatóság és az érintettek tájékoztatását.

A bejelentő kifogásolta, hogy a Követeléskezelő jogalap nélkül szerezte meg és kezeli személyes adatait, továbbá lakcímváltozásának lekövetése hiányában adatait és banktitkait harmadik személyek is megismerhették. A tényállás tisztázása során a Követeléskezelő nyilatkozta, hogy engedményezési szerződéssel lett a kölcsönszerződéssel fennálló követelés jogosultja, ahol a bejelentő adatainak forrása az engedményező, az adatkezelés célja pedig követeléskezelés. Jogalapként a GDPR 6. cikk (1) bekezdés b) pontjára hivatkoztak. A Hatóság megállapítása, hogy az említett jogalap csak akkor alkalmazható, ha az a szerződés teljesítéséhez szükséges, tehát a szerződés érintett általi nemteljesítésre nem lehet kiterjeszteni, így követeléskezelés céljából történő kezelésre nem alkalmazható. Az adatkezelés célja és jogalapja is ellent mond a GDPR-nak, továbbá a bejelentő adatvédelmi tájékoztatása is hiányos volt. A Követeléskezelőt korábban már négy alkalommal, összesen 8.500.000 forint adatvédelmi bírsággal büntette a Hatóság.

A Kérelmező e-mailben kérte egy bankfiók külső és belső kamerái által, meghatározott időpontokban készült felvételek zárolását és az ezekhez való hozzáférését. Kérését a törvényben foglalt határidőre nem teljesítették, az elutasítás okáról nem tájékoztatták, ezért megismételte a felkérést. Tényállás tisztázása során a Kérelmezett nyilatkozta, hogy bár a Kérelmező tájékoztatását elmulasztotta – a határidő 60 napos meghosszabbításáról a Kérelmezőt levélben értesítette – a kamerafelvételek maszkolását (anonimizálását) a teljesítés érdekében megkezdte. A Kérelmezőnek a Hatósághoz küldött nyilatkozattal egyidőben megküldték a kért felvételeket. A Kérelmező kifogásolta, hogy a felvételeket nagymértékben maszkolták, így a készítésének helye megállapíthatatlan. A Hatóság álláspontja szerint a Kérelmező tájékoztatása nem felelt meg az adatvédelmi rendeletnek, mivel a kérelem beérkezésétől számított egy hónapon belül nem történt meg. A határidő 60 napos meghosszabbítása csak az első kérelemre vonatkozott. Végül a Kérelmező több, mint 4 hónap elteltével kapott választ. A tájékoztatás elmulasztásáért kiszabott bírság mellett felszólították a Kérelmezettet, hogy a kért felvételeket indokolatlanul túlzó mértékű maszkolás nélkül bocsássa a Kérelmező rendelkezésére, mivel ezek az ügyfelek által bejárható területekről készültek.

Az incidens bejelentője a várandósság 12. hetét követően kereste fel Bankját a babaváró kölcsöne törlesztőrészletének felfüggesztése kapcsán. Az ügy általános meneteként ennek igazolására be kellett mutatnia a várandósgondozási könyvét. A Bank ügyintézői szabályozás hiányában fiókonként eltérő terjedelemben másolatot készítettek erről. A bejelentő esetében a teljes könyvet lemásolták. A könyv a várandós nő személyes adatain túl számos egészségügyi adatot is tartalmaz. A hatósági végzés kézhezvételét követően a Bank megszüntette az érintett dokumentumok másolását, a korábbi másolatokat megsemmisítették és szabályzat módosításban írták le, hogy a bemutatandó dokumentumokról másolatot nem készítenek. Az ügyfelek a várandósgondozási könyv bemutatását követően egy nyomtatvány kitöltésével igazolhatják adataikat a továbbiakban. Mivel a Bank megsértette az adattakarékosság elvét és nem nyújtott átlátható tájékoztatást a babaváró kölcsön igénylése és a létrejött kölcsönszerződések fennállása alatt végzett adatkezelésről, a Hatóság 35 millió forint bírságot szabott ki.

A Hatóság névtelen bejelentés alapján indított vizsgálatot annak feltárására, hogy a Budapesti Műszaki és Gazdaságtudományi Egyetem a szociális ösztöndíj iránti pályázatok benyújtása, valamint elbírálása során betartja-e az általános adatvédelmi rendelet előírásait. Mivel az Egyetem nem fér hozzá olyan állami adatbázishoz, amelyből adatokat kérhetne le a juttatásra való jogosultság megállapítása érdekében, a hallgató köteles a pályázatához mellékelni a jogosultságot igazoló dokumentumokat. A vizsgálat során több hibára is fény derült. Az Egyetem nem törekedett az adatminimalizálásra. Olyan adatok kezelését is előírta, amelyet az általa hivatkozott jogszabályok nem határoztak meg értékelendő szempontként. Ilyenek a pályázóval egy háztartásban élő harmadik személyek egészségügyi adatai is, amelyeket a GDPR rendelet különleges kategóriába sorol. A jövedelemigazolásokat pedig 6 hónapra visszamenőleg kérték be az előírt 3 hónappal szemben. A pályázatok elbírálása az Egyetem álláspontja szerint kötelező adatkezeléssel jár, a kérelem benyújtása pedig önkéntes, mivel a hallgatóknak nem kötelező pályázatot leadni. Ez esetben az önkéntesség megkérdőjelezhető. Ha a hallgató nem adja hozzájárulását adatai kezeléséhez vagy nem csatol minden bekért dokumentumot hátrány érheti, azaz alacsonyabb ösztöndíjat kap vagy egyáltalán nem kap támogatást. A felsoroltakon túl a Hatóság az adatkezelésről nyújtott tájékoztatást is megtévesztőnek, jogsértőnek vélte, főként azért, mert nem tettek különbséget a pályázó hallgató és harmadik személyek (pályázóval egy háztartásban élők) adatainak kezelése és hozzájárulása között.

Közérdekű bejelentés érkezett 2019. december 29-én, miszerint (az azóta már felszámolás alatt lévő) Robinson-Tours Idegenforgalmi és Szolgáltató Kft. weboldalán 781 ügyfél személyes adatai váltak bárki számára elérhetővé. Az adatbázis tartalmát a Google keresőmotorja is felderítette, így kulcsszavas (akár név, úti cél alapján történő) kereséssel, jogosultságkezelés nélkül könnyen hozzáférhető volt. Az incidens több, mint egy hónapig állt fent. A későbbi ellenőrzések során látható volt, hogy az adatbázis frissült, új ügyfelekkel bővült. A cég tárhelyszolgáltatói, programozói, rendszergazdai feladatait a Next Time Media Ügynökség Kft. végezte. A hibáról az idegenforgalmi vállalkozás a határozat kézhezvételéig nem tudott, ezt követően a sérülékenységet azonnal jelezték a rendszergazda felé. Az incidens a weboldal fejlesztése során, a végső verzióból el nem távolított tesztkörnyezetből és a jogosultságellenőrzési rendszer hiányából adódott. A sérülékenység fennállásának időszakában két IP címről történt jogosulatlan hozzáférés, melyből az egyik a Hatóság vizsgálata során keletkezett. A hibából tanulva felhasználónév és jelszó alkalmazását vezettek be. A két fél szerződése szerint az adatfeldolgozás biztonságának garantálása az adatfeldolgozó, azaz a Next Time Media Ügynökség Kft. feladata, ezért ők is büntetésben részesültek.

A Kérelmező mobilparkolási szolgáltatást kívánt igénybe venni, azonban a szolgáltatásban hiba állt be, így a fizetés sikertelen volt, ami miatt megbírságolták. A pótdíj megfizetését kérelmezte a mobilszolgáltatójától, akivel a fizetéshez használt céges készülékén előfizetői szerződés volt. A szolgáltató a Kérelmező munkáltatójának címezte válaszlevelét, melyhez a Kérelmező személyes adatai mellett az ügyhöz kapcsolódó dokumentumokat is mellékelte. A Kötelezett álláspontja szerint a telefonszám alapján a munkáltató minősül előfizetőnek, a vizsgálati eredményekről pedig az előfizetőt kötelesek tájékoztatni.
A Hatóság megállapította, hogy a Kötelezett megfelelő jogalap nélkül továbbította a Kérelmező személyes adatait a munkáltató részére, mivel az eset nem állt összefüggésben a szerződéssel. A Kérelmezőt, mint felhasználót kellett volna értesíteni.

Az ügy elindítását a Kötelezett egyik munkavállalója kezdeményezte, akit azzal bíztak meg, hogy a telephelyen kihelyezett kamerák által közvetített képeket ellenőrizze. A Kérelmezőt felettesei szóban utasították a munkavállalók ellenőrzésére, kiemelt figyelmet fordítva a pihenőidő eltöltését illetően. A pihenőidőt egy pihenési célból kialakított helyiségben töltötték a munkavállalók. Kamera ebben a helyiségben is működött. A kamerák eredetileg személy- és vagyonvédelmi okokból kerültek telepítésre. Erről a munkaszerződésben minden belépőt tájékoztattak, illetve az érintett munkavállalók e-mailben is megkapták az adatvédelmi szabályzatot. A szabályzat értelmében nem telepíthető kamera olyan helyiségbe, amely az alkalmazottak munkaközi idejének eltöltésére van kijelölve. A Kötelezett állítása szerint az ügyben említett pihenőhely elsődlegesen raktározásra és adminisztrációs tevékenységek végzésére van fenntartva, ezért volt indokolt a kamera felhelyezése. Később a Kötelezett egy másik munkavállalója is panaszt tett a Hatóságnál a kamerafelvételeket illető tájékoztatás hiányáról.
A vizsgálat során megállapították, hogy a kamerák szöge alkalmas a munkavállalók megfigyelésére. A két egymástól független panaszbejelentés alapján valószínűsíthető, hogy valóban alkalmazták a munkaintenzitás megfigyelésére a felvételeket.

A Kérelmező 2019. június 10-én személyesen kérte bankfiókjában, hogy az értesítési címét frissítsék új lakcímére. Annak tudatában távozott, hogy ez megtörtént. Később e-mailben kért tájékoztatást személyes- illetve kapcsolattartási adatairól. Ebben az e-mailben meg is jelölte új lakcímét. A tájékoztatás az új címére érkezett meg, viszont a kiküldött adatlapon még a régi cím szerepelt. A Kérelmező úgy gondolta, adatai azért nem lettek frissítve, mert a lakcím módosítási kérelem óta eltelt 3 hetes időtartam nem volt elegendő az adatmódosításra. Egy hónappal később, július 10-én a Kérelmező személyesen kérte bankfiókjában a bankszámlája megszüntetését. A Bank tájékoztatta, hogy a bankszámla 30 napon belül fog megszűnni. Ennek ellenére október 3-án a Kérelmező tudomására jutott, hogy bankszámlája még nem szűnt meg. Pár nappal később telefonon keresztül rögzített panaszbejelentést tett, kitérve az adatai kezelésével kapcsolatos jogsérelmi álláspontjára is. Értesítési címként még ekkor is csak a régi lakcíme szerepelt. Október 29-én a Bank írásbeli válaszában elismerte a számlamegszüntetés elmaradását, az ebből adódó jogellenes adatkezelést és a Kérelmező félretájékoztatását. A Hatóság nyilatkozattételre kérte fel a Bankot. A Bank álláspontja, hogy a Kérelmező tájékoztatása megtörtént. Az adatkezelési tájékoztató elérhető a weboldalukon és telefonos ügyfélszolgálaton, emellett a Kérelmező számára küldött válaszlevélhez is csatoltak egy nyomtatott példányt. A lakcím-módosítás az ügyintéző hibájából eredően lett sikertelen. A hiba felismerése után a Kérelmező nem a kölcsönös tájékoztatáson alapuló joggyakorlás elvének megfelelően járt el. A bankszámlaszám megszüntetésekor a jogalapnak megfelelően jártak el, betartva a megőrzési időt.

A 2020-as év második legnagyobb büntetését a UPC tudhatta magáénak. A Hatóság 60 000 000 forintos adatvédelmi bírságot szabott ki, személyes ügyfélszolgálatukon zajló ügyintézés során készített hangfelvételek miatt. Az eset az országban 24 üzlettel rendelkező cégnél havonta körülbelül 50 000 ügyfél adatait érintette. A UPC meglátása szerint az adatkezelés ily módja megfelelő jogalappal rendelkezett, ezt a hangrögzítés bevezetését megelőző érdekmérlegelési teszttel támasztották alá, mely szerint az adatkezelési cél a UPC gazdasági érdekeinek védelmén túl a fogyasztóvédelmi érdekek biztosítására is kiterjed. Az üzletbe belépő ügyfeleket a sorszámhúzó rendszeren keresztül tájékoztatták a hangrögzítés tényéről, emellett a honlapjukon megtalálható Általános tájékoztatóba is belefoglalták. A Hatóság álláspontja szerint az adatkezelés jogalapja nem helytálló, mivel az érdekmérlegelési teszten nem az ügyfelek ellenérdekeit vizsgálták. Az érintettek jogait illető garanciákat sem tartották megfelelőnek, a felvételek tárolási idejének hossza és a hozzáférés belső szabályozásának hiányában. Nem voltak egyértelműek a megfogalmazott célok, így a felvételek készítése nem felelt meg a célhoz kötöttség elvének. A teljes ügyintézési folyamat rögzítésével pedig megsértették az adattakarékosság elvét. A Hatóság megállapította, hogy a UPC a felvétel-készítés megkezdését megelőzően az érintettek részére kizárólag az adatkezelés tényéről nyújtott tájékoztatást a sorszámhúzó rendszeren keresztül, melynek formai és tartalmi elemei nem voltak megfelelőek a teljes körű tájékoztatásra.

A Kérelmező 2019. július 15-én bérletkiadó automatán keresztül szeretett volna havibérletet vásárolni, de az automata a sikeres bankkártyás fizetést követően nem adott ki bérletszelvényt. A Kérelmező aznap jelezte a problémát a Kérelmezett (Közlekedésszervező) ügyfélszolgálatán. Az ügyfélszolgálati és adatfeldolgozói munkát a Kérelmezett számára egy másik tulajdonában álló cég végezte. Októberben a Kérelmező a kormányhivatalhoz kívánt fordulni az üggyel, ezért tájékoztatást kért az adatfeldolgozó cégtől a vásárlás során megadott személyes adataival (személyi igazolvány szám, bankkártya szám, bérlet érvényességi ideje), illetve kamerafelvétel megléte esetén a rögzített videó kiadásával kapcsolatban. Ezen felül kérte az adatai zárolását a vizsgálat lezárulásáig. A kért témában nem kapott teljes körű választ, adataihoz nem fért hozzá. A Kérelmezett nyilatkozata szerint az automaták a nyomtatás után törlik a személyes adatokat, ezek nem kerülnek tárolásra. Azonosítás céljából csak a tranzakciós adatokat tárolják, amelyek nem számítanak személyes adatnak. Az automaták ugyan kamerával felszereltek, viszont a felvételeket a törvénynek megfelelően 16 napig tárolják. A Kérelmező a tárolási idő letelte után kérvényezte a felvételek zárolását, így erre nem volt mód. A Kérelmezett szerint az automata bérletkiadó nyílását ért manipuláció (eltömítés) miatt eshetett meg a kellemetlenség. Ezekben az esetekben nem vállal kártérítést. A Hatóság végül a Közlekedésszervező cégre, mint adatkezelőre szabott ki bírságot a Kérelmező hiányos tájékoztatása miatt.

A Kérelmező a Kötelezett kaposvári üzletében 2018. május 26. napján kilencezer-kilencszázkilencven forint értékben vásárolt, majd fizetést követően úgy nyilatkozott, hogy nem kéri a visszajárót. Később vette észre, hogy húszezer forintos bankjeggyel fizetett, a blokk szerint tízezer-tíz forint visszajárót kapott, állítása szerint azonban nem kapott visszajárót. A Kérelmező május 29-én panaszt tett, melyről jegyzőkönyv is készült. Emellett ezen a napon a Kötelezett számára címzett levélben jelezte, hogy az esetről készült kamerafelvételt szeretné megtekinteni, illetve kérte, hogy az eset lezárásáig ne töröljék a felvételt. A Kötelezett válaszlevélben tájékoztatta a Kérelmezőt, hogy a felvételt csak hivatalos rendőrségi megkeresés ellenében adhatják ki.
A Kérelmező 2018. június 25. napján rendőrségi feljelentést tett, azonban a rendőrségi eljárás során a megkeresés idejében a kamerafelvétel már nem állt rendelkezésre. A Hatóság a fentiek alapján indokoltnak látta, hogy hatósági ellenőrzést indítson annak ellenőrzése érdekében, hogy a Kötelezett adatkezelési gyakorlat során betartja-e az általános adatvédelmi rendeletben foglalt követelményeket.
A Kötelezett nyilatkozata alapján, a kamerafelvétel hozzáférési jog kezelése nem központi utasítás alapján történt. Az adatvédelmi rendelet hatályba lépésekor (2018. május 25), még nem rendelkeztek belső adatkezelési szabályzattal. Elismerték, hogy hibásan jártak el a kérelem kezelése során.
A bírságot indokolja, hogy az általános adatvédelmi rendeletet 2018. május 25. napjától kell alkalmazni, így a 2018. május 26. napján készült kamerafelvétel tekintetében az ezt követő napokon előterjesztett kérelmekre a rendelet szabályai vonatkoznak. A rendelet alapján a rögzítő a kamerafelvételen szereplő valamely személy kérésére köteles hozzáférést biztosítani a felvétel azon részéhez, amelyen az adott személy szerepel. Emellett a rendelet értelmében kérésre a rögzítő köteles a szokásos megőrzési időn túl is tárolni a felvételeket, az érintett jogi igényeinek érvényesítése érdekében. Enyhítő körülmény, hogy a Kötelezett a jogsértő állapot felismerését követően, a szabályzat elkészültéig (2019. november 26.), elrendelte a kamerafelvételek rögzítésének megszüntetését.

A Kérelmező költözése után a Bankja felfüggesztette az egyenlegértesítő levelek postai küldését, mivel nem rendelkeztek a Kérelmező új címadataival. A Kérelmező számláján 2015-ig keletkezett tartozást a Bank Kérelmezett I.-nek, mint követelésbehajtással foglalkozó vállalatnak engedményezte. Kérelmezett I. a követelés kezelésével Kérelmezett II.-t (adatfeldolgozót) bízta meg, akivel 2016 decemberétől 2017 júliusáig dolgoztak az ügyön. Ezen időszak alatt vált ismertté a Kérelmező új címe is, melyre a végrehajtó cég által küldött levelet a Kérelmező nem kifogásolta. Később, 2019-ben Kérelmezett I. egy másik végrehajtó cégnek, Kérelmezett III.-nak engedményezte a követelést és ehhez a Kérelmező minden adatát, köztük a címadatot is átadta. Az érintettek közül a hatóság Kérelmező I.-t kötelezte bírság megfizetésére, a Kérelmező adatainak jogellenes kezelése miatt, mivel az adatokat nem az engedményezés során szerezte.

A Kérelmező levelet kapott Kérelmezett II.-től, amelyben a Kérelmezett I. és Kérelmezett II. között történt engedményezésről (követelés átruházásról) tájékoztatták és tartozása megfizetésével kapcsolatos ajánlatról értesítették. A Kérelmezőnek egyik fél felé sem volt tartozása ezért a levél küldőjét e-mailben, Kérelmezett I.-t legközelebbi bankfiókjában kereste fel. Kérelmezett I. továbbította a panaszt az engedményesnek (Kérelmezett II.-nek). Később a Kérelmező újabb e-mailben kért a Kérelmezettektől személyes adatai kezeléséről szóló tájékoztatást. Kérelmezett II. az ügy kezdetétől számított 2 hónap múlva tájékoztatást küldött a Kérelmezőnek, miszerint adminisztrációs hibából kifolyólag tévesen küldték ki számára a fizetési felszólítást, ezért az eljárást lezárják, adatait törlik a nyilvántartásból. A hiba forrása Kérelmezett I.-től származó nem hiteles ingatlan tulajdoni lap, amely szerint a Kérelmező egy ingatlan 1/12 tulajdoni hányadban tulajdonosa. A tulajdoni lapon tévesen szerepeltek a Kérelmező adatai. A téves rögzítés körülményei, okai nem feltárhatók. A végrehajtási jogot Kérelmezett I. az ingatlan másik résztulajdonosának terhére kívánta bejegyeztetni Kérelmezett II.-nél.

Kötelezett 2016 októberétől kezdődően pénzügyi közvetítői, alkuszi tevékenységet folytatott a Magyar Nemzeti Bank (MNB) engedélye nélkül. Az MNB 2018. szeptember 13-án helyszíni ellenőrzés során lefoglalt számos, a Kötelezett cég tevékenységéhez köthető dokumentumot, amelyeket a Hatóság részére is továbbított. Ezek többek között személyes adatokat is tartalmazó megbízási szerződések, tulajdoni lapok, banki dokumentációk, munkáltatói igazolások, bankszámlakivonatok, kölcsönszerződések, végrehajtási eljárásokkal és hitelezőkkel szemben folytatott peres eljárásokkal kapcsolatos iratok voltak.
A lefoglalt iratokkal 300 személy vált azonosíthatóvá, akik kapcsolatban álltak Kötelezettel. A dokumentumokban az ügyfelek személyes adatai (név, lakóhely, személyiigazolvány-szám, adószám, elérhetőség, jövedelem, végrehajtási eljárásokra vonatkozó adatok), illetve egészségügyi adatok, leletek is fel voltak tüntetve. A rendelkezésre álló adatok és az érintettek nagy száma miatt a Hatóság ellenőrzés során vizsgálta Kötelezett adatkezelési és adatvédelmi kötelezettségeinek való megfelelését.
Kötelezett nem rendelkezett adatkezelési tájékoztatóval és a szerződésekben sem voltak személyes adatokra vonatkozó rendelkezések. Sem az ügyfelek, sem pedig a munkavállalók adatainak rögzítésére, kezelésére sem készítettek adatvédelmi szabályzatot.
Kötelezett 2019. március 5-én vette kézhez az MNB eltiltó végzését. Ezt követően Kötelezett fizetésképtelenné vált, tevékenységet nem végez.

Kérelmező azzal a panasszal fordult a Hatósághoz, hogy volt munkáltatója, a Kérelmezett, a […] számú ingatlant ideiglenes lakáscímeként tartja nyilván annak ellenére, hogy az tíz évvel ezelőtt megszűnt. Kérelmező ezt több év alatt több alkalommal is jelezte Kérelmezettnek, ezért – álláspontja szerint – annak több alkalommal is lehetősége lett volna ezen adat törlésére. Sérelmezte továbbá, hogy Kérelmezett ezen túlmenően egyéb személyes adatait az ő hozzájárulása nélkül továbbította egy másik adatkezelő (a NAIH határozatából nem derül ki egyértelműen, de a körülményekből vélelmezetten egy pénzintézet) részére, Kérelmezett SZÉP-kártya-használatával összefüggésben. A vizsgálat során Kérelmezett egyrészt arra hivatkozott, hogy Kérelmező a lakcím megszűnését nem az általa elvárt, szabályos módon közölte vele, mint munkáltatóval; a másik, adattovábbításos ügyben pedig különféle jogszabályokra hivatkozott. A NAIH a vizsgálat végén összefoglalóan azt állapította meg, hogy „Az adatpontosság elvéből következően a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük. Az adatkezelőnek minden észszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul törölje vagy helyesbítse” - márpedig ezt több ponton is elmulasztotta. A Kérelmezett az adattovábbítás jogalapjaként a jogos érdek jogalapját jelölte meg, ennek keretében arra hivatkozott, hogy az ő részéről jogos érdekként merült fel, hogy ezt a béren kívüli juttatást zökkenőmentesen biztosítsa a munkavállalói részére, a munkavállalók felől pedig, hogy az ügyintézést megkönnyítsék az oldalukon. A Hatóság álláspontja szerint ugyanakkor „a jogos érdek jogalapjára akkor lehet alapozni adatkezelést, ha az adatkezelés az adatkezelő vagy egy harmadik fél, nem pedig az érintettek jogos érdekeinek érvényesítéséhez szükséges. A harmadik fél fogalmából következően az érintett nem minősül harmadik félnek, ezért érdekében erre a jogalapra nem lehet hivatkozni.” Mindezek okán Kérelmezettet „hivatalból elmarasztalva” a jelzett adatvédelmi bírság megfizetésére kötelezte.

A Hatóság által határozattal csak 2020 nyarán lezárt, ám részben még 2018-ra visszanyúló ügy több érdekes részmegállapítást is tartalmaz. Az eset lényege, hogy Kérelmező magánszemély azt panaszolta, hogy a Kérelmezett által 2019 elején, a Forbes Magazin mellékleteként megjelentetett „50 leggazdagabb magyar” c. kiadványban róla, mint kérelmezőről, illetve családjáról Kérelmezett egyes személyes és különleges adatokat az ő hozzájárulása és tájékoztatása nélkül jelentetett meg. Egyik érdekességként a Hatóság a jogsértés megállapítására irányuló kérelem 2018. május 25. napja előtti adatkezelést érintő része tekintetében az adatvédelmi hatósági eljárást végzésben megszüntette, mivel megállapítása szerint erre az időszakra nézve az általános adatvédelmi rendelet nem alkalmazandó, így akkorra vonatkozó vizsgálatra Hatóságnak nincs jogosultsága. A kérelem beadásának módja szempontjából érdekes, hogy a Hatóság csak a hozzá postai úton 2019. októberében beérkezett beadványt tekinti az adatvédelmi hatósági eljárás lefolytatására irányuló kérelemnek, az eljárás során az abban előadottakat, valamint az azt követően beérkezett nyilatkozatokat vette figyelembe. A Hatósághoz 2019 februárjában kizárólag elektronikus levél útján érkezett beadvány ugyanis az Ákr.) 35. § (2) bekezdése alapján nem minősül „Ákr. szerinti kérelemnek” , az csak vizsgálati eljárás lefolytatására irányuló kérelemként értelmezhető. Végezetül a NAIH megállapította, hogy Kérelmezett a kérdéses adatkezelés kapcsán nem megfelelően végezte el az érdekmérlegelést, és saját, illetve harmadik fél (nyilvánosság) jogos érdekeiről és ezek Kérelmezők érdekeivel való összemérésének eredményéről előzetesen nem tájékoztatta a Kérelmezőket. Továbbá, Kérelmezett azzal, hogy nem nyújtott megfelelő tájékoztatást a Kérelmezők részére az adatkezelés valamennyi lényeges körülményéről és a Kérelmezők személyes adatok kezelése elleni tiltakozáshoz való jogáról, továbbá a tudomására jutott információk ellenére a tiltakozást követően nem bizonyította, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek a Kérelmezők érdekeivel, jogaival és szabadságaival szemben, és a Kérelmezők érintetti joggyakorlásra irányuló kérelmeire adott válaszaiban nem nyújtott tájékoztatást a Kérelmezők jogérvényesítési lehetőségeiről, megsértette a jelzett jogszabályokat, amiért a mellékelt összegű adatvédelmi bírsággal sújtotta.

Jelen ügy érdekessége, hogy gyakorlatilag szinte mindenben megegyezik a jelen határozattal egy időben hozott NAIH/2020/838/2 számú határozatában fogaltakkal (ugyanaz a panasz, az újságban szereplő egy másik magánszemély részéről, szinte teljesen ugyanazokkal a jogsértésekkel). A másikhoz képest félmillió forinttal kisebb összegű bírság indoklásában a NAIH éppen arra hivatkozik, hogy annak kiszabásakor már tekintettel volt a párhuzamosan futó másik bírság összegére is.

A Kérelmezők az őket képviselő […] szakszervezeten és e szakszervezet jogi képviselőjén keresztül azt kifogásolták, hogy a Kérelmezett elektronikus megfigyelőrendszert helyezett el a székhelyén található gyárépületének munkavállalók által használt ebédlőjében, a közösségi étkezésre, illetve a munkaközi szünet eltöltésére kijelölt helyiségben. Továbbá e kameráktól elkülönülten, egy elsődlegesen két munkavállaló által használt munkavégzési helyiségben is kamerát szereltek fel, amelyet – beállítási szöge alapján – kizárólag a munkavállalók megfigyelésére alkalmaznak. A kérelem szerint több eltérő információ van arról, hogy az élőképes vagy a mentett felvételeket kik láthatják, és ezen személyek köre olyan tág lehet, amely adatvédelmi aggályt vet fel. A kamerás megfigyelőrendszer telepítéséről előzetesen nem tájékoztatták megfelelően az érintetteket. A rendszer telepítése után szóban annyi tájékoztatást kaptak a helyszínen tartózkodó munkavállalók, hogy mostantól kamerarendszer üzemel az adott helyiségekben, azonban sem a felhasználás céljáról és jogalapjáról, sem a felvétel tárolásának helyéről és idejéről nem kaptak tájékoztatást, sem szóban, sem írásban, annak ellenére, hogy ezt többször kérték, írásban is. A Hatóság a kérelmet ugyan elutasította, de hivatalból megállapította, hogy a Kérelmezett a célhoz kötött adatkezelés és a szükségesség, az adattakarékosság, és a tisztességes adatkezelés elvébe ütközően, megfelelő jogalap hiányában kezelte a munkavállalók személyes adatait a kamerás megfigyeléssel összefüggően, továbbá az adatkezelésről jogellenesen nem nyújtott megfelelő előzetes tájékoztatást.

Kérelmező a személyes adatai jogellenes kezelésének és továbbításának megállapítását kérte a Hatóságtól, Kérelmezett I.-gyel, mint pénzintézettel, illetve Kérelmezett II.-vel, mint végrehajtóval szemben. Kérelmezett I.-el még 2008-ban kölcsönszerződést kötött, amelyet Kérelmezett I. 2014-ben felmondott. A követelést Kérelmezett I. Kérelmezett II.-re engedményezte. Utóbbi kérelmére, már 2017-ben végrehajtási eljárás indult Kérelmezővel szemben. A végrehajtó az ingatlan értékbecslését 2018. nyarán elvégezte. Kérelmező kifogásolta, hogy a vele szemben fennálló követelés behajtása, illetve végrehajtása alatt Kérelmezett II. (a Kérelmező állítása szerint feltételezhetően a Kérelmezett I.-vel közösen) több alkalommal, legutoljára 2018. november 22-én „külső” értékbecslő részére továbbította a személyes adatait. Ezzel kapcsolatban többször is panaszt nyújtott be, illetve két alkalommal feljelentést is tett, 2013-ban, majd 2018-ban. A Hatóság első lépésben a vizsgált időszakról döntött, így megállapította, hogy az ügy jelentős része 2018 májusa, azaz a GDPR-rendelet hatályba lépése előttre datálódik, így azzal az indoklással, hogy az abban foglaltak ezt megelőző időszakra nem alkalmazhatóak, az ügy összes erre vonatkozó részével kapcsolatos kérelmet elutasította, az erre vonatkozó eljárást megszüntette. Az ezt követő időszakra vonatkozóan hivatalból megállapította ugyanakkor, hogy Kérelmezett I. és II. egyaránt megsértette az adattakarékosság elvét, egyikük sem végzett érdekmérlegelési tesztet, ügyfelüket nem tájékoztatták megfelelően jogairól, adatait engedélye nélkül 3. fél részére továbbították. Emellett saját adataira vonatkozó megismerési, majd törlési kérelmére nem válaszoltak kellőképpen, így adatkezelésük több paragrafust sértett, ezért a határozatban foglalt összegű bírságok megfizetésére kötelezte őket..

A NAIH hivatalból vizsgálta dr. Hadházy Ákos Ányos országgyűlési képviselőnek (a továbbiakban: Adatkezelő) az Európai Ügyészséghez való csatlakozásra vonatkozó aláírásgyűjtésével összefüggésben történt adatkezelés jogszerűségét. Megállapította, hogy az érintettek adatkezeléshez történő hozzájárulásának hiányoznak a legfontosabb fogalmi elemei – azaz az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása – amelyek megléte szükséges ahhoz, hogy az adatkezelés Adatkezelő által megjelölt jogalapja, azaz a hozzájárulás érvényes legyen. Így Adatkezelő érvényes jogalap nélkül kezeli az aláírásgyűjtéssel összefüggésben az érintettektől gyűjtött valamennyi személyes adatot. Ezek a személyes adatok különleges kategóriái közé tartoznak, és azok kezelésére többek között abban az esetben van lehetősége az adatkezelőnek, ha ahhoz az érintett kifejezetten hozzájárulását adta. Az Adatkezelő emellett nem nyújtott az érintetteknek tájékoztatást az adatkezelés valamennyi lényeges körülményéről.

A munkahelyeken, a munkáltató számítógépein, munkahelyi e-mail címeken folyó – egyedi szerződésekkel nyilván bárhol szabályozható, de a valóságban bizonyosan hétköznapinak tekinthető – magáncélú levelezés következményeit felgöngyölítő, egyes részterületei miatt bírósági ítélettel záruló ügyben vizsgálódott a NAIH. Az eset lényege, hogy az egyik egyetemen korábban közalkalmazotti jogviszonyban álló kérelmező azt sérelmezte, hogy e jogviszonya megszűnése után volt munkáltatója azonnal megszüntette hozzáférési jogát az addig általa használt céges levelezőrendszerhez, pedig az jelentős számú, részben kutatói tevékenységéhez kötődő magánlevelet is tartalmazott, így kérte utóbbiak kiadását. Az egyetem ezt arra hivatkozva tagadta meg, hogy a szerver olyan nagy mennyiségű levelet tartalmaz, amelyet nincs kapacitása hivatali és magánlevelekre szétválogatni. A hatóság megállapítása a hosszas okfejtés és jogszabályi helyek idézése végén az lett, hogy az egyetem jogszerűtlenül tagadta meg a kért adatok kiadását, megsértve ezzel a GDPR-rendelet átlátható tájékoztatásra és hozzáférési jogra vonatkozó alapelveit. Általános tanulságként pedig azt tehetjük hozzá, hogy a munkaviszony felbontásakor keletkező hasonló problémák elkerülésének legjobb módja, ha a felek már magában a munkaszerződésben előre részletesen szabályozzák a hivatali számítógépek és levelezőrendszerek magáncélú használatának feltélteleit – és persze azokat mindketten be is tartják.

A gyakorlatában ritka esetként az adatkezelő mellett egy kisebb összegű adatvédelmi bírságot az adatfeldolgozóra is kirótt a NAIH. Az eljárás követeléskezelési tevékenységgel állt összefüggésben, és az érintetti jogok gyakorlásával (hozzáférési jog), valamint az adatvédelmi alapelvek (átláthatóság, célhoz kötöttség, pontosság, elszámoltathatóság) érvényesülésével kapcsolatban tartalmazott megállapításokat. A II. rendű kérelmezett adatfeldolgozóként vett részt az adatkezelésben és a felek közötti adatkezelésre vonatkozó megállapodás azt is rögzítette, hogy ha egy kérelmet az adatfeldolgozónál nyújtanak be, akkor azt az adatkezelőnek kell továbbítania, ezekre a kérelmekre közvetlenül nem válaszolhat. Az adatfeldolgozó a fentiek ellenére a hozzá beérkező kérelmet közvetlenül megválaszolta az érintettnek, ráadásul a levelében magára, mint adatkezelőre hivatkozik, csak a levél végén szerepel egy mondatban, hogy a választ, mint adatfeldolgozó küldi. A Hatóság szerint a megfelelő tájékoztatásért az adatkezelő, azaz az I. rendű kérelmezett felel, amellyel az általános adatvédelmi rendelet 5. cikk (2) bekezdés alapján neki ell elszámolnia. Tekintettel arra, hogy a II. rendű kérelmezett tájékoztatása félrevezető és ellentmondásos, mivel adatkezelőként és adatfeldolgozóként is hivatkozik magára, a Hatóság megállapította, hogy az adatfeldolgozói minőségén túlterjeszkedve nyújtott tájékoztatásával megsértette az átláthatóság elvét.

Nézzük, mit is kellett elkövetni az eddigi hazai rekordbüntetésért, azaz 100 millió forintért! A határozat szerint az ügyfél – a Digi Távközlési és Szolgáltató Kft. – tavaly szeptemberben szerzett tudomást és jelentett be rögtön adatvédelmi incidenst annak kapcsán, hogy egy támadó a www.digi.hu honlapon keresztül elérhető sérülékenységet kihasználva hozzáfért körülbelül […] érintett személyes adataihoz, akik nagyobb részt (kb. […] fő) az Ügyfél megrendelői és előfizetői, kisebb részt (kb. […] fő) pedig hírlevére feliratkozó volt. A személyes adatok között megtalálható volt az érintettek neve, anyja neve, születési helye és ideje, lakcíme, személyiigazolvány-száma (esetenként személyi száma), e-mail címe, vezetékes és mobiltelefonszáma. Sőt, a rendszergazdák felhasználói adatai is, az ily módon rendszergazdai jogosultsággal hozzáférhető további adatok pedig még szélesebb körű visszaélésre adtak volna lehetőséget. Érdekesség, hogy a „támadó” egyébként egy etikus hacker volt, aki nem visszaélési, hanem segítő szándékkal kutatja fel különféle webes felületek sérülékenységét, így ebben az esetben is maga jelezte a hibát a Diginek, annak technikai jellegével együtt, így a cég ezt viszonylag hamar ki tudta javítani. A kiemelkedően nagy összegű, 100 millió forintos bírságot a hatóság hosszas felsorolásban indokolta. Kiemelte, hogy az incidens egy olyan hibára vezethető vissza, amelyről, illetve annak ingyenes javítási lehetőségéről a cégnek immár kilenc esztendeje tudomása volt (lehetett), ezt mégsem tette meg, amivel még saját érvényben lévő belső szabályzatait is semmibe vette. Közrejátszott benne az ügy kapcsán érintett adatok nagy száma, az azok érzékenysége által jelentett kockázatok, továbbá az ügyfél piaci pozíciója, amelyek alapján fokozottan elvárható tőle a megfelelő adatbiztonsági intézkedések alkalmazása. A bírság összegének megállapítása során figyelembe vették, hogy a Digi a 2018-as üzleti évben több mint 47 milliárd, a 2019-esben pedig több mint 51 milliárd forintos nettó árbevételt ért el, így a kiszabott bírság összege a jogsértés súlyával és a cég nagyságával is arányban áll.

A Hatósághoz 2019. július 9-én közérdekű bejelentés érkezett, amely az Ügyfél online időpont foglaló rendszerében fennálló, személyes-, köztük különleges adatokat érintő sérülékenységre hívta fel a
figyelmet. A hibából fakadóan személyes adatokat is tartalmazó orvosi leletek, beutalók váltak nyilvánosan, bejelentkezés vagy regisztráció nélkül is hozzáférhetővé. A bejelentő először az Ügyfélhez fordult észrevételével, azonban a hiba nem került kijavításra és visszajelzés sem érkezett. Egészségügyi adatok érintettsége miatt az ügy magas kockázati besorolást kapott. Az adatvédelmi incidens feltehetően körülbelül 9000 fő személyes adatait érinthette. Az Ügyfél nyilatkozata alapján, a jogosulatlan hozzáférési lehetőségről csak később, 2019. július 19-én a Hatóság végzéséből értesült, amelyet azonnal és teljes mértékben elhárított. Emellett a könyvtárak titkosítását, a jogosultsági szintek és a felhasználói hozzáférések szigorítását is eszközölte, ezzel kiküszöbölte az esetleges rendszerhibától független adatvisszaéléseket.

Egy banki ügyintéző téves adatrögzítésével az ügyfélnek okozott kár ügyében vizsgálódott a NAIH. Az eset legfőbb tanulsága, hogy bár a hatóság is megállapította, hogy a bank részéről nem szándékosság áll a háttérben, az ügyintéző hibája nem kimentési ok, azaz a bankot a felelősség alól nem mentesíti. Súlyosbító körülményként értékelték, hogy az ügyfélnek egy újabb hitelügylet során tényleges anyagi kára is származott a bank hibájából, illetve, hogy annak eljárásrendje önmagában nem nyújt garanciákat egy hasonló ügyintézői tévedés kiküszöbölésére. Enyhítő körülményként írták jóvá ugyanakkor, hogy egyedi esetről volt szó, illetve maga a pénzintézet is önként anyagi kártérítést nyújtott a kérelmezőnek – végül így kerekedett ki az egymillió forintos bírság.

Kérelmező magánszemély azért fordult a Hatósághoz, mert a Kérelmezett által üzemeltetett […] bárban a biztonsági őrök megtámadták és könnyű testi sértést követtek el ellene. Mivel álláspontja szerint az esetet rögzítették a bár épületén található – Kérelmező szerint jogszerűtlenül a közterületet is figyelő – kamerák, feljelentést tett, amelyben a rendőrségnek jelezte, hogy kérje be e kamerák által rögzített felvételeket, egyúttal kérte a kamerafelvételek zárolását. Egyben a közterületet jogszerűtlenül figyelő kamerákat és az azokról szóló tájékoztatás hiányát kifogásolta. Továbbá azt is, hogy a felvételek zárolására, majd tájékoztatás kérésére és személyes adataihoz való hozzáférésre, felvételkiadási kérelmére sem kapott érdemi választ; csupán jóval később annyit, hogy Kérelmezett törölte a korábban zárolt felvételeket. A NAIH a kérelemnek részben helyt adva megállapította, hogy Kérelmezett nem nyújtott megfelelő tájékoztatást intézkedéseiől, továbbá a zárolt kamerafelvételek feloldásáról és a felvételek törléséről, a másolatok kiadásának jogáról. Ezért utasította Kérelmezettet, hogy teljesítse Kérelmező hozzáférési jog gyakorlására irányuló kérelmét. A kamerákkal kapcsolatban hivatalból vizsgált adatkezelés kapcsán megállapította, hogy Kérelmezett megsértette az elszámoltathatóság alapelvét. Határozatában a kérelem adatvédelmi bírság kiszabására vonatkozó részét elutasította, ugyanakkor Kérelmezettet hivatalból kötelezte ennek megfizetésére.

A kérelemben előadottak szerint Kötelezett megbízottja …-én kézbesített egy fizetési felszólítás Kérelmező lakcímére. A dokumentumot Kérelmező férje vette át, aki tájékoztatta a képviselőt arról, hogy a felszólítás címzettje több éve életvitelszerűen külföldön tartózkodik. Kérelmező ugyanaznap telefonon közölte dokumentumot átadó személlyel, hogy a követelést maximum 2-3 napon belül ki fogja egyenlíteni - ami …napján meg is történt.. Kötelezett megbízottja a telefonos megbeszélés alkalmával nem közölte Kérelmezővel azt, hogy a beszélgetés, illetve a neve és a telefonszáma rögzítésre kerül-e, és arról sem tájékoztatta, hogy esetleg a későbbiekben ügyfélként fogják kezelni. Kérelmező ezt követően SMS értesítéseket kapott Kötelezettől, amelyben tartozást közöltek, amelynek elmaradása esetén végrehajtást helyeztek kilátásba. Kérelmező többször is jelezte a befizetés megtörténtét, azonban erre újabb felszólítások érkeztek. Kérelmező kérte, hogy a Hatóság állapítsa meg a Kötelezett jogellenes adatkezelésének tényét, és utasítsa a Kötelezettet a személyes adatai (telefonszám, e-mail cím, lakcím) törlésére. A lefolytatott vizsgálat során a Hatóság a telefonszám törlésére vonatkozó kérelemnek helyt adott, mivel a rendelet szerint Kérelmező személyes adatának kezeléséhez szükséges a megfelelő tájékoztatáson alapuló, egyértelmű, önkéntes és konkrét hozzájárulás meglétének bizonyítása, amelyet Kötelezett nem tudott igazolni. A kérelem többi részét végzésben elutasította.

Kötelezett jogellenesen készített, majd közzétett egy fényképet Kérelmezőről és annak kiskorú gyermekéről. Kérelmező nem járult hozzá a kép készítéséhez, és figyelmen kívül hagyták a hozzáféréshez és a törléshez való jogának gyakorlására irányuló kérelmét, így Kötelezett megsértette az érintetti joggyakorláshoz való jogát, az átlátható és a tisztességes adatkezelés jogát. Az adatkezelés megfelelő jogalap nélkül, a szükséges és arányos mértéket meghaladva történt, így Kötelezett megsértette a jogszerűség, a célhoz kötöttség és az adattakarékosság elvét is.

Az érthetetlenül gyakori esetek közé sorolható az az ügy, amelyben a bejelentő állampolgár a saját kertjében a szél által odafújt papírszemetek között egy nagyjából száz nevet és hozzájuk kapcsolódó egyéb személyes adatot, többek között ügyfélkapus jelszavakat is tartalmazó iratot fedezett föl, amelyről kiderült, hogy egy könyvelő cég ügyféllistájáról származnak. Az adatkezelő a vizsgálat során végig segítő módon járt el, és bár azok körét, akik az irodában egyáltalán hozzáférhettek a kikerült dokumentumokhoz, jelentősen le tudták szűkíteni, a konkrét „tettes”, akinek a gondatlansága vagy szándékossága ide vezetett, végül bizonyíthatóan nem volt tisztázható. A NAIH ebben az ügyben, miközben megállapította, hogy a könyvelő cég adat- és incidenskezelési szabályzatai, illetve gyakorlata nagyon is hiányos volt, illetve, hogy az adatokat indokolatlanul tárolta az elektronikus forma mellett papír alapon is, ami nagyban hozzájárult az incidens kialakulásához, a viszonylag kisebb összegű bírsággal elsősorban azt méltányolta, hogy a cég még az eljárás idején igazolta, hogy az adatbiztonság növelése, illetve egész eljárásrendje GDPR-megfeleltetése érdekében különösen gyors és hathatós intézkedéseket tett.

A kérelem szerint Kérelmezett - kölcsönszerződésével kapcsolatban - nem teljesítette a 2019…-én kelt, és hozzáférési joggyakorlásra irányuló kérelmében foglaltakat, a kért adatokhoz nem biztosított számára hozzáférést. Kérelmező álláspontja szerint a személyes adatai vonatkozásában adatvédelmi incidens történt, mivel a Kérelmezett által kezelt „adatok olyan módon módosultak, amelyeket az érintett nem lát át, nem látja az érintett az adatkezelés következetességét és jogszerűségét, az adatkezelő nyilvántartása és az érintett saját nyilvántartása nem egyezik meg ugyanazon időpontokra vetítve…” Tájékoztatást kért továbbá arról, hogy az […] e-mail címről küldött két dokumentumot, miszerint a részzletfizetési megállapodás felbontásra került, milyen személyes adatok alapján küldték meg a részére. Kérelmezett erre 2019…-én kelt válaszlevelében tájékoztatást adott általánosságban az adatkezelés céljáról, a kezelt személyes adatok kategóriáiról, az adatkezelés jogalapjáról, a címzettekről, a személyes adatok kezelésének, tárolásának időtartamáról, az automatizált döntéshozatalról, valamint az érintetti jogokról, valamint a jogérvényesítési lehetőségekről. Kérelmező álláspontja szerint a e válaszlevél csak általánosságokat tartalmaz, de nem ad választ a kérelemben megfogalmazott konkrét kérésekre, kérdésekre. A Hatóság a Kérelmező kérelmének helyt ad és megállapítja, hogy a Kérelmezett nem megfelelően teljesítette a 2019. július 5-én kelt hozzáférési joga gyakorlására irányuló kérelmét és ezzel megsértette a Kérelmező hozzáférési jogát. Utasítja a Kérelmezettet, hogy a 30 napon belül biztosítson hozzáférést Kérelmezőnek a kérelemben megjelölt személyes adataihoz. A Hatóság a kérelmet a Kérelmező személyes adatának nem minősülő adatok vonatkozásában elutasítja. Emellett Kérelmezettet hivatalból a jelzett bírság megfizetésére kötelezi.

Kérelmező korábbi munkáltatója megsértette a korlátozott tárolhatóság elvét azzal, hogy tárolta a korábbi igazgatói pozíciót betöltő Kérelmező magánlevelezéseit, illetve az átláthatóságot sértve -tájékoztatás nélkül, a célhoz kötöttséget sértve, megfelelő jogalap nélkül keresett egy dokumentumot a jogutód elrendelésével az archivált email fiókjaiban. Kérelmezett sértette az elszámoltathatóság elvét azzal, hogy nem történtek olyan szervezési, technikai intézkedések, amelyekkel a személyes adatok védelme az email fiókok használatával és archiválásával kapcsolatban biztosítva lett volna. Kötelezett állítása szerint a keresés célzottan, a feladó és a tárgy alapján történt, a folyamat során hozzáférhettek az érintett és vele kapcsolatban álló harmadik személyek személyes adataihoz. Bár az adatkezelés szükségességét igazolták, az adatkezelés jogsértő módon történt. A munkáltató nem adott lehetőséget arra, hogy az adatkezelést, az adatok törlését kontrollálhassa, és a szükséges adatokat a saját eszközére mentse. Kérelmezők kérelme Kérelmezettre irányult. Kérelmezett viszont Kötelezett nevében járt el egy közös adatkezelési szerződés alapján.

A Kérelmezők a Kérelmezettel szemben terjesztettek elő kérelmet a Hatóság felé. A Kérelmezett azonban a Kötelezett nevében járt el, a Kötelezett MNB által jóváhagyott közvetítőjeként. A Kötelezett és a Kérelmezett Közös Adatkezelői Szerződést kötött, így mindketten adatkezelőként tárolták a Kérelmezők személyes adatait. A Kérelmezett azonban nem adhatott választ az érintetti kérelmekre a Kötelezett írásos jóváhagyása nélkül, és engedély nélkül nem törölhetett adatot a követeléskezelő rendszerből. A Kérelmezett és a Kötelezett nem közösen hozott döntéseket, így a Kérelmezett nem adatkezelő, hanem adatfeldolgozó volt. Adatfeldolgozóként viszont nem sértette meg az adatvédelmi rendeletet. A Kötelezett a Kérelmezettel ellentétben megsértette a GDPR rendeletet azzal, hogy nem tett eleget a Kérelmezők személyes adatainak törlésére vonatkozó kérelmének, amelyeket a Kérelmezőkkel szemben fennálló követelés érvényesítése miatt tárolt. A Kötelezett a telefonszám adatokat jogalap nélkül kezelte, majd a hozzájárulásuk visszavonása (információs önrendelkezési jogukból fakadóan lehetséges) után is tovább kezelte azokat, így megsértette a célhoz kötöttség és az adattakarékosság elvét. A Kötelezett nem nyújtott előzetes tájékoztatást megfelelő módon arról, hogy ki a jogosult adatkezelő a törlési kérelmek elbírálásában, valamint a Kérelmezők Kérelmezett felé benyújtott levelére a Kötelezett válaszolt, a Kérelmezők számára így nem volt világos, hogy ki dönt a kérelmükről, ezzel pedig sérült az átlátható adatkezelés elve is.

Egy országgyűlési képviselő panaszbeadványában leírtak szerint az origo.hu internetes oldalon 2019. februárjában két cikk is megjelent arra vonatkozóan, hogy az országgyűlési képviselő korábban VIP belépőre tartott igényt az adott Egészségügyi Központban. A cikkben szkennelt formában, a személyes adatait - kivéve a nevét - kitakarva jelent meg az igényt bejelentő lap , amelyet a képviselő csak az Egészségügyi Központ részére küldött el emailben. A szóban forgó Ügyfél állítása szerint a cikkek megjelenésekor szerzett tudomást a történtekről, azonban azt nem minősítette adatvédelmi incidensnek, annak ellenére sem, hogy az Egészségügyi Központ felügyeletét ellátó szervezet a cikkek megjelenését követően egyből adatvédelmi ellenőrzést rendelt el. Az incidensnek való minősítés csak akkor történt meg, mikor a hatósági ellenőrzés már megkezdődött. Végül nem derült ki, hogy a képviselő igénybejelentő lapja hogyan kerülhetett az internetes portálhoz, azonban olyan körülményeket, eseményeket tártak fel, amelyek alapján valószínűsíthetően az Ügyfél adatbiztonsági intézkedéseinek sérülése miatt történt az incidens. Az incidens bejelentése nem történt meg a határidőig, csak jóval később, a hatósági eljárás kezdete után. Az ügyfél az adatvédelmi incidens bekövetkezésekor nem rendelkezett belső incidenskezelési szabályzattal, pedig az különösen elvárható lett volna, hiszen egyrészt a Központ hazánk legnagyobb egészségügyi intézményeinek egyike, éppen ezért nagyszámú különleges adatot is kezel, másrészt az Ügyfél honvédelmi célú adatkezelést is folytat.

A Kérelmező műhelyét a szomszédos telephely tulajdonosa (Kérelmezett) magánnyomozó megbízásával felszereltetett kamerával figyeltette. A vizsgálat során bizonyossá vált, hogy a Kérelmezett önhatalmúan folytatott nyomozást a Kérelmező illegális tevékenységének bizonyítása érdekében. A Kérelmezett beismerte, hogy magánnyomozó társaság által üzemeltetett kamerával alkalomszerűen (gyanús esemény észlelésekor) felvételt készített a szerelőműhely bejáratáról, melyeken esetenként a Kérelmező és édesapja is szerepeltek. A rögzítés tényéről a Kérelmezőket személyes megkeresés formájában tájékoztatta a nyomozó. Az ügyben a Kérelmezett és a Magánnyomozó Iroda közös adatkezelőnek minősülnek, de felelősségük nem egyetemleges, mivel különböző mértékben vettek részt az adatkezelésben. A Hatóság a Kérelmezettet figyelmeztetésben részesítette, a Nyomozóirodát célhoz kötöttség és adattakarékosság elvének megsértéséért és jogellenes adatkezelés miatt adatvédelmi bírság megfizetésére kötelezte.

A Kérelmező betegség miatti távolléte alatt telefonon kérte meg helyettesét, hogy egy bizonyos feladatot végezzen el. A helyettese az ehhez szükséges dokumentum megkeresésekor több elintézetlen feladatot is talált, így a Kérelmező asztalát, számítástechnikai eszközeit, email fiókját később újra ellenőrizték a károk elkerülése, enyhítése céljából. A munkafolyamatok folytonossága érdekében a helyettese a helyettesítés alatt használhatta eszközeit és email fiókját, azonban az el nem végzett feladatok ellenőrzése, a kérelmező teljesítményének értékelése túlmutat ezen a célon. Az ellenőrzést külsős munkatársak végezték, akik rendszergazdai feladatokat láttak el. Az ellenőrzés alatt fényképeket készítettek, amelyeket később egy jegyzőkönyvben és az azon alapuló felmondáskor is felhasználtak. Az ellenőrzés után megváltoztatták a Kérelmező emailjének jelszavát, továbbá megszüntették a hozzáférését a munkahelyi szerveren lévő dokumentumokhoz és az integrált vállalatirányítási rendszerhez. A Kérelmező által magáncélra is használt laptopon és telefonon tárolt saját és harmadik személyek személyes adataihoz az eljárás során bárki hozzáférhetett. A munkavállaló nem tudta tájékoztatni ezekről az adatokról a munkáltatóját, így sérült a tisztességes adatkezelés elve. A Kérelmezőt nem tájékoztatták előzetesen az ellenőrzésről, annak ellenére, hogy a tisztességes adatkezelés szerint biztosítani kell a munkavállaló vagy képviselője jelenlétét, illetve nem volt lehetősége a személyes adatok másolására, majd törlésére sem. Bár vannak olyan esetek, amikor azonnali intézkedések szükségesek, így nincs lehetőség a munkavállaló jelenlétére, ilyenkor is biztosítani kell, hogy az ellenőrzés menete, körülményei, a megismert adatok köre, az elvégzett adatkezelési műveletek, azok jogszerűsége később is ellenőrizhető legyen, azonban ez sem történt meg. A Kötelezett nem rendelkezett továbbá olyan belső szabályzattal, amely a munkavállalók által használt számítástechnikai eszközökre, email fiókok használatára, általános és egyedi ellenőrzésére, illetve az eszközökön tárolt adatok kezelésére vonatkozik. A Kötelezett megsértette az átláthatóság és az elszámoltathatóság elvét is.

A szóban forgó önkormányzat kamerás megfigyelése során személyes adatokat kezelt, hiszen a képmás személyes adatnak minősül, így megsértette a Kérelmező információs önrendelkezési jogát. Kötelezett több kamerát helyezett el az épületben és környékén, melyek közül kettő a parkolóra, három kamera pedig a bejárat körüli területre, az emelet közlekedőfolyosójára, valamint az emeleti lépcsőre néz. A megfigyelésben az alkalmazottak, a helyi önkormányzat, valamint a nemzetiségi önkormányzat képviselői – akik az épület néhány irodáját használták –, továbbá az önkormányzati ügyintézésen részt vevő ügyfelek érintettek. Ezek a kamerák hang nélkül készítettek videofelvételeket, Kötelezett szerint a felvételek tartalmának megtekintése csak bizonyos esetekben, az arra jogosult személyek által történt. Kötelezett az eljárást megelőző időszakban nem rendelkezett a kamerás megfigyelésre vonatkozó belső szabályzattal és adatkezelési tájékoztatóval, továbbá nem tájékoztatta előzetesen az érintetteket a kamerás adatkezelésről és annak körülményeiről. Az adatkezelés nem volt jogszerű és átlátható sem. Az eljárást megelőzően nem volt kijelölve az adatkezelésért felelős személy, illetve nem határozták meg, hogy mi az adatkezelés célja és jogalapja. A hosszú ideje jogellenesen történő adatkezelésnél Kötelezett nem vette figyelembe az adatkezelés szükségességét és arányosságát, illetve megsértette az adattakarékosság és a célhoz kötöttség elvét is.

A Földhivatal jelzálogjogosult-változásról szóló határozatot és kézbesítési jegyzéket továbbított az érintettek felé, azonban ezek személyes adatokat tartalmaztak. A Kérelmezett a határozatot a Kérelmezőknek és további 40 ingatlan tulajdonosnak küldte meg, akik ugyanebben a törlési kérelemben érintettek voltak. A határozat tartalmazta a Kérelmezők személyes adatait, többek között a felvett kölcsön összegét, a devizanemet és a kölcsön jogcímét is. A továbbított kézbesítési jegyzéken szerepeltek az érintettek nevei és lakcímei is. Így a Kérelmezett a Kérelmezők személyes adatait harmadik fél számára elérhetővé tette és nem adott átlátható tájékoztatást az adatkezelésről. A Kérelmezett nem gondoskodott arról, hogy a több intézkedést tartalmazó határozatnak csak az egyes érdekeltekre vonatkozó kivonatát továbbítsa. A Földhivatal ezzel megsértette az adattakarékosság és az átlátható adatkezelés elvét.

A közterület-felügyelet térfelügyeleti helyiségében belső kamerával folyamatosan megfigyelték az ott dolgozó közszolgálati tisztviselőket, hogy ellenőrízni tudják, hogy a dolgozók jogszerűen, az adatbiztonsági követelményeket betartva végzik-e feladatukat. Az adatkezelésről nem tájékoztatták az érintetteket az adatvédelmi rendelet szabályainak megfelelően. A kamera rögzítette, hogy valószínűsíthetően a kérelmező a hivatali diszpécser számítógépén képeket keresett, majd nyomtatott ki, és feliratozva kifüggesztette azokat a férfi öltözőben. A munkáltató ezt méltatlannak találta, így megszüntette a kérelmező közszolgálati jogviszonyát. A Kttv. szerint a közszolgálati tisztviselők munkájának ellenőrzése és személyes adatainak kezelése lehetséges, azonban az adatvédelmi rendelet szerint abban az esetben az, ha ez más, egyszerűbb eszközökkel nem megvalósítható, tehát megfelel az adattakarékosság elvének. A belső kamerával történő ellenőrzés azonban nem alkalmas az eredeti célra, hiszen csak az látható, hogy a tisztviselők a monitort nézik-e, az viszont nem, hogy mit néznek rajta. Az adatbiztonsági követelmények betartására vonatkozó ellenőrzés céljából szintén nem megfelelő az alkalmazott belső kamera. A tisztességtelen, hosszú ideje tartó, jogellenes adatkezelés sérti a szükségesség és adattakarékosság elvét, és nagy mértékben érinti a kérelmező magánszféráját. A munkáltató az eredeti céltól eltérő célból is felhasználta az adatokat – így derült fény az öltözőben kihelyezett képekre –, amellyel sérelmet okozott a kérelmezőnek, hiszen emiatt vesztette el munkáját.

A Törvényszék elnöke vezetői értekezletet tartott 14 járásbíróság elnökével/elnökhelyettesével és a Törvényszék kollégiumvezetőivel. Az értekezleten az elnök tájékoztatta a résztvevőket arról, hogy kilépett a Magyar Bírói Egyesületből (MABIE), és kiosztott egy listát az Egyesület tagjairól annak érdekében, hogy a vezetők beszéljenek a tagokkal arról, hogy ők is vegyék fontolóra a kilépést. Kérelmezett szerint a lista a Törvényszék elnökének utasítására lett elkészítve a bérnyilvántartási adatbázisból, azzal a céllal, hogy a vezetők ellenőrizni tudják, hogy egyesületi tagok-e, azonban nyilvánvalóan ennek nem ez volt a megfelelő módja. Az értekezlet 19 résztvevője (amelyből nyolcan egyesületi tagok is) megismerte a MABIE 51 bírójának tagságával kapcsolatos adatait. A MABIE egy szakszervezeti célú egyesület, így a megismert adatok különleges adatnak minősülnek. Az adatkezelés célja ebben az esetben nem volt összeegyeztethető az eredeti – tagdíj munkabérből való levonása – céllal, így ezek az adatok nem lettek volna hozzáférhetők a vezetők számára. A különleges adatok lekérdezésére és harmadik személyekkel való megosztására az elnöknek nem volt megfelelő jogalapja, igazolható célja és nem kapott hozzájárulást sem az érintettektől.

Kérelmező szerint Kötelezett harmadik személy(ek) számára továbbította a személyes adatait, annak ellenére, hogy Kérelmező tiltakozott személyes adatainak kezelése ellen, majd kérte az adatok törlését is. Kötelezett Kérelmező számos személyes adatát kezelte különböző célból és jogalap alapján. A Bank megfelelő adatkezelési cél és jogalap nélkül tárolta Kérelmező azon személyes adatait is, amelyet a pénzmosás és a terrorizmus finanszírozásának megelőzéséről és megakadályozásáról szóló törvény nem ír elő megőrízendő adatként. Kötelezett átruházta egy követelésbehajtó vállalatnak engedményezés útján a lakossági lízing- és kölcsönszerződésből eredő követelést, a múltban felmerült, a jövőben esedékes kamattal és járulékkal, továbbá a követeléshez kapcsolódó mellékkötelezettségekből fakadó jogokkal együtt, és valóban továbbította a Kérelmező személyes adatait. Kötelezettnek kötelessége volt átadni a követelés fennállását bizonyító okiratokat, azaz a Kérelmezővel kötött kölcsönszerződést és az abban szereplő személyes adatokat, viszont további adatokat nem. Kötelezett a kölcsönszerződés teljesítése, szerződéses jogalap és jogos érdekre hivatkozva kezelte és továbbította a Kérelmező személyes adatait. A szerződéses jogalap azonban nem megfelelő, mert az engedményezéssel a problémát szerződésen kívül oldja meg, így az adattovábbítás jogalapja a jogos érdek lehet. Kötelezett megsértette az elszámoltathatóság elvét, hiszen az adatkezelés megjelölt jogalapja és az adattovábbítás szükségessége nem lett összemérve a Kérelmező érdekével. Kötelezett továbbá nem hívta fel megfelelő módon az érintett figyelmét a tiltakozáshoz való jogára, pedig ez legkésőbb az első kapcsolatfelvételkor kötelessége lett volna.

A bírság fizetésére kötelezett nem törölte és jogalap nélkül kezelte az érintett kérelme ellenére is a vezetékes- és mobiltelefonszám-adatait, arra hivatkozva, hogy joga van a tartozás rendezéséig személyesen, telefonon vagy írásban érvényesíteni az érdekeit. Kötelezett megsértette a célhoz kötöttség és az adattakarékosság elvét is, hiszen azután is kezelte az érintett személyes adatait, hogy ő visszavonta a hozzájárulását. A telefonszám nyilvántartása azonban nem bizonyult elengedhetetlennek, hiszen a lakcímadat is rendelkezésre állt.

A Budapesti Rendőr-főkapitányság egyik dolgozója szolgálati feladatainak ellátása közben elvesztett egy pendrive-ot, amelyen rajta volt a főkapitányság teljes nevesített személyzeti állománytáblája és a rendvédelmi szolgálati jogviszonyváltáshoz kapcsolódó összes személyügyi anyag elektronikus másolata. A pendrive-on , 1733 fő személyes adata – neve, születési ideje, anyja neve, TAJ-száma, beosztása és munkaköre – szerepelt. Az adathordozót a dolgozó magáncélra használta, és nem alkalmazott semmilyen biztonsági intézkedést, hozzáférésvédelmet. Az adatvédelmi incidens továbbá nem került bejelentésre a rendeletben megszabott 72 órás határidőig.

Kötelezett fennálló banki követeléseket vásárolt, a vásárlással pedig a Kérelmezők, akik korábban banki hitelt vettek fel, személyes adatai is továbbításra kerültek. Kérelmezők az MNB-hez fordultak, mert úgy vélték, hogy Kötelezettnek nincs engedélye a követelésvásárlásra. Az MNB piacfelügyeleti eljárást indított, majd megállapította, hogy valóban nincs engedélye a vállalatnak erre a tevékenységre, hiszen a követelésvásárlási pénzügyi szolgáltatás az MNB engedélyéhez kötött. Az MNB eltiltotta a Kötelezettet ettől a tevékenységtől, és piacfelügyeleti bírságot szabott ki. Kötelezett állítása szerint a Banktól a kölcsönszerződésből eredő követelés engedményezési eljárás során került hozzá, valamint korábban Kérelmezők hozzájárulásával történt a személyes adatok felvétele, így a törvény eltérő rendelkezései hiányában a kötelezettség teljesítése céljából kezelte hozzájárulás nélkül az adatokat, és kezelheti továbbra is a hozzájárulás visszavonása után is. Az engedményezési szerződés alapján jogszerű lenne a személyes adatok kezelése a követelések érvényesítése céljából, azonban Kötelezett engedély nélkül végezte ezt a tevékenységet, így a tevékenység, az adatkezelés és az adatkezelés célja is jogellenes. Kötelezett a célhoz kötött adatkezelés elvét megsértette, és megfelelő jogalap nélkül kezelte az érintettek személyes adatait, hiszen a korábban hatályos Infotv.-re 2018. május 25-e óta már nem lehet jogszerűen hivatkozni.

Kérelmező több összetett kérelmet is benyújtott Kötelezett felé, amelyekben ismétlődő jelleggel kért számos, sok esetben túlzó intézkedést. Másolatot kért például a róla kezelt kamerafelvételekről, a Telecenterrel folytatott beszélgetéseinek hangfelvételeiről, a pénztárbefizetéseinek bizonylatairól, az ügyintézések jegyzőkönyveiről, az aláírásmintájáról, a kölcsönszerződéshez kapcsolódó adósminősítés dokumentumáról és arról a körlevélről is, amelyet az Kérelmező fényképét csatolva küldtek ki a fiókvezetőknek.Tájékoztatást kért többek között a személyes adatai kezelésének jogalapjáról, az irattárából eltűnt szerződésekhez kapcsolódó információkról, a pénztárbefizetési bizonylatok megőrzésével kapcsolatos információkról, a privátbanki hívások hangfelvételeiről, annak céljáról, jogalapjáról, illetve egyéb információiról, a jövedelemigazolás megsemmisítésének dátumáról, valamint az ügyintézéseihez kapcsolódó jegyzőkönyvek adatkezeléséről. A róla kezelt kamerafelvételek esetében kérte az adatkezelés korlátozását, a felvételek zárolását. Bizonyos hangfelvételek, kamerafelvételek és a jegyzőkönyvek eredeti példányának megtekintését is igényelte. Kérelmező kérte a személyes adatainak törlését is, amennyiben ez a hozzájárulása alapján történt. A Kérelmezett valóban nem válaszolt határidőn belül – kérelmek beérkezését követő egy hónapon belül – az egyes kérelmekre, és az elmaradást sem indokolta meg, állítása szerint azért, mert a Fővárosi Ítélőtábla végzését ezekre vonatkozóan is irányadónak értelmezte, annak ellenére, hogy az adatvédelmi kérelmek nem voltak összefüggésben a Fővárosi Ítélőtábla intézkedésével. Az Ítélőtábla végzése szerint a jogvita jogerős eldöntéséig tartózkodnia kellett az olyan írásos nyilatkozatok peren kívüli megküldésétől, amik a szerződéses viszonnyal kapcsolatosak. Kötelezett nagyrészt végül a határidő lejárta után eleget tett a kérelmeknek. A Hatóság végül megállapította, hogy néhány esetben megsértette Kérelmező hozzáférési jogát: nem kapta meg a kamerafelvételek másolatát a harmadik személyek és bizonyos információk kitakarásával, nem jelölte meg a pontos jogszabályi hivatkozásokat, amelyek miatt kezelte a személyes adatait, nem tájékoztatta a személyes adatai kezeléséről bizonyos jegyzőkönyvek esetében, és a körlevélről sem készített másolatot.

A Sziget Zrt. által szervezett rendezvényeken jogellenes adatkezelés történt több mint nyolcszázezer fő beléptetésénél. A cég a személyigazolványok beszkennelésével dokumentálta a belépők személyes adatait, miközben kép- és hangfelvételt is készített róluk. Abban az esetben, ha valakinek nem felelt meg ez a belépési mód, érvényteleníthették a jegyét, így a hozzájárulás nem volt szabad választási lehetőség, azaz sérült az önkéntesség és a külső befolyástól való mentesség elve. A hozzájárulás több okból sem felelt meg a jogalapnak, többek között nem történt megfelelő tájékoztatás az érintettek részére. A belépőket arról sem informálták megfelelően, hogy milyen célból és milyen időtartamra vonatkozóan őrzik meg az adataikat, illetve kik az adatfeldolgozók, és milyen jogkörrel rendelkeznek. A visszaélések és a magas fokú biztonság érdekében végzett adatkezelés azonban nem bizonyult alkalmasnak és elengedhetetlennek a célok eléréséhez. A visszaélések elkerülése céljából rögzített adatok sértették a célhoz kötött és a szükséges adatkezelés alapelveit. A látogatók biztonságának garantálása érdekében használt rendszer alkalmatlannak bizonyult a megnevezett célra. A Sziget Zrt. nemzetiségre vonatkozó adatrögzítése készletező adatkezelésnek minősült, továbbá a belépők nemére vonatkozó adatok sértették az adattakarékosság elvét.

Az igazgatóság egyik munkatársa téves címre küldött ki 9 darab, személyes adatot - úgy mint azonosító adat, elérhetőség, szociális azonosságra és egyéb, magánéletre vonatkozó adatok, büntetett előélet, bűncselekmény, büntetésre vonatkozó részletek - tartalmazó dokumentumot. A téves címzett hasonló feladatokat lát el, azonban más illetékességgel rendelkezik. Az incidens során sérült a 18 érintett személyes adatainak bizalmas jellege. Az incidens bejelentése a Hatóság részére nem történt meg a megengedett határidőn belül.

Az érintett személy előfizetői szerződést szeretett volna kötni, azonban az első kérelmezett a korábbi szolgáltatásokból fennmaradó kiegyenlítetlen tartozások miatt ezt megtagadta, a tartozást pedig a második kérelmezettre engedményezte. Az érintett kérte a személyes adatok egyeztetését és az ezt igazoló dokumentum kiadását, mert nem találta igaznak az elutasítás indokát. Az első kérelmezett - tévesen - a törölt adatokra hivatkozva nem tette lehetővé az adatok összehasonlítását, így nem tudott megbizonyosodni arról, hogy visszaéltek személyes adataival. Az első kérelmezett megsértette az érintett személyes adatainak hozzáféréséhez való jogát és az átlátható, tisztességes adatkezelés, továbbá a pontosság és elszámoltathatóság elvét. A második kérelmezett eltérő okok miatt többször megtagadta az adatok egyeztetését, megsértette az elszámoltathatóság elvét, továbbá nem a megfelelő jogalapra hivatkozott az érintett adatainak kezelésekor. A folyamat során kiderült, hogy a tartozás összege 623.854 Ft, amely úgy keletkezett, hogy egy, a magát érintettnek nevező férfi korábban 5 szerződést íratott az érintett nevére, mint a szerződések kötelezettje. Az első kérelmezett esetében sérült a pontosság elve, ugyanis a nyilvántartásokban egymástól eltérő személyes adatok (4 különböző anyja neve) tartoztak az érintetthez. A második kérelmezett nem tett eleget az elszámoltathatóság elvének, mert olyan szerződésekre hivatkozott a személyes adatok kezelése során, amelyek már megszűntek.

A Budapesti Műszaki és Gazdasági Egyetem többszöri megkeresés után sem válaszolt a kérelmező megkeresésére, amelyben a személyes adataihoz való hozzáférést igényelte. Az érintett szeretett volna hozzájutni a munkaköri leírásaihoz, a kieső időszakok adataihoz, az utána fizetett adó és a TB, a NAV, illetve a nyugdíjfolyosító felé történt bejelentés részleteihez is. Az egyetem azonban nem teljesítette határidőre az érintett hozzáférési jogára vonatkozó kérelmet, és nem indokolta a késedelem okát sem. Az érintett kérelmét csak a hatósági végzés átvétele után, azonban akkor is csak hiányosan teljesítette.

Egy ismeretlen támadó kihasznált egy, az adatkezelő által üzemeltetett honlap beállításaiból adódó sérülékenységet, és megszerezte a felhasználók adatbázisát, amelyet ezt követően közzé tett az interneten. Nyilvánosságra került a felhasználók teljes neve, email címe, a felhasználói nevük és titkosított formában a belépési jelszavak is. Bár a jelszavak kódolva voltak, a gyenge védelem miatt rövid idő alatt viszsza lehetett azokat fejteni. Az adatbázis sérülékenysége miatt 6987 érintettnek kerültek ki a politikai véleményére vonatkozó, különleges személyes adatai. A Párt állítása szerint egy tesztadatbázis vált nyilvánossá, amelyhez véletlenszerűen kiválasztott személyek régi adatait használták fel, ezek a személyes adatok azonban valósak voltak, a követelmények pedig az adatkezelés teljes időszakára vonatkoznak. Amikor az ügyfél tudomást szerzett az incidensről, nem tett eleget az incidensbejelentési kötelezettségének, és az érintetteket sem tájékoztatta a történtekről, mert úgy vélte, hogy nem jelent kockázatot az érintettek jogaira és szabadságaira vonatkozóan.

Az érintett arra kérte az adatkezelőt, hogy a nyilvántartott személyes adatai közül a telefonszámát töröljék. Az adatkezelő érdekmérlegelést követően úgy döntött, hogy a telefonszámot nem fogja törölni, hiszen jogos érdek alapján kezeli azt annak érdekében, hogy a lejárt tartozást telefonos megkeresés útján tudja érvényesíteni. Az adatkezelő nemcsak a törléshez való jog gyakorlására irányuló kérelemnek nem tett eleget, az adat kezelésével a célhoz kötöttség és az adattakarékosság elvét is megsértette, ugyanis a Kötelezett nyilvántartotta az érintett lakcímadatát is, amely megfelelő a kapcsolattartásra és a követelés behajtására is. A pénzintézet továbbá nem tájékoztatta ügyfelét arról, hogy adatait más célból is nyilván tartják.

Kecskemét Megyei Jogú Város Polgármesteri Hivatala az Érintett által tett közérdekű bejelentést jogellenesen továbbította harmadik fél számára, mert az elküldött dokumentumokat nem anonimizálta. A jogalap nélküli adattovábbítás az Érintettnek jelentős következménnyel járt, jelentős gazdasági és szociális hátrányt szenvedett, hiszen közalkalmazotti jogviszonyának megszűnése és a jogsértés között közvetlen ok-okozati kapcsolat állt fenn.

Az adatkezelő felszólította az Érintettet, hogy a vele szemben fennálló követelést teljesítse. Az Érintett vitatta az adatkezelés jogszerűségét, nem tartotta jogosnak a követelést, továbbá kérte, hogy az adatkezelő bocsássa rendelkezésére azokat a dokumentumokat, amelyekre a követelését alapozza, illetve tájékoztassa az általa kezelt személyes adatokról. Az adatkezelő - megsértve az adattakarékosság elvét - olyan azonosítóadatokat kért az Érintettől, amelyekkel az ügyet megelőzően nem rendelkezett, így azokat nem is kezelte, tehát nem lett volna mivel összehasonlítani azokat ügyfélazonosítási céllal. Az adatkezelő egyik válaszában sem, valamint a panaszkezelési eljárás lezárásakor sem tájékoztatta az ügyfelet arról, hogy a panasz kivizsgálása más formában is megtörténhetne. A biztonsági mentésekben tárolt személyes adatok kezelésével kapcsolatban az adatkezelő tevékenysége nem felelt meg az átláthatósági követelményeknek, hiszen az ezt szabályzó dokumentumhoz az érintett nem férhetett hozzá, valamint ezek kezeléséről, felhasználásáról nem tájékoztatta az Érintettet.

Az adatkezelő téves telefonszámra küldött hiteltartozással kapcsolatos SMS üzeneteket. A telefonszám tulajdonosa felvette a kapcsolatot a Bankkal, és kérte, hogy telefonszámát töröljék a nyilvántartásból, arra ne küldjenek üzenetet, hiszen nem is kezelhetnék azt. Az adatkezelő ezt nem tette meg azután sem, hogy nyilvánvalóvá vált, hogy a kérdéses telefonszám nem a Bank ügyfeléé, és nem korlátozta a telefonszám adatkezelését arra az időtartamra, amely az adat pontosságának ellenőrzéséhez szükséges lett volna, így sérült a pontosság elve.

Az Érintett hozzáférési jogát gyakorolva kérte azon kamerafelvételek kiadását, amelyeken ő szerepel. Az adatkezelő nem biztosított betekintést a felvételekbe, és nem adta át azok másolatát. A felvételeket jogsértő módon, az Érintett kérésének ellenére sem zárolták, így azok automatikusan törlődtek. Mindezek mellett az adatkezelő elmulasztotta tájékoztatni az Érintettet a jogorvoslati lehetőségekről.